Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 POLITICAS DE SEGURIDAD
Un política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan
de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento
de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la
seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de
seguridad de un país entero.
La política de seguridad es un documento de alto nivel que denota el compromiso de la
gerencia con la seguridad de la información. Contiene la definición de la seguridad de la
información desde el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de
seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible
de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede
ser también un documento único o inserto en un manual de seguridad. Se debe designar un
propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio
que se requiera.
Estas políticas deben definir cuáles son los aspectos de la empresas más
importantes que deben estar bajo control. De esta forma se detallan una serie
de procesos internos de la empresa que se deben realizar de forma periódica
para no mantenerlos vulnerables. Las políticas de seguridad no solo van
destinadas a los equipos técnicos e informáticos de una empresa, sino que van
dirigidos a todos los puestos de trabajo que sean susceptibles de producir algún
error o descuido de seguridad. Cabe destacar que muchos de los problemas de
seguridad de las empresas se producen por errores de las personas que no
tienen en cuenta la vulnerabilidad de los datos y la información de la empresas.
o Prevención: Recuerda que más vale prevenir que curar, por lo que esta primera
fase será imprescindible para no tener problemas.
o Detección: En el caso de tener alguna amenaza será necesario saber cómo
detectar y realizar diagnósticos adecuados sobre los errores recibidos.
o Actuación: Por último, en el caso de que se produzca alguna inviolabilidad de
nuestro sistema informático es necesario establecer protocolos de actuación
que nos permitan solucionar cualquier amenaza de la forma más rápida y
efectiva posible.
4.2.2 ORGANIZACIÓN PARA LA SEGURIDAD DE LA INFORMACION
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base
sobre la que se cimienta todo el edificio de la seguridad de la información: •
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y
completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y
utilización de la información y los sistemas de tratamiento de la misma por parte de los
individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la
seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso
sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial. Este proceso es el que constituye un SGSI.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.
Selección y contratación
La incorporación de una persona a una empresa o el ascenso interno implica un nuevo acceso
a sistemas de información sensibles para la organización, y que con ISO-27001 se podrá
proteger. Por esto, deberían realizarse acciones preventivas para evitar riesgos derivados de
un mal uso de la información.
Al margen de esto, antes de contratar a una persona se debería comprobar todos sus
antecedentes, teniendo en cuenta la legislación en privacidad y protección de datos, incluyendo
el contenido del currículum, las certificaciones académicas y profesionales.
Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de
información de una organización es el acceso físico. Si el acceso a una instalación está
correctamente protegido también lo estará el acceso a los sistemas de información, por eso es
necesario considerar cómo gestionar las áreas seguras.
Áreas seguras
Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica
para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles
de acceso pertinentes.
Estos controles de acceso apoyan la labor de ISO-27000 y serán proporcionales con el nivel
crítico de la información que protegen o con los riesgos identificados para los activos
En estas áreas habrá una serie de entradas que deberán ser registradas con fecha y hora a la
que se produzcan. Solo tendrán acceso a la información para la que tienen autorización, y si
fuera necesario irían acompañados por algún responsable durante su visita, llevando una
identificación visible.
Para mayor seguridad, los derechos de acceso a estas áreas se deben revisar y actualizar con
determinada periodicidad, han de existir unas normas de trabajo en las mismas de obligado
cumplimiento para todo aquel que acceda.
Los recursos de la información más críticos deben estar localizados en zonas que no sean de
paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se
maneja.
Otros elementos que hace que un área sea segura para salvaguardar la información, son los
controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información
si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén
localizadas en una zona distinta a la que están las copias originales.
Cualquier área de carga y descarga de material u otro tipo de punto de acceso público debería
estar asilado y distante del lugar donde se encuentran y se manejan recursos con información
crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado
para protegerla de cualquier amenaza.
Una PYME está preparada para implantar ISO27001, y en ella, el perímetro de seguridad puede
estar delimitado por la ubicación de los activos más importantes, y como medidas de restricción
al acceso de la información se pueden proponer asegurar puertas y ventanas, informar a todo
el mundo de sus funciones, implantar barreras físicas a la entrada, identificar a toda persona
que entre a la organización…