Reto: análisis de las Políticas de Seguridad Informática de organizaciones reconocidas para identificar los componentes de seguridad de los estándares internacionales

Hola, siguiendo las recomendaciones y temas vistos hice las políticas de una empresa hipotética con el nombre Informática del Huila
Quedo atento a sus apreciaciones y feedback.

https://drive.google.com/open?id=1SBKEjohZQB9C_KrJdvJHvBWbdsDc3ET3

Hola que tal, bueno aquí les dejo mi pequeño modelo de políticas de seguridad de la información, según mis experiencias de trabajo en los ámbitos Estatales. Aclaro que solo es un pequeño modelo, no me sumergí por completo en el desarrollo del mismo y obviamente esta inconcluso.
Tomando en cuenta una institución gubernamental:

Políticas de seguridad de la información en una institución Estatal.

1 objetivo: el objetivo de las políticas de seguridad de la información es establecer bases, reglas y lineamientos técnicos y generales, para asegurar la información, minimizar los riesgos potenciales tales como, accesos no autorizados, divulgación no controlada, duplicación e interrupción intencional de la información, manipulación de la información con fines personales y riesgos no convencionales. Todo ello conforme a los reglamentos y estándares internacionales para el tratamiento y manipulación de la información, seguridad de la información. A su vez respetando y siguiendo las normas legales vigentes en el ámbito territorial de aplicación de la actividad principal de la institución o empresa.
Queda comprendida en este objetivo la parte tecnológica, el personal y la parte física de la institución.
2 alcance: Las políticas de seguridad de la información incluye a la totalidad del personal que presta servicio en la institución, siendo este en la modalidad interno o externo, dependencias descentralizadas, proveedores, personal tercerizado bajo contrato o acuerdos interinstitucionales, la totalidad de los escalafones y subescalafones que componen a la institución.
La totalidad de los sectores y personas que los componen, sin discriminación alguna de jerarquías, rangos o distinciones dentro o fuera de la institución.
Incluye los lineamientos para proteger la información y los recursos tecnológicos con la que se procesa y se almacena, así como la recuperación de la información mantenida a nivel de medios (cintas, discos, discos ópticos, entre otros) para responder a los requerimientos de los procesos de la institución, cumplimentar las normas legales vigentes y la colaboración con la autoridad Estatal que así lo solicite.
3 Obligaciones: Bajo clausulas específicas de contrato y/o acuerdos interinstitucionales, dentro de todo tipo de relación de trabajo con la institución, es un compromiso de todo el personal, conocer el Manual de Normas y Políticas de Seguridad de la información y es su deber cumplirlas y respetarlas para el desarrollo de cualquier actividad TIC, consultas internas o cuando las mismas se originen por agentes externos.
4 propósitos: El propósito que tiene el Manual de Normas y Políticas de Seguridad Informática es definir las normas y lineamientos a través del mismo, para que la gestión de proyectos, procesos, manipulación y toda actividad derivada de la misma naturaleza del ámbito de la información y actividades subsidiarias que pudieran tener relación directa e indirecta, se realice obedeciendo la directriz de seguridad y evitar que se creen vulnerabilidades que impacten el negocio y la correcta funcionalidad de la Entidad.
5 Marco Legal: Leyes, normas y decretos, internacionales, nacionales que conforman lo competente a la seguridad de la información y la seguridad física.
6 Advertencia: A todo el personal que conforma la estructura de la institución y fundamentalmente que posee acceso a los recursos de TIC, que se encuentre realizando o haya realizado actividades que vayan en contra del Manual de Normas y Políticas de Seguridad Informática, da lugar a que la Entidad realice las investigaciones disciplinarias pertinentes y reportar a los entes de control administrativos internos y del Estado cuando haya lugar.
7 definiciones: En este punto se definen las terminologías y lenguaje técnico propio de la actividad de la seguridad y de la seguridad de la información utilizados en este documento.
8 condiciones generales: establecer condiciones generales propiamente y condiciones subyacentes que se desprendan de la actividad de la seguridad de la información.
9 políticas: Establecer las políticas de seguridad de la información aplicando los conceptos y formulas de “desarrollo de políticas”.

Buenos días, comparto manual para Elaboración de la política general de seguridad y privacidad de la información, publicado por el Ministerio de Tecnologías de la Información y las Comunicaciones.

https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf

Servicio Colombiano Geológico Colombiano :
https://www2.sgc.gov.co/AtencionAlCiudadano/Paginas/politica-seguridad-de-la-informacion.aspx

Hola!
Este es mi proyecto, está inclompleto por falta de conocimiento pero supongo que mas adelante podría retomarlo.

Política de Seguridad informática de la Central eléctrica eólica Nacional

Objetivo:

Establecer una serie protocolos a seguir para evitar fugas de información, accesos no autorizados, interrupciones del servicio temporales o permanentes, así como facilitar la fluidez del funcionamiento normal de la organización.

Descripción:

·El equipo de seguridad informática de la organización sera instruido para utilizar de manera más eficiente las herramientas brindadas para afianzar la seguridad informática en la organización.

·Como mecánica para evitar fraudes se usará en toda la organización dispositivos Android con distintos tipos de herramientas como reconocimiento facial, de voz, de huella dactilar. Incluirá también una aplicación llamada “Control de Documentos” en la cuál se deberá fichar todo documento utilizado; dicho dispositivo tendrá una interfaz fácil de usar y adecuada al tipo de nivel de seguridad de cada usuario.

·Estaciones Seguras de Escaneo (E.S.E.):
Son terminales repartidos por toda la organización, en puntos importantes al acceso de todos.
Estas estaciones son dispositivos Arduino modificados para usarse solamente para analizar dispositivos externos.
Está prohibido alterar este terminal bajo ningún concepto; solamente el equipo de seguridad informática tiene permitido el acceso a modificar este terminal, siempre se hará para fortalecer la seguridad y mantener actualizado dicho dispositivo.
Para las actualizaciones del software de la E.S.E. Se harán de manera física , redactando un informe de seguridad y siempre se fichará una copia en la aplicación de “Control de Documentación”.

·Política de nuevos empleados:

El personal recién llegado a la empresa deberá recibir una copia de este documento, si desempeñase una función que implique un dispositivo informático, recibirá además un modelo de políticas de seguridad mas específicas a su cargo.

-Política de control de accesos:

Se creará un equipo para el control de las transacciones en la organización, básicamente filtrará y delimitará los accesos a los usuarios.
Equipo de Control:
Será un equipo responsable de supervisar cualquier tipo de transacción en la organización, como de documentos . Ejercerá de Firewall y deberá ser informado siempre antes de cada transacción para evitar actividades que pueden poner en peligro el funcionamiento normal de la organización.
Se hará uso de la aplicación Control de Documentos para la revisión y actualización de documentos.

Aplicación Control de Documentos
Se creará un sistema de Niveles de Seguridad que limitarán los accesos de cada usuario, de esta manera se evitará el acceso no permitido a usuarios con malas intenciones o por error. Serán 6 niveles:
1.Clientes o usuarios externos
2.Todos los usuarios de la organización
3.Usuarios que usan dispositivos informáticos en la organización
4.Jefes de Sector
5.Nivel reservado para los socios de la organización
6.Equipo de dirección

Además contará con 1 nivel extra reservado para el equipo de seguridad informática.
Todo documento que se manipule, con los accesos correspondiente, deberá ser actualizado en la aplicación.
Para acceder a la aplicación es necesario usuario, contraseña, Nº de terminal y código de usuario:
Usuario: Será el apellido seguido de las tres primeras iniciales del nombre.
Contraseña: Será una contraseña de dos factores, mediante el terminal utilizado y el teléfono suministrado por la organización.
Nº de terminal: Será suministrado por la organización.
Código de usuario: Será el identificador en todo momento, será único y deberá ser cuidado estrictamente. Será suministrado por el equipo de seguridad informática un Pendrive de solo lectura con una aplicación de cifrado de 256 bits que se llevará colgado al cuello en todo momento durante la estancia en el recinto.

Para fichar y/o actualizar documentos es necesario introducir el código de usuario.

-Política de uso aceptable de los activos:

·Para evitar actividades ilícitas, cualquier material o información perteneciente a la organización deberá usarse exclusivamente con el fin para el que se haya creado, siempre respetando los niveles de seguridad asignados y no se deberán usar dispositivos o material externo a la organización; en caso de que fuese necesario deberá ser informado el Equipo de Seguridad Informática y el supervisor correspondiente primero.

·Se extremará el cuidado con todos los dispositivos de almacenamiento siendo obligatorio un escaneo en la E.S.E. disponible en cada zona de la organización, antes de usarse.

-Política de manipulación correcta de la documentación:

·Todo uso de documentación deberá ser usada siempre en un entorno laboral y cada documento deberá ficharse en la Aplicación de “Control de Documentos” instalada en cada terminal usando la cámara como Scanner.
·Estará prohibido manipular cualquier tipo de documentación fuera de la infraestructura de la organización.
·El Equipo de Control deberá estar informado siempre de cualquier uso, copia, modificación o eliminación de documentos de la organización.

Aplicación de Control de Documentos:
Los dispositivos Android contarán con una aplicación llamada Control de Documentos que se encargará de mantener juntos, de forma segura y con acceso limitado según el nivel de seguridad, todos los documentos de la organización.
Esta aplicación es multiplataforma así que podrá ser usada también en ordenadores MAC o Windows.
Esta aplicación funciona con una base de datos alojada en nuestra estación NAS.
El Equipo de Control será el encargado de mantener actualizado esta aplicación.

Me gusto mucho la documentación de seguridad de la Universidad Uniacc de Chile. Me parece que uno de los errores que cometen las empresas con su política de seguridad, es hacerla muy extensa, desorganizada y para nada especifica. Es como los términos y condiciones. Termina siendo un archivo mega largo y confuso que nadie lee, lo cual es un gran problema.

Por eso me gusto la de la Universidad Uniacc, porque es clara en cada punto y bien organizada. Así debería ser la documentación de las empresas.

ENLACE DE LA ASAMBLEA NACIONAL DE PANAMÁ:

https://www.asamblea.gob.pa/sites/default/files/2018-07/MANUAL-DE-LA-UNIDAD-DE-SEGURIDAD-INFORMATICA.pdf

El link de las políticas de seguridad de Servicio Colombiano Geológico Colombiano y de Asamblea Nacional de Panamá no están funcionando.

Buena información, de hecho ya tengo un avance en las políticas de la empresa para la cual trabajo, tengo la política de seguridad de la información y política de tecnologías de la información.

El Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC de Colombia desarrolló un instrumento guía que ayuda a implementar y evaluar el nivel de madurez de un SGSI.

Acá dejo el enlace:
https://www.mintic.gov.co/gestionti/615/w3-article-5482.html?_noredirect=1

Aprendo que la política de seguridad puede ser publica, yo creía que esto debía ocultarse ante los ojos públicos y solo proporcionarse a los empleados.

Hola a todos, empece a desarrollar este boceto que podría ser las políticas de seguridad de mi empresa hipotética.

Seguridad informatica Empresarial
Empresa dedicada al desarrollo e implementación de politicas de seguridad para empresas
Nuestro objetivo es proveer a nuestros clientes modelos de seguridad, auditoría
y orientación para sus empresas.

Manual de normas y Politicas para la seguridad informatica

1. Objetivo
   Definir el diseño a implementar en nuestro sistema para aplicar todas las medidas
   de seguridad que involucren la parte tecnologíca, personal y fisica de la empresa
   Personal:
   El siguiente documento se encargara de asignar las funciones y reponsabilidad para
   para la formación y concienciaón del mismo.
   Tecnología:
   Propuesta de soluciones tecnicas de seguridad, politicas y procedimientos y planes
   de respuesta rapida ante eventos que comprometan nuestra información.

2. Usuarios
   Los usuarios como pilar fundamental de la empresa deberan cumplir con los lineamientos
   de seguridad establecidos, como obligación con la empresa y para el aseguramiento
   de la información que manejan deberan seguir los siguientes pasos.
   -Prohibido abrir correos de remitentes desconocidos, esto sera notificado al
   área de seguridad.
   -Las paginas visitadas deberán ser unicamente con fines laborales
   -Implementación de contraseña con al menos 8 caracteres que incluya mayusculas
   minisculas y números.
   -La contraseña es unica e intransferible
   -Si el equipo llega a ser comprometido debera ser desconectado de la red inmedi
   tamente.

Durante la inducción de nuevos usuarios tendra que cumplir con el cursos de seguridad
informatica que sera impartido por nuestro personal.

Cualquier usuario que incumpla con dichas politicas sera acreedor de una llamada
de atención.

1. Activos informaticos:
   Cada usuario tendra asignado un equipo de computo para cumplir sus actividades diarias
   este equipo sera su responsabilidad y tendra que apegarse a lo siguiente:
   -Prohibida la manipulación fisica de los equipos asignados
   -Los usuarios tendran prohibido implementar programas que no sean estrictamente
   para desarrollar sus actividades laborales. En caso de necesitar algún programa
   debera ser solicitado de manera escrita y con la justificación de su jefe directo
   y a consideración del área de sistemas.
   -En caso de que el equipo sea robado debera informar inmediatamente a su jefe directo
   y este a su vez notificar al área de sistemas para tomar las medidas necesarias.
   -Los equipos deberan contener cifrado de disco duro y bios como medida extra
   de seguridad

2. Seguridad de la información:
   Toda la información creada, tratada y almacenada en los equipos de la empresa es material
   exclusivo de la misma, queda prohibido realizar backups en dispositivos no autorizados.
   Como se menciono anteriormente no esta permitido utilizar el equipo para cosas personales.
   Las contraseñas deberan ser cambiadas como 40 días.

De hecho las politicas se parecen mucho siempre hya una mejora continua, en un trabajo que tuve siempre se empezada con:
Titulo
Objetivo
Alcance
Responsabilidades
Lineamientos
Formatos o registros de salida
Mejora Continua

/*
Adicional, son cursos de capacitación a los usuarios, a su vez son registros de que los usuarios entendieron y se ponen la camiseta
*/

Lo difícil no es empezar, si no que los usuarios estén convencidos de que las normas o reglas son necesarias para garantizar un buen funcionamiento de la operación.

Justamente en mi empleo actual según estamos en la 27000, pero por tener una mala gestión, se llega a malas practicas

muy completo todo, gracias

No es un aporte, solo queria comentar que yo estudio en la Universidad Laica Eloy Alfaro de Manabí ❤️

• estas organizaciones tienen bien estructurada su política sobre seguridad informática

He aquí mi ejercicio.

Aqui les comparto las politicas de seguridad de google donde tambien tienen videos.

No se tiene La politica de estas instituciones
Universidad Uniacc - Chile uniacc Política Uniacc
Instituto del Mar del Perú imarpe.gob Polìtica ImarPe

Asamblea Nacional de Panamá asamblea.gob Política Asamblea

En general, muy interesante la información abordada y llevada a cabo con una profundidad precisa.

Gracias por el aporte

muy buen trabajo de conjuntar las politicas de seguridad. Es muy notorio los enfoques que hacen cada uno da las ligas con respecto a sus actrivos y sus acciones.

En el link siguiente no veo nada:
https://docs.google.com/viewer?url=http%3A%2F%2Fwww.asamblea.gob.pa%2Ftranspasm%2FMANUAL-DE-LA-UNIDAD-DE-SEGURIDAD-INFORMATICA.pdf

gracias por la informacion

gracias por el aporte

Gracias por todas las herramientas y pondremos manos a la obra para aplicar todos y cada uno de los conceptos ! Saludos !

Estas son las políticas y lineamientos del Estado de México.

No entiendo el pq estos sitios divulgan su politica ??

https://www2.sgc.gov.co/AtencionAlCiudadano/Paginas/politica-seguridad-de-la-informacion.aspx
es el link que funciona del Servicio Colombiano Geológico Colombiano

Servicio Colombiano Geológico Colombiano:

Como conocedor de la norma ISO/IEC 27003… la política de gestión de riesgo, su formato de caracterización (proceso ISO 9001) les da una muy buena idea de como crear de una política de fácil entendimiento.

https://www2.sgc.gov.co/Nosotros/AcercaDelSgc/Documents/PDF POLITICAS/POLITICA-DE-RIESGOS-2016.pdf

Gracias

Es muy interesante como la universidad de UNIACC genero un documento donde detalla los procedimientos. La Universidad Nacional de Córdoba (UNC) elaboro un documento muy extenso donde se detallan prácticamente todas las áreas donde se deben controlar y como hacerlo.

Les adjunto el enlace donde podrán encontrar la política de seguridad de la información de la UNC.

https://www.cea.unc.edu.ar/psi/institucional/normativas/

a investigar…

Política de Seguridad del Instituto del mar Perú.
Politicas IMARPE

Pff, me acabo de dar cuenta que después de 25 años de servicio, aún no se si mi institución tiene, y si tiende donde están, Las políticas de seguridad informática… comenzaré a “revolver el gallinero”, jejejej