Medidas de seguridad en la protección de datos.



Las medidas de seguridad, establecidas se dividen en tres niveles, en función de la sensibilidad de los datos contenidos. Así, establece:
• Cuando se tratan datos de salud, ideología política o religiosa, el nivel de seguridad será el alto, debiendo tomar especiales precauciones.
• Cuando se traten datos relativos a la comisión de servicios financieros, hacienda pública o cuando de los datos de carácter personal que contenga el fichero pueda obtenerse una evaluación de la personalidad del individuo, el nivel de seguridad será el medio.
• Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como de nivel básico.
Las medidas de seguridad a implementar, principalmente, de carácter técnico y organizativo son las siguientes:
a) Control de Acceso: Persigue que sólo pueda acceder a la ubicación física de la información las personas expresamente autorizadas.
b) Procedimiento de asignación y cambio de contraseñas (identificación y autenticación): Al estar la información albergada en equipos informáticos o redes informáticas, es necesario que las personas que accedan a estos equipos estén autorizados e identificados por unas contraseñas de acceso de uso personal, que deberán ser modificadas y cambiadas cada cierto tiempo.
c) Funciones y obligaciones del personal que accede al Fichero. Se persigue que solo las personas autorizadas accedan a los datos de conformidad con sus funciones y obligaciones, debiendo recogerse estos privilegios de acceso en un Documento escrito, y que se establezca un Responsable de Seguridad que vele por el cumplimiento de las medidas de seguridad.
d) Procedimiento de respaldo y recuperación de los datos (Copias de Seguridad). Frente a las posibles amenazas de un virus informático, pérdida y/o borrado accidental de la información tratada y almacenada en equipos o redes informáticas, debe establecerse un procedimiento que asegure el funcionamiento de la empresa a través de una copia de seguridad de la información almacenada.
REFERENCIA:
Medidas de Seguridad
No hay comentarios:

Ámbito de análisis del Riesgo


La seguridad informática requiere de la participación de todos los niveles de la organización y es una responsabilidad compartida. El análisis de riesgo es un proceso cíclico y continuo que involucra al área de tecnologías de la información y a la administración. Se aplica tanto a los activos críticos como a nivel organizacional hasta alcanzar el nivel de seguridad adecuado.
Dentro de los objetivos que se deben plantear al momento de realizar el análisis del riesgo de la información se puede hacer mención a los siguientes objetivos fundamentales, entre ellos están:
• Identificar, evaluar y manejar los riesgos de seguridad.
• Estimar la exposición de un recurso a una amenaza
determinada.
• Determinar cual combinación de medidas de seguridad
proporcionará un nivel de seguridad razonable a un
costo aceptable.
• Tomar mejores decisiones en seguridad informática.
• Enfocar recursos y esfuerzos en la protección de los
activos.
Los beneficios que se esperan una vez que se logren dichos objetivos, estarán relacionados directamente con:
• Costos de seguridad justificados.
• Análisis desde el interior (self-analysis).
• Permite que la seguridad se convierta en parte de la cultura de la organización.
• Apoya la comunicación y facilita la toma de decisiones.
• Certeza económica/financiera.
• Permite determinar las necesidades de acción correctivas.
• Incrementa la conciencia de seguridad en todos los niveles.
• Brinda criterios para el diseño y evaluación de planes de contingencia.
• Los resultados del Análisis de Riesgos proveen información que facilita y justifica la toma de decisiones en relación a la seguridad informática.

REFERENCIA:
Ámbitos de Análisis del Riesgo
No hay comentarios:

Administración de Riesgos de Seguridad


El principal reto de los departamentos de TI es asegurar, procesar y administrar de manera efectiva la información que se provee a los procesos de negocio de la compañía, siendo ésta el activo más importante de cualquier organización. Debe, por tanto, asegurarse su protección ante una amplia gama de amenazas, garantizando que la información sea Confidencial, Íntegra y Disponible
El punto de partida para un sistema de seguridad informática es la realización del diagnóstico de la situación actual, para luego poder proyectar las soluciones necesarias a cada caso.
El análisis de riesgo implica cubrir los siguientes elementos:
• Declaración de propósito y alcance.
• Un análisis de los activos que son de valor.
• Un análisis de amenazas cuya ocurrencia puede
producir pérdidas.
• Un análisis de vulnerabilidades en los controles de
seguridad y en los sistemas.
• Un análisis de los riesgos que mide posibles pérdidas para la organización.
• Un análisis de las medidas de seguridad que actuarían como una protección.
Para complementar este análisis del riesgo, se han definido cuatro fases en el proceso que permiten desarrollar y tener un análisis eficaz de los mismos, dentro de estas fases están:
1. Evaluación del riesgo: identificar y asignar prioridades a los riesgos para la empresa.
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control según un proceso definido de análisis de costo-beneficio.
3. Implementación de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa.
4. Medición de la efectividad del programa: analizar la efectividad del proceso de administración de riesgos y comprobar que los controles proporcionan el nivel de protección previsto.

REFERENCIA:
Administración de Riesgos de Seguridad
No hay comentarios:

Politicas de Seguridad de la Información


Las políticas de seguridad de la información tienen como objetivo proporcionar directrices que soporten y orienten el proceso de seguridad de la información en la organización. Para ello debe existir un documento con las políticas de seguridad de la información que debe:

• Expresar el enfoque de la organización para manejar y controlar la seguridad de la información que posee.

• Dicho documento debe ser aprobado por la gerencia de la organización y debe asegurarse su comunicación a todos los empleados de la organización.

• Este documento debe incluir las reglas , normas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de daño sobre: 1) Los sistemas de soporte general y los elementos físicos asociados con estos (computadores, dispositivos de interconexión, edificación, impresoras, discos, cables, entre otros). 2) El software y la información almacenada en tales sistemas y 3) Los usuarios del sistema.

Por tanto se debe hacer una revisión y evaluación periódica de las políticas, para asegurar su adecuación a las expectativas en cuanto se refiere a seguridad de la información en la organización.

Dentro de esta política de revisión y evaluación periódica, esta como pieza principal, asignar un responsable quien se encargue del mantenimiento y revisión de acuerdo a un proceso predefinido que debe:

• Ejecutarse periódicamente para evaluar la efectividad en cuanto a: a) la naturaleza, cantidad e impacto de los incidentes reportados y b) el costo e impacto de los controles sobre la efectividad del negocio.

• Ejecutarse cada vez que ocurra un evento que afecte la seguridad de la información, nuevas vulnerabilidades, cambios en la infraestructura técnica u organizacional y ocurrencia de un incidente de seguridad significativo.

He aquí la importancia de la ISO/IEC 17799, donde podemos ampliar lo relativo a dichas políticas de seguridad.

Código para la práctica dela gestión de la seguridad de la información
No hay comentarios:

Gestión de la Seguridad de la Información


La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades de negocio.

En el futuro cercano venidero, las empresas, debido a la importancia y valor que tiene la información, deberán de reorganizar sus departamento de TI teniendo personas totalmente dedicadas a los aspectos de soporte, desarrollo de red y programas así como por otro lado a personas totalmente dedicadas a los aspectos de seguridad que garanticen la protección de la información.

Entre las principales razones para realizar dichos cambios se encuentran:
• La gran cantidad de personas y empresas dedicadas a violar los sistemas para conseguir las informaciones de las empresas y hacer negocio con estas.
• La vulnerabilidad que traen consigo muchos programas desarrollados inclusive por empresas tales como Microsoft y las mismas son descubiertas por los programadores y los piratas informáticos para poder acceder a los sistemas y obtener la información. Un método comúnmente utilizado por ejemplo es el habilitar un virus troyano anexado a una foto o página web que regularmente accedemos y que abre un puerto del computador permitiéndole al interesado entrar en la red de la empresa y realizar lo que desee.
• La necesidad que tiene la empresa en dedicarse estratégicamente en los aspectos que la ponen en riesgo ante las demás empresas.
• El poder tener un departamento de TI que pueda laborar más eficientemente.
• Mantener una buena reputación en la red pública y ante las demás empresas.
• Garantizar las operaciones de la empresa.

Dentro de la información que sirve como referencia para, tener mas datos relacionados este punto podemos ver:
Gestión de la Seguridad para las Empresas
Gestión de Seguridad
No hay comentarios:
Suscribirse a: Entradas (Atom)