Está en la página 1de 7

Polticas

de

Seguridad

Definiciones

Generales

El trmino poltica de seguridad se suele definir como el conjunto de requisitos


definidos por los responsables directos o indirectos de un sistema que indica en
trminos generales qu est y qu no est permitido en el rea de seguridad
durante la operacin general de dicho sistema. Al tratarse de `trminos
generales, aplicables a situaciones o recursos muy diversos, suele ser
necesario refinar los requisitos de la poltica para convertirlos en indicaciones
precisas de qu es lo permitido y qu lo denegado en cierta parte de la
operacin del sistema, lo que se denomina poltica de aplicacin especfica.
Una poltica de seguridad informtica es una forma de comunicarse con los
usuarios, ya que las mismas establecen un canal formal de actuacin del
personal, en relacin con los recursos y servicios informticos de la
organizacin.
No se puede considerar que una poltica de seguridad informtica es una
descripcin tcnica de mecanismos, ni una expresin legal que involucre
sanciones a conductas de los empleados, es ms bien una descripcin de los
que deseamos proteger y el por qu de ello, pues cada poltica de seguridad es
una invitacin a cada uno de sus miembros a reconocer la informacin como
uno de sus principales activos as como, un motor de intercambio y desarrollo
en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben
concluir en una posicin consciente y vigilante del personal por el uso y
limitaciones

de

los

recursos

servicios

informticos.

Surgen como una herramienta organizacional para concientizar a los


colaboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y mantenerse
competitiva. Ante esta situacin, el proponer o identificar una poltica de
seguridad requiere un alto compromiso con la organizacin, agudeza tcnica
para establecer fallas y debilidades, y constancia para renovar y actualizar
dicha poltica en funcin del dinmico ambiente que rodea las organizaciones
modernas.
Caractersticas

La poltica se refleja en una serie de normas, reglamentos y protocolos a


seguir, donde se definen las medidas a tomar para proteger la seguridad del
sistema; pero ante todo, una poltica de seguridad es una forma de
comunicarse con los usuarios. Siempre hay que tener en cuenta que la
seguridad

comienza

termina

con

personas,

debe:

Ser holstica (cubrir todos los aspectos relacionados con la misma).

Adecuarse

las

necesidades

recursos.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y


eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y
actividades, donde se conocen las alternativas ante circunstancias repetidas.
Otro punto importante, es que las polticas de seguridad deben redactarse en
un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que
impidan una comprensin clara de las mismas, claro est sin sacrificar su
precisin.
Deben seguir un proceso de actualizacin peridica sujeto a los cambios
organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotacin de personal, desarrollo de nuevos
servicios, regionalizacin de la empresa, cambio o diversificacin del rea de
negocios,

etc.

Cualquier poltica de seguridad ha de contemplar los elementos claves de


seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y,
adicionalmente,

Control,

Autenticidad

Utilidad.

No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni


de una expresin legal que involucre sanciones a conductas de los empleados.
Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.

Elementos

de

una

Poltica

de

Seguridad

Como una poltica de seguridad debe orientar las decisiones que se toman en
relacin con la seguridad, se requiere la disposicin de todos los miembros de
la empresa para lograr una visin conjunta de lo que se considera importante.

Las Polticas de Seguridad Informtica deben considerar principalmente los


siguientes

elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la


cual

aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en


su

definicin.

Responsabilidades por cada uno de los servicios y recursos informticos


aplicado

todos

los

niveles

de

la

organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas


que

abarca

el

alcance

de

la

poltica.

Definicin de violaciones y sanciones por no cumplir con las polticas.


Responsabilidades de los usuarios con respecto a la informacin a la que
tiene

acceso.

Es necesario garantizar que los recursos del sistema se encontrarn


disponibles cuando se necesitan, especialmente la informacin crtica.
Los recursos del sistema y la informacin manejada en el mismo ha de ser til
para

alguna

funcin.

Integridad: la informacin del sistema ha de estar disponible tal y como se


almacen

por

un

agente

autorizado.

Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus


usuarios,

los

usuarios

la

del

sistema.

Confidencialidad: la informacin slo ha de estar disponible para agentes


autorizados,

especialmente

su

propietario.

Posesin: los propietarios de un sistema han de ser capaces de controlarlo en


todo momento; perder este control en favor de un usuario malicioso
compromete la seguridad del sistema hacia el resto de usuarios.
Normativas
Para cubrir de forma adecuada los elementos anteriores, con el objetivo
permanente de garantizar la seguridad corporativa, una poltica se suele dividir
en puntos ms concretos a veces llamados normativas. Ellas definen las
siguientes

lneas

de

actuacin:

Seguridad organizacional. Aspectos relativos a la gestin de la seguridad

dentro de la organizacin (cooperacin con elementos externos, outsourcing,


estructura

del

rea

de

seguridad).

Clasificacin y control de activos. Inventario de activos y definicin de sus


mecanismos de control, as como etiquetado y clasificacin de la informacin
corporativa.
Seguridad del personal. Formacin en materias de seguridad, clusulas de
confidencialidad,

reporte

de

incidentes,

monitorizacin

de

personal.

Seguridad fsica y del entorno. Bajo este punto se engloban aspectos relativos
a la seguridad fsica de los recintos donde se encuentran los diferentes
recursos - incluyendo los humanos - de la organizacin y de los sistemas en s,
as

como

la

Gestin

definicin
de

de

controles

comunicaciones

genricos

de

seguridad.

operaciones.

Este es uno de los puntos ms interesantes desde un punto de vista


estrictamente tcnico, ya que engloba aspectos de la seguridad relativos a la
operacin de los sistemas y telecomunicaciones, como los controles de red, la
proteccin frente a malware, la gestin de copias de seguridad o el intercambio
de software dentro de la organizacin.
Controles de acceso. Definicin y gestin de puntos de control de acceso a los
recursos informticos de la organizacin: contraseas, seguridad perimetral,
monitorizacin

de

acceso.

Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las


aplicaciones,

Gestin

cifrado

de

de

datos,
continuidad

control

de

de

software.
negocio.

Definicin de planes de continuidad, anlisis de impacto, simulacros de


catstrofes.

Requisitos

legales.

Evidentemente, una poltica ha de cumplir con la normativa vigente en el pas


donde se aplica; si una organizacin se extiende a lo largo de diferentes
pases, su poltica tiene que ser coherente con la normativa del ms restrictivo
de ellos. En este apartado de la poltica se establecen las relaciones con cada
ley: derechos de propiedad intelectual, tratamiento de datos de carcter
personal, exportacin de cifrado junto a todos los aspectos relacionados con

registros de eventos en los recursos (logs) y su mantenimiento.


Parmetros

para

Establecer

Polticas

de

Seguridad

Es importante que al momento de formular las polticas de seguridad


informtica,

se

consideren

por lo

menos los siguientes

aspectos:

Efectuar un anlisis de riesgos informticos, para valorar los activos y as


adecuar

las

polticas

la

realidad

de

la

empresa.

Reunirse con los departamentos dueos de los recursos, ya que ellos poseen
la experiencia y son la principal fuente para establecer el alcance y definir las
violaciones

las

polticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las polticas,


incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y
sus elementos de seguridad.
Tambin es necesario identificar quin tiene la autoridad para tomar decisiones
en cada departamento, pues son ellos los interesados en salvaguardar los
activos

crticos

su

rea.

Adems monitorear peridicamente los procedimientos y operaciones de la


empresa, de forma tal, que ante cambios las polticas puedan actualizarse
oportunamente.
Como as tambin, detallar explcita y concretamente el alcance de las polticas
con el propsito de evitar situaciones de tensin al momento de establecer los
mecanismos de seguridad que respondan a las polticas trazadas.
Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica
A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos
para definir directrices de seguridad y concretarlas en documentos que orienten
las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera
barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y
beneficios

de

buenas

polticas

de

seguridad

informtica.

Otros inconvenientes lo representan los tecnicismos informticos y la falta de


una estrategia de mercadeo por parte de los Gerentes de Informtica o los
especialistas

en

seguridad.

Esta situacin ha llevado a que muchas empresas con activos muy

importantes, se encuentren expuestas a graves problemas de seguridad y


riesgos innecesarios, que en muchos casos comprometen informacin sensitiva
y

por

La

ende
Informacin

su

imagen
y

corporativa.

el

Delito

El delito informtico implica actividades criminales que los pases han tratado
de encuadrar en figuras tpicas de carcter tradicional, tales como robos,
hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo,
debe destacarse que el uso de las tcnicas informticas ha creado nuevas
posibilidades del uso indebido de las computadoras lo que ha creado la
necesidad

de

regulacin

por

parte

del

derecho.

Se considera que no existe una definicin formal y universal de delito


informtico pero se han formulado conceptos respondiendo a realidades
nacionales concretas: "no es labor fcil dar un concepto sobre delitos
informticos, en razn de que su misma denominacin alude a una situacin
muy especial, ya que para hablar de "delitos" en el sentido de acciones tpicas,
es decir tipificadas o contempladas en textos jurdicos penales, se requiere que
la expresin "delitos informticos" est consignada en los cdigos penales, lo
cual en nuestro pas, al igual que en otros muchos no han sido objeto de
tipificacin an.
Tipos de Delitos Informticos
La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de
delitos informticos:
1. Fraudes cometidos mediante manipulacin de computadoras
2. Manipulacin de los datos de entrada
3. Daos o modificaciones de programas o datos computarizados
Delincuente y Victima
1. Sujeto Activo
2. Sujeto Pasivo
Legislacin Nacional

En los ltimos aos se ha perfilado en el mbito internacional un cierto


consenso en las valoraciones poltico-jurdicas de los problemas derivados del
mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en
algunos

casos,

se

modifiquen

los

derechos

penales

nacionales

internacionales.
La ONU seala que cuando el problema se eleva a la escena internacional, se
magnifican los inconvenientes y los delitos informticos se constituyen en una
forma

de

crimen

transnacional.

También podría gustarte