Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

POLITICA DE SEGURIDAD INFORMATICA

No description
by

Rosana Gaona

on 26 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of POLITICA DE SEGURIDAD INFORMATICA

PRESENTACIÓN
El presente documento tiene como finalidad dar a conocer los estándares de Seguridad Informática que se deberán observar en lo que respecta a Tecnologías de información, desarrollado para proteger adecuadamente los activos tecnológicos y la información de la Departamento de Tecnología de la Información del Hospital Nacional de Itauguá.
PILARES DE LA SEGURIDAD
Confidencialidad
Seguridad logica
Seguridad Fisica
Integridad
Disponibilidad
1. Políticas de Administración de los Recursos de Tecnología de Información
a)
Equipamiento Tecnológico
. son de exclusiva propiedad de la institución y su utilización debe estar acorde a las funciones ejercidas y para propósitos institucionales.

b)
Adquisición de Hardware y Software
: toda adquisición de Hardware y Software debe seguir los estándares de funcionalidad y seguridad definidos por la Dirección y el Departamento de TI.

c)
Licenciamiento de Software
– Derecho de Autor

d)
Inventario
: todo recurso Tecnológico de la institución debe ser registrado y controlado. Ningún usuario, independientemente de su cargo o función, podrá instalar software o hardware sin la autorización previa del Departamento de TI.

2. Política de Clasificación y Niveles de Seguridad de la Información
b)
Privacidad de Documentos
: los documentos que contienen las Políticas, Normas, Procedimientos y Controles de Seguridad son de propiedad exclusiva de la Institución. Estos documentos deben ser de conocimiento de los funcionarios y permanecer en el ámbito interno de la Institución.
a)
Privacidad de la Información
: la información generada por los funcionarios de la Institución debe ser clasificada de acuerdo a su nivel de confidencialidad. La publicación de dicha información debe ser autorizada por la persona que ocupa el rango jerárquico más alto en el área afectada.
Marcos de Referencias Internacionales, Leyes y Reglamentos Externos relacionados
ISO 27001 - Conjunto de estándares desarrollados por la ISO "International Organization for Standardization" e IEC " International Electrotechnical Commission" que proporcionan un marco de "Gestión de Seguridad de la Información"
ISO 270001
Conjunto de estándares desarrollados por la ISO "International Organization for Standardization" e IEC " International Electrotechnical Commission" que proporcionan un marco de "Gestión de Seguridad de la Información"
Marcos de Referencias Internacionales, Leyes
y Reglamentos Externos relacionados

3. Gestión y Responsabilidad de la Seguridad de TI
Administración de Seguridad de TI
: la “Máxima Autoridad” de la institución debe asignar formalmente la responsabilidad de garantizar la Seguridad Lógica y Física de los Recursos de Tecnología de Información de la Institución a un área de “Administración de Seguridad de TI”, el cual reporte a dicha “Máxima Autoridad”. La responsabilidad de la “Administración de Seguridad de TI” debe ser establecida en el ámbito de la Institución como un todo, a fin de que se complemente y armonice con las medidas de seguridad general de la Institución.
4. Propiedad y Custodia de Datos y Sistemas

Propietario de Datos y Sistemas
: la asignación formal de “Propietarios y Custodios de los Datos y Sistemas” utilizados en las diferentes reparticiones de la Institución debe estar reglamentada por el Departamento de TI.
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
SGSI
Que es?
Conjunto de controles implantados en políticas, normas, procedimientos, responsabilidades y una gestión de los riesgos de seguridad aplicado a los requisitos de seguridad de la información de la Institución.
Marcos de Referencias Internacionales, Leyes
y Reglamentos Externos relacionados

CobiT 4.1 (Control Objectives for Information and related Technology) de la "IT Governance Institute", promovida por la ISACA (Information System Audit and Control Association) de los Estados Unidos de América.
8. Gestión de Monitoreo y Reporte de Eventos de Seguridad de TI
a. Reporte de Actividad de Seguridad:

La “Administración de Seguridad de TI” debe asegurar que los posibles incidentes de seguridad sean definidos y comunicados de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de Gestión de Incidentes de Seguridad de TI.
b.
Prevención, Detección y Corrección de Software Malicioso
:
la “Administración de Seguridad de TI” debe garantizar que la Institución cuente con mecanismos de prevención, detección y corrección para proteger los Sistemas de Información y a los Recursos Tecnológicos contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).
9. Administración del Ambiente Físico
RESPONSABILIDADES
Niveles Directivos y otros Cargos Ejecutivos
Funcionarios
Nivel Jerárquico Superior de la Institución
Administrador de Seguridad de TI
ASPECTOS CLAVES PARA LA ADAPTACION
ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD
Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a los nuevos aportes legales en la materia, la entidad se reservan el derecho a modificar esta Política cuando sea necesario, aunque la periodicidad mínima para actualizarla será anual.
Disposiciones
Las disposiciones aquí enmarcadas, entrarán en vigor a partir del día de su difusión.

Las normas y políticas objeto de este documento podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comité; una vez aprobadas dichas modificaciones o adecuaciones, se establecerá su vigencia.

La falta de conocimiento de las normas aquí descritas por parte de los usuarios y los funcionarios del Departamento de TI no los libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas.
INTEGRANTES
Nancy Riveros
Rosana Gaona
El objetivo general de este trabajo es el de iniciar el desarrollo de las Políticas, Normas y Procedimientos para los “Procesos de Gestión y Controles en materia de Seguridad” de la Institución, en este caso del Hospital Nacional de Itauguá, basados en Normas Internacionales y que permitan minimizar los riesgos relacionados al Área de Tecnología.
Objetivo General
Para el logro del objetivo propuesto en esta Consultoría, realizaremos el relevamiento de la situación actual en materia de Seguridad General de la Información de una de las áreas de las 3 (tres) componentes del Departamento de Tecnología de la Información del Hospital Nacional.
• Área de Sistemas de TI
• Área de Infraestructura de TI
• Área de Soporte Técnico de TI
Y de acuerdo a la lista de las dependencias mencionadas, realizaremos un relevamiento del Área de Infraestructura Tecnológica.

ALCANCE DEL TRABAJO
4. Propiedad y Custodia de Datos y Sistemas

Responsabilidad de la Administración de Seguridad de TI
: debe analizar, periódicamente, los privilegios de acceso otorgados a los usuarios que se encuentren vigentes, a fin de evaluar, efectuar actualizaciones y asumir formalmente el riesgo residual.


Uso adecuado de la información
: tiene como finalidad el establecer una cultura de transparencia, confianza e integridad en el uso adecuado de la información que se maneja y se accede en la institución y los equipos informáticos dispuestos para ella.

6. Identificación, Autenticación y Acceso
a.
Acceso a los Sistemas de Información
: el acceso y uso de los recursos tecnológicos debe estar restringido por la implementación de un mecanismo de “autenticación de usuario” y una “contraseña” personal e intransferible.
1.
Altas, Bajas y Modificaciones de Cuentas de Usuario y Privilegios de Acceso
: toda solicitud, establecimiento, emisión, suspensión y cierre de cuenta de usuario y de los privilegios relacionados deben ser autorizados por la máxima autoridad de cada repartición.

2.
Comunicación de Responsabilidades
: todos los funcionarios a los que fueron asignados perfiles de usuario en las plataformas tecnológicas de la Institución, deben ser comunicados de sus responsabilidades emergentes de la utilización de los recursos tecnológicos de la Institución.

3.
Utilización de Clave Maestra
: la utilización de las Cuentas de Usuario de mayor nivel jerárquico (Master Key) de los Sistemas Informáticos, Servidores, Dispositivos de Seguridad y Comunicaciones de la Infraestructura de Red de Sistemas de la Institución, debe estar reglamentada a fin de garantizar su correcta utilización.

Seguridad Física del Centro de Datos (Data Center)
Acceso Físico
Protección contra Factores Ambientales e Incendios.
Administración de Instalaciones Físicas

Auditoría Interna de la institución
Seguridad Física del Centro de Datos (Data Center):




El Departamento de TI conjuntamente con el área de “Administración de Seguridad de TI”, debe establecer la seguridad física apropiada y medidas de control de acceso para el “Data Center” y el área de “Comunicaciones”, a fin de minimizar los riesgos asociados.
Acceso Físico:



El Departamento de TI conjuntamente con el “Departamento de Seguridad” y el área de “Administración de Seguridad de TI”, deben definir e implementar procedimientos para otorgar, limitar y revocar el acceso de funcionarios a locales, edificios y áreas de acuerdo con las necesidades de la Institución, incluyendo las emergencias. El acceso a locales, edificios y áreas debe ser justificado, autorizado, registrado y monitoreado. Esto aplica para todas las personas que accedan a las instalaciones incluyendo funcionarios, visitantes, proveedores o cualquier tercera persona.
Protección contra Factores Ambientales e Incendios
:
se debe asegurar que existen y se mantienen suficientes medidas de protección contra factores ambientales y prevención de incendios. Deben instalarse dispositivos y equipos especializados para el control y monitoreo continuo del ambiente físico.



Administración de Instalaciones Físicas:



la institución debe administrar las instalaciones incluyendo los Equipos de Comunicaciones y el Sistema de Energía Eléctrica de Emergencia (UPS, Generador Eléctrico), de acuerdo con las leyes y los reglamentos, los requerimientos técnicos de la Institución, las especificaciones del proveedor y los lineamientos de seguridad y salud.
Políticas de
Area de Infraestructura
Departamento de TI
del
Hospital Nacional

Funciones y Responsabilidades
: Las “funciones y responsabilidades” de los Propietarios de Datos y Sistemas deben estar definidas claramente en cuanto a decidir respecto a la “Clasificación y Niveles de Seguridad de Datos”, así como los derechos de acceso.
b.
La Política de contraseñas
: tiene como finalidad el establecer quién asigna la contraseña, qué longitud y formato debe tener, cómo debe ser comunicada, esto es, todas las características que deben cumplir las contraseñas de todo el personal de la organización.
7. Administración de Cuentas de Usuario
5. Respaldos

• Las Bases de Datos de la institución serán respaldadas periódicamente en forma automática y manual, según los procedimientos generados para tal efecto.
• Se deberá contar con servidores de contingencia de Bases de Datos y aplicaciones, denominados servidores espejos.
• Los demás respaldos (una copia completa) deberán ser almacenados en cintas magnéticas, en un lugar seguro y distante del sitio de trabajo, que cuente con los estándares de calidad para almacenamiento de medios magnéticos.
• El área de infraestructura del Departamento de TI no podrán remover del sistema ninguna información de cuentas individuales, a menos que la información sea de carácter ilegal, o ponga en peligro el buen funcionamiento de los sistemas, o se sospeche de algún intruso utilizando una cuenta ajena.

Lic. Rosana Gaona
Full transcript