1. Ejemplo de Políticas de Seguridad de la Información.
En esta sección se establece las políticas de seguridad, para dar línea al Sistema De Gestión De La Seguridad De La Información (SGSI).
Se define Política: Marco de referencia que establece los objetivos, los principios y el enfoque de SGSI.
1.1. Distribución
Nombre
(Nombre/Cédula)
|
Cargo
(Cargo/Rol/Responsabilidad)
|
Acceso a
(Parte del documento)
|
Director TIC
|
Completo
| |
Gerente de Servicio
|
Completo
| |
Asesor Tecnología- Administrador DRP/Director Centro de Datos Alterno
|
Completo
| |
Gerente Infraestructura
|
Completo
| |
Director Centro de Datos
|
Con base a principios necesidad de conocer, y acceso limitado.
| |
Director Base de datos
|
Con base a principios necesidad de conocer, y acceso limitado.
| |
Director Redes
|
Director Redes
| |
Asesor Tecnología- Administrador DRP/Director Centro de Datos Alterno
|
Completo
|
Fuente: Elaboración propia
1.2. Mantenimiento de la política
Definido el SGSI y su articulación con el negocio y las regulaciones, se debe establecen los responsables del mantenimiento del SGSI.
Es responsabilidad de todo el personal encargado de la operación de información, realizar la correcta implementación de procedimientos para asegurar la puesta en marcha del SGSI. En caso de que ocurran cambios significativos en los siguientes puntos, se debe revisar la realización de correcciones al SGSI:
- Cambios en los servicios de Telecomunicaciones.
- Cambios en los sistemas de información (no implica aplicativos).
- Cambios en la cadena de valor del negocio.
- Cambios en el diseño de centros de datos.
- Cambios en la regulación relevante de las diferentes entidades de control de la entidad.
- Cambios en la arquitectura empresarial..
1.3. Política General
La seguridad informática es cultura organizacional, por tanto, es parte integral de la estrategia y va más allá de la simple implementación de elementos activos que restringen el uso de la información, siendo la seguridad uno de sus principios básicos; además se requiere visualizar la seguridad desde el cliente, los interesados en el negocio, los colaboradores de la compañía, los accionistas y cualquier otro actor que pueda ser parte integral de la cadena de valor de los procesos.
La seguridad informática es uno de los temas de mayor atención, en virtud de las necesidades que ha generado el medio tecnológico. Esto se apalanca en normativas técnicas y gubernamentales, que blindan no solo la información, sino además las mismas operaciones y transacciones. En la gestión de la seguridad de la información se validan lineamientos como ISO 27001. Esto motiva no sólo a definir políticas de seguridad de la información, sino además a definir una línea base de dichas políticas.
Es política el empoderamiento con la seguridad de la información a todos sus colaboradores; esto es que el personal a cargo del ciclo de vida de la información (crear, almacenar, usa, compartir, conservar, archivan y destruir) debe ser auto regulado y auto controlado, mediante la promoción de la auto medición, auto seguimiento y auto control, para la posterior rendición de cuentas.
1.3.1. Objetivos
1.3.1.1. Objetivo general de la política
Establecer los lineamientos que permitan definir los criterios para la ejecución de la gestión de la seguridad de la información; garantizando los principios de confidencialidad, integridad, y disponibilidad para la información, y los correspondientes servicios de autenticación, autorización, auditabilidad y no repudio.
1.3.1.2. Objetivos específicos
ü Gestionar el gobierno de la información, mediante la definición de un marco de referencia, que permita controlar la implementación el mantenimiento y la mejora continua de la seguridad de la información.
ü Definir los criterios para la clasificación de la información, con el fin de hacer efectivo el uso de los recursos que la gestión de la seguridad de la información.
ü Realizar gestión de riesgos con el fin de optimizar los recursos y resultados de los planes de mantenimiento
ü Alinear la gestión de la seguridad de la información con los sistemas de gestión de la organización.
ü Empoderar a los colaboradores de la organización en la gestión de la seguridad de la información.
ü Empoderar en la gestión de la seguridad de la información a la alta gerencia y en General toda la organización.
3.3.1.3. Alcance
Personas: Todos los procesos y sus actores, son responsables de asegurar el cumplimiento y mantenimiento vigente de las presentes políticas, con el fin de garantizar el cumplimiento del plan estratégico misional, el cumplimiento de sus regulaciones y el mantener su reputación.
Sistemas y temporalidad: Las políticas deben cumplirse de forma trasversal durante todo el ciclo de vida de la información, esto es al crear, almacenar, usar, compartir, conservar, archivan y destruir; sobre todos los servicios tecnológicos definidos como críticos.
Recursos: es responsabilidad de la alta gerencia garantizar que los recursos requeridos para la SGSI estén disponibles.
El presente documento define las siguientes políticas:
ü Políticas Generales
ü Organización del gobierno información:
ü Políticas para la Gestión de activos
ü Política de seguridad del capital humano
ü Política de la seguridad física
ü Política de Telecomunicaciones y operación
ü Política acceso.
ü Política de apropiación de servicios tecnológicos
ü Política de la gestión de incidentes en el SGSI.
ü Política de gestión de la calidad de la información
ü Política derechos de autor
ü Política de cumplimiento de regulaciones
ü Plan de mantenimiento de la política de seguridad de la información
En adición al presente documento, se deberá desarrollar documentos complementarios, que den cobertura a las siguientes políticas:
ü Políticas particulares.
ü Política para el plan de continuidad de los servicios de TIC.
ü Política para el plan de continuidad del negocio.
ü Política para el plan de recuperación ante desastres.
ü Política administración, uso y entrega del servicio de redes.
ü Política que defina características del centro de datos o centro de cómputo.
ü Política para la gestión del centro de cómputo.
ü Política para la gestión de los sistemas de información.
ü Política para la incorporación, mantenimiento y dada de baja de los servicios tecnológicas.
ü Política para definir el intercambio de información, por medios tecnológicos, con terceros.
ü Política para el uso de los CI’s.
ü Política de trabajo en las áreas más críticas.
ü Política de backup.
ü Política de uso de correo electrónico.
ü Política de integración con terceros.
ü Política para teletrabajo.
ü Política de privacidad (habeas data).
Cada servicio tecnológico y cada activo de información deben tener su propia política de accesorios y uso.
ü Política de escritorio limpio.
ü Políticas y procedimientos para las Restricciones para la instalación, actualización y eliminación de servicios tecnológicos e los dispositivos de usuario final y en los servidores.
.
1.3.2. Principios de la Seguridad de la Información
La información está blindada por los principios de:
Tabla 2 Principios de la Seguridad de la Información
Fuente: Elaboración propia
1.3.3. Servicios de la Seguridad de la Información
Los principios de la seguridad de la información están garantizados a partir de los siguientes servicios:
Tabla 3 Servicios de la Seguridad de la Información
Fuente: Elaboración propia
1.3.4. Ciclo de vida de la información.
El ciclo de vida de la información está definido por las etapas de creación, almacenamiento, usabilidad, comprar (acceder), conservación, archivado y destrucción.
3.4. Política Organización del Gobierno de Información -
Se debe garantizar el cumplimiento de los Principios del SGSI y sus Servicios durante todo el Ciclo de Vida de la Información.
Se debe empoderar al capital humano para que sea la fortaleza del SGSI.
En el proceso de disgregación de funciones, se garantizará el empoderamiento con la seguridad de la información; esto es que el personal a cargo del ciclo de vida de la información (crear, almacenar, usa, compartir, conservar, archivan y destruir) debe ser auto regulado, auto controlado, mediante la promoción de la auto medición, auto seguimiento y auto control, para la posterior rendición de cuentas.
Se debe definir y garantizar cumplimiento de acuerdos de confidencialidad con todos los relacionados con la cadena de valor.
Se deberá asegurar la seguridad de la información en todos los servicios tecnológicos prestados y usados.
Se debe definir un plan anual de mantenimiento al SGSI.
1.5. Políticas Generales para la Gestión de activos
Todos los activos al servicio deben estar inventariados y es responsabilidad de un actor específico, quien deberá asegurar el cumplimiento de las políticas de seguridad de la información.
Todos los activos de información deben definir su clasificación y deben de igual forma, ser evaluados y, esto es identificar la información que puede ser compartida, la que debe ser protegido, la que puede ser publicada, y la que debe ser regulada, la información no clasificada y la información registrada.
1.6. Política Seguridad del Capital Humano
Deben definirse controles que permitan garantizar el efectivo cumplimiento de los principios y servicios establecidos en la presente política por parte del capital humano.
Toda la cadena Valor debe contar con capital humano identificado que responda a contratos claramente definidos, con ilustración clara de responsabilidades, frente a la seguridad de la información.
De forma sistemática, se debe garantizar un círculo virtuoso que permita sensibilizar y capacitar a todo el personal en temas relacionados con la seguridad de la información.
Se debe garantizar que en los procesos de finalización de contratos, existan procedimientos para la devolución de los activos de información y/o la destrucción de los mismos.
Se debe gestionar, de forma adecuada, los accesos y privilegios a todos los componentes tecnológicos y repositorios de datos e información antes, durante y después de la vigencia de los contratos que comprometan capital humano.
1.7. Política Seguridad física
ü Se garantizará gestión de la seguridad del acceso físico, a los centros de operación y centros de datos.
ü Se garantizará gestión de la seguridad del acceso físico, a los lugares en los que se opera, almacena y gestiona información de carácter confidencial.
ü Se implementarán controles de calidad a los mecanismos de gestión de la seguridad de acceso físico.
ü Los servicios operacionales y tecnológicos deberán estar blindados con medios (redundancia, alta disponibilidad, enfoque a procesos y capital humano calificado) que garanticen la disponibilidad.
ü La infraestructura tecnológica debe responder a un plan estratégico de continuidad de los servicios tecnológicos.
ü La incorporación, mantenimiento y dada de baja de los activos tecnológicos, deben responder a una política particular que defina términos de seguridad de la información.
1.8. Políticas Telecomunicaciones y operación
ü El aprovisionamiento, soporte, mantenimiento y eliminación de componentes tecnológicos para las telecomunicaciones y la operación, debe obedecer a un enfoque a procesos, que asegure cumplimiento de políticas, incorporación de procesos, procedimientos, formatos, indicadores de gestión, índices de productividad y trazabilidad, elementos que aseguraran el cumplimiento de la política de seguridad de la información.
ü Se debe asegurar la incorporación y cumplimiento de buenas prácticas de carácter internacional en la gestión y operación de la tecnología, permitiendo de esta manera tener control de la gestión de la disponibilidad, la capacidad, los cambios, el inventario de activos, el inventario de servicios tecnológicos, las relaciones de TI con el negocio, entre otros.
ü Se debe asegurar la disponibilidad de ambientes no productivos para los procesos de ingeniería de software.
ü Se debe definir criterios de aceptación de los componentes tecnológicos a partir de la arquitectura tecnológica.
ü Se debe garantizar la apropiación de tecnologías destinadas de forma exclusiva al aseguramiento de la información.
ü Se deben definir ANS, acuerdos de nivel de servicios, para los servicios tecnológicos.
ü Se deben definir políticas claras para el intercambio de información, por medios tecnológicos, con terceros.
ü Se debe establecer un procedimiento de monitoreo de los servicios tecnológicos.
ü Se debe alinear los formatos de fecha, formatos de hora, la fecha y la hora de todos los componentes tecnológicos con una única fuente oficial para el país.
1.9. Políticas de Acceso
ü Cada servicio tecnológico y cada activo de información deben tener su propia política de accesorios y uso.
ü Debe definirse un Procedimiento que el límite el mecanismo a través del cual se concede, se gestiona y se elimina el acceso a la información y los servicios tecnológicos.
ü Debe hacerse definición de una serie de reglas que delimiten la calidad de las contraseñas.
ü Debe hacerse definición para reglamentarse una política de escritorio limpio.
ü Debe ejecutarse una segmentación de redes con el fin de garantizar que el acceso a los servicios tecnológicos sea de forma exclusiva a los requeridos por el rol y las responsabilidades correspondientes a cada individuo.
ü Debe garantizarse una Identificación inequívoca de usuarios en los sistemas de información.
ü Debe incluirse en la política de acceso las acciones en función del Abandono de sesiones de trabajo.
ü En caso de que llegue existir acceso remoto a los servicios tecnológicos debe reglamentarse.
1.10. Política de apropiación de servicios tecnológicos
ü Debe definirse y apropiarse técnicas de cifrado de información y enmascaramiento.
ü Debe implementarse un procedimiento de Control de cambios.
ü Debe garantizarse que en los ambientes no productivos los datos de prueba no correspondan a los productivos.
ü Debe realizarse actividades de Auditoría a los ambientes no productivos con el fin de visualizar riesgo de incumplimiento de las políticas de seguridad de la información.
ü Debe asegurarse el mecanismo de control de acceso al código fuente.
ü Debe asegurarse el cumplimiento de acuerdo de confidencialidad con todos los actores comprometidos en el proceso de gestión de los servicios tecnológicos incluyendo terceros.
ü Debe asegurarse una adecuada segregación de funciones en el área tecnológica que permitan minimizar riesgos de acceso no adecuado a la información.
ü Debe garantizarse la definición de una arquitectura tecnológica.
ü Debe asegurarse la definición de políticas y procedimientos para las restricciones para la instalación, actualización y eliminación de servicios tecnológicos.
ü Debe velarse por el cumplimiento de normas regulatorias.
ü Debe implementarse un procedimiento de análisis de vulnerabilidades.
ü Debe hacerse definición de política y procedimientos de custodia y versionamiento del software.
1.11. Políticas de la gestión de incidentes en el SGSI
ü Debe definirse y gestionarse canales adecuados para la notificación de riesgos e incidentes con la seguridad de la información.
ü Todos los colaboradores son responsables de notificar a través de todos los canales dispuestos los riesgos e incidentes que se susciten.
ü Todos los dueños de servicios tecnológicos deben asegurar un plan de reacción que dé respuesta a todos los riesgos e incidentes que se materialicen.
1.12. Políticas de la Continuidad del Negocio
ü Debe definirse un plan de continuidad del negocio (PCN).
ü Debe definirse un plan de recuperación ante desastres (DRP).
ü Debe definirse un plan anual de mantenimiento al PCN y al DRP.
ü Debe hacerse un proceso de gestión de riesgos para el negocio.
ü Debe hacerse un análisis de impacto al negocio para los riesgos identificados.
ü Debe hacerse una gestión de los riesgos identificados, con el fin de minimizar su probabilidad y/o impacto.
1.13. Política de gestión de la calidad de la información
ü Debe establecerse un proceso que de forma periódica valide el ciclo de vida de la información y su seguridad.
1.14. Política Derechos de autor
ü Debe alinearse toda la cadena Valor a los lineamientos dados por la Dirección Nacional De Derechos De Autor.
1.15. Política de cumplimiento de regulaciones
ü La empresa deberá estar atenta al cumplimiento de las normas que lo regulan y el cambio de las mismas.
ü La empresa deberá tener un inventario claro de todas las normas que lo regulan.
ü La empresa deberá hacer auditorías internas periódicas que le permita identificar el cumplimiento de sus SGSI.
1.16. Incumplimiento de la Política
El incumplimiento de la presente política acarreará investigaciones de tipo disciplinario, implicando las sanciones a que haya lugar, de acuerdo a la gravedad del incumplimiento. El proceso de gestión disciplinaria deberá identificar las políticas establecidas para la seguridad de la información y definir las correspondientes sanciones a que haya lugar en su incumplimiento.
No hay comentarios:
Publicar un comentario