Metodología Para La Elaboración Del Plan De Seguridad
Informática
Introducción
El objetivo
del presente documento
es establecer una
metodología para la
Elaboración del
plan de seguridad
informática de una
entidad, mediante la
Descripción de los
controles de seguridad
que deben ser implementados, de
Forma que permita la
interpretación clara y precisa de las políticas, medidas y
Procedimientos que
se definan en la misma,
con el objetivo
de alcanzar
Niveles aceptables de
seguridad.
Documentos relacionados
Este documento es un
complemento de la metodología para el diseño de un
Sistema de seguridad informática elaborado por la dirección de protección
Del ministerio del interior,
que profundiza en los aspectos que preceden a la
Confección del plan de
seguridad informática.
Aproximación básica
Un sistema
de seguridad informática
es un conjunto
de medios
Administrativos, medios
técnicos y personal que de manera
interrelacionada
Garantizan niveles
de seguridad informática
en correspondencia con la
Importancia de los bienes a
proteger y los riesgos estimados.
El plan
de seguridad informática es la expresión
gráfica del sistema
de
Seguridad informática
diseñado y constituye
el documento básico
que
Establece los principios organizativos
y funcionales de la actividad
de
Seguridad informática en una entidad y recoge claramente las políticas de
Seguridad y
las responsabilidades de
cada uno de
los participantes en el
Proceso informático,
así como las
medidas y procedimientos que
permitan
Prevenir, detectar y
responder a las amenazas que gravitan sobre el mismo.
Durante el
proceso de diseño
de un sistema de
seguridad informática se distinguen tres etapas:
Determinar las necesidades
de protección del sistema informático objeto de análisis, que incluye:
Caracterización del sistema
informático.
Identificación de las
amenazas y estimación de los riesgos.
Evaluación del estado actual
de la seguridad.
Definir e implementar el
sistema de seguridad que garantice minimizar los
Riesgos identificados en la
primera etapa.
Definir las políticas de
seguridad.
Definir las medidas y
procedimientos a implementar.
Evaluar el sistema de
seguridad diseñado.
El contenido de cada una de
estas etapas se describe en la “metodología para el diseño de un sistema de
seguridad informática” elaborada por el ministerio del interior.
Una vez cumplidas estas
etapas se elabora el plan de seguridad informática.
Para la elaboración del plan
de seguridad informática se tendrán en cuenta las consideraciones siguientes:
Serán confeccionados tantos
ejemplares como se determine en cada
lugar, numerando las páginas consecutivamente.
Se determinará su
clasificación, parcial o total, de acuerdo a la información que contenga,
en correspondencia con
las categorías que
expresa el decreto-ley no.
199 de 1999
sobre la seguridad
y protección de la
información oficial.
Contendrá las tablas y
gráficos que se consideren necesarios y contribuyan a su mejor interpretación.
Tendrán acceso a este
documento, o a parte de él, las personas que en cada área requieran de su
conocimiento.
Se mantendrá permanentemente actualizado sobre
la base de los cambios que se produzcan
en las condiciones
que se consideraron
durante su elaboración.
Al elaborar el plan se
deberá evitar repetir aspectos que ya han sido señalados anteriormente, en todo
caso se puede hacer referencia a ellos.
Alcance.
El alcance expresará
el radio de acción que abarca el plan, de acuerdo al
Sistema informático objeto
de protección, para el cual fueron determinados
Los riesgos
y diseñado el
sistema de seguridad.
La importancia de
dejar
Definido claramente el
alcance del plan (y de ahí su inclusión al comienzo del
Mismo) estriba en que
permite tener a priori una idea precisa de la extensión y
Los límites en que el mismo
tiene vigencia.
Caracterización del sistema
informático.
Se describirá el resultado
de la caracterización realizada al sistema informático
De la
entidad, con el
objetivo de determinar
qué se trata
de proteger,
Especificando sus
principales componentes y considerando entre otros:
Bienes informáticos, su
organización e importancia.
Redes instaladas,
estructura, tipo y plataformas que utilizan.
Aplicaciones en
explotación.
Servicios informáticos y de comunicaciones disponibles,
especificando si
Son en calidad de clientes o
servidores.
Características del
procesamiento, transmisión y
conservación de la
Información, teniendo en
cuenta el flujo interno y externo y los niveles de
Clasificación de la misma.
Otros datos de interés.
Al describirse
el sistema informático
se hará uso,
en los casos
que lo
Requieran, de
diferentes tipos de
esquemas, tablas, gráficos,
etc.; a fin de
Facilitar una
mejor comprensión. Estos
medios auxiliares pueden
ser
Insertados, lo mismo dentro
de esta propia sección que al final, como anexos a
Los cuales debe haber una
obligada referencia.
Resultados del análisis de
riesgos.
A partir de que el plan de
seguridad informática es la expresión gráfica del
Sistema de seguridad
informática diseñado y de que la esencia de ese diseño
Es la realización de un
análisis de riesgos, no se concibe seguir adelante en la
Elaboración del
plan sin dejar
claramente precisados cuales
fueron los
Resultados obtenidos
en el análisis
de riesgos realizado,
por lo que
en este
Acápite deberán
relacionarse las principales
conclusiones obtenidas en ese
Proceso, entre las cuales no
pueden faltar:
Cuáles son
los activos y
recursos más importantes para la gestión de la
Entidad y por lo tanto
requieren de una atención especial desde el punto de
Vista de la protección,
especificando aquellos considerados de importancia
Crítica por el peso que
tienen dentro del sistema.
Que amenazas actúan sobre
los activos y recursos a proteger y entre ellas
Cuales tienen
una mayor probabilidad
de materializarse (riesgo)
y su
Posible impacto sobre la
entidad.
Cuáles son los activos,
recursos y áreas con un mayor peso de riesgo y que
Amenazas lo motivan.
En la medida en que las
conclusiones del análisis de riesgos sean más precisas
Se logrará una visión más
acertada de hacia dónde pueden ser
dirigidos los
Mayores esfuerzos de
seguridad y por supuesto los recursos disponibles para
Ello, lográndose que la
misma sea más rentable.
Políticas de seguridad
informática
En esta sección se definen
los aspectos que conforman la estrategia a seguir
Por la entidad sobre la base
de sus características propias y en conformidad
Con la política vigente
en el país en esta materia
y el sistema de
seguridad
Diseñado, mediante
el establecimiento de las normas
generales que debe
Cumplir el
personal que participa
en el sistema
informático, las cuales
se
Derivan de los resultados
obtenidos en el análisis de riesgos y de las definidas
Por las
instancias superiores en las
leyes, reglamentos,
resoluciones y otros
Documentos rectores.
Al definir las
políticas de seguridad
informática se
Considerarán, entre otros,
los aspectos siguientes:
El empleo conveniente y
seguro de las tecnologías instaladas y cada uno de
Los servicios que éstas
pueden ofrecer.
El tratamiento
que requiere la
información oficial que
se procese,
Intercambie, reproduzca
o conserve a
través de las
tecnologías de
Información, según su
categoría.
La definición
de los privilegios
y derechos de
acceso a los
activos de
Información para
garantizar su protección
contra modificaciones no
Autorizadas, pérdidas o
revelación.
Los principios
que garanticen un
efectivo control de
acceso a las
Tecnologías, incluyendo
el acceso remoto, y a los
locales donde éstas se
Encuentren.
La salva y conservación de
la información.
La conexión a redes externas
a la entidad, en especial las de alcance global
Y la utilización de sus
servicios.
Los requerimientos de
seguridad informática a tener en cuenta durante el
Diseño o la adquisición de
nuevas tecnologías o proyectos de software.
H) la definición de los principios relacionados con el monitoreo del correo
Electrónico, la gestión de
las trazas de auditoría y el acceso a los ficheros
De usuario.
El mantenimiento, reparación y
traslado de las tecnologías
y el personal
Técnico que requiere acceso a las mismas por esos
motivos.
Las regulaciones con
relación a la certificación, instalación y empleo de los
Sistemas de protección
electromagnética.
Las regulaciones
relacionadas con la certificación, instalación y empleo de
Los sistemas criptográficos,
en los casos que se requiera.
Los principios generales
para el tratamiento de incidentes y violaciones de
Seguridad.
Sistema de seguridad
informática
En esta sección se describe
cómo se implementan, en las áreas a proteger, las
Políticas generales
que han sido
definidas para toda
la entidad, en
Correspondencia con
las necesidades de
protección en cada
una de ellas,
Atendiendo a sus
formas de ejecución,
periodicidad, personal participante
y
Medios.
Se sustenta sobre la base de
los recursos disponibles y, en dependencia de los
Niveles de
seguridad alcanzados se
elaborará un programa
de seguridad
Informática, que incluya las
acciones a realizar por etapas para lograr niveles
Superiores.
Se describirán
por separado los
controles de seguridad
implementados en
Correspondencia con su
naturaleza, de acuerdo al empleo que se haga de los
Medios humanos, de los
medios técnicos o de las medidas y procedimientos
Que debe cumplir el
personal.
Medios técnicos
de seguridad:
Se describirán
los medios técnicos
Utilizados en función de
garantizar niveles de seguridad adecuados, tanto
Al nivel de software como de
hardware, así como la configuración de los
Mismos. Para lo cual se
tendrá en cuenta
Sistemas operativos y nivel
de seguridad instalado,
Tipo de redes utilizadas y
topología de las mismas,
Conexiones a redes externas
a la entidad,
Servidores de uso interno y
externo,
Configuración de los
servicios,
Barreras de protección y su
arquitectura,
Empleo de firewall, de hosts
bastiones, sistemas proxy, etc.
Filtrado de paquetes,
Herramientas de
administración y monitoreo,
Habilitación de trazas y
subsistemas de auditoría,
Establecimiento de alarmas
del sistema,
Sistemas de protección
criptográfica,
Dispositivos de
identificación y autenticación de usuarios,
Protección contra programas
no deseados,
Software especial de seguridad,
Medios técnicos de detección
de intrusos,
Cerraduras de disqueteras,
Dispositivos de protección
contra robo de equipos y componentes,
Sistemas de aterramiento,
Protección electromagnética,
Fuentes de respaldo de
energía eléctrica,
Medios contra incendios,
Medios de climatización,
Otros.
No hay comentarios:
Publicar un comentario