II Programa de Alta Especializacin Implantacin de un sistema de Gestin de Seguridad de la Informacin: ptica ISO 27001:2005

Elaboracin de una Poltica de Seguridad de la Informacin, Objetivos de Seguridad e Indicadores

Docente: Alberto Alexander Servat

Presentado por: Ricaldi Arauzo, Reymer

Lima 2010

Introduccin

La poltica de seguridad proporciona la gua y apoyo de la alta direccin para la seguridad de la informacin en relacin a los requisitos del negocio y a las leyes y regulaciones relevantes. La Alta Direccin establece una poltica clara y en lnea con los objetivos del negocio y debe demostrar su apoyo y compromiso con la seguridad de la informacin mediante la publicacin y mantenimiento de una poltica de seguridad de la informacin para toda la organizacin. El presente trabajo desarrolla una Poltica de Seguridad de la Informacin para toda la organizacin en concordancia con el control Documento de poltica de seguridad de la informacin (5.1.1), objetivo ce control Poltica de seguridad de la informacin (5.1) del dominio Polticas de Seguridad (5) de la ISO 27002.

Contenido

Introduccin ................................................................................................................................................i Contenido ................................................................................................................................................... ii Elaboracin de una Poltica de Seguridad de Informacin, Objetivos de Seguridad e Indicadores ............................................................................................................................................... 1 Poltica de Seguridad de la Informacin: ...................................................................................... 1 1. 2. 3. 4. 5. 6. Finalidad .................................................................................................................................... 1 Alcance....................................................................................................................................... 1 Definicin de Trminos .......................................................................................................... 1 Objetivos: .................................................................................................................................. 1 Poltica ........................................................................................................................................ 2 Indicadores ............................................................................................................................... 2

ii

Elaboracin de una Poltica de Seguridad de Informacin, Objetivos de Seguridad e Indicadores

Poltica de Seguridad de la Informacin:
1. Finalidad Proteger los activos de informacin, asegurando la confidencialidad, disponibilidad e integridad de la informacin de la ENS, minimizando los riesgos y asegurando la continuidad del negocio. 2. Alcance Las polticas establecidas debern ser cumplidas por todo el personal de la ENS bajo cualquier modalidad de contrato, as como las personas o empresas que brindan servicios a la ENS que tengan acceso a la informacin en todo su ciclo de vida. 3. Definicin de Trminos
Activo.- Es todo elemento que contribuya a la captura, procesamiento, presentacin y almacenamiento de la informacin. Estos se dividen en: Clasificacin de informacin.- Es un proceso que permite asignar un nivel de proteccin adecuado a los activos de informacin, de acuerdo a su nivel de confidencialidad, integridad y disponibilidad. Confidencialidad .- Slo las personas autorizadas podrn tener acceso a la informacin clasificada, teniendo en cuenta los criterios que sobre el particular se establecen en las normas internas. Integridad .- Toda informacin que la ENS genera, procesa, resguarda y distribuye, deber contar con adecuados mecanismos de proteccin de la informacin para que no sea alterada voluntaria o involuntariamente de forma no autorizada. Disponibilidad .- La informacin necesaria para realizar las funciones de la ENS, deber estar disponible donde y cuando sea requerida por los usuarios autorizados de la informacin y deber ser confiable. Seguridad de la informacin.- Es un conjunto de polticas, procedimientos, mecanismos y estndares que permiten preservar la confidencialidad, integridad y disponibilidad de los activos de informacin.

4. Objetivos:
1

 Garantizar la continuidad de las actividades de la Superintendencia Nacional de Registros Pblicos. Reducir al mnimo el riesgo de daos mediante la prevencin de incidentes de seguridad. Reducir el impacto potencial de los incidentes de seguridad. Proteger los activos de informacin de la organizacin contra todas las amenazas internas, externas, deliberadas o accidentales.

5. Poltica
El Gerente General debe aprobar la poltica de seguridad de la informacin La poltica de seguridad garantiza que: La informacin estar protegida contra cualquier acceso no autorizado. La confidencialidad de la informacin ser garantizado. Integridad de la informacin se mantendr. Disponibilidad de informacin para los procesos de negocio se mantendr. Requisitos legales y reglamentarios se cumplen. Planes de continuidad de negocio sern desarrollados, mantenidos y probados. Formacin en seguridad de la informacin estarn disponibles para todos los empleados; Toda infraccin de seguridad de la informacin informacin real o supuesta se comunicar al Oficial de Seguridad de la Informacin quien investigar a fondo. Existen procedimientos para apoyar la poltica, incluidas las medidas de control de virus, las contraseas y los planes de continuidad. Los requisitos de negocio para la disponibilidad de informacin y de sistemas y se cumplirn. El Oficial de Seguridad de la Informacin es responsable de mantener la poltica y la prestacin de apoyo y asesoramiento durante la implementacin del Sistema de Seguridad de la Informacin (SGSI). Todos los gerentes son directamente responsables de la aplicacin de la poltica y asegurar el cumplimiento de personal en sus respectivas reas. El cumplimiento de la Poltica de Seguridad de la Informacin es obligatoria. En caso de incumplimientos, se sancionar a los responsables teniendo como referencia el Reglamento Interno de Trabajo, contratos y convenios firmados.

6. Indicadores
Meta TI Mtrica Nmero de incidentes con impacto al negocio. Nmero de sistemas que o cumplen con los requerimientos de seguridad. Tiempo para otorgar, cambiar o eliminar privilegios de acceso.

Procesos

Actividades

Nmero y tipo de violaciones de acceso reales y sospechadas. Nmero de violaciones en la segregacin de funciones. Porcentaje de usuarios que no cumplen con los estndares de contraseas. Nmero y tipo de cdigo maliciosos prevenido. Frecuencia y revisin del tipo de eventos de seguridad a ser monitoreados Nmero y tipo de cuentas obsoletas. Nmero de direcciones IP no autorizadas, puertos y tipos de trfico denegados. Porcentaje de llaves criptogrficas comprometidas y revocadas. Nmero de derechos de acceso autorizados, revocados, restaurados o cambiados.