viernes, 13 de noviembre de 2015

TEMA 2 : POLÍTICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD

Podríamos definir la política de seguridad como una declaración de intenciones de alto nivel que envuelve la seguridad de los sistemas informáticos. También proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran.

 El plan de seguridad es un conjunto de decisiones que definen acciones futuras así como los medios que se van a utilizar para conseguirlos y los procedimientos de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo una tarea determinada con los procedimientos de seguirdad se aplican e implantan las políticas de seguridad que han sido aprobadas por la organización.


Características deseables de las políticas de seguridad

  • Las políticas de seguridad deben de ser implementadas a traves de procedimientos y publicadas para que el personal las conozca ( Realmente muy necesario).
  • Definir claramente las responsabilidades.
  • Se deben cumplir con las exigencias del entorno legal.
  • Deben revisarse de forma periódica.
  • Se debe de aplicar el principio de defensa en profundidad.
  • Asignación de minimos privilegios.
  • Configuración robusta ante fallos.
  • Las políticas deben de estar adaptadas a las necesidades reales de la empresa.

Definición e implantación de las políticas de seguridad

A la hora de definir las políticas de seguridad es conveniente contemplar los siguientes aspectos:
  1. Alcance.
  2. Objetivos perseguidos y prioridades de seguridad.
  3. Compromiso de la dirección de la organización.
  4. Clasificación de la información.
  5. Analisis y gestión de riesgo.
  6. Elementos y agentes involucrados en la implantación de medidas de seguridad.
  7. Asignación de responsabilidades en los distintos niveles organizativos.
  8. Definición clara y precisa de los comportamientos exigidos y de los prohibidos.
  9. Identificación de medidas, normas y procediminetos de seguridad a implantar.
  10. Gestion de las relaciones conterceros.
  11. Gestion de incidencias.
  12. Planes de contingencias y continuidad.
  13. Cumplimiento de la legislación vigente.
  14. Definición de las posibles violaciones y de las consecuiencias derivadas del incumplimiento de las politicas de seguridad. 

Documento de políticas de seguridad

  • Título: políticas de seguridad.
  • Fechas de publicación.
  • Fechas de entrada en vigor.
  • Fecha prevista de revisión a renovación.
  • Ámbito de aplicación
  • Descripción detallada de los objetivos de seguridad.
  • Persona responsable de la revisión y aprobación.


Seguridad frente al personal
  • EMPLEADOS ( prevención de riesgos laborales ) Plan de contingencias 
  • Cuando se le da de alta a un empleado , tendrán que comunicárselo al DPTO. informático para que cree un informe de sus datos en la base de datos de sus empleados. 
  • Cuando se cambia de DPTO. a un empleado tendrán que comunicárselo al DPTO. informático para modificarlo en la base de datos, pasar un disco duro de su máquina a otra. 
  • Cuando se da de baja a un empleado primero habrá que comunicárselo al DPTO. informática para que le quite permisos innecesarios mientras se hace el procedimiento de baja.Le inabilita la cuenta .Cambiarle el DPTO para que no pueda hacer nada . 


Le darían un nuevo usuario sin permisos , para que tenga algo que hacer mientras dse da de alta la baja .
  • El primer dia que s incorpora ya tiene todo (lo hace recursos humanos , envía la notificaccion a los informáticos que le modifiquen los permisos con un loggin desde cero )( el informatico le tendrá que comunicar el loggin para el nuevo usuario y viceversa , cuando el empleado se halla logeado tendrá que comunicárselo al informatico ) 
  • Funciones , obligaciones y derechos de los usuarios . 
  • Funciones : lo que el usuario tiene que hacer . tarea encomendada asignada a su puesto . 
  • Obligaciones : Fichar antes de entrar todos los días . BACK up diego hacerlo alas 6 , su OBLIGACION es comprobar si se ha realizado correctamente . Alas 5 :55 tiene que mandar un mensaje a todos los usuarios de que todos los usuarios tiene que guardar todos los datos . 
  • Derechos de los usuarios : Privacidad ed los usuarios ( usuario y contraseña ) , ni el administrado s sepa la contraseña ?(+.+)? ( NO HAY PRIVACIDAD ).(@ = empresa)l. 



Seguridad frente al personal 

  • Hay que instruir a tus trabajadores . ( hay que instruir a Diego para poder hacer los back up(cinquenios= las horas de formación tras 5 años de trabajo ) ( para tus empleados hay que hablar de forma coloquial) tutorial. 
  • Dependiendo de su puesto de trabajo tendríamos que instruirles de una forma u otra ( como logearse para un noob , o para un entendido , le explicaras la intranet de la empresa = como a Dani en evotech(con los jefes , no // con una empresa importante , hay que tratarla como a personas importantes )) 
  • Física : Hardware y donde están situados en instalaciones . 
  • Lógica : virus o un software. 
  • Proveedores o clientes : lo que me obliga la ley ( protección de datos) aplicar un alta de empleado , un login.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)