4.2.

1 POLITICAS DE SEGURIDAD
Un política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan
de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento
de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la
seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de
seguridad de un país entero.
La política de seguridad es un documento de alto nivel que denota el compromiso de la
gerencia con la seguridad de la información. Contiene la definición de la seguridad de la
información desde el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de
seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible
de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede
ser también un documento único o inserto en un manual de seguridad. Se debe designar un
propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio
que se requiera.

Estas políticas deben definir cuáles son los aspectos de la empresas más
importantes que deben estar bajo control. De esta forma se detallan una serie
de procesos internos de la empresa que se deben realizar de forma periódica
para no mantenerlos vulnerables. Las políticas de seguridad no solo van
destinadas a los equipos técnicos e informáticos de una empresa, sino que van
dirigidos a todos los puestos de trabajo que sean susceptibles de producir algún
error o descuido de seguridad. Cabe destacar que muchos de los problemas de
seguridad de las empresas se producen por errores de las personas que no
tienen en cuenta la vulnerabilidad de los datos y la información de la empresas.

También es necesario establecer cuáles son los mecanismos de seguridad que

vamos a implantar en nuestra empresa. Estos tendrán que plantearse en tres
ámbitos de actuación diferentes:

o Prevención: Recuerda que más vale prevenir que curar, por lo que esta primera
fase será imprescindible para no tener problemas.
o Detección: En el caso de tener alguna amenaza será necesario saber cómo
detectar y realizar diagnósticos adecuados sobre los errores recibidos.
o Actuación: Por último, en el caso de que se produzca alguna inviolabilidad de
nuestro sistema informático es necesario establecer protocolos de actuación
que nos permitan solucionar cualquier amenaza de la forma más rápida y
efectiva posible.
4.2.2 ORGANIZACIÓN PARA LA SEGURIDAD DE LA INFORMACION
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base
sobre la que se cimienta todo el edificio de la seguridad de la información: •
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y
completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y
utilización de la información y los sistemas de tratamiento de la misma por parte de los
individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la
seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso
sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial. Este proceso es el que constituye un SGSI.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.

4.2.3 ADMINISTRACION DE ACTIVOS

Los activos los podemos separar en dos grandes grupos: tangibles e

intangibles. Los activos tangibles son aquellos activos materiales
que contienen información, y sobre los que tomaremos medidas
preventivas para protegerlos principalmente de riesgos físicos: golpes,
agua, fuego, etc. Los activos intangibles son aquellos que soportan la
información dentro de un activo material, y pueden inutilizar la información,
pese a que el activo físico no haya sufrido daño alguno.
Por ejemplo: Un listado de personal (información) puede estar incluido en
una hoja Excel (activo intangible), que se encuentra en un ordenador de
sobremesa (activo material), situado en la oficina principal (activo material)
de la empresa.
Activos materiales
Algunos ejemplos de activos materiales que se pueden encontrar en todas
las empresas, son:
o Equipos informáticos: Cada vez son más los equipos informáticos
presentes en las empresas, y pese a no contener información crítica en su
interior, si que tienen acceso a servidores y redes que si la poseen.
o Servidores físicos: Los servidores propios donde guardamos todos los
documentos de la organización o donde se encuentran las aplicaciones
informáticas compartidas (ERP, CRM...), y los externos donde alojamos
nuestros servicios web y de correo electrónico, suelen ser los Activos más
críticos dentro del SGSI.
o Equipos red local: nuestros equipos informáticos están conectados entre sí
por medio de redes inalámbricas o cableadas. Las cuales pueden ser
cortadas o violadas por hackers expertos.
o Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e
impresoras donde se deja información impresa olvidada con frecuencia.
Los pendrives, CDs, DVDs... suelen perderse con facilidad o quedar
olvidados por los cajones con información muy sensible.
o Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos
dispositivos electrónicos que salen de nuestras
instalaciones habitualmente. Sea por visitas comerciales, porque el
trabajador se lo lleva a casa después del trabajo, o se ceden
temporalmente a terceros.
o Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales...
contienen los ordenadores, los servidores físicos, los archivadores, la
documentación en papel... Por lo que deben ser consideradas como un
activo material más, que deberemos proteger.
o Personal propio: Cada una de las personas que trabajan en la
organización, tienen información del negocio en su cabeza: conocimientos
del proceso productivo, salarios, contactos de proveedores y clientes...
dependiendo del puesto que ocupe el trabajador, ésta será más o menos
sensible.
o Oros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías,
salas refrigeradas para servidores, cuartos de archivo, CPDs... son otros
activos físicos que podemos tener en nuestra organización, y deberemos
identificar.
 Activos intangibles
Entre los distintos activos intangibles que encontraremos en nuestra
organización, cabe destacar:

o Aplicaciones informáticas: cualquier software que contenga o gestione

información del negocio, será un Activo: el ERP, aplicaciones de
contabilidad, el CRM, Aplicaciones ofimáticas (Word, Excel, Powerpoint...),
software de control de calidad, aplicaciones de gestión de proyectos o
producción...
o Gestores de copias de seguridad: las aplicaciones de creación y restauración
de copias de seguridad se tratan como herramientas diferentes a las
anteriores, dado que se debe garantizar su disponibilidad en el caso de
caída grave del resto de sistemas.
o Sistemas operativos: Dado que soportan el resto de aplicaciones
informáticas y que son uno de los principales objetivos de los virus
informáticos, los gestionaremos de manera especial al resto del software.
o Comunicaciones: Las comunicaciones con el exterior también son críticas
ante una situación de emergencia, por lo que se tratarán de forma
diferente: los servicios telefónicos, el acceso a internet y los servidores de
correo electrónico.
o Gestores de bases de datos: el mal funcionamiento del ERP puede suponer
una pérdida de accesibilidad de la información durante un tiempo
determinado. Pero la caída del gestor de bases de datos que hay detrás,
puede generar la perdida de una parte del contenido o su totalidad. Por lo
que requiere de un cuidado más exigente y delicado.
o Suministros: la perdida de suministro eléctrico durante un espacio de
tiempo prolongado, puede suponer la caída de los sistemas de información
de la organización. Por lo que deberemos tener alternativas a nuestro
proveedor habitual de estos servicios.

4.2.4 SEGURIDAD DE LOS RECURSOS HUMANOS

hace posible que una organización incluya los criterios de seguridad de la información en la
gestión de los Recursos Humanos.
La seguridad en esta gestión debe tener en cuenta la selección y contratación, la formación de
empleados y la salida de la empresa.

Selección y contratación
La incorporación de una persona a una empresa o el ascenso interno implica un nuevo acceso
a sistemas de información sensibles para la organización, y que con ISO-27001 se podrá
proteger. Por esto, deberían realizarse acciones preventivas para evitar riesgos derivados de
un mal uso de la información.

Al margen de esto, antes de contratar a una persona se debería comprobar todos sus
antecedentes, teniendo en cuenta la legislación en privacidad y protección de datos, incluyendo
el contenido del currículum, las certificaciones académicas y profesionales.

4.2.5 SEGURIDAD FISICA Y AMBIENTAL

mantiene la seguridad de la información de una organización protegida de accesos inadecuados

y otras amenazas a las que se pueda enfrentar.

Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de
información de una organización es el acceso físico. Si el acceso a una instalación está
correctamente protegido también lo estará el acceso a los sistemas de información, por eso es
necesario considerar cómo gestionar las áreas seguras.

Áreas seguras
Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica
para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles
de acceso pertinentes.

Estos controles de acceso apoyan la labor de ISO-27000 y serán proporcionales con el nivel
crítico de la información que protegen o con los riesgos identificados para los activos

En cuanto al perímetro de seguridad, debe impedir el acceso al personal no autorizado,

implantando una serie de controles físicos que eviten el acceso en las zonas de entrada. Un
ejemplo de este tipo de controles podría ser un sistema de vigilancia 24 horas, alarmas, barreras
arquitectónicas…

En estas áreas habrá una serie de entradas que deberán ser registradas con fecha y hora a la
que se produzcan. Solo tendrán acceso a la información para la que tienen autorización, y si
fuera necesario irían acompañados por algún responsable durante su visita, llevando una
identificación visible.
Para mayor seguridad, los derechos de acceso a estas áreas se deben revisar y actualizar con
determinada periodicidad, han de existir unas normas de trabajo en las mismas de obligado
cumplimiento para todo aquel que acceda.

Los recursos de la información más críticos deben estar localizados en zonas que no sean de
paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se
maneja.

Otros elementos que hace que un área sea segura para salvaguardar la información, son los
controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información
si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén
localizadas en una zona distinta a la que están las copias originales.

Cualquier área de carga y descarga de material u otro tipo de punto de acceso público debería
estar asilado y distante del lugar donde se encuentran y se manejan recursos con información
crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado
para protegerla de cualquier amenaza.

Una PYME está preparada para implantar ISO27001, y en ella, el perímetro de seguridad puede
estar delimitado por la ubicación de los activos más importantes, y como medidas de restricción
al acceso de la información se pueden proponer asegurar puertas y ventanas, informar a todo
el mundo de sus funciones, implantar barreras físicas a la entrada, identificar a toda persona
que entre a la organización…