Please enable JavaScript.
Coggle requires JavaScript to display documents.
Políticas de Seguridad en Informática (PSI) - Coggle Diagram
Políticas de Seguridad
en Informática (PSI)
Elementos
Requerimientos
Mínimos
configuración de la
seguridad
de los sistemas
explicaciones
comprensibles
transmitir por qué
son importantes
otros recursos
o servicios
por qué deben tomarse
ciertas decisiones
Definición de violaciones
y de las consecuencias
del no cumplimiento
de la política
Alcance de
las políticas
Personal
Sistemas
Facilidades
Responsabilidades
de los usuarios
respecto a la
información
Responsabilidades
Recursos
Servicios
Objetivos y descripción
clara de los elementos
Metas de
elementos
y recursos
Estaciones de trabajo
Servidores
Dispositivos de
interconexión
Hub
Router
Switches
Terminales de
servidores
Software de aplicaciones
y de sistemas de redes
Cable de redes
Información en archivos
y bases de datos
Metodología
de generación
¿Qué recursos son los que se tratan de proteger?
¿De quiénes se deben proteger?
¿Cuan importante es el recurso a proteger?
¿Qué medidas se pueden ejecutar
para proteger los bienes de forma efectiva?
¿Cuáles son las probables amenazas?
Examinar
periódicamente
la red
Cambio de
Objetivos
Asegurar las
responsabilidades
Que cada involucrado
conozca su responsabilidad
niveles de
responsabilidad
resguardar su
contraseña
administradores
de redes
sistemas de
administración
facilitar los
instrumentos
Usuarios
Administradores
prohibición del uso de
equipos para uso personal
no descargar información
que no sea relacionada
no utilización de software
no autorizado
Responsabilidades y
uso de la red
¿Quién tendrá privilegios de administrador?
¿Quién está autorizado para conceder
acceso y aprobar el uso?
¿Cuáles son los derechos y
responsabilidades de los usuarios?
¿Cuál es el uso apropiado del recurso?
¿Cuáles son los derechos y responsabilidades
del administrador de sistemas versus
aquellas de un usuario?
¿Quién tiene permitido el uso de los recursos?
¿Qué se debe hacer con información sensible?
Autorizaciones para
el uso de los
recursos de red
Lista de usuario
grupos de
cuentas
administradores
Etc.
ingenieros
abogados
usuarios externos
Identificación del
uso apropiado
de un recurso
que tipo de uso
de la red es aceptable,
es restringido
Política de
uso aceptable
(PVA)
temas a ser
cubiertos
(Respoder NO)
¿Es permitido deteriorar el servicio?
¿Se permitirá a los usuarios modificar
archivos que no les pertenecen, aun
si ellos tuvieran permisos de escritura?
¿Es permitido descifrar password?
¿Podrán los usuarios
compartir sus cuentas?
¿Es permitido irrumpir en otra
cuenta que no sea la propia?
Declaración
licencias
derechos de software
debe ser clara
proveer los lineamientos
facultativos
usuarios externos
estudiantes
Etc.
desarrolladores de
software
Determinar quien autoriza
acceso y aprueba el uso
conceder acceso
a los servicios
tipo de acceso que
puede conceder
documentar las restricciones
de seguridad concedidas
Determinación de los
derechos y
responsabilidades
de los usuarios
temas
¿Es responsable el usuario de proveer
respaldo de su información o es
responsabilidad del administrador?
Repercusión para usuarios que
revelen información propietaria
¿Cuán frecuentemente los usuarios cambian
sus contraseñas y otros
requerimientos relacionados a ella?
Acciones legales o castigos
deben ser implementadas
¿Un usuario podrá revelar su contraseña
para acceder a una cuenta para
permitir a otros usuarios trabajar en un proyecto?
Declaración de la privacidad
de los correos electrónicos
Permitir o no a un usuario compartir su cuenta
Política concerniente a listas
de correos, grupos de discusión
Que constituye abuso en términos
de uso de los recursos de red y del
funcionamiento de la red
Política relacionada a la
falsificación de e-mail
Directrices concernientes al uso de recursos
de red como la restricción de
usuarios y el tipo de restricciones
La asociación de correos
electrónicos (EMA),
recomienda
privacidad que no limite
criterios
¿Compromete la política innecesariamente el
interés del trabajador, elempleador y a terceros?
¿Es la política factible como un asunto
práctico y probable de ser impuesta?
¿La política tratará apropiadamente con las diferentes formas de
comunicación y conservación de registro en una oficina?
¿La política ha sido anunciada en
acuerdo por todos los que les concierne?
¿La política cumple con la ley y
con los deberes de terceros?
protección de la privacidad
Responsabilidades de los
administradores de sistemas
El usuario
tiene el derecho de mantener su privacidad
Preguntas
¿El administrador de la red tendrá el derecho
de examinar el tráfico de la red o del servidor?
¿Que obligaciones tendrán los usuarios, administradores de sistemas y la organización para obtener acceso no autorizado a la información privada de otros individuos?
¿Puede el administrador del sistema monitorear o
leer los archivos del usuario por alguna razón?
administradores de sistemas
recogen información contenida en los directorios privados
de los usuarios para diagnosticar problemas de sistema
Manejo de información sensible
restringidos a pocos servidores
pocos administradores
Usuarios separados
Plan de acción al violar
la política de seguridad
tendencia de algunos
usuarios a violarlas
Implemantar procedimientos
de seguridad
el sistema queda
abierto a amenazas
Respuesta a la violación
de la política
Respuesta a la violación de las
políticas por usuarios internos
Un usuario local viola un sitio remoto
Un usuario local viola un sitio local
Estrategia de respuesta
Proteger y Proceder
Perseguir y Acusar