República Bolivariana de Venezuela

Ministerio del Poder Popular para Educación Universitaria, Ciencia y Tecnología

Universidad Politécnica Territorial del Oeste de Sucre “Clodosbaldo Russián”

Programa Nacional de Formación en Informática

Seguridad Informática

UNIDAD IV

POLÍTICAS DE SEGURIDAD INFORMÁTICA

Realizado por:
Tutor Académico: T.S.U. Benítez Antonio
Profa. Julimar Garcia C.I. Nº V-12.267.383

Cumaná, Octubre 2018

Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

1 Introducción

La seguridad informática comprende un campo muy amplio, esta va desde la

protección del computador que disponemos, atravesando por la información disponible y
alcanzando las redes que nos comunican con el mundo exterior. De esto se desprende que la
definición de seguridad sea bastante compleja y dentro de un entorno informático de
cambio continuo. Se tiene que tener claro que la seguridad del entorno informático en las
organizaciones deben basarse en procedimientos, normativas o políticas de seguridad.

En tal sentido, las políticas de seguridad informática, surgen como un instrumento

organizacional para concientizar a cada uno de los miembros o usuarios de la organización
sobre la importancia y la sensibilidad de la información así como de los servicios críticos
que favorecen el desarrollo de la organización y su buen funcionamiento.

Entonces podemos decir que la mejor forma de atacar la seguridad informática en las
organizaciones es desarrollando una política de empresa que aborde el tema de seguridad
cibernética y que esboce las directrices y disposiciones para preservar la seguridad de la
infraestructura de datos y tecnología.

Este documento trata de hacer una recopilación e interpretación de los aspectos más
importantes que se deberían tomar en cuenta a la hora de diseñar e implementar medidas
relacionadas con la política de empresa que aborde el tema de seguridad informática.

2 Políticas de Seguridad Informática

El objetivo principal de este ensayo, es concebir los parámetros para la implementación

de políticas de seguridad informática en el ámbito de una organización o empresa, tomando
en cuenta la legislación nacional e internacional.

En tal sentido se debe definir que son las políticas de seguridad informática. Algunos
autores expresan que “una Política de Seguridad es un conjunto de requisitos definidos por

2
Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

los responsables de un sistema, que indica en términos generales que está y que no está
permitido en el área de seguridad durante la operación general del sistema.”.

La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de

alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases
para definir y delimitar responsabilidades para las diversas actuaciones técnicas y
organizativas que se requerirán."

Entonces se puede decir qué la política de seguridad es la forma de comunicación con

los usuarios, estableciendo un canal de actuación en relación a los recursos y los servicios
informáticos de la empresa. Describe lo que se desea proteger y el porqué, mediante
normas, reglamentos y protocolos a seguir, definiendo funciones y responsabilidades de los
componentes de la organización y controlando el correcto funcionamiento.

Algunos expertos en tecnologías de la información definen estos requisitos de

seguridad, considerándola como parte de la operativa habitual y no como una acción
adicional. La creación de estas políticas conlleva a la instauración de reglamentos de
seguridad. Las políticas de seguridad deben tomar en cuenta:

 El alcance de las mismas, cubriendo todos los aspectos relacionados.

 Objetivos y descripción de los elementos involucrados, protegiendo todos los
niveles: físico, humano, lógico y por supuesto logístico.
 Responsabilidades de los servicios y recursos informáticos implicados.
 Requerimientos mínimos de seguridad, incluyendo la estrategia a seguir en caso
de fallo.
 Definición de violaciones y sanciones.
 Responsabilidades de los usuarios y sus accesos.
 Las políticas de seguridad informática deben utilizar un lenguaje sencillo, sin
tecnicismos y ambigüedades, que puedan ser entendidos por todos.
 Deben ser actualizadas periódicamente.

3
Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

Los parámetros para establecer las políticas son:

 Analizar los riesgos a nivel informático, incluyendo hardware, software, los

propios usuarios y la interacción entre todos.
 Reunirse con los departamentos de los distintos recursos.
 Comunicar a todo el personal afectado del desarrollo de las políticas.
 Identificar los responsables de cada departamento en la toma de decisiones.
 Revisar periódicamente los procedimientos y operaciones de la empresa.
 Detallar el alcance de las políticas, basándonos en los recursos que deben ser
protegidos y el valor de los mismos.

En tal sentido, para que las políticas de seguridad surtan efecto en una organización, y
que dichas políticas sean aceptadas estas deben integrarse en el modelo de negocio de la
empresa, para que el personal entienda de su importancia.

Algunas organizaciones gubernamentales y no gubernamentales internacionales han

desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado
de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la
mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas
en el mundo.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya

mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,
Autenticidad y Utilidad.

Para establecer una estrategia adecuada es conveniente pensar una política de

protección que abarque los distintos niveles: Físico, Lógico, Humana y la interacción que
existe entre estos factores. El plan de políticas de seguridad informática debe incluir una
estrategia Proactiva y otra Reactiva.

4
Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto

de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las
directivas de seguridad y desarrolla planes de contingencia.

La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al

personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y
aprender de la experiencia.

Ejemplo: Personas Ajenas al Sistema - Amenaza No Intencionada

Un virus ingresa a la empresa mediante un mail enviado a un empleado, y comienza a

expandirse dentro de la misma tomando como base la libreta de direcciones de los usuarios:

Directivas:

Predecir Ataque/Riesgo: Negación de servicio del servidor de correo electrónico por

gran la cantidad de mensajes enviados/recibidos.

Amenaza: Virus.

Ataque: Virus de correo electrónico.

Estrategia Proactiva:

Predecir posibles daños: pérdida de productividad por negación de servicio.

Determinar y minimizar vulnerabilidades: actualización de antivirus y concientización

de usuarios en el manejo del correo electrónico.

Evaluar planes de contingencia: evaluar la importancia de un servidor backup.

Antivirus.

Estrategia Reactiva:

5
Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

Evaluar daños: pérdida de producción.

Determinar su origen: caída del servidor por overflow de mensajes.

Reparación de daños: implementar el servidor backup. Eliminación del virus causante

del problema.

Documentar y aprender.

Implementar plan de contingencia: servidor backup.

Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos

conceptos incorporados.

6
Materia: Seguridad Informática
Unidad IV: Políticas de Seguridad Informática

REFERENCIAS

Álvarez, L. 2005. Seguridad en Informática (Auditoria de Sistemas). Trabajo de Grado para

obtener el título de Maestro en Ingeniera de Sistemas Empresariales. Universidad
Iberoamericana, México DF.

Granados G (2014). INFORMACIÓN Activo valioso para las empresas. Recuperado el 27

de mayo de 2018 de http://www.visionindustrial.com.mx/industria/desarrollo-industrial-
3020/informacion-activo-valioso-para-las-empresas

Hewlett Packard Enterprise (2018) ¿Qué es la seguridad de red? Recuperado el 29 de mayo

de 2018 de https://www.hpe.com/mx/es/what-is/network-security.html

Introducción a las redes informáticas, su seguridad, y como armar una red segura (Guía).
Internet y Telecomunicaciones, Seguridad Informática, Fundamentos (2008). Recuperado
el 29 de mayo de 2018 de https://gburu.net/guia-introduccion-a-las-redes-informaticas-su-
seguridad-y-como-armar-una-red-segura/#seguridad_en_redes_conceptos

Manual de Seguridad en Redes. Coordinación de Emergencia en Redes Teleinformáticas de

la Administración Pública Argentina. Archivo en PDF.