Plan de seguridad informática

Nota:

• * Otorgar (retirar) el acceso de personas a las tecnologías de información.  * Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios. * Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)Definir perfiles de trabajo. * Autorización y control de la entrada/salida de las tecnologías de información. * Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc. * Realización de copias de respaldo, según el régimen de trabajo de las áreas, de forma que las copias se mantengan actualizadas, y las acciones que se adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la disponibilidad de la información según su nivel de confidencialidad. * Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación. * Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal.

1. Áreas

   Nota:

   • Áreas con tecnologías instaladas: Se precisarán, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informática, las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectación de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos específicos que se apliquen en cada una.  (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos técnicos de detección de intrusos, etc.) Área de Tecnología de la Información: Se especificarán las medidas y procedimientos de empleo de medios técnicos de protección física directamente aplicados a las tecnologías de información.Posición de las tecnologías de información destinadas al procesamiento de información con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la información a distancia, minimice la posibilidad de captación de las emisiones electromagnéticas y garantice un mejor cuidado y conservación de las mismas.Medidas y procedimientos para garantizar el control de las tecnologías de información existentes, durante su explotación, conservación, mantenimiento y traslado.
2. Medios

   Nota:

   • Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo. Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:De protección física:

Nota:

• El Plan de seguridad debe ser un proyecto que desarrolle los objetivos de seguridad a largo plazo de la organización, siguiendo el ciclo de vida completo desde la definición hasta la implementación y revisión. La forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una política de seguridad que defina el qué se quiere hacer en materia de seguridad en la organización para a partir de ella decidir mediante un adecuado plan de implementación el CÓMO se alcanzarán en la práctica los objetivos fijados. A partir de la Política de Seguridad se podrá definir el Plan de Seguridad, que es muy dependiente de las decisiones tomadas en ella, en el que se contemplará: el estudio de soluciones, la selección de herramientas, la asignación de recursos y el estudio de viabilidad. La Política de Seguridad y el Plan de Seguridad (y la implantación propiamente dicha) están íntimamente relacionados:La Política de Seguridad define el Plan de Seguridad ya que la implementación debe ser un fiel reflejo de los procedimientos y normas establecidos en la política. El Plan de Seguridad debe estar revisado para adaptarse a las nuevas necesidades del entorno, los servicios que vayan apareciendo y a las aportaciones que usuarios, administradores, vayan proponiendo en función de su experiencia. La revisión es esencial para evitar la obsolescencia de la política debido al propio crecimiento y evolución de la organización. Los plazos de revisión deben estar fijados y permitir además revisiones extraordinarias en función de determinados eventos (por ejemplo, incidentes). El Plan de Seguridad debe ser auditado para asegurar la adecuación con las normas. El Plan de Seguridad debe realimentar a la Política de Seguridad. La experiencia, los problemas de implantación, las limitaciones y los avances tecnológicos permitirán que la política pueda adecuarse a la realidad, evitando la inoperancia por ser demasiado utópica y la mejora cuando el progreso lo permita.