Guía de Seguridad Informática

CONTENIDO

INTRODUCCION

Segregación de Responsabilidades
Incidentes de Seguridad y Procedimiento Disciplinario
Gestión Externa de Servicios (Outsourcing)
La Seguridad informática como Imperativo Legal

1. POLITICAS Y ORGANIZACION DE SEGURIDAD
   

   1.1 Análisis de Riesgos

   1.1.1 Sus Componentes

   1.1.2 La Realización del Análisis

   1.2 Políticas de Seguridad

   1.2.1 Normas de Seguridad Informática

   1.2.2 Procedimientos de Seguridad Informática

   1.2.3 La Calidad en la Seguridad

   1.3 Organización en la Empresa

   1.3.1 Consideraciones Organizativas

   1.3.2 Factores Críticos de Exito

   1.4 Infraestructura de Seguridad Informática

   1.4.1 En la Dirección de la Empresa

   1.4.2 En la Función de Sistemas de Información

   1.4.3 En las restantes Funciones de Empresa

   1.4.4 Soporte de Especialistas en Seguridad Informática

   1.5 Actores y sus Responsabilidades

   1.5.1 Propietario

   1.5.2 Depositario

   1.5.3 Usuario

2. CLASIFICACION DE ACTIVOS DE INFORMACION

   2.1 Niveles de Clasificación

   2.2 Marcado de Clasificación

   2.3 Protección de la Información Clasificada

   2.3.1 Protección de la Información Impresa

   2.3.2 Divulgación de Información Clasificada

   2.3.3 Transporte de Información Clasificada

   2.3.4 Destrucción de Información Clasificada

3. PROTECCION FISICA

   3.1 Características de Construcción

   3.2 Distribución de las Areas

   3.2.1 Areas de Acceso Limitado (AAL)

   3.2.2 Areas de Acceso Restringido (AAR)

   3.2.3 Valoración de las Areas

   3.3 Medios de Protección

   3.3.1 Sistemas de Control de Accesos

   3.3.2 Sistemas de Detección

   3.3.3 Sistemas de Extinción de Incendios

   3.4 Suministros Auxiliares

   3.4.1 Energía Eléctrica

   3.4.2 Acondicionamineto de Aire

   3.5 Emergencia y Evaluación

   3.6 Medios de Almacenamiento

   3.6.1 Protección Física

   3.6.2 Protección durante Traslados

   3.6.3 Inventario y Reconciliación

   3.7 Impresoras

4. PROTECCION LOGICA

   4.1 Indentificación de Usuarios

   4.1.1 Identificador de Usuario

   4.1.2 Identificador de Usuario Compartido

   4.1.3 Autorización de Usuario

   4.1.4 Eliminación de Usuario

   • Revisión de Vigencia
   • Usuarios Inactivos

   4.1.5 Revalidación Anual de Usuarios

   4.2 Autentificación de Usuarios

   4.2.1 Contraseñas (Passwords)

   • Restauración de Contraseñas

   4.2.2 Contraseñas de una Sola Vez

   4.3 Activos de Información del Sistema

   4.3.1 Control de Acceso Público

   4.3.2 Activos Sensibles del Sistema

   4.4 Activos de Información de Usuario

   4.4.1 Control de Acceso Público

   • Revisión Periodica

   4.4.2 Activos Sensibles de Usuario

   4.4.3 Protección en Desarrollo

   • Separación de los Sistemas de Desarrollo y Producción
   • Uso del Estado Supervisor (SVC)

   4.4.4 Protección de Terminales

   Revisión Periódica

   4.4.5 Cifrado o Criptografiado

   • Claves de Cifrado
   • Protección de Claves de Cifrado
   • Responsabilidades

   4.4.6 Virus informático y otros Códigos Dañinos

   • Protección en LAN y PC
   • Protección en Sistemas Corporativos

   4.5 Gestión de Autoridad de Sistema

   4.6 Gestión de Autoridad de Administración de Seguridad

   4.7 Registro de Intentos de Acceso

   4.7.1 Registros de Acceso al Sistema

   4.7.2 Registro de Acceso a Activos

   4.7.3 Registro de Actividades

   4.8 Informes de Violación de Acceso

   4.8.1 Acceso Inválidos al Sistema

   • Ataques Sistemáticos

   4.8.2 Accesos Inválidos a Activos

5. CONEXIONES EXTERNAS

   5.1 Responsabilidades

   5.1.1 Del Propietario de la Conexión

   5.1.2 Del Propietario del 'Gateway'

   5.1.3 Del Usuario

   5.2 Certificación de la Conexión

   5.2.1 Revisión Inicial

   5.2.2 Revisión Anual de Recertificación

   5.2.3 Suspensión de la Conexión

   5.2.4 El Equipo Revisor

   5.3 Autorización de Acceso

   • Conexión DESDE el Exterior
   • Conexión HACIA el Exterior
   • Interconexión de Redes y Sistemas

   5.4 Conexión a Redes Inseguras

   5.4.1 Riesgos en Redes Inseguras

   5.4.2 Medidad de Protección

   5.4.3 Sistemas Firewall (Cortafuegos)

   • Sistema de Filtro de Paquetes
   • Sistema de Servicio

   5.5 Transferencia de Activos

   5.5.1 Correo Electrónico (Electronic Mail)

   5.5.2 EDI (Electronic Data Interchange)

   • Seguridad y Protección de Activos EDI

   5.6 Registros Auditables

   5.7 Acuerdos con Terceros

   5.8 Glosario de Términos

6. RECUPERACION DE DESASTRES

   6.1 Identificaciones Previas

   6.1.1 Aplicaciones y Activos Criticos

   6.1.2 Sistemas Esenciales

   6.1.3 Centro Alternativo

   6.1.4 Revalidación Periódica

   6.2 Copias de Respaldo (Backups)

   6.2.1 Almacenamiento en el Centro Alternativo

   6.2.2 Almacenamiento en el propio Centro

   6.2.3 Respaldo Funcional Complementario

   6.3 Pruebas de Continuidad

   6.3.1 En el Centro Alternativo

   6.3.2 En el Propio Centro

   6.3.3 Recuperación del Centro Siniestrado

   6.4 Situación de Desastre

   6.4.1 Continuidad de Operaciones

7. PROGRAMAS PREPARATORIOS Y DE CONTROL

   7.1 Organización de Seguridad

   7.2 Formación de Empleados

   7.3a Pruebas de Integridad de Sistemas

   7.3b Inventario y Clasificación de Activos

   7.4 Diagnósticos de Seguridad

   7.5 Recuperación de Desastres

   7.6 Otras Actividades de Seguridad

   ANEXO1. EXTRACTO DE NORMATIVA LEGAL

   LORTAD

   Artículo 9. Seguridad de los Datos

   Artículo 27(.2). Prestación de servicios de tratamiento automatizado

   Artículo 43(.3h). Tipos de Infracciones

   Ley de Facturación Telemática

   Artículo 4(.2f)

   Artículo 5(.2d)

   Artículo 6(.1)

   Artículo 7(.b)

   Ley de Ordenación de las Telecomunicaciones

   Artículo 5(.4)

   Artículo 24

   Real Decreto 1382/85

   Dispongo

   Artículo 1. Ambito de Aplicación

   Artículo 2. Fundamento

   Artículo 3. Fuentes y Criterios reguladores

   Nuevo Código Penal

   Artículo 197

   Artículo 256

   Artículo 264(.2)

   Artículo 278

   Artículo 400