Tabla de contenido

1.- Introduccin................................................................................................... 2
1.1.- Importancia de las polticas de seguridad...............................................2
2.- Objetivos........................................................................................................ 4
3.- Marco terico................................................................................................. 4
3.1.- Seguridad................................................................................................ 4
3.2.- Riesgo...................................................................................................... 6
3.3.- Amenaza.................................................................................................. 6
3.5.- Accidente................................................................................................. 6
3.6.- Lesin...................................................................................................... 6
3.7.- Peligro...................................................................................................... 6
3.8.- Poltica de seguridad y su planteamiento................................................7
3.8.1.- Metodologa para el planteamiento de una poltica de seguridad........8
4.- Poltica de seguridad de ingeniera mecnica de la UNSA...........................12
Justificacin.................................................................................................... 12
Poltica de seguridad...................................................................................... 13
Alcance y aplicabilidad.................................................................................. 13
5.- Bibliografa................................................................................................... 13
6.- Glosario de trminos.................................................................................... 14

1.- Introduccin
Una poltica de seguridad representa la base de todo lo concerniente a
prevencin, identificacin y evaluacin de riesgos. Sin antes definirla no es
posible dar paso a dems acciones. Si no se da un planteamiento adecuado, la
seguridad en s de la organizacin puede llegar a peligrar.
Si bien las polticas varan considerablemente segn el tipo de organizacin de
que se trate, en general incluyen declaraciones generales sobre
metas, objetivos, comportamiento y responsabilidades de los empleados en
relacin a los riesgos. A menudo las polticas van acompaadas de normas,
instrucciones y procedimientos.
Las polticas son obligatorias, mientras que las recomendaciones o directrices
son ms bien opcionales. De hecho, las declaraciones de polticas de seguridad
pueden transformarse fcilmente en recomendaciones reemplazando la
palabra
"debe"
con
la
palabra
"debera".
Por otro lado las polticas son de jerarqua superior a las normas, estndares y
procedimientos que tambin requieren ser acatados. Las polticas consisten de
declaraciones genricas, mientras las normas hacen referencia especfica a
tecnologas, metodologas, procedimientos de implementacin y otros aspectos
en detalle. Adems las polticas deberan durar durante muchos aos, mientras
que
las
normas
y
procedimientos
duran
menos tiempo.
Las normas y procedimientos necesitan ser actualizadas ms a menudo que las
polticas porque hoy da cambian muy rpidamente las tecnologas,
las estructuras organizativas, los procesos de negocios y los procedimientos.
Las polticas son distintas y de un nivel superior a los procedimientos, que son
los pasos operacionales especficos que deben llevarse a cabo para lograr una
cierta meta.
Una declaracin sobre polticas describe slo la forma general de manejar un
problema especfico, pero no debe ser demasiado detallada o extensa, en cuyo
caso
se
convertira
en
un procedimiento.
Las polticas tambin son diferentes de las medidas de seguridad o de los
mecanismos de control. Un ejemplo de esto ltimo sera un sistema de cifrado
para las comunicaciones o para los datos confidenciales guardados en discos y
cintas. En muchos casos las polticas definen metas u objetivos generales que
luego
se
alcanzan
por
medio
de
medidas
de
seguridad.
En general, las polticas definen las reas sobre las cuales debe enfocarse
la atencin en lo que concierne a la seguridad. Las polticas podran dictar que
toda la maquinaria desarrollada o adquirida se pruebe a fondo antes de
utilizarse. Se necesitar tomar en cuenta varios detalles sobre cmo aplicar
esta poltica. Por ejemplo, la metodologa a usar para probar el software.

Un documento sobre polticas de seguridad contiene, entre muchos aspectos:

definicin de seguridad para los activos de informacin, responsabilidades,
planes de contingencia, gestin de contraseas, sistema de control de acceso,
respaldo de datos, manejo de virus e intrusos. Tambin puede incluir la forma
de comprobar el cumplimiento y las eventuales medidas disciplinarias.

1.1.- Importancia de las polticas de seguridad

Aseguran la aplicacin correcta de las medidas de seguridad

con la intencin objetiva de resolver los problemas de seguridad
expeditamente, en muchas organizaciones simplemente se compran uno
o ms productos de seguridad. En estos casos, a menudo se piensa que
nuevos productos (ya sea en hardware, software, o servicios), es todo
que se necesita. Luego que se instalan los productos, sin embargo, se
genera una gran desilusin al darse cuenta que los resultados esperados
no se han materializado. En un nmero grande de casos, esta situacin
puede atribuirse al hecho que no se ha creado una infraestructura
organizativa adecuada para la seguridad.
Un ejemplo puede ayudar a aclarar este punto esencial. Supngase que
una organizacin ha adquirido recientemente un producto de control de
acceso para una red de computadoras. La sola instalacin del sistema
har poco para mejorar la seguridad. Sea debe primero decidir cules
usuarios deben tener acceso a qu recursos de informacin,
preferiblemente definiendo cmo incorporar estos criterios en las
polticas de seguridad. Tambin deben establecerse los procedimientos
para que el personal implante el control de acceso de una manera
cnsona con estas decisiones. Adems debe definir la manera de revisar
las bitcoras (logs) y otros registros generados por el sistema. stas y
otras medidas constituyen parte de la infraestructura organizativa
necesaria para que los productos y servicios de seguridad sean
efectivos.
Una empresa necesita de documentacin sobre polticas, definiciones de
responsabilidades, directrices, normas y procedimientos para que se
apliquen
las
medidas
de
seguridad,
los
mecanismos
de evaluacin de riesgos y el plan de seguridad. Las polticas y una
estimacin preliminar de los riesgos son el punto de partida para
establecer una infraestructura organizativa apropiada, es decir, son los
aspectos esenciales desde donde se derivan los dems. Continuando con
el mismo ejemplo anterior de control de acceso, se debera primero
llevar a cabo un anlisis de riesgo de los sistemas de informacin. Esta
evaluacin de los riesgos tambin ayudar a definir la naturaleza de las
amenazas a los distintos recursos, as como las contramedidas
pertinentes. Luego pueden establecerse las polticas a fin de tener una
gua para la aplicacin de tales medidas.

Guan el proceso de seleccin e implantacin de los productos de

seguridad.
La mayora de las organizaciones no tiene los recursos para disear e
implantar medidas de control desde cero. Por tal razn a menudo
escogen soluciones proporcionadas por los fabricantes de productos de
seguridad y luego intentan adaptar esos productos a las polticas,
procedimientos, normas y dems esfuerzos de integracin dentro de la
organizacin. Esto se realiza a menudo sin conocer o entender
suficientemente los objetivos y las metas de seguridad. Como resultado,
los productos de seguridad escogidos y su aplicacin pueden no resultar
adecuados a las verdaderas necesidades de la organizacin.
Las polticas pueden proporcionar la comprensin y la gua adicional que
el personal necesita para actuar como deseara la gerencia en lo que a
seguridad se refiere. De manera que tales polticas pueden ser una
manera de garantizar de que se est apropiadamente seleccionando,
desarrollando e implantando los sistemas de seguridad.

Demuestran el apoyo y seriedad de la gerencia y de la Junta Directiva.

La mayora de las personas no est consciente de la gravedad de los
riesgos relativos a la seguridad y por eso no se toma el tiempo para
analizar estos riesgos a fondo. Adems, como no tiene la experticia
suficiente, no es capaz de evaluar la necesidad de ciertas medidas de
seguridad. Las polticas son una manera clara y definitiva para que la
alta gerencia pueda mostrar que la seguridad de los activos de
informacin es importante y que el personal debe prestar la atencin
debida a la seguridad.
Las polticas pueden entonces propiciar las condiciones para proteger los
activos de informacin. Un ejemplo muy frecuente involucra a los
gerentes a nivel medio que se resisten a asignar dinero para la
seguridad en sus presupuestos. Pero si las polticas que han sido
emitidas por la Junta Directiva o la alta gerencia, entonces los gerentes a
nivel medio no podrn continuar ignorando las medidas de seguridad.
Evita situaciones legales. Se presentan cada vez ms casos judiciales en
los cuales se encuentra responsables a empleados, y particularmente a
gerentes, de no actuar apropiadamente bien en lo referente a seguridad
informtica. La razn puede ser atribuida a: negligencia, violacin de
confianza, fallas en el uso de medidas de seguridad, mal prctica, etc.
Estos casos se usan a menudo con xito para llamar la atencin de la
gerencia y para lograr apoyo para los esfuerzos en seguridad.
Sirve para lograr una mejor seguridad. Uno de los problemas ms
importantes en el campo de seguridad informtica lo representa los
esfuerzos fragmentados e incoherentes. A menudo un departamento
estar a favor de las medidas de seguridad, mientras que otro dentro de
la misma organizacin se opondr o ser indiferente. Aunque no es ni

factible ni deseable que todas las personas en una organizacin se

familiaricen con las complejidades de la seguridad informtica, es
importante que todas ellas se comprometan con mantener algn nivel
mnimo de proteccin. Las polticas pueden usarse para definir el nivel
de esta proteccin mnima, a veces llamada lnea de base.

2.- Objetivos

Definir lo que es una poltica de seguridad

Plantear la poltica de seguridad correspondiente a ingeniera mecnica
de la UNSA.

3.- Marco terico

3.1.- Seguridad
El trmino seguridad posee mltiples usos. A grandes rasgos, puede afirmarse
que este concepto que proviene del latn securitas que hace foco en
la caracterstica de seguro, es decir, realza la propiedad de algo donde no se
registran peligros, daos ni riesgos. Una cosa segura es algo firme, cierto e
indubitable. La seguridad, por lo tanto, puede considerarse como una certeza.

Existen muchos tipos de seguridad, tantos como actividades pueda realizar el

ser
humano:
seguridad
alimentaria, seguridad
jurdica,
seguridad
automovilstica, etc
El trmino seguridad laboral tiene que ver con las condiciones en las que los
empleados trabajan. De acuerdo a la ley de cada Estado, existen una serie de
requisitos que los empleadores deben cumplir a fin de ofrecer estabilidad,
equilibrio y prevencin a sus empleados, a fin de que ningn accidente
acontecido en el trabajo pueda terminar en una tragedia.
Una de las acepciones del trmino es el que se utiliza en informtica, un
concepto moderno pero sumamente importante para conservar los
ordenadores y equipos relacionados en buen estado. La seguridad
informtica permite asegurarse que los recursos del sistema se utilizan de la
manera en la que se espera y que quienes puedan acceder a la informacin
que en l se encuentran sean las personas acreditadas para hacerlo.
En informtica se habla de dos tipos de seguridades, la fsica (barreras fsicas
que impiden el paso al sistema de cualquier persona no acreditada. Se realiza a
travs de aplicaciones y procedimientos especficos que tienen el objeto de
bloquear el acceso a dichos individuos) y la lgica (las formas en las que se
desempea este tipo de seguridad es a travs de encriptacin de cdigos, de

modo que no puedan ser ledos o traducidos por los intrusos que pudieran
sobre pasar las barreras fsicas, cdigos de autenticacin y antivirus o pared de
fuego, en el caso de usar un sistema operativo como Windows). A la hora de
elaborar un diseo, ya sea de pgina web o de espacio en la red de cualquier
tener en cuenta ambos tipos de seguridad es fundamental.
Por ltimo, cabe resaltar que la seguridad puede hacer referencia a la defensa
nacional. Estas son las polticas que disean cada Estado a fin de impedir o
enfrentar eventuales operaciones militares impulsadas por otros pases. La
seguridad nacional suele estar vinculada a las fuerzas armadas y
al armamento.
Dicho todo esto, slo resta agregar que en cualquier mbito cuando se habla
de seguridad se est haciendo referencia a las condiciones en las que se
desarrolla una actividad: las prevenciones que se han tenido en cuenta en caso
de complicaciones, las acciones que se realizarn en caso de desastre y
fundamentalmente, de qu forma se trabajar para brindar equilibrio y
tranquilidad en dicho entorno.
Una definicin dentro de las Ciencias de la Seguridad es Ciencia,
interdisciplinaria, encargada de evaluar, estudiar y gestionar los riesgos a que
se encuentra sometido una persona un bien o el ambiente. Se debe
diferenciar la seguridad sobre las personas (seguridad fsica), la seguridad
sobre el ambiente (seguridad ambiental), la seguridad en ambiente laboral
(seguridad e higiene, en ingls conocido como safety), etc.

3.2.- Riesgo
Riesgo es la vulnerabilidad ante un potencial perjuicio o dao para las
unidades, personas, organizaciones o entidades. Cuanto mayor es la
vulnerabilidad mayor es el riesgo, pero cuanto ms factible es el perjuicio o
dao, mayor es el peligro. Por tanto, el riesgo se refiere slo a la terica
posibilidad de dao bajo determinadas circunstancias, mientras que el
peligro se refiere slo a la terica probabilidad de dao bajo esas
circunstancias. Por ejemplo, desde el punto de vista del riesgo de daos a la
integridad fsica de las personas, cuanto mayor es la velocidad de circulacin
de un vehculo en carretera mayor es el riesgo de dao para sus ocupantes,
mientras que cuanto mayor es la imprudencia al conducir mayor es el peligro
de accidente (y tambin es mayor el riesgo del dao consecuente). Existen 4
tipos de riesgos:

Riesgo laboral
Riesgo geolgico

Riesgo financiero
Riesgo biolgico

3.3.- Amenaza
Es un fenmeno, sustancia, actividad humana o condicin peligrosa que puede
ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daos a
la propiedad, la prdida de medios de sustento y de servicios, trastornos
sociales y econmicos, o daos ambientales. La amenaza se determina en
funcin de la intensidad y la frecuencia.

3.5.- Accidente
Es la ocurrencia o hecho no planeado, que sucede sin control, que es
indeseable y que ocurre una actividad o funcin.

3.6.- Lesin
En clnica, una lesin (del latn laesin(em), "herida") es un cambio anormal en
la morfologa o estructura de una parte del cuerpo producida por un dao
externo o interno. Las heridas en la piel pueden considerarse lesiones
producidas por un dao externo como los traumatismos. Las lesiones producen
una alteracin de la funcin o fisiologa de rganos, sistemas y aparatos,
trastornando la salud y produciendo enfermedad.
Una lesin es una alteracin de las caractersticas morfolgicas o estructurales
de un organismo en cualquiera de sus niveles de organizacin (molecular,
celular, tisular, anatmico, corporal o social) producido causas fsicos, qumicos
o biolgicos.1
La
especialidad
mdica
encargada
de
identificar
las
caractersticas microscpicas de las lesiones, generalmente mediante biopsias,
es la anatoma patolgica.

3.7.- Peligro
Es una situacin que se caracteriza por la "visibilidad de ocurrencia de un
incidente potencialmente daino", es decir, un suceso apto para crear dao
sobre bienes jurdicos protegidos. El peligro es "real" cuando existe aqu y
ahora, y es "potencial" cuando el peligro ahora no existe, pero sabemos que
puede existir a corto, medio, o largo plazo, dependiendo de la naturaleza de las
causas que crean peligro.
Con frecuencia se confunde el peligro con un agente daino. Por ejemplo,
habitualmente se habla de "sustancias peligrosas", pero las sustancias no son
"peligrosas" sino "dainas". El peligro no reside en las sustancias, sino en la
forma insegura en que se transportan, almacenan, procesan, utilizan, etc.
sustancias dainas. El peligro hace "probable" un incidente antecedente,
mientras que el riesgo hace "posible" el dao consecuente del incidente.

3.8.- Poltica de seguridad y su planteamiento

Una poltica de seguridad en el mbito de la criptografa de clave pblica
o PKI es un plan de accin para afrontar riesgos de seguridad, o un conjunto de
reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir
cualquier cosa desde buenas prcticas para la seguridad de un solo ordenador,
reglas de una empresa o edificio, hasta las directrices de seguridad de un pas
entero
La poltica de seguridad es un documento de alto nivel que denota el
compromiso de la gerencia con la seguridad. Contiene la definicin de la
seguridad de la informacin bajo el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras polticas dependientes de
sta, objetivos de seguridad, procedimientos. Debe estar fcilmente accesible
de forma que los empleados estn al tanto de su existencia y entiendan su
contenido. Puede ser tambin un documento nico o inserto en un manual de
seguridad. Se debe designar un propietario que ser el responsable de su
mantenimiento y su actualizacin a cualquier cambio que se requiera.
Las polticas y normas son el instrumento que adopta la empresa para definir
las reglas de comportamiento aceptables. La seguridad en la industria y el
modo de tratarla no es una excepcin. En las siguientes lneas se avanza en los
contenidos deseables de dichas polticas y cmo le afectan como trabajador.
Segn el grado de madurez de la organizacin en la gestin de sus activos de
informacin, esta Poltica de Seguridad puede ser ms o menos sistemtica y
detallada.
En particular, determinadas obligaciones, en materia de seguridad, solo podrn
ser exigidas en presencia de una poltica conocida por los empleados que las
contemple y regule expresamente.
La empresa debe disponer de un documento formalmente elaborado sobre el
tema y que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una
declaracin de intenciones. Lo ms importante para que estas surtan efecto es
lograr la concienciacin, entendimiento y compromiso de todos los
involucrados.
Las polticas deben contener claramente las prcticas que sern adoptadas por
la compaa. Y estas polticas deben ser revisadas, y si es necesario
actualizadas, peridicamente.
Las polticas deben:

Definir qu es seguridad, cules son sus objetivos principales y su

importancia dentro de la organizacin.
Mostrar el compromiso de sus altos cargos con la misma.
Definir la filosofa respecto al laborar seguro.
Establecer responsabilidades inherentes al tema.
Establecer la base para poder disear normas y procedimientos referidos
a: Organizacin de la seguridad, clasificacin y control de los datos,
seguridad de las personas, seguridad fsica y ambiental y plan de
contingencia.

A partir de las polticas se podr comenzar a desarrollar, primero las normas, y

luego los procedimientos de seguridad que sern la gua para la realizacin de
las actividades.
La poltica de seguridad comprende todas las reglas de seguridad que sigue
una organizacin (en el sentido general de la palabra). Por lo tanto, la
administracin de la organizacin en cuestin debe encargarse de definirla, ya
que afecta a todos los usuarios del sistema.
La seguridad informtica de una compaa depende de que los empleados
(usuarios) aprendan las reglas a travs de sesiones de capacitacin y de
concienciacin.
Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados
y cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las

necesidades de la compaa y al uso de los empleados.
Un procedimiento para administrar las actualizaciones.
Un plan de recuperacin luego de un incidente
Un sistema documentado actualizado

Por lo tanto y como resumen, la poltica de seguridad es el documento de

referencia que define los objetivos de seguridad y las medidas que deben
implementarse para tener la certeza de alcanzar estos objetivos.

3.8.1.- Metodologa para el planteamiento de una poltica

de seguridad.
Antes de embarcarse en un esfuerzo de elaborar las polticas de seguridad, es
aconsejable aclarar quin es responsable de promulgarlas y aplicarlas.
Solamente cuando exista claramente la asignacin clara de responsabilidades.
Si se ignora este paso importante, se corre el riesgo de posteriores objeciones,
crticas y malentendidos, que pueden significar problemas y grandes retrasos.
Otro requisito previo necesario para tener xito involucra la perspectiva de la

Junta Directiva y la alta gerencia. Slo despus de que sus miembros

tomen conciencia de que los activos de informacin son un factor vital para el
xito de la organizacin, es que la seguridad es apreciada como un asunto
serio que merece atencin. En caso contrario probablemente no apoyen la idea
de establecer polticas de seguridad.
La alta gerencia debe darse cuenta que hay problemas serios de seguridad y
que se requiere de polticas para afrontarlos. Si bien esto puede parecer obvio,
muchos intentos de desarrollar e implantar las polticas no ha llegado a
ninguna parte porque no se haban echado las bases. El trabajo previo incluye
a menudo una breve presentacin a la alta gerencia para sensibilizarla sobre la
necesidad de la seguridad.
Idealmente, el desarrollo de polticas de seguridad debe comenzarse despus
de una evaluacin a fondo de las vulnerabilidades, amenazas y riesgos. Esta
evaluacin debera indicar, quizs slo a grandes rasgos, el valor de la
informacin en cuestin, los riesgos a los cuales esa informacin se sujeta, y
las vulnerabilidades asociadas a la manera actual de manejar la informacin.
Tambin pueden ser incluidos en la declaracin de las polticas, los tipos
generales de riesgos enfrentados por la organizacin, as como cualquier otra
informacin
til
obtenida
a
partir
del
anlisis
de
riesgos.
Un buen momento para desarrollar un conjunto de polticas de seguridad es
cuando se est preparando el manual de seguridad para los activos de
informacin. Debido a que ese manual va a ser distribuido a lo largo de toda la
organizacin, representa un medio excelente para incluir tambin las polticas
de seguridad. Tambin pueden publicitarse las polticas en material tal
como video, carteles o artculos en un peridico interno.
Un buen objetivo a tener presente cuando se redactan las polticas, es que
ellas deberan durante varios aos, por ejemplo cinco aos. En realidad, se
harn modificaciones ms a menudo, pero para evitar que se vuelvan
obsoletas rpidamente, debe elaborarse para que sean independientes de
productos comerciales especficos, estructuras organizativas especficas, as
como las leyes especficas y regulaciones.
Las cosas se mueven muy rpidamente en el campo de tecnologa, incluyendo
la seguridad. Por ejemplo, hace apenas algunos aos la mayora de las
organizaciones no crean que era necesaria una poltica de seguridad
para Internet,
pero
hoy
da
es
muy
importante.
Las polticas deben revisarse en forma peridica, preferiblemente cada ao,
para asegurarse de que todava son pertinentes y efectivas. Es importante
eliminar aquellas polticas que ya no son tiles o que ya no son aplicables. Este
esfuerzo tambin ayudar a mejorar la credibilidad de las actividades de
seguridad informtica dentro de la organizacin. Los empleados apreciarn que
el personal de seguridad informtica no est all para crear ms burocracia,

sino para realmente ocuparse de las medidas de seguridad requeridas para

proteger los recursos.

Elaboracin de las polticas de seguridad:

Recopilar material de apoyo. Para elaborar eficazmente un conjunto de

polticas de seguridad informtica, debe haberse efectuado previamente
un anlisis de riesgo que indique claramente las necesidades de
seguridad actuales de la organizacin. Antecedentes de fallas en la
seguridad, fraudes, demandas judiciales y otros casos pueden
proporcionar una orientacin sobre las reas que necesitan particular
atencin.
Para afinar an ms el proceso, se debe tener copia de todas las otras
polticas de organizacin (o de otras organizaciones similares) relativas a
compra de equipos informticos, recursos humanos y seguridad fsica.
Definir un marco de referencia. Despus de recopilar el material de
apoyo, debe elaborarse una lista de todos los tpicos a ser cubiertos
dentro de un conjunto de polticas de seguridad. La lista debe incluir
polticas que se piensa aplicar de inmediato as como aquellas que se
piensa aplicar en el futuro.
Redactar la documentacin. Despus de preparar una lista de las reas
que necesitan la atencin y despus de estar familiarizados con la
manera en que la organizacin expresa y usa las polticas, se estar
ahora listos redactar las polticas.
Las polticas van dirigidas a audiencias significativamente distintas, en
cuyo caso es aconsejable redactar documentos diferentes de acuerdo al
tipo de audiencia. Por ejemplo, los empleados podran recibir un
pequeo folleto que contiene las polticas de seguridad ms importantes
que ellos necesitan tener presente. En cambio, el personal que trabaja
en informtica y en telecomunicaciones podra recibir un documento
considerablemente ms largo que proporciona mucho ms detalles. Una
vez que se hayan elaborado los documentos sobre las polticas, deben
ser revisados por un comit de seguridad informtica antes de ser
sometido a consideracin de la Presidencia y Junta Directiva para su
aprobacin. Este comit debera tener representantes de los distintos
departamentos de la organizacin y una de sus funciones ms
importantes es evaluar las polticas en la luz de su viabilidad,
anlisis costo/beneficio y sus implicaciones. Las preguntas que debe
contestar son, por ejemplo: Son estas polticas prcticas y fcilmente
aplicables? Son estas polticas claras e inequvocas?

Es muy importante que la Junta Directiva apruebe las polticas en el caso

frecuente que ciertos empleados objeten o piensen que ellos no
necesitan
obedecer.
Adems es fundamental de que luego de la entrada en vigor, las
polticas se apliquen estrictamente, ya que de otra forma se puede
fomentar la hipocresa entre los empleados y la tolerancia por conductas
inapropiadas. El tener polticas que no se aplican puede ser peor que no
tener polticas en absoluto.
La aplicacin de nuevas polticas es a menudo ms eficaz si los
empleados han sido informados de exactamente qu actividades
representan trasgresiones de la seguridad y qu penalizacin recibiran
si
fueran
encontrados
culpables.
Un curso o taller de sensibilizacin es una forma muy efectiva para dar a
conocer las nuevas polticas. All, por ejemplo, se explicara que la
informacin interna es la propiedad de organizacin, y que no puede ser
copiada, modificada, anulada o usada para otros propsitos sin la
aprobacin de la gerencia.
La longitud del documento sobre las polticas. Las polticas de seguridad
deben disearse de acuerdo a las necesidades especficas de una
organizacin. Algunas organizaciones tienen muchas polticas, mientras
otros tienen slo unas cuantas. Como ejemplo, el manual sobre las
polticas de seguridad de British Telecom (una compaa telefnica
britnica) es de ms de 150 pginas, mientras que el de Lockheed (una
compaa aeroespacial) es de 75 pginas.
El personal de seguridad puede opinar que es necesario que todo est
absolutamente claro y explcito sobre los asuntos de seguridad
informtica. En estos casos puede que se requiere un conjunto de
polticas. Otros sern renuentes a tener tantas polticas, prefiriendo
enfatizar la confianza en buen juicio y buen comportamiento de los
empleados.
Aunque un documento conciso ser ledo y asimilado con
ms probabilidad, hay mucho a favor de un conjunto completo y extenso
de polticas de seguridad. Un principio general es que se deben
promulgar slo aquellas polticas que sean absolutamente necesarias.
Esto es debido a que las personas son inherentemente muy diferentes
entre s, como tambin son diferentes los grupos a que pertenecen. El
imponer un nico conjunto de reglas para todos puede llevar
a resistencia y a pobres resultados. En cambio, al tener slo aquellas
polticas que son estrictamente necesarias, se favorece la iniciativa
personal y la creatividad. Adems tantas polticas de seguridad van a
impedir
que
el trabajo se
haga
a
tiempo.
En todo caso, en vez de emprender un trabajo a fondo, es mejor
empezar primero ocupndose de los aspectos esenciales, para luego ir
ampliando con polticas adicionales. Este procedimiento toma a menudo

la forma de declaraciones separadas que se tratan las reas

problemticas, por ejemplo PCs, LANs e Internet. De esta manera es
tambin ms fcil conseguir la aprobacin de la alta gerencia as como
de los propios empleados. Por otro lado las polticas nunca pueden tomar
en cuenta todas las circunstancias y un conjunto extenso y minucioso de
polticas
puede
generar
crticas,
disgusto
y
rechazo.
La extensin y el grado de detalle de las polticas es una funcin de tipo
de audiencia y puede haber distintos documentos segn el caso. Por
ejemplo, podra haber documentos para los usuarios, la gerencia y el
personal de informtica. Muchas de las polticas en cada uno de estos
documentos seran iguales, aunque el grado de detalle, las palabras
tcnicas utilizadas, y el nmero de ejemplos puede variar de un
documento a otro. Para los usuarios finales, el documento debe limitarse
a unas cuantas pginas. Para la gerencia habr consideraciones
adicionales, tal como los aspectos legales, y es probable que esto
extienda el documento. Para el personal tcnico ser todava ms largo y
ms
detallado.
Otro factor que afecta es el grado de seguridad requerido en la
organizacin. En general, cunto mayor es el uso de la informacin para
las actividades de una organizacin, mayor es la necesidad de
seguridad. Por ejemplo, un banco tendr muchas y extensas polticas,
mientras que una cadena de tiendas por departamentos tendr menos
polticas. Por supuesto que actividades especialmente delicadas, tal
como salud y defensa, requieren de polticas muy detalladas.
Adicionalmente al nmero de polticas, hay que plantearse cun larga
debe ser la definicin de cada poltica. Las definiciones concisas, de unas
cuantas frases, son ms aceptadas por los empleados ya que son ms
fcilmente ledas y entendidas. En todo caso deben ser suficientemente
especficas para ser entendidas e interpretadas sin ambigedad, pero no
deben ser tan especficas que impidan adaptarlas a las condiciones
particulares de un sitio o departamento. Por ejemplo, se puede
promulgar una poltica la cual especifica que todos los usuarios deben
usar contraseas difciles de adivinar. Esta poltica da la flexibilidad a
un gerente local para determinar su longitud mnima o un sistema
automtico que chequee si realmente una dada contrasea es difcil de
adivinar.
Para ayudar a aclarar qu son las polticas, se pueden incluir ejemplos
especficos. Como ilustracin, una poltica que prohbe el uso de los
recursos computacionales para fines personales podra incluir ejemplos
sobre
Internet Chat Relay
(IRC)
o juegos por computadora.
Si se opta por elaborar un conjunto muy completo de polticas de
seguridad, se aconseja hacerlo en dos etapas. El primer paso involucra
el obtener la aprobacin de la Junta Directiva para un conjunto genrico
de polticas, mientras que el segundo paso involucra la aprobacin para

un conjunto ms especfico de polticas. El conjunto genrico podra

incluir de 10 a 20 polticas, y el juego especfico podra incluir otras 50100.
De hecho, si el conjunto inicial de polticas es demasiado largo o severo,
la Junta Directiva puede rechazarlo. Como resultado, la ventana de
tempo para conseguir la aprobacin puede cerrarse por un cierto periodo
de tiempo (a menudo un ao o ms). As que se aconseja elaborar un
primero conjunto de polticas corto y relativamente fcil de cumplir por
parte del personal. Despus, cuando haya sido implantado y asimilado a
lo largo de la organizacin, se puede preparar una lista ms completa y
ms estricta. Es mucho mejor proceder de forma relativamente lenta,
con una serie pasos en el desarrollo de polticas, y as lograr credibilidad
y apoyo, que preparar de una vez un solo documento extenso con todas
las polticas, el cual se rechaza porque fue percibido como engorroso o
excesivamente severo.

4.- Poltica de seguridad de ingeniera mecnica de la

UNSA.
Justificacin
La facultad de ingeniera mecnica de la UNSA considera que su elemento ms
importante son los estudiantes que la conforman, por esta razn es una
prioridad garantizar su seguridad e integridad en toda accin que se pudiera
realizar dentro del plantel.
El proceso acadmico debe llevarse a cabo en un ambiente de tranquilidad.
Para lograrlo es necesaria la bsqueda por todo medio de maneras de evitar
los incidentes que de alguna forma puedan empaar la imagen de la
institucin.
La institucin, consiente de su responsabilidad, establecer medidas
razonables que protejan al alumnado, a los docentes, empleados, visitantes e
infraestructura.
Para cumplir con esta responsabilidad y desarrollar un plan mediante el cual se
establezcan unas guas claras que ofrezcan una adecuada proteccin y
seguridad a los estudiantes y dems miembros de la comunidad universitaria,
se adopta la siguiente poltica.

Poltica de seguridad
Proveer un medio ambiente que propicie el mayor grado de seguridad posible y
que contribuya a una mejor calidad de vida para la escuela.

Adoptar un plan de seguridad que contenga, entre otras, las siguientes

medidas razonables para ofrecer proteccin:

Se cumplir con las disposiciones legales referentes a la infraestructura

en general.
Se desarrollar un sistema de orientacin a estudiantes y empleados
sobre medidas preventivas de seguridad.
Se proveer mecanismos necesarios para alentar a que los estudiantes y
empleados informen sobre actos de conducta criminal o cualquier otra
emergencia as como los mecanismos para responder con prontitud a
ello.
Se sancionar conductas inseguras dentro de la escuela.

Alcance y aplicabilidad
Esta poltica se aplicar en todos los elementos de ingeniera mecnica, sus
terrenos, oficinas administrativas. El director de la facultad ser responsable
por la implantacin de esta poltica.

5.- Bibliografa

http://es.wikipedia.org/wiki/Seguridad
http://definicion.de/seguridad/
http://www.ciifen.org/index.php?
option=com_content&view=category&id=84&layout=blog&Itemid=111
&lang=es
http://www.monografias.com/trabajos11/seguin/seguin.shtml
http://es.wikipedia.org/wiki/Peligro
http://es.wikipedia.org/wiki/Lesi%C3%B3n
http://es.wikipedia.org/wiki/Criptograf%C3%ADa
http://documentos.inter.edu/docs/index.php?article=68
file:///C:/Users/AMD/Downloads/politica_para_la_Seguridad_en_el_sistema
_Universitario_de_la_Universidad_Interamericana_de_PR_G-137-92.pdf
http://www.wordreference.com/sinonimos/renuente
http://udg.mx/es/nuestra/gobierno/secretaria-general/seguridad

6.- Glosario de trminos

C
Criptografa:
(del griego os '(criptos), oculto, y
(graf), escritura, literalmente
escritura oculta). Tradicionalmente
se ha definido como el mbito de la

criptologa que se ocupa de las tcnicas

de cifrado o codificado destinadas a
alterar las representaciones lingsticas
de ciertos mensajes con el fin de
hacerlos ininteligibles a receptores no
autorizados. Estas tcnicas se utilizan
tanto en el Arte como en la Ciencia. Por

tanto, el nico objetivo de la

criptografa era conseguir la
confidencialidad de los mensajes. Para
ello se diseaban sistemas de cifrado y
cdigos. En esos tiempos la nica
criptografa existente era la llamada
criptografa clsica.
7

G
Gestionar:

Hacer los trmites o diligencias

necesarios para resolver un asunto.

R
Renuentes:
reacio, remiso, reticente, contrario,
opuesto

11