Seguridad y Privación de la información

Page 1

Modelo de Seguridad y Privacidad de la Informaciรณn 12 de Mayo de 2020


Temario

• Políticas de Seguridad y Privacidad de la Información • Procedimientos de Seguridad de la Información • Roles y Responsabilidades de Seguridad y Privacidad de la Información • Inventario de activos de información

• Integración del MSPI con el Sistema de Gestión documental


Antes de comenzar Diferencias SEGURIDAD INFORMÁTICA Se refiere a la protección de las estructuras de las tecnologías de la información y comunicación que soportan nuestros hogares o nuestras organizaciones. SEGURIDAD DE LA INFORMACIÓN Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.


Qué es MSPI?

El Modelo de Seguridad y Privacidad de la Información – MSPI, conduce a la preservación de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.


DESCRIPCIÓN DEL CICLO DE OPERACIÓN

Se contemplan cinco (5) fases que lo comprenden. Estas, contienen objetivos, metas y herramientas (guías) que permiten que la seguridad y privacidad de la información sea un sistema de gestión sostenible dentro de las entidades


DESCRIPCIÓN DEL CICLO DE OPERACIÓN


FASE DE DIAGNÓSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIÓN


FASE DE PLANIFICACIÓN


FASE DE IMPLEMENTACIÓN


FASE DE EVALUACIÓN DE DESEMPEÑO


FASE DE MEJORA CONTINUA


PolĂ­tica de seguridad y privacidad de la informaciĂłn


Política de seguridad y privacidad de la información Objetivos generales ➢ Minimizar el riesgo de los procesos misionales de la entidad ➢ Cumplir con los principios de seguridad de la información ➢ Cumplir con los principios de la función administrativa ➢ Mantener la confianza de los funcionarios, contratistas y terceros


Política de seguridad y privacidad de la información Objetivos generales ➢ Apoyar la innovación tecnológica

➢ Implementar el sistema de gestión de seguridad de la información ➢ Proteger los activos de información ➢ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información


Política de seguridad y privacidad de la información Objetivos generales ➢ Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la ENTIDAD ➢ Garantizar la continuidad del negocio frente a incidentes


Política de seguridad y privacidad de la información Alcance/Aplicabilidad Toda la entidad, sus funcionarios, contratistas y terceros de la ENTIDAD Nivel de cumplimiento Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política. 12 políticas de seguridad que soportan el SGSI de la ENTIDAD


Política de seguridad y privacidad de la información Fases de implementación 1. 2. 3. 4. 5. 6.

Desarrollo de las políticas Cumplimiento Comunicación Monitoreo Mantenimiento Retiro


Política de seguridad y privacidad de la información Recomendaciones para la redacción de una política ¿qué es lo que se desea hacer? ¿qué regula la política? ¿cuál es la directriz que deben seguir los funcionarios, contratistas y/o terceros? ¿a quién va dirigida? y ¿quién deben cumplir la política?

Todo esto alineado con la estrategia de la organización


Procedimientos de Seguridad de la Informaciรณn


Procedimientos de Seguridad de la Información

Los procedimientos, definen específicamente como las políticas, estándares, mejores prácticas y guías que serán implementadas en una situación dada. Los procedimientos son independientes de la tecnología o de los procesos y se refieren a las plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada con dicho proceso o sistema específico


Procedimientos de Seguridad de la Información Fases de implementación 1. Desarrollo de las políticas 2. Cumplimiento 3. Comunicación 4. Monitoreo 5. Mantenimiento 6. Retiro Responsable: El dueño del proceso o del sistema Los procedimientos seguirán las políticas de la entidad, los estándares, las mejores prácticas y las guías tan cerca como les sea posible


Procedimientos de Seguridad de la Información • Procedimiento de asignación de equipos y acceso a Sistemas de Información

Objetivo General Establecer las actividades necesarias para la asignación de equipos y creación de cuentas de acceso a los Sistemas de Información, así como también para la devolución de activos y cierre de las cuentas


Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)


Procedimientos de Seguridad de la Información • Procedimiento de desarrollo Sistemas de Información

y

actualización

de

Objetivo General Establecer las directrices para regular tanto la creación, como la implementación de cambios, con relación a Sistemas de Información que dependan del Departamento de Gestión de la Información (DGI)


Procedimientos de Seguridad de la Información • Alcance Este procedimiento considera los Sistemas de Información que están bajo la administración del DGI y es aplicable a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios y terceros que presten servicios • Responsabilidades (Se les pregunta a los espectadores de la conferencia)


Procedimientos de Seguridad de la Informaciรณn โ ข Procedimiento de Respaldos de la Informaciรณn Objetivo General Establecer las directrices de respaldo y recuperaciรณn de informaciรณn, con objeto de proteger los datos y sistemas necesarios para la continuidad operacional de la instituciรณn


Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)


Procedimientos de Seguridad de la Información • Procedimiento de Seguridad de Redes Objetivo General Establecer directrices para el control de acceso a las redes, así como la protección contra servicios conectados no autorizados


Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)


Procedimientos de Seguridad de la Informaciรณn โ ข Procedimiento de gestiรณn de Incidentes, Amenazas y Debilidades de Seguridad

Objetivo General Establecer las directrices ante la ocurrencia de incidentes o la detecciรณn de amenazas y/o debilidades que pudiesen comprometer la seguridad de los activos de informaciรณn de la instituciรณn


Procedimientos de Seguridad de la Información • Alcance El presente procedimiento aplica a todos los incidentes, amenazas y debilidades asociados a la seguridad informática y de información electrónica. No aplica a errores de funcionalidad de sistemas de información o aplicaciones de uso común, a menos que afecten directamente a la seguridad de dichos sistemas • Responsabilidades (Se les pregunta a los espectadores de la conferencia)


Roles y Responsabilidades de Seguridad y Privacidad de la Informaciรณn


Roles y Responsabilidades de Seguridad y Privacidad de la Información Responsabilidades Velar por el cumplimiento de este procedimiento y de los tres principios básicos de la Seguridad de la Información, de la siguiente forma: Integridad: tomar resguardos e implementar herramientas para que la información se mantenga completa, actualizada y veraz, sin modificaciones inapropiadas o corruptas Confidencialidad: tomar resguardos e implementar herramientas para que la información esté protegida de personas/usuarios no autorizados Disponibilidad: tomar resguardos e implementar herramientas para que todos los usuarios autorizados puedan acceder a los Sistemas de Información cuando lo requieran, con objeto de desempeñar sus funciones •


Inventario de activos de informaciรณn


Inventario de activos de información

Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”


Procedimientos de Seguridad de la Información Se puede considerar información a:

como

un

activo

de

★ Los datos creados o utilizados por un proceso de la organización en medio digital, en papel o en otros medios ★ El hardware y el software utilizado para el procesamiento, transporte o almacenamiento de información ★ Los servicios utilizados para la transmisión, recepción y control de la información


Procedimientos de Seguridad de la Información ★ Las herramientas o utilidades para el desarrollo y soporte de los sistemas de información ★ Personas que manejen datos, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de información crítica, know how).


Procedimientos de Seguridad de la Información Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves: 1. Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización 2. Propiedad de los Activos: Todos los activos de información deben ser “propiedad” de una parte designada de la Organización. En este sentido el propietario del activo definirá y garantizará los controles para la adecuada protección del activo


Procedimientos de Seguridad de la Información Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves: 3. Directrices de Clasificación de Activos: La información debe clasificarse en términos de su valor, de los requisitos legales, de su sensibilidad y la importancia para la organización. 4. Tratamiento de Activos: A la información debe dársele un manejo adecuado. Se debe establecer con base en las mejores prácticas de seguridad, que controles mínimo deben ser aplicados a los activos para su adecuado manejo, dependiendo del nivel de clasificación en el cual hayan sido catalogados.


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.