Professional Documents
Culture Documents
Aproximacin bsica
Un Sistema de Seguridad Informtica es un conjunto de medios administrativos,
medios tcnicos y personal que de manera interrelacionada garantizan niveles de
seguridad informtica en correspondencia con la importancia de los bienes a proteger
y los riesgos estimados.
El Plan de Seguridad Informtica es la expresin grfica del Sistema de Seguridad
Informtica diseado y constituye el documento bsico que establece los principios
organizativos y funcionales de la actividad de Seguridad Informtica en una Entidad y
recoge claramente las polticas de seguridad y las responsabilidades de cada uno de los
participantes en el proceso informtico, as como las medidas y procedimientos que
permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseo de un Sistema de Seguridad Informtica se distinguen
tres etapas:
1) Determinar las necesidades de proteccin del sistema informtico objeto de anlisis,
que incluye:
Al elaborar el Plan se deber evitar repetir aspectos que ya han sido sealados
anteriormente, en todo caso se puede hacer referencia a ellos.
Tabla de Contenido
Presentacin del documento.
1.
Alcance.
2.
Caracterizacin del Sistema Informtico.
3.
Resultados del Anlisis de Riesgos.
4.
Polticas de Seguridad Informtica.
5.
Sistema de Seguridad Informtica.
5.1.
Medios humanos.
5.2.
Medios tcnicos.
5.3.
Medidas y Procedimientos de Seguridad Informtica.
5.3.1.
De proteccin fsica.
5.3.1.1. A las reas con tecnologas instaladas.
5.3.1.2. A las tecnologas de informacin.
5.3.1.3. A los soportes de informacin.
5.3.2.
Tcnicas o lgicas.
5.3.2.1. Identificacin de usuarios.
5.3.2.2. Autenticacin de usuarios.
5.3.2.3. Control de acceso a los activos y recursos.
5.3.2.4. Integridad de los ficheros y datos.
5.3.2.5. Auditoria y alarmas.
5.3.3.
De seguridad de operaciones.
5.3.4.
De recuperacin ante contingencias.
6.
Anexos.
6.1.
Programa de Seguridad Informtica
6.2.
Listado nominal de usuarios con acceso a redes de alcance global.
6.3.
Registros.
6
7
7
8
9
10
10
10
11
13
13
13
14
14
14
15
15
16
16
16
17
18
18
18
18
ELABORADO
REVISADO
APROBADO
En la columna elaborado se consignan los datos del jefe del equipo que confeccion
el Plan de Seguridad Informtica, en la columna revisado los de la persona designada
para su revisin antes de presentarlo a aprobacin y en la columna aprobado se
reflejan los datos del jefe de la entidad en la que el Plan ser implementado.
A partir de la pgina No. 2, cada una de las pginas que conforman el Plan tendr el
encabezamiento siguiente:
Clasificacin
Documento
del
Nombre de la Entidad
Pg.___ de ___
1. Alcance.
El Alcance expresar el radio de accin que abarca el Plan, de acuerdo al Sistema
Informtico objeto de proteccin, para el cual fueron determinados los riesgos y
diseado el Sistema de Seguridad. La importancia de dejar definido claramente el
alcance del Plan (y de ah su inclusin al comienzo del mismo) estriba en que permite
tener a priori una idea precisa de la extensin y los lmites en que el mismo tiene
vigencia.
2. Caracterizacin del Sistema Informtico.
Se describir el resultado de la caracterizacin realizada al sistema informtico de la
entidad, con el objetivo de determinar qu se trata de proteger, especificando sus
principales componentes y considerando entre otros:
Aplicaciones en explotacin.
Filtrado de paquetes,
Cerraduras de disqueteras,
Sistemas de aterramiento,
Proteccin electromagntica,
Medios de climatizacin,
Otros.
evitando interpretaciones ambiguas por parte de quienes tienen que ejecutarlas y son
de obligatorio cumplimiento por las partes implicadas.
Un procedimiento de seguridad es una secuencia predeterminada de acciones dirigida a
garantizar un objetivo de seguridad. Los procedimientos que se definan sern descritos
en los acpites que correspondan o si se desea se har referencia a ellos agrupndolos
al final del Plan en un anexo.
Su redaccin deber hacerse lo ms clara y sencilla posible, precisando de manera
inequvoca los pasos a seguir en cada caso para evitar posibles interpretaciones
incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas
responsabilizadas para ello, sin necesidad de alguna otra ayuda adicional. En caso de
agruparse todos como un anexo, el formato a utilizar ser el siguiente:
Especificando en cada caso: qu se hace, cmo se hace y quin lo hace, as como los
recursos que sean necesarios para su cumplimiento.
Algunos procedimientos a considerar son los siguientes:
Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
Gestionar las claves de acceso considerando para cada nivel el tipo de clave
atendiendo a su longitud y composicin, la frecuencia de actualizacin, quin
debe cambiarla, su custodia, etc.
El control de acceso a los activos y recursos deber estar basado en una poltica de
mnimo privilegio, en el sentido de otorgar a cada usuario solo los derechos y
privilegios que requiera para el cumplimiento de las funciones que tenga asignadas.
Gestin de las claves de acceso considerando para cada nivel el tipo de clave, la
frecuencia de actualizacin, quin debe cambiarla, su custodia, etc.
6. ANEXOS
6.1. Programa de Seguridad Informtica
En esta parte del Plan se incluirn aquellos aspectos cuya realizacin requiera de un
tiempo adicional, ya sea porque necesitan algn tipo de recursos con que no se cuenta,
la realizacin de gestiones complementarias u otras causas, sealando los plazos para
su cumplimiento y el personal responsabilizado con su ejecucin. Los aspectos que lo
requieran deben ser considerados dentro del Plan de Inversiones de la entidad.
Algunos aspectos a considerar pudieran ser los siguientes:
Registro de inspecciones.
Registro y control de los soportes.
Registro de software de nueva adquisicin.
Registro de entrada, salida y movimiento de tecnologas de informacin.
Registro de incidencias de la Seguridad Informtica.