POLTICAS DE SEGURIDAD INFORMTICA

INTRODUCCIN

El descubrimiento ms importante del siglo XX ha sido sin duda la computadora,

que est provocando cambios en nuestra sociedad cuya importancia hoy slo
podemos

intuir,

que

los

provocar

an

ms

en

el

futuro.

En la actualidad, nuestro entorno esta prcticamente controlado por las nuevas

tecnologa, que a medida que transcurre el tiempo, avanzan sin lmites y en
ocasiones son utilizados incorrectamente provocando daos en el mismo sistema
en

el

que

han

sido

creados.

Es indudable el crecimiento de la importancia que tiene el procesamiento de la

informacin en el funcionamiento de cualquier organizacin. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes ha las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas

para

los

sistemas

de

informacin.

Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente

porque el costo de la seguridad total es muy alto. Por eso las empresas, en
general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser
hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un
sistema de seguridad muy acotado les impedira hacer ms negocios.
El trabajo que se presenta a continuacin, est enfocado a las Polticas de
Seguridad Informtica (PSI), que surgen como una herramienta organizacional
para concientizar a cada uno de los miembros de una organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a
la compaa desarrollarse y mantenerse en su sector de negocios.

Polticas de Seguridad

Definiciones Generales

El trmino poltica de seguridad se suele definir como el conjunto de requisitos

definidos por los responsables directos o indirectos de un sistema que indica en
trminos generales qu est y qu no est permitido en el rea de seguridad
durante la operacin general de dicho sistema. Al tratarse de `trminos generales,
aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los
requisitos de la poltica para convertirlos en indicaciones precisas de qu es lo
permitido y qu lo denegado en cierta parte de la operacin del sistema, lo que se
denomina

poltica

de

aplicacin

especfica.

Una poltica de seguridad informtica es una forma de comunicarse con los

usuarios, ya que las mismas establecen un canal formal de actuacin del personal,
en relacin con los recursos y servicios informticos de la organizacin.
No se puede considerar que una poltica de seguridad informtica es una
descripcin tcnica de mecanismos, ni una expresin legal que involucre
sanciones a conductas de los empleados, es ms bien una descripcin de los que
deseamos proteger y el por qu de ello, pues cada poltica de seguridad es una
invitacin a cada uno de sus miembros a reconocer la informacin como uno de
sus principales activos as como, un motor de intercambio y desarrollo en el
mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en
una posicin consciente y vigilante del personal por el uso y limitaciones de los
recursos
Surgen

y
como

una

servicios
herramienta

organizacional

informticos.
para

concientizar

los

colaboradores de la organizacin sobre la importancia y sensibilidad de la

informacin y servicios crticos que permiten a la empresa crecer y mantenerse

competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad

requiere un alto compromiso con la organizacin, agudeza tcnica para establecer
fallas y debilidades, y constancia para renovar y actualizar dicha poltica en
funcin del dinmico ambiente que rodea las organizaciones modernas.

Caractersticas

La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir,

donde se definen las medidas a tomar para proteger la seguridad del sistema;
pero ante todo, una poltica de seguridad es una forma de comunicarse con los
usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina
con personas, y debe:

Ser holstica (cubrir todos los aspectos relacionados con la misma).

Adecuarse

las

necesidades

recursos.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y

eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y
actividades, donde se conocen las alternativas ante circunstancias repetidas.
Otro punto importante, es que las polticas de seguridad deben redactarse en un
lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que
impidan una comprensin clara de las mismas, claro est sin sacrificar su
precisin.
Deben seguir un proceso de actualizacin peridica sujeto a los cambios
organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotacin de personal, desarrollo de nuevos
servicios, regionalizacin de la empresa, cambio o diversificacin del rea de
negocios,

etc.

Cualquier poltica de seguridad ha de contemplar los elementos claves de

seguridad

ya

mencionados:

adicionalmente,

la

Control,

Integridad,

Disponibilidad,

Autenticidad

Privacidad

y,

Utilidad.

No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de

una expresin legal que involucre sanciones a conductas de los empleados. Es
ms bien una descripcin de los que deseamos proteger y el porqu de ello.

Elementos de una Poltica de Seguridad

Como una poltica de seguridad debe orientar las decisiones que se toman en
relacin con la seguridad, se requiere la disposicin de todos los miembros de la
empresa para lograr una visin conjunta de lo que se considera importante.
Las Polticas de Seguridad Informtica deben considerar principalmente los
siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual

aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidades por cada uno de los servicios y recursos informticos
aplicado

todos

los

niveles

de

la

organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas que

abarca

el

alcance

de

la

poltica.

Definicin de violaciones y sanciones por no cumplir con las polticas.

Responsabilidades de los usuarios con respecto a la informacin a la que tiene
acceso.
Es necesario garantizar que los recursos del sistema se encontrarn disponibles
cuando

se

necesitan,

especialmente

la

informacin

crtica.

 Los recursos del sistema y la informacin manejada en el mismo ha de ser til

para

alguna

funcin.

Integridad: la informacin del sistema ha de estar disponible tal y como se

almacen

por

un

agente

autorizado.

Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios,

y

los

usuarios

la

del

sistema.

Confidencialidad: la informacin slo ha de estar disponible para agentes

autorizados,

especialmente

su

propietario.

Posesin: los propietarios de un sistema han de ser capaces de controlarlo en

todo momento; perder este control en favor de un usuario malicioso compromete
la

seguridad

del

sistema

hacia

el

resto

de

usuarios.

Normativas

Para cubrir de forma adecuada los elementos anteriores, con el objetivo

permanente de garantizar la seguridad corporativa, una poltica se suele dividir en
puntos ms concretos a veces llamados normativas. Ellas definen las siguientes
lneas de actuacin:

Seguridad organizacional. Aspectos relativos a la gestin de la seguridad dentro

de la organizacin (cooperacin con elementos externos, outsourcing, estructura
del rea de seguridad).

Clasificacin y control de activos. Inventario de activos y definicin de sus

mecanismos de control, as como etiquetado y clasificacin de la informacin
corporativa.

 Seguridad del personal. Formacin en materias de seguridad, clusulas de

confidencialidad, reporte de incidentes, monitorizacin de personal.

Seguridad fsica y del entorno. Bajo este punto se engloban aspectos relativos a
la seguridad fsica de los recintos donde se encuentran los diferentes recursos incluyendo los humanos - de la organizacin y de los sistemas en s, as como la
definicin de controles genricos de seguridad.

Gestin

de

comunicaciones

operaciones.

Este es uno de los puntos ms interesantes desde un punto de vista estrictamente

tcnico, ya que engloba aspectos de la seguridad relativos a la operacin de los
sistemas y telecomunicaciones, como los controles de red, la proteccin frente a
malware, la gestin de copias de seguridad o el intercambio de software dentro de
la organizacin.

Controles de acceso. Definicin y gestin de puntos de control de acceso a los

recursos informticos de la organizacin: contraseas, seguridad perimetral,
monitorizacin de acceso.

Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las

aplicaciones, cifrado de datos, control de software.

Gestin

de

continuidad

de

negocio.

Definicin de planes de continuidad, anlisis de impacto, simulacros de

catstrofes.

Requisitos

legales.

Evidentemente, una poltica ha de cumplir con la normativa vigente en el pas

donde se aplica; si una organizacin se extiende a lo largo de diferentes pases,
su poltica tiene que ser coherente con la normativa del ms restrictivo de ellos. En
este apartado de la poltica se establecen las relaciones con cada ley: derechos de
propiedad intelectual, tratamiento de datos de carcter personal, exportacin de
cifrado junto a todos los aspectos relacionados con registros de eventos en los
recursos

(logs)

su

mantenimiento.

Parmetros para Establecer Polticas de Seguridad

Es importante que al momento de formular las polticas de seguridad informtica,

se

consideren

por

lo

menos

los

siguientes

aspectos:

Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar

las

polticas

la

realidad

de

la

empresa.

Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones

las

polticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las polticas,

incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos

de

seguridad.

Tambin es necesario identificar quin tiene la autoridad para tomar decisiones en

cada departamento, pues son ellos los interesados en salvaguardar los activos
crticos

su

rea.

Adems monitorear peridicamente los procedimientos y operaciones de la

empresa, de forma tal, que ante cambios las polticas puedan actualizarse
oportunamente.
Como as tambin, detallar explcita y concretamente el alcance de las polticas

con el propsito de evitar situaciones de tensin al momento de establecer los

mecanismos de seguridad que respondan a las polticas trazadas.

Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica

A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para

definir directrices de seguridad y concretarlas en documentos que orienten las
acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera
que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios
de

buenas

polticas

de

seguridad

informtica.

Otros inconvenientes lo representan los tecnicismos informticos y la falta de una

estrategia de mercadeo por parte de los Gerentes de Informtica o los
especialistas

en

seguridad.

Esta situacin ha llevado a que muchas empresas con activos muy importantes,
se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios,
que en muchos casos comprometen informacin sensitiva y por ende su imagen
corporativa.

La Informacin y el Delito

El delito informtico implica actividades criminales que los pases han tratado de
encuadrar en figuras tpicas de carcter tradicional, tales como robos, hurtos,
fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe
destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades
del uso indebido de las computadoras lo que ha creado la necesidad de regulacin
por

parte

del

derecho.

Se considera que no existe una definicin formal y universal de delito informtico

pero se han formulado conceptos respondiendo a realidades nacionales
concretas: "no es labor fcil dar un concepto sobre delitos informticos, en razn
de que su misma denominacin alude a una situacin muy especial, ya que para
hablar de "delitos" en el sentido de acciones tpicas, es decir tipificadas o
contempladas en textos jurdicos penales, se requiere que la expresin "delitos
informticos" est consignada en los cdigos penales, lo cual en nuestro pas, al
igual que en otros muchos no han sido objeto de tipificacin an.

Tipos de Delitos Informticos

La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos

de delitos informticos:

1.
2.
3.

Fraudes

cometidos

Manipulacin
Daos

mediante
de

los

modificaciones

Delincuente
1.

de
y

Sujeto

manipulacin

de

computadoras

datos

de

entrada

programas

datos

computarizados

Victima
Activo

2. Sujeto Pasivo

Legislacin Nacional

En los ltimos aos se ha perfilado en el mbito internacional un cierto consenso

en las valoraciones poltico-jurdicas de los problemas derivados del mal uso que
se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se

modifiquen

los

derechos

penales

nacionales

internacionales.

La ONU seala que cuando el problema se eleva a la escena internacional, se

magnifican los inconvenientes y los delitos informticos se constituyen en una
forma

de

crimen

transnacional.

CONCLUSIN
Al realizar este trabajo, he podido comprobar que cada vez es ms evidente la
necesidad de centralizar las polticas de seguridad informtica para cubrir
virtualmente

todo

lo

que

sucede

en

dicho

campo.

Afortunadamente, se ha logrado que muchas organizaciones empiecen a entender

la importancia de las de este tipo de seguridad, porque a su alrededor existen
proyectos que dependen de manera crtica de un sistema con reglas claramente
articuladas. Sin este tipo de polticas informticas, no se puede garantizar que los
sistemas

informticos

sean

operados

de

manera

segura.

En muchsimos casos la mejor herramienta de seguridad somos nosotros y

nuestro sentido comn, ya que se ha podido comprobar que los descuidos o
imprudencias son la principal fuente de las brechas de seguridad, tanto desde el
punto

de

vista

del

usuario

personal

como

de

las

empresas.

Tambin es evidente que se debe pensar en la forma de castigar dichos abusos en

contra de la seguridad de la informacin, y como as tambin, algo mucho ms
importante como lograr probar el delito. Este sigue siendo el principal
inconveniente a la hora de legislar por el carcter intangible de la informacin.