SEGURIDAD DE LA

INFORMACION
Polticas de seguridad

Yessica Gmez G.

Porqu hablar de la Seguridad

de la Informacin?
Porque el negocio se sustenta a partir de la

informacin que maneja.....

Estrategia de
negocio

Funciones y procesos de
negocio

ACTIVIDADES DE LA EMPRESA
Diseo y ejecucin de
acciones para conseguir
objetivo

Planificacin de
Objetivos

Control (de resultados de

acciones contra objetivos)

Sistemas de
Informacin

Registro de
transacciones

Entorno

Transacciones

ORGANIZACION

 Porque no slo es un tema Tecnolgico.

Porque la institucin no cuenta con

Polticas de Seguridad de la Informacin

formalmente aceptadas y conocidas por
todos.

CULTURA de la seguridad ,
responsabilidad de TODOS

ACTITUD proactiva,
Investigacin permanente

 Porque la seguridad tiene un costo, pero la

INSEGURIDAD tiene un costo mayor.

Ninguna medicina es til a menos que
el paciente la tome

Entonces, por donde partir?........

Reconocer los activos de

informacin importantes para la
Informacin propiamente tal : bases de datos,
institucin..
archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas,

pagars, solicitudes de crditos.

Software: aplicaciones, sistemas operativos,
utilitarios.
Fsicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantencin.

Reconocer las Amenazas a que

estn expuestos...
Amenaza: evento con el potencial de afectar

negativamente la Confidencialidad, Integridad o

Disponibilidad de los Activos de Informacin.
Ejemplos:

Desastres naturales (terremotos, inundaciones)

Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo

Reconocer las Vulnerabilidades

Vulnerabilidad: una debilidad que facilita

la materializacin de una amenaza

Ejemplos:
Inexistencia de procedimientos de trabajo
Concentracin de funciones en una sola
persona
Infraestructura insuficiente

Identificacin de Riesgos
Riesgo: La posibilidad de que una

amenaza en particular explote una

vulnerabilidad y afecte un activo
Que debe analizarse?
El impacto (leve ,moderado,grave)
La probabilidad (baja, media, alta)

Contexto general de seguridad

valoran

Propietarios

Quieren minimizar

definen

Salvaguardas
Pueden tener
conciencia de

Amenaza
s

Que pueden
tener

explotan

RECURSOS

Reducen

Vulnerabili
dades

RIESGO
RIESGO

Permiten o
facilitan

Dao

Principales problemas:
No se entienden o no se cuantifican las amenazas

de seguridad y las vulnerabilidades.

No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el anlisis con una nocin preconcebida
de que el costo de los controles ser excesivo o
que la seguridad tecnolgica no existe.
Se cree que la solucin de seguridad interferir
con el rendimiento o apariencia del producto o
servicio del negocio.

Estndares de Seguridad
Normas Internacionales de seguridad
Proporcionan un conjunto de buenas prcticas en gestin
de seguridad de la informacin:
Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777 la

ISO 17799 que tiene la bondad de ser transversal a

las organizaciones , abarcando la seguridad como un
problema integral y no meramente tcnico.
Ley 19.233 sobre delitos informticos.
Ley 19.628 sobre proteccin de los datos personales.
Ley 19.799 sobre firma electrnica

Qu es una Poltica?
Conjunto de orientaciones o directrices que

rigen la actuacin de una persona o entidad

en un asunto o campo determinado.

Qu es una Poltica de
Seguridad?

Conjunto de directrices que permiten

resguardar los activos de informacin .

Cmo debe ser la poltica de

seguridad?

Definir la postura del Directorio y de la gerencia con

respecto a la necesidad de proteger la informacin

corporativa.
Rayar la cancha con respecto al uso de los recursos
de informacin.
Definir la base para la estructura de seguridad de la
organizacin.
Ser un documento de apoyo a la gestin de seguridad
informtica.
Tener larga vigencia , mantenindose sin grandes
cambios en el tiempo.

 Ser general , sin comprometerse con tecnologas

especficas.
Debe abarcar toda la organizacin
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la informacin en
confidencial, uso interno o pblica.
Debe identificar claramente funciones especficas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la informacin.

Qu debe contener una poltica

de seguridad de la informacin?
Polticas especficas
Procedimientos
Estndares o prcticas
Estructura organizacional

Polticas Especficas
Definen en detalle aspectos especficos que regulan el

uso de los recursos de informacin y estn ms afectas

a cambios en el tiempo que la poltica general.
Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo
electrnico se proporciona para que los empleados realicen funciones
propias del negocio,cualquier uso personal deber limitarse al
mnimo posible
Prohibiciones expresas: Se prohbe el envo de mensajes
ofensivos. Deber evitarse el envo de archivos peligrosos
Declaracin de intencin de monitorear su uso: La empresa podr
monitorear el uso de los correos en caso que se sospeche del mal
uso

Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al
Adminsitrador de Privilegios una solicitud formal de creacin de cuenta,
identificando claramente los sistemas a los cuales tendr accesos y tipos de
privilegios.
2.-El Administrador de privilegios debe validar que la solicitud formal recibida
indique: fecha de ingreso,perfil del usuario, nombre , rut, seccin o unidad a la
que pertenece.
3.- El Administrador de privilegios crear la cuenta del usuario a travs del
Sistema de Administracin de privilegios y asignar una clave inicial para que
el usuario acceda inicialmente.
4.- El Administrados de privilegios formalizar la creacin de la cuenta al
usuario e instruir sobre su uso.

Estndar
En muchos casos depende de la tecnologa
Se debe actualizar peridicamente
Ejemplo:
Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix
Para otras plataformas debe utilizarse mquinas Compaq o HP.
Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB

Registro:
Cada mquina instalada debe ser registrada en catastro computacional
identificando los nmeros de serie de componente y llenar formulario de
traslado de activo fijo

Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional
y estar provisto de enchufes MAGIC

Que se debe tener en cuenta

Objetivo: qu se desea lograr
Alcance: qu es lo que proteger y qu reas sern

afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qu debe y no debe hacer cada
persona
Revisin: cmo ser monitoreado el cumplimiento
Aplicabilidad: En qu casos ser aplicable
Referencias: documentos complementarios
Sanciones e incentivos

Ciclo de vida del Proyecto

Creacin
Colaboracin
Publicacin
Educacin
Cumplimiento

Enfoque
Metodolgico

Polticas de seguridad y
Controles

Los controles son mecanismos que ayudan a

cumplir con lo definido en las polticas

Si no se tienen polticas claras , no se sabr qu
controlar.
Orientacin de los controles:
PREVENIR la ocurrencia de una amenaza
DETECTAR la ocurrencia de una amenaza
RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.

Ejemplo:Modelo Seguridad
Informtica (MSI) a partir de
polticas de seguridad de la

Estructura del modelo

adoptado:
informacin
institucionales

Gestin IT (Tecnologas de Informacin)

Operaciones IT

Para cada estructura incorpora

documentacin asociada como polticas

especficas, procedimientos y estndares.

Gestin IT
Objetivo: contar con procedimientos

formales que permitan realizar

adecuadamente la planeacin y desarrollo
del plan informtico.
Contiene:
Objetivo y estrategia institucional
Plan Informtico y comit informtica
Metodologa de Desarrollo y Mantencin

Operaciones IT
Objetivo: Contar conprocedimientos formales para

asegurar la operacin normal de los Sistemas de

Informacin y uso de recursos tecnolgicos que
sustentan la operacin del negocio.
Contiene:
Seguridad Fsica sala servidores

Control de acceso a la sala

Alarmas y extincin de incendios
Aire acondicionado y control de temperaturas
UPS
Piso y red electrica
Contratos de mantencin
Contratos proveedores de servicios

 Respaldos y recuperacin de informacin:

Ficha de servidores
Poltica Respaldos: diarios,semanales,mensuales,
histricos
Bases de datos, correo electrnico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.

Administracin Cintoteca:
Rotulacin
Custodia
Requerimientos, rotacin y caduciddad de cintas.

Administracin de licencias de software y

programas

 Seguridad de Networking:

Caractersticas y topologa de la Red

Estandarizacin de componentes de red
Seguridad fsica de sites de comunicaciones
Seguridad y respaldo de enlaces
Seguridad y control de accesos de equipos de comunicaciones
Plan de direcciones IP
Control de seguridad WEB

Control y polticas de adminsitracin de Antivirus

Configuracin
Actualizacin
Reportes

 Traspaso de aplicaciones al ambiente de explotacin

Definicin de ambientes
Definicin de datos de prueba
Adminsitracin de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilacin de programas
Testing:
Responsables y encargados de pruebas
Pruebas de funcionalidad
Pruebas de integridad

Instalacin de aplicaciones
Asignacin de responsabilidades de harware y software para
usuarios

 Creacin y eliminacin de usuarios :

Internet, Correo electrnico

Administracin de privilegios de acceso a sistemas

Administracin y rotacin de password:

Caducidad de password
Definicin de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios

Controles de uso de espacio en disco en serviodres

Adquisicin y administracin equipamiento usuarios:

Poltica de adquisiciones
Catastro computacional
Contrato proveedores equipamiento

Conclusiones
La Informacin es uno de los activos mas valiosos

de la organizacin
Las Polticas de seguridad permiten disminuir los
riesgos
Las polticas de seguridad no abordan slo aspectos
tecnolgicos
El compromiso e involucramiento de todos es la
premisa bsica para que sea real.
La seguridad es una inversin y no un gasto.
No existe nada 100% seguro
Exige evaluacin permanente.

 La clave es encontrar el justo equilibrio de

acuerdo al giro de cada negocio que permita

mantener controlado el RIESGO.