Los procedimientos son la descripción detallada de la manera como se implanta una política. El procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo.Los procedimientos a definir son los siguientes:
Administración de cuentas de usuario.
Manejo de Incidentes
Manejo de Virus
Administración de cuentas privilegiadas.
Procedimiento de Control de Cambios.
Procedimiento de Acceso al edificio.
Procedimiento de acceso al centro de Cómputo.
Procedimiento de respaldo
Definición de estándares de seguridadEs la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una política o procedimiento.Algunos de los principales estándares a definir son:
Longitudes de contraseñas
Histórico de contraseñas
Eventos a registrar en logs
Estándares de seguridad en Switches
Estándares de seguridad Routers
Estándares de seguridad Firewall
VPNs
Estándares seguridad Sistema Operativo Windows
Diseño de Arquitectura de Seguridad.La arquitectura de seguridad, debe ser el resultado de un proceso que considere las diferentes vulnerabilidades existentes en un sistema de información. Por otro lado una de sus entradas es la matriz de riesgo realizada durante el proceso anteriormente descrito. Utilizando esta información la arquitectura de seguridad debe definir los elementos tanto de software como de hardware, que integrados adecuadamente permitan realizar el proceso de mitigación de posibles impactos sobre la infraestructura de información. En otras palabras la arquitectura de seguridad debe considerar la utilización de los siguientes elementos:
Control de Acceso Biométricos.
IPS.
Monitoreo Ambiental.
Detección de Intrusos Fisicos.
Manejo de Ancho de Banda.
VPN
Firewall: Arquitectura Sonicwall.
Unified Threat Management UTM
Algoritmos de Seguridad.
Seguridad en la red.
martes, 14 de octubre de 2008
Definición de Políticas, Procedimientos y Estándares de Seguridad de la
Se entiende por política, las reglas generales de comportamiento definidas para la interacción entre los usuarios y los activos informáticos. Las políticas son independientes de los ambientes propios de la entidad y representan la base de un modelo de seguridad.Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y procedimientos deben estar hechos a la medida, según los requerimientos específicos de cada organización. Para la definición de las políticas y procedimientos se realiza un proceso de validación en conjunto con la organización con el fin de generar políticas y procedimientos que se ajusten a esta.
Las políticas cubrirán los siguientes temas:
Seguridad en la Organización:
o Roles y Responsabilidades de Seguridad de la Informacióno Políticas para la conexión con terceros.
Clasificación de la Información:
o Importancia de la información según la organización.
Seguridad en el recurso Humano:
o Responsabilidades de seguridad de la información para los diferentes cargos.o Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo.
Seguridad Física:
o Seguridad ambientalo Control de Acceso físico.
Administración de las operaciones de cómputo y comunicaciones.
o Políticas sobre el uso del correo electrónicoo Políticas sobre el uso de Internet.o Políticas sobre el uso de recursos.
Control de Acceso.
Desarrollo y mantenimiento de Sistemas.
Continuidad de Negocio.
Conformidad con leyes civiles, legales y contractuales.
Las políticas constan de:
1. Audiencia
2. Introducción
3. Definiciones
4. Objetivo
5. Enunciado de la Política
6. Políticas y Procedimientos relacionados
7. Roles y responsabilidadesViolaciones a la política
Las políticas cubrirán los siguientes temas:
Seguridad en la Organización:
o Roles y Responsabilidades de Seguridad de la Informacióno Políticas para la conexión con terceros.
Clasificación de la Información:
o Importancia de la información según la organización.
Seguridad en el recurso Humano:
o Responsabilidades de seguridad de la información para los diferentes cargos.o Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo.
Seguridad Física:
o Seguridad ambientalo Control de Acceso físico.
Administración de las operaciones de cómputo y comunicaciones.
o Políticas sobre el uso del correo electrónicoo Políticas sobre el uso de Internet.o Políticas sobre el uso de recursos.
Control de Acceso.
Desarrollo y mantenimiento de Sistemas.
Continuidad de Negocio.
Conformidad con leyes civiles, legales y contractuales.
Las políticas constan de:
1. Audiencia
2. Introducción
3. Definiciones
4. Objetivo
5. Enunciado de la Política
6. Políticas y Procedimientos relacionados
7. Roles y responsabilidadesViolaciones a la política
Suscribirse a:
Entradas (Atom)