Grupo Redinfo | Políticas de Seguridad de la Información
Políticas de Seguridad de la Información
Políticas de Seguridad de la Información
14479
page,page-id-14479,page-template,page-template-full_width-php,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Diseño e Implementación de Marco Normativo de Seguridad

SERVICIO DE DISEÑO E IMPLEMENTACION DE MARCO NORMATIVO DE SEGURIDAD

“POLITICAS Y PROCEDIMIENTOS”

Marco Normativo

El objetivo del servicio es la definición de las Políticas de Seguridad de la Información, sus procedimientos y estándares asociados, bajo la metodología de implementación de la familia ISO/IEC 27000; teniendo en consideración como mínimo los siguientes ámbitos (a ser definidos en conjunto con el cliente):

Política Protección de datos

o     Objetivo:Establecer el lineamiento general para la protección de los datos sensibles manejados por la institución, los roles y responsabilidades de los usuarios en el adecuado manejo la información bajo su custodia.

o     Procedimientos asociados:Almacenamiento, transmisión, respaldo, copia y destucción de información crítica.

o     Estándares asociados:Medios de almacenamiento, software de servidor y cliente en utilización por la institución.

Política Respaldo de datos

o     Objetivo:Establecer el lineamiento general para el respaldo de la información crítica de la institución, los roles y responsabilidades de los diferentes departamentos que intervienen en el proceso de respaldo.

o     Procedimientos asociados:Respaldo de datos en diferentes medios, rotación y políticas.

o     Estándares asociados:Calendario institucional de respaldos, software de servidor y cliente en utilización por la institución.

Política de Firewall

o     Objetivo: Establecer el lineamiento general para la configuración, diseño y segregación de redes protegidas por Firewalls.

o     Procedimientos asociados:Configuración general, creación de políticas de seguridad.

o     Estándares asociados:Hardware/Software utilizado por la institución, políticas de negocio.

Política Control de Acceso Físico

o     Objetivo:Definir los controles de Acceso Físico de personas y del traslado de equipos computacionales y de comunicaciones.

o     Procedimientos asociados:Configuración de registros de acceso, accesos revocados, acceso a áreas seguras.

o     Estándares asociados:Señalización de áreas seguras, controles de acceso en vigencia en la institución.

Política Acceso Remoto

o     Objetivo:Definir los lineamientos generales para cualquier tipo de conexión remota a la red de la institución, incluyendo enlaces dedicados, accesos remotos conmutados, accesos remotos vía Internet y servicios VPNs.

o     Procedimientos asociados:Procedimiento de interconexión de enlaces, accesos remotos, VPN.

o     Estándares asociados:Hardware/Software utilizado por la institución.

Política Diseño y Desarrollo Aplicaciones

o     Objetivo:Establecer Los criterios de seguridad deben estar presentes desde las primeras etapas del desarrollo de sistemas en la institución, en particular en sus fases de planificación y diseño.

o     Procedimientos asociados:procesos de QA y Mantención de sistemas.

o     Estándares asociados:controles criptográficos, niveles de servicio, estándares para el desarrollo de sistemas.

Política Respuesta Ante Incidentes

o     Objetivo:Regular la forma en que la institución administra la respuesta ante incidentes de seguridad de la información y definir los procedimientos que se requieren al efecto.

o     Procedimientos asociados:Respuesta y recuperación ante incidentes de seguridad

o     Estándares asociados:Definición y tipología de incidentes de seguridad, bases de datos de conocimiento.

Política Control de Cambios

o     Objetivo:Regular todo cambio a efectuarse en la infraestructura tecnológica de información y comunicaciones, en el software y en el hardware.

o     Procedimientos asociados:Control de cambios al software y hardware

o     Estándares asociados:Hardware/Software utilizado por la institución en sus servicios productivos críticos.

Política Seguridad de Operaciones

o     Objetivo:Definir el nivel de cumplimiento de las políticas de seguridad de la información establecidas para todos los procesos normales y de excepción en la ejecución de las Operaciones Computacionales, permitiendo así su continuidad de servicio.

o     Procedimientos asociados:Seguridad en las operaciones computacionales, continuidad del negocio, respuesta ante incidentes de seguridad.

o     Estándares asociados:Procesos críticos definidos por la institución, límites de tiempo para la recuperación de cada elemento crítico de operaciones, funciones escenciales para el servicio continuo.

Política Data Sensible

o     Objetivo:Definir el nivel de protección a considerar para los datos identificados como “sensibles” para la institución.

o     Procedimientos asociados:Manejo de datos sensibles por cada área de operación de la institución.

o     Estándares asociados:Matriz de información sensible por área.

Política Capacitación

o     Objetivo:Definir los lineamientos generales para la inducción y capacitación de todos los funcionarios en las materias de seguridad de la información de su competencia.

o     Procedimientos asociados:Inducción, capacitación y difusión en materias de seguridad de la información.

o     Estándares asociados:Contenidos de inducción, capacitación y difusión; estándar de software utilizado.

Política RRHH

o     Objetivo:Definir los lineamientos para la contratación, manejo en operaciones y desvinculación de los funcionarios.

o     Procedimientos asociados:Verificación de antecedentes, contratación, roles y responsabilidades al interior de la institución, desvinculación.

o     Estándares asociados:Antecedentes, software y aplicaciones para el manejo del control de acceso físico y lógico.

Política Prevención de Código Malicioso

o     Objetivo:Definición de los lineamientos generales para los sistemas de contención de códigos maliciosos, y la protección tanto de la red como de Servidores y estaciones de trabajo individuales, sean éstas locales, remotas o portátiles.

o     Procedimientos asociados:Control de cambios en plataforma, verificación de integridad de parámetros de configuración, respuesta a incidentes de seguridad.

o     Estándares asociados:Hardware/Software utilizado por la institución.

Política Clasificación y Manejo de Información

o     Objetivo:Definir las categorías de clasificación de la información, y las reglas de manejo, copiado, almacenamiento, autorización de acceso y derecho a saber de la información.

o     Procedimientos asociados:Procedimiento de manipulación de información clasificada, clasificación/desclasificación.

o     Estándares asociados:Matriz de activos de información crítica, lineamientos legales de cumplimiento.

Política Instalación y Uso Legal del Software

o     Objetivo:Definir cómo se utilizarán los productos de software oficialmente autorizados y debidamente licenciados para su uso.

o     Procedimientos asociados:Procedimiento de instalación y uso legal del software, chequeo periódico de licenciamiento.

o     Estándares asociados:Licenciamiento oficial de la institución, versiones de hardware y software en uso.

Política Seguridad Redes y Conexiones con Terceros

o     Objetivo:Definir dominios de seguridad, de habilitación y mantención de los mecanismos de control de acceso que se establezcan con terceros, contratistas, prestadores de servicio.

o     Procedimientos asociados:Instalación y conexión con terceros, solicitud de conectividad, procesos de monitoreo, auditoría de niveles de servicio.

o     Estándares asociados:Niveles de seguridad exigibles.

Política de Recuperación Ante Desastres

o     Objetivo:Definir el marco normativo para el Plan de Recuperación ante Desastres informáticos, formalmente escrito, divulgado, probado y actualizado, que contemple los principales procedimientos para la recuperación de los servicios críticos frente a desastres identificables.

o     Procedimientos asociados:Evaluación de riesgos, procedimientos específicos para la recuperación de la plataforma crítica, directrices para pruebas, planes para usuarios.

o     Estándares asociados:Definición de tiempos de recuperación ante desastres, procesos críticos, plataforma crítica.

Política para Servicios de Archivo e Impresión

o     Objetivo:Establecer los lineamientos para proteger los servicios habilitados en las estaciones de trabajo, Notebooks y servidores, haciendo uso del criterio de mínimo recurso.

o     Procedimientos asociados:Habilitación de servicios de archivo e impresión.

o     Estándares asociados:Definición de perfiles de acceso a datos y servicios de impresión.

Política de Encriptación de Información

o     Objetivo:Definir los lineamientos para el correcto uso de las técnicas criptográficas en la institución.

o     Procedimientos asociados:Incorporación de firma digital, certificados, módulos de encripción de hardware/software.

o     Estándares asociados:Algoritmos, hardware y software, cumplimiento legal.

Política de uso de VPN

o     Objetivo:Regular la utilización de canales encriptados (VPN) para la conexión de redes externas a servicios internos de la institución.

o     Procedimientos asociados:Creación, administración y monitoreo de VPN.

o     Estándares asociados:Algoritmos de encripción utilizados, definición de horas y perfiles de uso.

Política del Comité de Seguridad

o     Objetivo:Definir el Comité de Seguridad de la Información como el organismo, al interior de la institución, responsable de la dirección en los temas relativos al tratamiento y cuidado de la información, definiendo sus roles y responsabilidades.

o     Procedimientos asociados:Sesiones de comités, operación ante contingencias.

o     Estándares asociados:Estructura orgánica del comité, resoluciones de nombramiento

Política de Protección a Ejecutivos

o     Objetivo:Definir los lineamientos para la protección de la información relevante para la institución que es procesada y/o custodiada por los Directivos quienes asumen la responsabilidad por el adecuado manejo de esa información.

o     Procedimientos asociados:Configuración de hardware/software, manejo de perfilamiento, autorización de entrada/salida, encriptación de datos.

o     Estándares asociados:Definición de estaciones de trabajo para ejecutivos, perfiles, políticas de acceso.

Política de Continuidad del Negocio

o     Objetivo: Definir el marco normativo para el Plan de Continuidad del Negocio, formalmente escrito, divulgado, probado y actualizado, que contemple los principales procedimientos para la recuperación de los procesos críticos frente a desastres identificables.

o     Procedimientos asociados: Evaluación de riesgos de proceso, procedimientos específicos para la recuperación de los procesos definidos como críticos, directrices para pruebas, planes operacionales para usuarios, operación de comités de seguridad en contingencia.

o     Estándares asociados: Definición de tiempos de recuperación ante desastres, procesos críticos, análisis de impacto en el negocio.

Política de Escritorios y Pizarras Limpias

o     Objetivo:Definir el nivel de protección de cualquier tipo de información, en cualquiera de sus formas y que pueden estar contenidas en escritorios, estaciones de trabajo, computadores portátiles, medios ópticos, medios magnéticos, documentos en papel y en general cualquier tipo de información que es utilizada por funcionarios y directores, para apoyar la realización de sus actividades laborales en la institución.

o     Procedimientos asociados:Manejo de información confidencial en escritorios y en pizarras.

o     Estándares asociados:Equipamiento e inventario de seguridad física.

Política de seguridad acceso inalámbrico

o     Objetivo:Definir los lineamientos para la implementación de servicios de redes inalámbricas al interior de la institución.

o     Procedimientos asociados:Creación de redes inalámbricas, definición de niveles de acceso.

o     Estándares asociados:Seguridad inalámbrica, autenticación, autorización, identificación de redes confiables.

 

Exclusiones al servicio

El servicio no considera:

-        Implementación de controles de seguridad IT especificadas en los análisis de brechas, ya que dichas actividades son de responsabilidad exclusiva del área que tenga a cargo la infraestructura analizada (ejemplo: Centros de Datos, Correo Electrónico, Firewalls, etc).

-        Responsabilidad en los tiempos de implementación de los controles definidos en el proceso de implementación del SGSI, sólo se controlará su eficacia.

-        Realizar el proceso de certificación en la norma ISO 27000