Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad
Informática 4
(Políticas de
Seguridad)
AVISO LEGAL: Este documento está clasificado con la etiqueta “PUBLICO”, por lo que se
le da un tratamiento del mismo nivel. Podrá ser leído por aquellas personas que lo abran online
o descarguen para tenerlo. Se podrá imprimir y compartir el documento.
Tabla de contenido
1. Contenido del documento. ............................................................................................... 2
2. Documentación de la información. ................................................................................... 2
2.1 Políticas de seguridad. .............................................................................................. 2
2.1.1 Estructura de la política de seguridad. .............................................................. 2
2.1.2 Tipos de política de seguridad. .......................................................................... 3
2.2 Políticas de seguridad generales ............................................................................... 3
2.2.1 Políticas que afectan a usuarios ........................................................................ 3
2.2.2 Políticas que afectan al personal de gestión ...................................................... 3
2.2.3 Políticas que afectan a los administradores ...................................................... 4
2.2.4 Políticas que afectan a la gestión ...................................................................... 4
2.2.5 Otras políticas de seguridad comunes ............................................................... 5
2.3 Políticas de seguridad en Recursos Humanos (RRHH) ............................................... 6
2.3.1 Contratación...................................................................................................... 6
2.3.2 Despido ............................................................................................................. 6
2.3.3 Vacaciones ........................................................................................................ 6
2.3.4 Seguridad relacionada con RRHH ...................................................................... 6
2.4 Políticas de seguridad de Educación y Entrenamiento .............................................. 7
2.4.1 Formación general y en roles ............................................................................ 7
2.4.2 Hábitos de usuario ............................................................................................ 7
2.4.3 Nuevas amenazas, Redes Sociales (RRSS) y programas P2P .............................. 8
SERGIO ROMERO 1
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
Este documento sirve como guía para el directo mencionado en el primer párrafo de este punto,
así, como de aprendizaje.
2. Documentación de la información.
2.1 Políticas de seguridad.
Es un documento largo creado de varios subdocumentos que definen la estrategia de seguridad
de la compañía; definiendo todas las reglas que deben ser seguidas tanto por el personal de la
organización.
Son diseñadas para proteger los activos de la organización y asegurar que las acciones dentro
de la misma son legales y cumple con cualquier regulación que rige la organización.
Cada subdocumento cubre un área específica y se conoce como política. Especifica que se debe
hacer y que no se debe hacer; debiendo ser seguido por cada persona de la organización.
Son creadas por un profesional de la seguridad, pero deben estar respaldadas por una persona
de alto nivel de gestión en la empresa. Hay que asegurar que es abalada por dicha persona de
alto nivel para asegurar que la política se implemente y sea seguida por todas las personas de la
organización.
SERGIO ROMERO 2
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
• Standards (Estándares): Debe ser seguida y suele cubrir un área de seguridad. El fallo
acaba desembocando en acciones disciplinarias.
• Guidelines (Recomendaciones): Recomendaciones de cómo seguir las buenas prácticas
en seguridad.
• Procedures (Procedimientos): Política procedimental paso a paso que muestra cómo se
debe configurar un sistema, dispositivo, o instrucciones de como se debe implementar
una solución de seguridad específica.
• Acceptable Use Policy [AUP] (Política de Uso Aceptable): Permite a los usuarios saber
que considera la empresa un uso aceptable de sus activos como el servicio de internet,
los equipos, etc. Se debe asegurar que todos los usuarios implicados han leído,
entendido, y firmado las políticas que hacen referencia al uso aceptable de los activos.
• Password Policy (Política de contraseñas): Define las restricciones que afectan al uso
de una contraseña dentro de la empresa. Esta política debe seguir las consideraciones
siguientes:
o Longitud mínima: Define cuantos caracteres mínimos debe tener la contraseña.
o Password History: Define cuantas contraseñas pasadas debe recordar el
sistema para que no se puedan volver a usar las mismas.
o Edad máxima de la contraseña: Define el tiempo máximo que tiene el usuario
antes de cambiar de contraseña.
o Edad mínima de la contraseña: Define el tiempo mínimo que debe pasar antes
de que el usuario cambie de contraseña.
o Complejidad de la contraseña: Define los requerimientos de complejidad de la
contraseña, como la mezcla de letras (mayúsculas y minúsculas), el uso de
números, y el uso de símbolos o caracteres.
• Onboarding (Formación): Especifica para cada rol de trabajo la formación que debe
tener cada empleado para ayudarle en el rol que ocupan.
• Continuing Education (Educación Continua): Define el presupuesto por cada empleado
destinado anualmente a la formación en su rol de trabajo.
• AUP: Definida anteriormente, hace referencia al uso aceptable de los activos.
• Adverse Actions (Acciones Adversas): Debe especificar las acciones adversas para
cualquier empleado que no siga las políticas de seguridad.
SERGIO ROMERO 4
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
• Remote Access Policy (Política de Acceso Remoto): Diseñada para determinar cómo los
usuarios deben contactarse remotamente para obtener acceso.
• Wireless Policy (Política de WiFi): Especifica como se permite el acceso a redes no
cableadas, contando los controles de seguridad que se deben encontrar para poder
acceder de forma segura.
• VPN Policy: Hace referencia a cómo los usuarios se deben conectar a la red usando
internet.
• Incident Response Policy (Política de Respuesta a Incidentes): Diseñada para el equipo
de seguridad que debe lidiar con los incidentes de seguridad.
• Firewall Policy: Especifica la solución de seguridad que se implementa como Firewall y
los tipos de tráfico que son permitidos o denegados al pasar por él.
• Virus Protection Policy: Especifica que dispositivos y sistemas requieren tener un
software antivirus instalado.
• Audit Policy: Especifica donde se necesita implementar una auditoria en la compañía;
así, como los tipos de servidores, redes o actividades que necesitan ser auditadas.
• Physical Security Policy (Política de Seguridad Física): Diseñada para especificar
cualquier tipo de control de seguridad, como las puertas bloqueadas o cerradas,
guardias, vallas, etc.
• Software Policy: Especifica que software es aprobado para el negocio e indicando cual
se puede instalar y cual no. Se debe especificar cómo se puede añadir un software nuevo
a la lista que está permitida.
• Backup Policy (Política de Copias de Seguridad): Especifica que tipo de datos son
necesarios que sean copiados por seguridad frecuentemente. Los administradores
deben ver la política para determinar cómo harán las copias de seguridad dentro del
negocio.
SERGIO ROMERO 5
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
2.3.1 Contratación
Creado para ayudar a los RRHH a entender la necesidad de mantener la seguridad en el proceso
de contratación de un empleado:
2.3.2 Despido
Determina los pasos que se deben seguir en el proceso de terminar una vinculación legalmente
con un empleado. Hay 2 formas de terminar una relación laboral:
• Friendly Termination: Hace referencia a cuando una relación laboral termina de forma
amistosa, es la más recomendable. Involucra que un empleado deje la compañía en
buenos términos y de forma normal por razones de no competencia. El empleado
deberá reflejar en una entrevista al dejar la empresa en un documento las razones por
las que deja la empresa.
• Unfirendly Termination: involucra que un empleado ha sido despedido de la compañía
o la ha dejado en malos términos. En estos casos, suele acabar debido a que el empleado
se va a la competencia. Se debe notificar al equipo de ciberseguridad que usuario deja
la compañía para dar su perfil de baja en los sistemas informáticos de la empresa.
2.3.3 Vacaciones
El tiempo de vacaciones se debe usar. Ayuda a detectar las actividades fraudulentas o
sospechosas dentro de la organización, pues otro compañero deberá asumir el rol de trabajo
mientras éste está de vacaciones.
SERGIO ROMERO 6
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
• Business Users: Los usuarios del negocio deben estar educados acerca de las buenas
prácticas de contraseña, ingeniería social, protección antivirus, y la importancia de la
seguridad física.
• Technical Team: Administradores del sistema, administradores de la red,
administradores de seguridad, y potencialmente, el equipo de soporte.
• Management: Concienciación en seguridad para el personal de gestión, enfocando en
porque ellos deben apoyar las iniciativas de seguridad que son propuestas y dando
ejemplo de como afectaron en el pasado al negocio con pérdidas.
• Data Owner: Responsable de los datos y deben ser entrenados en como proteger cada
dato.
• System Owner: Responsable de los activos, debe estar entrenado en el valor de cada
tipo de sistema y los tipos de controles de seguridad que deben ser usados para proteger
los activos.
• Privileged User: Cualquiera que tenga asignados permisos extra para realizar tareas
administrativas.
Se debe formar y concienciar acerca de la educación para reducir la exposición con el riesgo de
que un evento de seguridad ocurra. Hay que asegurar que entienden la política de dispositivos
y la importancia de la destrucción de discos duros y activos una vez quedan obsoletos.
SERGIO ROMERO 7
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)
Hay que asegurar que se entrena a los usuarios en el acceso/uso de las RRSS para evitar que
publiquen información en ellas que pueda comprometer a la seguridad del negocio/empresa.
Entrenar en el uso de programas P2P mediante los cuales se prohíba la descarga de contenido
multimedia, debido a que suele ser una entrada de virus y posibles infecciones hacia la red o
equipos de la empresa.
SERGIO ROMERO 8