Que son las Políticas de Seguridad TI?

Las políticas de Seguridad de la Tecnología de la Información identifican las reglas y procedimientos para cada usuario que accede o usa los recursos tecnológicos de una organización. Una política de seguridad efectiva es un modelo de la cultura de la organización, en donde las reglas y los procedimientos son guiados por el acercamiento de los usuarios a la información y el trabajo, Que tanto valoran la información y la perspectiva a la tolerancia a fallos. Es por esta razón que no se pueden crear políticas que no vayan acorde en como los usuarios de la organización comparte la información entre ellos o al público.

Los objetivos de las políticas de Seguridad de la tecnología de la información es preservar la confidencialidad, la integridad y la disponibilidad de los sistemas y la información que usan los miembros de una organización. La confidencialidad implica la protección de los recursos, la integridad asegura que las modificaciones de los recursos son manejados por vías autorizadas y la disponibilidad es el estado donde los sistemas y la información están siempre disponibles.

Las políticas de Seguridad TI es un Documento que se va adaptando continuamente con la evolución de la organización y de los requerimientos de tecnología, es decir, deben seguir un proceso de actualización periódica de acuerdo a los cambios organizacionales, para mencionar algunos: aumento del personal, desarrollo de sistemas o servicios, cambios en la infraestructura de tecnología, entre otras.


Elementos

Las políticas de seguridad TI deben considerar algunos elementos.

  • Alcance de las políticas: Facilidades, sistemas y el los usuarios sobre el cual aplicara.
  • Objetivos de las Políticas y debe tener una descripción clara en su definición
  • Responsabilidades por cada servicio y recurso
  •  Requerimientos mínimos para la seguridad de los sistemas
  • Responsabilidades de los usuarios respecto a la información a la que tiene acceso
  • Definición de violaciones y sanciones en caso de no cumplir con las políticas.
Otro punto muy importante que las políticas de seguridad de la tecnología de la información deben ofrecer explicaciones detalladas y comprensibles sobre porque se están tomando esas decisiones y de la importancia de los recursos. Se debe establecer además la autoridad responsable de aplicar los correctivos y las sanciones de lugar

Parámetros.

Al  momento de crear las políticas de seguridad TI, es importante que se considere lo siguiente:


  • Efectuar un análisis de riesgos informáticos para adecuar las políticas a la situación actual de la organización
  • Es necesario reunirse con los dueños de los recursos o sistemas ya que son la principal fuente para establecer el alcance y definir las violaciones.
  • Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, informando los beneficios, riesgos y los elementos de seguridad
  • Es necesario identificar quien tiene la autoridad de tomar las decisiones en cada área ya que deben ser los más interesados en proteger los activos críticos de sus áreas.
  • Monitorear los procedimientos y operaciones de la organización, para que podamos ir actualizando las políticas.
  • Detallar de forma explícita el alcance de las políticas.
Ahora bien, todo esto no es tan fácil de implementar en una organización. Al momento de querer implementar las políticas de seguridad con la primera barrera que nos encontramos es con los encargados de áreas o altos ejecutivos que en la mayoría de los casos no están de acuerdo. El trabajo está en convencer a estas personas de la necesidad y los beneficios que se obtienen cuando se implementa buenas políticas de seguridad.

Para que la implementación de unas políticas de seguridad sean exitosas y aceptadas por todos es necesario es que procedamos a realizar una especie de estrategia de mercadeo para hacerles entender al personal las razones por la que se quieren implementar las políticas, los beneficios que podemos obtener y sobre todo involucrar a todo el personal. De igual manera estas políticas deberían ser integradas en las estrategias de la organización para que los altos ejecutivos reconozcan la importancia de estas y estén en las proyecciones de las organizaciones.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Que es la Seguridad de Información?

Imagen
Hoy inicio con una serie de publicaciones para que conozcan más a fondo de que se trata la seguridad de la información, Conceptos, ataques, recomendaciones y mucho más. La Seguridad de la información es el conjunto de medidas que toman las organizaciones para resguardar y proteger toda la información para asi mantener la confidencialidad, la disponibilidad y la integridad de la misma. Se puede definir también como la práctica de defender la información contra cualquier uso, divulgación, alteración, modificación, lectura, inspección, registro o destrucción independientemente de la forma que se obtenga. La información es poder y según las posibilidades que ofrece tener acceso a cierta información, esta se puede clasificar   en Critica, Valiosa y Sensible. Hay 2 factores importantes en la seguridad de la información que son: ·          Seguridad de la Tecnología de la Información : Conocido como Seguridad informática, son las medidas aplicadas a nivel de tecnología. Es
Leer más

Instalando ModSecurity en Linux CentOS y Apache

Imagen
En la actualidad la mayor parte de los ataques son dirigidos hacia las aplicaciones web, es por esta razón que las organizaciones necesitan todo lo que les puede ayudar para hacer que sus sistemas y aplicaciones sean más seguras. Los Firewalls de aplicaciones Web se implementan para agregar otra capa de seguridad a nuestras aplicaciones que aumentan la seguridad, detienen y previenen los ataques antes de que estos lleguen a la aplicación. En un  Post  anterior hablaba de lo que era ModSecurity, que es un Firewall de aplicaciones web que nos ayuda a proteger nuestras aplicaciones web de diversos ataques. Hoy vamos a ver como lo instalamos en un Sistema con Linux CentOS y Apache. La instalación es bien sencilla y trae reglas preconfiguradas que nos ayudarán aumentar la seguridad de nuestras aplicaciones web. Seguimos los siguientes pasos como root.
Leer más

Instalando Citrix XenServer 6.2, Paso a Paso.

Imagen
XenServer es una plataforma de virtualización de clase empresarial y probada para la nube que nos brinda todas las características necesarias para una implementación de un Datacenter virtualizado.  Soporta Varios Sistemas operativos, Almacenamiento Centralizado, Manejo MultiServidor Centralizado, entre otros. Recuerden que les hable que XenServer 6.2 paso a ser Fully Open Source y ahora podemos aprovechar funcionalidades que solo estaban disponible en la versión comercial. Vamos a ver ahora como podemos instalarlo, recuerden que el equipo debe contar con un procesador que soporte virtualización. Podemos instalarlo por 2 vías, Usando un CD booteable o una memoria USB. Descargamos la Imagen Aquí Una vez Descargado, procedemos a Quemar la imagen a un cd, o preparamos un USB Booteable. Para el USB Booteable pueden usar Universal-USB-Installer que lo pueden descargar desde Aquí y cuando vayan a elegir la versión de Linux, eligen la opción, Other Linux Distro, y sel
Leer más