UNIDAD 3 La poltica de seguridad

Introduccin
En la actualidad la ausencia de polticas de seguridad en las empresas, puede
ocasionar efectos catastrficos en los negocios de stas. Escenarios como el que se
presenta a continuacin, ocurrido a la Empresa Ebay en diciembre del 2002, son un
claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con
estas polticas y mantenerlas al da. La presente unidad nos permitir tener una idea
precisa de los pasos requeridos para su creacin e implementacin.

FRAUDE
eBay denuncia el intento de robo de informacin de 55 millones de
clientes

La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55
millones de usuarios para solicitarles que confirmaran sus datos a travs de un portal o
Noticias del sitio de eBay, igualmente falso, para una comprobacin tcnica por ese motivo, pocos
mundo clientes de eBay sospecharon que se trataba de un fraude. La nota seala textualmente:

Estas solicitudes a menudo contienen enlaces a pginas de Web en las que se les pedir
que de su informacin personal... los empleados de eBay nunca le pedirn su
contrasea", aseguran.

El mensaje fraudulento lleva como ttulo "Error de su cuenta de Ebay" y comienza:

"Distinguido miembro de Ebay (escrito as). Nosotros en Ebay sentimos informarle que
estamos teniendo problemas con la informacin de cobro de su cuenta".

Fuente consultada: http://www.el-

mundo.es/navegante/2002/12/11/seguridad/1039605160.html

Objetivos

Conocer los conceptos bsicos de las polticas de

seguridad, para permitir sentar las bases necesarias para
su correcta elaboracin.
Identificar el mbito humano y tecnolgico en el que se
aplicar dichas polticas, y ayudar de esta manera a
abarcar todos los puntos necesarios para la seguridad de
la empresa.
Comprender las exigencias bsicas y etapas de
produccin de una poltica de seguridad, para poder
partir de una base mucho ms slida para la misma.
Comprender la importancia de escuchar las
preocupaciones bsicas de la administracin de la
empresa, con el fin de plasmarlas de forma adecuada en
Objetivos el documento.
Definir las directrices estratgicas que permitan ilustrar
los valores que se desean plasmar en las polticas de
seguridad.
Conocer las ventajas de la aplicacin de las polticas de
seguridad para permitir colaborar en la seleccin de
 productos y desarrollo de procesos.

Contenido de la unidad:
Conceptos bsicos y elaboracin de la poltica
Documentos de la poltica de seguridad
Implantacin de la poltica de seguridad
Captulo 1 Conceptos bsicos y elaboracin de la poltica

1.1 Introduccin
En este captulo conoceremos en qu consiste una poltica de seguridad de la
informacin. Como vimos en la unidad anterior, el anlisis de riesgos permite que sean
identificados los puntos crticos en una gestin de procesos con el objetivo de
implementar recomendaciones de seguridad en un ambiente tecnolgico y humano. El
siguiente paso es establecer los valores y normas que deben ser seguidos por todos
aquellos involucrados en el uso de la informacin y sus diversos activos.

La poltica es elaborada considerando el entorno en que se est trabajando como la

tecnologa de la seguridad de la informacin, para que los criterios establecidos estn
de acuerdo con las prcticas internas ms recomendadas de la organizacin, con las
prcticas de seguridad actualmente adoptadas, para buscar una conformidad mayor
con criterios actualizados y reconocidos en todo el mundo.

La noticia siguiente nos da un ejemplo de cmo la mayora de las empresas en

Latinoamrica an no cuenta con una poltica de seguridad formal e implantada en la
organizacin. Esto implica un riesgo grave ante los posibles ataques que se pueden
sufrir el da de hoy en los sistemas de manejo de informacin de las empresas.

Falta mucho para que las empresas chilenas incorporen polticas de

seguridad informtica

En una entrevista a Cristbal Soto, Consultor de Seguridad de NEOSECURE de

la cual presentamos algunas de sus respuestas, se refiere a cmo estn
preparadas las empresas chilenas para enfrentar la nueva oleada de ataques
Noticias del informticos.
mundo
La Ingeniera Social, que es una de las tcnicas de hacking ms antiguas de la
informtica, permite penetrar hasta en los sistemas ms difciles, usando una
de las vulnerabilidades ms graves y poco detectables: el factor humano

Y en relacin con las amenazas informticas ms frecuentes comenta :

El phishing o las estafas bancarias y financieras por Internet es lo que ms se
ha manifestado este ao. Pero eso no significa que el resto de las amenazas se
hayan mitigado en la prctica. Los virus siguen siendo dainos y las
vulnerabilidades se mantienen vigentes.

Seala tambin:
-Existe la opinin de que la principal amenaza para la seguridad en una
empresa pasa por los mismos empleados.

Pero acota esta opinin al decir:

-Muchas veces s, pero no necesariamente. Esto puede pasar ms bien por un
inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de
pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a
ciertos sistemas

Y respecto de lo que es el tema del captulo que estamos por empezar

la poltica de seguridad seala:
Hay un avance que es notorio en trminos de conocimiento, pero el principal
logro se refiere a ver a la seguridad como un elemento operativo central. Lo
que deben hacer los niveles directivos de la compaa es fijar la poltica de
seguridad de la empresa, la que est sobre los controles tecnolgicos.

en todo caso, pienso que la razn la ausencia de polticas de seguridad es

 que con frecuencia las empresas subestiman los riesgos informticos. Un
catalizador surgira si todas las empresas calcularan los costos y prdidas
ocasionadas por no contar con polticas de seguridad

Fuente consultada:
http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
1.2 Objetivos

Conocer los conceptos bsicos para la generacin de

polticas de seguridad de la empresa, para permitir que
estas mismas abarquen todos los aspectos necesarios
para su buena implantacin.
Identificar las exigencias que deben ser cumplidas al
realizar una poltica de seguridad, incluyendo el concepto
de anlisis de riesgos, aprendido con anterioridad
Objetivos
1.3 Conceptos bsicos

Una poltica de seguridad es un conjunto de directrices, normas,

procedimientos e instrucciones que gua las actuaciones de trabajo y define
los criterios de seguridad para que sean adoptados a nivel local o institucional,
con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en
el mbito humano como en el tecnolgico.
A partir de sus principios, es posible hacer de la seguridad de la informacin un
esfuerzo comn, en tanto que todos puedan contar con un arsenal informativo
documentado y normalizado, dedicado a la estandardizacin del mtodo de
Conceptos clave operacin de cada uno de los individuos involucrados en la gestin de la
seguridad de la informacin.

Conociendo esto, veamos con ms profundidad los mbitos de intervencin de una

poltica de seguridad:

reas de normalizacin de la poltica de seguridad

Tecnolgica
Hay quienes consideran que la seguridad de la
informacin es apenas un problema tecnolgico.
Pero lo importante es definir los aspectos ms
tcnicos del buen funcionamiento de servidores,
estaciones de trabajo, acceso a Internet, etc. Para
eso, el apoyo de la Administracin es fundamental,
pues sin ella el programa de seguridad quedara sin
inversiones para la adquisicin de los recursos
necesarios. Sin embargo, no se debe dejar de lado
las cuestiones relacionadas con la buena
conducta y la tica profesional de los usuarios.

Humana
Otras personas ven a la seguridad como un
problema nicamente humano. Es importante
definir primero la conducta considerada adecuada
para el tratamiento de la informacin y de los
recursos utilizados. Por lo tanto, sin el apoyo de la
Administracin, el programa de seguridad no
consigue dirigir las acciones necesarias para
modificar la cultura de seguridad actual. El
resultado es un programa de seguridad sin el nivel
de cultura deseado y la falta de monitoreo ms
apropiado al orientar empleados, proveedores,
clientes y socios. Sin embargo, no se debe dejar de
lado los temas tecnolgicos y su sofisticacin,
una vez que tambin son determinantes para la
implementacin de soluciones de seguridad
adecuadas y eficientes.

Enseguida expondremos algunos ejemplos genricos del porqu es necesario

considerar los dos aspectos, tecnolgico y humano al momento de definir una poltica
de seguridad de la informacin:
 En la elaboracin de una poltica de seguridad no podemos olvidar el lado humano, los
descuidos, falta de capacitacin, inters, etc. Se pueden tener problemas de seguridad
de la informacin si no son adecuadamente considerados dentro de la misma poltica.
Un ejemplo comn es solicitar a los usuarios el cambio de su contrasea o password
constantemente y que sta deba tener una complejidad adecuada para la informacin
Ejemplos manejada.
La parte tecnolgica obviamente tampoco puede dejarse de lado, y dentro de la poltica
de seguridad es necesario considerar elementos que pongan las bases mnimas a seguir
en materia de configuracin y administracin de la tecnologa. Por ejemplo, establecer
que los servidores con informacin crtica de la empresa no deben prestar servicio de
estaciones de trabajo a los empleados.

1.4 Elaboracin de la poltica

Para elaborar una poltica de seguridad de la informacin, es importante tomar en

cuenta las exigencias bsicas y las etapas necesarias para su produccin.

a) Exigencias de la poltica
b) Etapas de produccin

Empecemos por revisar las siguientes exigencias.

Exigencias de la poltica

La poltica es elaborada tomando como base la cultura de la organizacin y el conocimiento

especializado de seguridad de los profesionales involucrados con su aplicacin y
comprometimiento.
Es importante considerar que para la elaboracin de una poltica de seguridad institucional se
debe:

Integrar el Comit de Seguridad responsable de definir la poltica.

Elaborar el documento final.
Hacer oficial la poltica una vez que se tenga definida.

Integrar el Comit de Seguridad

Formar un equipo multidisciplinario que
represente gran parte de los aspectos culturales
y tcnicos de la organizacin y que se renan
peridicamente dentro de un cronograma
establecido por el Comit de Seguridad.
Este comit es formado por un grupo definido de
personas responsables por actividades referentes
a la creacin y aprobacin de nuevas normas de
seguridad en la organizacin.
En las reuniones se definen los criterios de
seguridad adoptados en cada rea y el esfuerzo
comn necesario para que la seguridad alcance
un nivel ms elevado.
Se debe tener en mente que los equipos
involucrados necesitan tiempo libre para analizar
y escribir todas las normas discutidas durante las
reuniones.

Partes que integran el documento final

En este documento deben expresarse las
preocupaciones de la administracin,
donde se establecen normas para la gestin
 de seguridad de la informacin, que
contengan:
La definicin de la propia poltica,
Una declaracin de la administracin que
apoye los principios establecidos y una
explicacin de las exigencias de
conformidad con relacin a:
o legislacin y clusulas
contractuales;
o educacin y formacin en
seguridad de la informacin;
o prevencin contra amenazas
(virus, caballos de Troya, hackers,
incendio, intemperies, etc.)
Debe contener tambin la atribucin de las
responsabilidades de las personas
involucradas donde queden claros los roles
de cada uno, en la gestin de los procesos
y de la seguridad.

No olvidar de que toda documentacin ya

existente sobre cmo realizar las tareas
debe ser analizada con relacin a los
principios de seguridad de la informacin,
para aprovechar al mximo las prcticas
actuales, evaluar y agregar seguridad a esas
tareas.

Hacer oficial la poltica

La oficializacin de una poltica tiene como
base la aprobacin por parte de la
administracin de la organizacin.
Debe ser publicada y comunicada de
manera adecuada para todos los
empleados, socios, terceros y clientes.

En virtud que las polticas son guas para orientar la accin de las personas que
intervienen en los procesos de la empresa, a continuacin presentamos ejemplos que
ilustran cmo esas acciones pueden comprometer los fines de la poltica de
seguridad.

De nada nos sirve generar una poltica completa y correcta en todos los aspectos, si los
empleados de la compaa no la conocen o aplican.
Es importante tambin dejar muy claras las sanciones a las que pueden hacerse
acreedores los usuarios que no cumplan con las polticas de seguridad en la empresa,
Ejemplos tanto empleados como clientes de la misma.

Finalmente, para mejorar la comprensin de las exigencias de la poltica de seguridad,

proponemos las siguientes preguntas de reflexin:
 Cuenta en la actualidad con un comit de seguridad en su empresa?Los empleados en
su organizacin estn conscientes de la necesidad de una poltica y su aplicacin en la
compaa? Tiene apoyo en este sentido de la alta direccin de la empresa?
Preguntas
de reflexin

Ahora continuemos con las siguientes etapas para la definicin de la poltica.

Etapas de produccin de la poltica

Elaborar una poltica es un proceso que exige tiempo e informacin. Es necesario conocer cmo se
estructura la organizacin y cmo son dirigidos en la actualidad sus procesos. A partir de este
reconocimiento, se evala el nivel de seguridad existente para poder despus detectar los puntos a analizar
para que est en conformidad con los estndares de seguridad.

El trabajo de produccin se compone por distintas etapas, entre otras:

Objetivos y mbito
Entrevista
Investigacin y anlisis de documentos
Reunin de poltica
Glosario de la poltica
Responsabilidades y penalidades

Objetivos y mbito
En este punto debe constar la presentacin del tema
de la norma con relacin a sus propsitos y
contenidos, buscando identificar resumidamente
cules estndares la poltica trata de establecer,
adems de la amplitud que tendr en relacin a
entornos, individuos, reas y departamentos de la
organizacin involucrados.

Entrevista
Las entrevistas tratan de identificar junto a los
usuarios y administradores de la organizacin las
preocupaciones que ellos tienen con los activos, los
procesos de negocio, reas o tareas que ejecutan o
en la cual participan. Las entrevistas tratan de
identificar las necesidades de seguridad existentes
en la organizacin.

Investigacin y anlisis de documentos

En esta etapa se identifican y analizan los
documentos existentes en la organizacin y los que
tienen alguna relacin con el proceso de seguridad
en lo referente a la reduccin de riesgos,
disminucin de trabajo repetido y falta de
orientacin. Entre la documentacin existente, se
pueden considerar: libros de rutinas, metodologas,
polticas de calidad y otras.
 Reunin de poltica
En las reuniones, realizadas con los equipos
involucrados en la elaboracin, se levantan y
discuten los temas, adems se redactan los prrafos
para la composicin de las normas con base en el
levantamiento del objetivo y del mbito de la poltica
especfica.

Glosario de la poltica
Es importante aclarar cualquier duda conceptual que
pueda surgir en el momento de la lectura de la
poltica. As todos los lectores deben tener el mismo
punto de referencia conceptual de trminos. Por lo
tanto se recomienda que la poltica cuente con un
glosario especfico donde se especifiquen los
trminos y conceptos presentes en toda la poltica
de seguridad.

Responsabilidades y penalidades
Es fundamental identificar a los responsables, por la
gestin de seguridad de los activos normalizados,
con el objetivo de establecer las relaciones de
responsabilidad para el cumplimiento de tareas,
como las normas de aplicacin de sanciones
resultantes de casos de inconformidad con la
poltica elaborada. De esa manera, se busca el nivel
de conciencia necesario para los involucrados, con
relacin a las penalidades que sern aplicadas en
casos de infraccin de la poltica de seguridad.

Enseguida mostramos algunos ejemplos sobre las etapas en la elaboracin de la

poltica.

En las entrevistas realizadas es importante recabar todas las preocupaciones en materia

de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo
que requiere ser incluido en el documento de poltica de seguridad.
Es importante que el glosario incluido en la poltica de seguridad, aclare todos los
conceptos que pudieran quedar poco claros a la totalidad de las personas que leern
Ejemplos dicha poltica, esto con el fin de que el documento sea comprendido y aplicado en su
totalidad.
Las reuniones del comit de seguridad representan una gran oportunidad para pulir e
incrementar la claridad del documento final de poltica, en ellas es recomendable incluir
empleados de las diferentes reas de negocios para considerar sus puntos de vista.

Para cerrar esta seccin sobre las etapas de la poltica, lo invitamos a reflexionar desde
su perspectiva cuestiones tan vitales como la seguridad de la informacin.
 Se cuenta con un equipo tcnico capaz de analizar e identificar riesgos en la
documentacin de procesos de la empresa?Est consciente de la necesidad de incluir
penalidades para aquellos que incumplan la poltica de seguridad? Cree necesario
formar un comit encargado del anlisis de los casos que llegasen a ocurrir?
Preguntas Tiene claro el objetivo principal de la poltica de seguridad en su empresa?
de reflexin
1.5 Lecciones aprendidas

Aprendimos aspectos bsicos relacionados con una

poltica de seguridad, las partes que la componen y los
elementos necesarios previos a su generacin.
Identificamos las diferentes etapas de generacin de la
poltica de seguridad, que nos permite estar preparados
para llevar a cabo con xito cada una de ellas.
Lecciones aprendidas
Captulo 2 Documentos de la poltica de seguridad

2.1 Introduccin

Al iniciar el proceso de elaboracin sobre una poltica de seguridad, es necesario

recopilar cierta informacin con los usuarios de activos y realizar estudios de los
documentos existentes. El objetivo de esa tarea es definir qu tipo de adaptacin debe
ser hecha en el modelo de estandarizacin existente para atender las caractersticas de
la empresa (con relacin a trazado, identificacin, numeracin y lenguaje utilizado). Si
ya existen esos estndares definidos, los documentos de la poltica de seguridad
deben adaptarse a ellos para garantizar una proximidad entre la prctica gerencial
existente y la poltica sugerida. Veamos un ejemplo sobre documentacin de polticas
de seguridad.

Estafas por phishing alcanzan los 500 millones de dlares en

EEUU

La falta de polticas de seguridad bien documentadas y aplicadas en la

empresa, podra ocasionar situaciones como la que documenta la
investigacin realizada por el Ponemon Institute publicada en DiarioTI.
Noticias del Aqu se expone algunas citas textuales de la publicacin:
mundo
Segn una investigacin realizada por Ponemon Institute, con base en entrevistas
realizadas a mil 335 usuarios de Internet, las prdidas ocasionadas por el phising van
en aumento.

El phishing, tambin conocido como carding o brand spoofing consiste en que los
estafadores distribuyen mensajes de correo electrnico con diseo y formatos similares
a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los
clientes del banco (o de servicios como eBay, PayPal o similares) visitar una pgina de
Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e
informacin sobre su cuenta.

Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607

En la noticia se observ una estrategia de uso comn y de la cual podemos encontrar

muchos casos reales documentados por los medios noticiosos, sin embargo, en las
acciones que se pueden tomar en materia de administracin de la seguridad de la
informacin, se establece procedimientos muy especficos para evitar que mediante la
suplantacin se falsifiquen comunicados para que parezcan oficiales, con la finalidad
de obtener informacin valiosa de los usuarios. Esto tiene que ser establecido en los
documentos de la poltica de seguridad de las empresas, que veremos con un poco
ms de detalles en este captulo.

Recordemos que nuestra tarea dentro del rea de seguridad es lograr que estos casos
no se presenten en la organizacin
2.2 Objetivos

Conocer las bases para la documentacin necesaria en

una poltica de seguridad, para permitir plasmar de forma
correcta todos los elementos requeridos para la misma.

Identificar las tres partes principales de una poltica de

seguridad: Normas, procedimientos y directrices. stas
permitirn producir una poltica completa y til de
implantar.
Objetivos
2.3 Documentos de la poltica de seguridad

Si existe ya un estndar de estructura de documentos para polticas dentro de la

empresa, ste puede ser adoptado. Sin embargo, a continuacin sugerimos un modelo
de estructura de poltica que puede ser desarrollado dentro de su organizacin.

Modelo de estructura de poltica

En este modelo, visualizamos que
una poltica de seguridad est
formada por tres grandes
DIRETRIZES ESTRATGICO secciones:
NORMAS TTICO las Directrices,
las Normas
PROCEDIMENTOS OPERACIONAL los Procedimientos e
Instrucciones de Trabajo.
Ferramentas
Cultura

Monitorao

Su estructura de sustentacin est

formada por tres grandes
aspectos: herramientas, cultura y
monitoreo.

ACOMPANHAMENTO

Conjunto de reglas generales de nivel estratgico donde se expresan los valores de

seguridad de la organizacin. Es endosada por el lder empresarial de la
Directrices
organizacin y tiene como base su visin y misin para abarcar toda la filosofa de
(Estrategias) seguridad de la informacin.
Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad
de la informacin, al establecer sus objetivos, medios y responsabilidades.

Las directrices estratgicas, en el contexto de la seguridad, corresponden a todos

los valores que deben ser seguidos, para que el principal patrimonio de la empresa,
que es la informacin, tenga el nivel de seguridad exigido.

Como la informacin no est presente en un nico entorno (microinformtica, por

ejemplo) o medio convencional (fax, papel, comunicacin de voz, etc.), debe
permitir que se aplique a cualquier ambiente existente y no contener trminos
tcnicos de informtica. Se compone de un texto, no tcnico, con las reglas
generales que guan a la elaboracin de las normas de seguridad.

Normas Conjunto de reglas generales y especficas de la seguridad de la informacin que

deben ser usadas por todos los segmentos involucrados en los procesos de negocio
(Tctico)
de la institucin, y que pueden ser elaboradas por activo, rea, tecnologa, proceso
de negocio, pblico a que se destina, etc.

Las normas, por estar en un nivel tctico, pueden ser especficas para el pblico a
que se destina, por ejemplo para tcnicos y para usuarios.

Normas de Seguridad para tcnicos

Reglas generales de seguridad de informacin dirigida para quien cuida
de ambientes informatizados (administradores de red, tcnicos etc.),
basadas en los aspectos ms genricos como periodicidad para cambio de
claves, copias de seguridad, acceso fsico y otros. Pueden ser
ampliamente utilizadas para la configuracin y administracin de
ambientes diversos como Windows NT, Netware, Unix etc.

Normas de Seguridad para Usuarios

 Reglas generales de seguridad de la informacin dirigidas para hacer uso
de ambientes informatizados, basadas en aspectos ms genricos como
cuidados con claves, cuidados con equipos, inclusin o exclusin de
usuarios, y otros. Pueden ser ampliamente utilizadas para todos los
usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos e Procedimiento
Conjunto de orientaciones para realizar las actividades operativas de
instrucciones de
seguridad, que representa las relaciones interpersonales e nter
trabajo departamentales y sus respectivas etapas de trabajo para la implantacin
(Operacional) o manutencin de la seguridad de la informacin.

Instruccin de trabajo
Conjunto de comandos operativos a ser ejecutados en el momento de la
realizacin de un procedimiento de seguridad establecido por una norma,
establecido en modelo de paso a paso para los usuarios del activo en
cuestin.

A continuacin presentamos ejemplos de procedimientos e instrucciones de trabajo

muy especficas que resultan de beneficio en la operacin diaria.

Se pueden integrar, por ejemplo, la lista con los procedimientos para la realizacin de
respaldos de la base de datos, quines son los responsables, periodicidad,
almacenamiento, etc.
Se puede contar tambin con instrucciones de trabajo para la restauracin de equipos
Ejemplos porttiles que se tengan que reinstalar, con una gua paso a paso sobre qu hacer en
dicho caso.

Reflexione sobre los siguientes tpicos.

Su empresa cuenta con normas generales de seguridad en la actualidad? Se encuentran

bien documentadas?
Cuenta con un conjunto de directrices generales en la organizacin?
Sus procedimientos tcnicos estn completamente documentados?
Preguntas
de reflexin
2.4 Acompaamiento de la poltica

Una poltica de seguridad, para que sea efectiva, necesita contar con los siguientes
elementos como base de sustentacin:

Cultura
Herramientas
Monitoreo

A continuacin se describe cada una de ellas.

Bases de sustentacin de la poltica de seguridad

El entrenamiento de personas debe ser constante, de
tal manera que se actualice toda la empresa con
Cultura relacin a los conceptos y normas de seguridad,
adems de sedimentar la conciencia de seguridad,
para tornarla como un esfuerzo comn entre todos
los involucrados.
Los recursos humanos, financieros y las
herramientas de automatizacin deben estar de
acuerdo con las necesidades de seguridad. Parte de
la seguridad puede ser automatizada o mejor
Herramientas controlada con herramientas especficas, como
copias de seguridad obligatorias programadas,
control de acceso con registro de ejecucin, etc.
La implementacin de la poltica de seguridad debe
ser constantemente monitoreada. Es necesario
efectuar un ciclo de manutencin para ajustar la
estandarizacin resultante de los problemas
Monitoreo
encontrados, reclamaciones de empleados o
resultados de auditora. Se debe tambin adaptar la
seguridad a las nuevas tecnologas, a los cambios
administrativos y al surgimiento de nuevas
amenazas.

Enseguida proporcionamos algunos ejemplos de la capacitacin de las personas y del

monitoreo en el acompaamiento de la poltica.

Es necesario contar con un plan de entrenamiento para el personal activo y nuevo

de la empresa, para mantenerlo actualizado en materia de seguridad.
En la manera de lo posible es necesario contar con sistemas de monitoreo, que
Ejemplos ayuden a detectar las fallas ocasionadas por ataques a los sistemas de informacin.

Una vez revisados los ejemplos anteriores, qu respuestas podra encontrar a las
siguientes preguntas?
 El personal de su empresa cuenta con capacitacin continua en materia de
seguridad?
Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de
Preguntas
posibles ataques a la seguridad de su empresa?
de reflexin
2.5 Lecciones aprendidas

Comprendimos lo que forma la base de toda poltica de

seguridad: la cultura, herramientas y el monitoreo. Estas
bases permiten que la aplicacin de la poltica se
mantenga siempre vigente ante los cambios surgidos en
toda la organizacin.
Adems, aprendimos los conceptos de normas,
directrices, procedimientos e instrucciones de trabajo
que ayudan a formar cada uno de los elementos
necesarios para nuestra poltica de seguridad.
Lecciones aprendidas
Captulo 3 Implantacin de la poltica de seguridad

3.1 Introduccin
El xito en la implantacin de un sistema y poltica de seguridad en la empresa,
depende en gran medida de conocimiento a fondo de los procesos involucrados
cuando dicha implantacin es llevada a cabo. Una vez recabada toda la informacin
necesaria y despus de comunicar los logros a todo el personal de la empresa, es
posible incluso, como lo muestra la siguiente nota de prensa sobre la compaa
Nextel, que el proceso y la poltica de seguridad puedan llegar a implementarse bajo
algn estndar conocido a nivel mundial.

Nextel S.A. celebra una rueda de prensa en Madrid

Nextel, S.A. / 7 de Octubre de 2004

El pasado 7 de octubre de 2004, Nextel S.A. celebr una rueda de prensa en el Hotel
Sofitel Airport. El motivo fue anunciar la Certificacin en Seguridad de la Informacin
obtenida el presente ao, como ya hizo una semana antes en otra rueda de prensa
Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iaki Murcia, Director Regional
mundo de la Zona Norte; Agustn Lerma, Security Manager; y Ricardo Acebedo, Director de
Marketing.

Nextel S.A., miembro de Innovalia con ms de 15 aos de experiencia, es la primera

Consultora de Espaa que obtiene una Certificacin para Sistema de Gestin de la
Seguridad de la Informacin bajo un estndar de Seguridad de la Informacin
internacionalmente reconocido: BS 7799-2:2002

La implantacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) en

una empresa como Nextel S.A. supone la gestin integral de la seguridad de la
informacin. Esto se consigue mediante la planificacin, anlisis de activos y de riesgos,
aplicacin de controles tcnicos, gestin de recursos humanos, difusin, formacin y
planes de contingencia. La seguridad de la informacin implica adems, tanto a la
informacin que est basada en sistemas informticos o en papel como a las personas

Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp

Informacin adicional:
http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf
3.2 Objetivos

Comprender todos los aspectos necesarios para que la

implantacin de la poltica de seguridad sea un xito en la
empresa.
Conocer el entorno completo que rodea a una poltica de
seguridad, mismo que es necesario para sustentar su
implantacin en la empresa.
Comprender que los mbitos en los que se puede trabajar
en una poltica de seguridad son variados, y plasmarlos
en esta poltica depende de la importancia de cada uno de
Objetivos ellos en nuestra empresa.
3.3 Implantacin de la poltica

Una poltica se encuentra bien implantada cuando:

Refleja los objetivos del negocio, es decir, est siempre de acuerdo con la
operacin necesaria para alcanzar las metas establecidas.
Agrega seguridad a los procesos de negocio y garantiza una gestin
inteligente de los riesgos.
Est de acuerdo con la cultura organizacional y est sustentada por el
compromiso y por el apoyo de la administracin.
Permite un buen entendimiento de las exigencias de seguridad y una
evaluacin y gestin de los riesgos a los que est sometida la organizacin.

La implantacin de la poltica de seguridad depende de:

Una buena estrategia de divulgacin entre los usuarios.

Una libre disposicin de su contenido a todos los involucrados para aumentar
el nivel de seguridad y compromiso de cada uno.
Campaas, entrenamientos, charlas de divulgacin, sistemas de aprendizaje.
Otros mecanismos adoptados para hacer de la seguridad un elemento comn a
todos.

Revisemos algunos ejemplos bsicos de polticas bien implantadas:

Si una de las metas de su organizacin es, por ejemplo, aumentar el nmero de clientes
que utilizan sus servicios por Internet, es necesario que su poltica de seguridad facilite
esto en lugar de entorpecerlo.
Como ya lo comentamos antes, de nada sirve tener la mejor poltica impresa, sino que
Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.

La fase de la implantacin de la poltica exige que reflexionemos de aspectos tales

como lo que se muestran en las siguientes preguntas:

Est consciente de todas las metas que tiene su organizacin a corto y largo plazo?
Tiene planeado ya la forma en que se divulgar la poltica de seguridad?

Preguntas de
reflexin

Para finalizar esta seccin sealaremos algunos conceptos clave:

 La poltica se debe basar en el anlisis de riesgo y tener como
objetivo la estandarizacin de entornos y procesos de manera que se
eviten las vulnerabilidades existentes. Su creacin est directamente
conectada a la concretizacin de este anlisis, pues a travs del
levantamiento de las vulnerabilidades se puede elaborar la
documentacin de seguridad, con el objetivo de minimizar los riesgos
de que las amenazas se conviertan en incidentes.

Como todo proceso de evaluacin y posible cambio de las prcticas

actuales, una poltica debe tener como base una estrategia de
Conceptos clave medicin de eficacia, para poder evaluar el desempeo de la gestin
de seguridad y los puntos dbiles que necesitan ser mejorados.
3.4 Temas de la poltica

Para elaborar una poltica, es necesario delimitar los temas que sern convertidos
en normas.

La divisin de los temas de una poltica depende de las necesidades de la organizacin

y su delimitacin se hace a partir de:

el conocimiento del ambiente organizacional, humano o tecnolgico,

la recopilacin de las preocupaciones sobre seguridad de parte de los usuarios,
administradores y ejecutivos de la empresa

Algunos ejemplos de temas posibles son:

Seguridad fsica: acceso fsico, infraestructura del edificio, Centro de Datos.

Seguridad de la red corporativa: configuracin de los sistemas operativos,

acceso lgico y remoto, autenticacin, Internet, disciplina operativa, gestin de
Ejemplos cambios, desarrollo de aplicaciones.

Seguridad de usuarios: composicin de claves, seguridad en estaciones de

trabajo, formacin y creacin de conciencia.

Seguridad de datos: criptografa, clasificacin, privilegios, copias de

seguridad y recuperacin, antivirus, plan de contingencia.

Auditoria de seguridad: anlisis de riesgo, revisiones peridicas, visitas

tcnicas, monitoreo y auditoria.

Aspectos legales: prcticas personales, contratos y acuerdos comerciales,

leyes y reglamentacin gubernamental.

Con el propsito de ahondar un poco ms en la reflexin le proponemos algunos de

los posibles cauces en los que se pueden definir temas para la poltica de seguridad:
 Cuenta con personas que puedan asesorar al equipo que redactar la poltica de
seguridad, en materia de aspectos legales?Hay personas dentro de su empresa con
experiencia en materia de capacitacin para concienciar a sus empleados?
Preguntas
de reflexin
3.5 Usos de la poltica
Una vez elaborada, la poltica de seguridad es importante se garantice en la
implementacin controles de uso adecuado de la poltica de seguridad.

Usos de la poltica
Una vez que tenemos una poltica de seguridad, sta debe cumplir por lo menos dos propsitos:

Ayudar en la seleccin de productos y en el desarrollo de procesos.

Realizar una documentacin de las preocupaciones de la direccin sobre seguridad para
que el negocio de la organizacin sea garantizado.

La poltica al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como
lo son:

Permite definir controles en sistemas informticos.

Permite establecer los derechos de acceso con base en las funciones de cada persona.
Permite la orientacin de los usuarios con relacin a la disciplina necesaria para evitar
violaciones de seguridad.
Establece exigencias que pretenden evitar que la organizacin sea perjudicada en
casos de quiebra de seguridad.
Permite la realizacin de investigaciones de delitos por computadora.
Se convierte en el primer paso para transformar la seguridad en un esfuerzo comn.

Veamos unos ejemplos relativos al uso de la poltica:

Una poltica de seguridad debe ayudarnos a escoger la mejor tecnologa en materia de

sistemas operativos.
Tambin debe servir para elegir los procedimientos y reglas bsicas de seguridad para
toda la empresa.
Ejemplos

A manera de cierre de esta seccin le proponemos estas preguntas de reflexin

relativas a la importancia del uso de la poltica de seguridad:

Conoce usted los deseos e inquietudes de la alta direccin en materia de seguridad?

Est consciente que la poltica de seguridad no es el paso final, sino el principio de la
implantacin de seguridad en la empresa?
Preguntas
de reflexin

Debido a que una poltica de seguridad impacta la forma de trabajo diario de las
personas, esta debe ser:

Clara (escrita en buena forma y lenguaje no elevado),

Concisa (evitar informacin innecesaria o redundante),
De acuerdo con la realidad prctica de la empresa (para que pueda ser
reconocida como un elemento institucional).
Actualizada peridicamente.
Es importante que mecanismos paralelos , como una campaa para crear conciencia
de la seguridad en la empresa, sean puestos en prctica para que la poltica de
seguridad pueda ser asimilada por sus usuarios e incorporada en la organizacin.

Para finalizar la unidad, veamos algunas estadsticas que tienen como finalidad,
identificar los distintos escenarios a los que puede enfrentarse durante este proceso
de implantacin, a travs del conocimiento de las fallas y problemas ms comunes
dentro de las compaas de Latinoamrica.

Segn la Investigacin Nacional sobre Seguridad de la Informacin del ao 2000 en

Brasil, realizada anualmente por mdulo, la poltica de seguridad es un punto de
preocupacin del mundo corporativo. La gran mayora (63%) de las empresas cuentan
con una poltica de seguridad, en un 31% de los casos la poltica an est siendo
desarrollada y un 5% afirman que ser elaborada en el ao venidero. En el 2001, cerca
del 99% de las empresas tendran una poltica de seguridad implementada.

Algunos resultados mencionan adems que:

Las empresas de mayor capital y las de capital extranjero son las que se
Estadsticas preocupan con el tema desde hace ms tiempo.
Apenas un 24% contest que el nivel de adhesin a la poltica es alto,
revelando que el desafo actual es aumentar la participacin de los
empleados.
Cerca del 47% de los ejecutivos entrevistados afirman que el principal
obstculo en la implementacin de la poltica de seguridad es la falta de
conciencia de los empleados, porque con frecuencia presentan resistencia
en adoptar esas prcticas.

Vea la investigacin en versin completa en el portal de seguridad de Mdulo

www.modulo.com

Segn la investigacin del ao 2001, la poltica de seguridad sigue siendo el

tema en que la mayora de las empresas invierte (71%). Hubo pocas
variaciones desde el ao anterior para el 2001, pues las posiciones se
mantuvieron prcticamente sin movimientos.

Investimento em segurana
2001 2000 Esta investigacin revel que:
(%) (%)
1. Poltica de Segurana 71 79 La mayor parte de las empresas
Estadsticas 2. Capacitao da Equipe Tcnica 65 73
3. Criptografia 41 54
planea invertir en polticas de
4. Testes de Invaso 38 52 seguridad (71%) y la capacitacin
5. Virtual Private Network (VPN) 38 44 del equipo tcnico (65%).
6. Anlise de Riscos 35 50
7. Sistemas de deteco de 34 41 La mayora de las empresas (66%)
intrusos afirma poseer una poltica de
8. Contratao de empresa 30 36
especializada seguridad, sin embargo en 19%
9. Aquisio de software de 29 32 de ellas la poltica no est
controle de acesso actualizada.
10. Autoridade Certificadora 29 23
11. Certificado digital 28 - Cerca del 41% de las
12. Implementao do Firewall 26 40
13. Sistemas de gesto de 19 -
organizaciones entrevistadas
segurana centralizada sealan la falta de conciencia
14. Smartcard 12 14 por parte de los funcionarios
15. Biomtrica 11 - como el principal obstculo de
16. Segurana em call center 9 -
la implementacin de la poltica
de seguridad.
 Principais obstculos para implementao da
segurana

OB STC U LOS IMPLEME N TA O D A SEGU R AN A

Cons c inc ia

Or amento

Rec urs os humanos

Falta de apoio es pec ializ ado

Ferramentas

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

Otros obstculos indicados fueron la falta de presupuesto (32%), escasez de

recursos humanos especializados (21%), adems de la falta de herramientas
adecuadas y de apoyo especializado, ambos citados por el 13% de los
entrevistados.

Algunas de las medidas de seguridad ms adoptadas, estn: el firewall (83%),

la prevencin contra virus (78%) y el servidor proxy (71%).

A manera de cierre de esta seccin reflexione sobre lo siguiente:

Sabe usted a cules obstculos se puede enfrentar dentro de su empresa?

Tiene pensado ya cmo solucionarlos?
Ha tomado en cuenta acciones alternas para su solucin?
Preguntas
de reflexin

3.6 Lecciones aprendidas

Aprendimos que una poltica de seguridad bien

implantada es aquella que refleja los objetivos de
negocio de la empresa.
Ahora sabemos, que para lograr el xito para la
implantacin de la poltica de seguridad, es necesario
tener el apoyo y crear conciencia en la alta direccin de
la empresa.
Descubrimos que la poltica de seguridad puede
comprender una gran variedad de mbitos dentro de la
empresa y estos se seleccionan en base a la importancia
Lecciones aprendidas de cada uno en los negocios de la empresa.
Aprendimos tambin que una poltica de seguridad se
convierte en el primer paso para lograr que la seguridad
sea un esfuerzo comn.