Introducción a la

Seguridad
Informática 4
(Políticas de
Seguridad)

sergio romero | Informática para gallinas

 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

AVISO LEGAL: Este documento está clasificado con la etiqueta “PUBLICO”, por lo que se
le da un tratamiento del mismo nivel. Podrá ser leído por aquellas personas que lo abran online
o descarguen para tenerlo. Se podrá imprimir y compartir el documento.

Tabla de contenido
1. Contenido del documento. ............................................................................................... 2
2. Documentación de la información. ................................................................................... 2
2.1 Políticas de seguridad. .............................................................................................. 2
2.1.1 Estructura de la política de seguridad. .............................................................. 2
2.1.2 Tipos de política de seguridad. .......................................................................... 3
2.2 Políticas de seguridad generales ............................................................................... 3
2.2.1 Políticas que afectan a usuarios ........................................................................ 3
2.2.2 Políticas que afectan al personal de gestión ...................................................... 3
2.2.3 Políticas que afectan a los administradores ...................................................... 4
2.2.4 Políticas que afectan a la gestión ...................................................................... 4
2.2.5 Otras políticas de seguridad comunes ............................................................... 5
2.3 Políticas de seguridad en Recursos Humanos (RRHH) ............................................... 6
2.3.1 Contratación...................................................................................................... 6
2.3.2 Despido ............................................................................................................. 6
2.3.3 Vacaciones ........................................................................................................ 6
2.3.4 Seguridad relacionada con RRHH ...................................................................... 6
2.4 Políticas de seguridad de Educación y Entrenamiento .............................................. 7
2.4.1 Formación general y en roles ............................................................................ 7
2.4.2 Hábitos de usuario ............................................................................................ 7
2.4.3 Nuevas amenazas, Redes Sociales (RRSS) y programas P2P .............................. 8

SERGIO ROMERO 1
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

1. Contenido del documento.

El contenido de este documento se trata en el video en directo emitido en el canal de YouTube
“informatica paragallinas” en la fecha 20 de Julio de 2020 con el título “Introducción a la
Seguridad Informática (4)”.

En el siguiente punto se explicarán las definiciones, herramientas, ejemplos, de los temas

relacionados con las políticas de seguridad y los factores de autenticación.

Este documento sirve como guía para el directo mencionado en el primer párrafo de este punto,
así, como de aprendizaje.

2. Documentación de la información.
2.1 Políticas de seguridad.
Es un documento largo creado de varios subdocumentos que definen la estrategia de seguridad
de la compañía; definiendo todas las reglas que deben ser seguidas tanto por el personal de la
organización.

Son diseñadas para proteger los activos de la organización y asegurar que las acciones dentro
de la misma son legales y cumple con cualquier regulación que rige la organización.

Cada subdocumento cubre un área específica y se conoce como política. Especifica que se debe
hacer y que no se debe hacer; debiendo ser seguido por cada persona de la organización.

Son creadas por un profesional de la seguridad, pero deben estar respaldadas por una persona
de alto nivel de gestión en la empresa. Hay que asegurar que es abalada por dicha persona de
alto nivel para asegurar que la política se implemente y sea seguida por todas las personas de la
organización.

2.1.1 Estructura de la política de seguridad.

Una política de seguridad se genera siguiendo un formato de 6 secciones que deben existir en
toda política de seguridad:

• Overview (propósito): Debe identificar cual es el propósito de la política y cómo ayuda

a securizar el entorno (breve resumen).
• Scope (alcance): Define a quien se le aplica la política.
• Policy: Es la sección más larga y en ella se especifican las cosas que se deben hacer y
cuales no. Se puede subdividir en diferentes partes para ayudar a organizar todas las
reglas especificadas por la política.
• Enforcement (aplicación): Sección en la que se especifica que ocurre cuando un
empleado no sigue la política. Suele ser una sección corta y se incluyen acciones
disciplinarias que pueden llegar a resultar en despido.
• Definitions: Se añaden las definiciones de términos usados en la política que ayuden a
entenderla pues el lector de la política puede no saberlos.
• Revision History (revisión histórica): Sección en la que se lista la fecha de los cambios
en la política, quien hizo el cambio, y a veces, se incluye quien autorizó el cambio. Se
debe añadir una entrada de quien ha creado la política.

SERGIO ROMERO 2
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

2.1.2 Tipos de política de seguridad.

Cada política de seguridad sirve a un propósito diferente, existiendo 3 tipos de políticas de
seguridad diferentes:

• Standards (Estándares): Debe ser seguida y suele cubrir un área de seguridad. El fallo
acaba desembocando en acciones disciplinarias.
• Guidelines (Recomendaciones): Recomendaciones de cómo seguir las buenas prácticas
en seguridad.
• Procedures (Procedimientos): Política procedimental paso a paso que muestra cómo se
debe configurar un sistema, dispositivo, o instrucciones de como se debe implementar
una solución de seguridad específica.

2.2 Políticas de seguridad generales

Las empresas deben tener políticas de seguridad implementadas para cumplir con las
regulaciones y estándares, siendo un punto de inicio en la implementación de seguridad, debido
a que definen las reglas en el negocio y las cosas que se deben hacer y no.

2.2.1 Políticas que afectan a usuarios

Son políticas que afectan a los usuarios que interactúan con los activos dentro del negocio de
forma diaria:

• Acceptable Use Policy [AUP] (Política de Uso Aceptable): Permite a los usuarios saber
que considera la empresa un uso aceptable de sus activos como el servicio de internet,
los equipos, etc. Se debe asegurar que todos los usuarios implicados han leído,
entendido, y firmado las políticas que hacen referencia al uso aceptable de los activos.
• Password Policy (Política de contraseñas): Define las restricciones que afectan al uso
de una contraseña dentro de la empresa. Esta política debe seguir las consideraciones
siguientes:
o Longitud mínima: Define cuantos caracteres mínimos debe tener la contraseña.
o Password History: Define cuantas contraseñas pasadas debe recordar el
sistema para que no se puedan volver a usar las mismas.
o Edad máxima de la contraseña: Define el tiempo máximo que tiene el usuario
antes de cambiar de contraseña.
o Edad mínima de la contraseña: Define el tiempo mínimo que debe pasar antes
de que el usuario cambie de contraseña.
o Complejidad de la contraseña: Define los requerimientos de complejidad de la
contraseña, como la mezcla de letras (mayúsculas y minúsculas), el uso de
números, y el uso de símbolos o caracteres.

2.2.2 Políticas que afectan al personal de gestión

Son políticas que se aplican directamente a cualquier miembro del equipo ejecutivo o de alto
nivel en la empresa:

• Nondisclosure Agreement [NDA] (Acuerdo de No Divulgación): Debe ser leídas y

firmadas para asegurar que conocen, entienden, y aceptan que no pueden compartir
información sensible que pueda tener ganar acceso. Esta política se aplica mientras
trabaja para la empresa y después de haber dejado la misma.
SERGIO ROMERO 3
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

• Onboarding (Formación): Especifica para cada rol de trabajo la formación que debe
tener cada empleado para ayudarle en el rol que ocupan.
• Continuing Education (Educación Continua): Define el presupuesto por cada empleado
destinado anualmente a la formación en su rol de trabajo.
• AUP: Definida anteriormente, hace referencia al uso aceptable de los activos.
• Adverse Actions (Acciones Adversas): Debe especificar las acciones adversas para
cualquier empleado que no siga las políticas de seguridad.

2.2.3 Políticas que afectan a los administradores

Estas políticas de seguridad hacen referencia a los administradores de red y a como deben
configurar los activos en la misma. Algunas de las políticas que se deben implementar para seguir
las buenas prácticas son:

• Change Management Policy (Políticas de Cambio en la Gestión): Especifica el proceso

a seguir cuando se implementan cambios en la red. Cuando no es seguida, el acceso
suele ser denegado debido a errores ocurridos durante la implementación. Debe
especificar quien debe ser notificado antes del implementar el cambio para que lo firme.
• Secure Disposal of Equipment (Política de Eliminación Segura de Equipos): Hace
referencia a los procedimientos que se deben seguir para deshacerse de un equipo
cuando es llevado fuera de producción.
• Service Level Agreement [SLA] (Acuerdo de Nivel de Servicio): Es el contrato entre la
organización y un proveedor de servicios. Establece el tiempo máximo permitido para
una caída del servicio como puede ser internet; siendo un elemento importante de las
políticas de seguridad.

2.2.4 Políticas que afectan a la gestión

Directamente afectan al equipo administrativo informándoles cómo deben hacer los cambios o
que tipos de cambios necesitan llevarse a cabo. Esta sección debe considerar la forma de
ayudar a proteger el negocio y los activos.

• Privacy Policy (Política de Privacidad): Usada para educar a empleados y clientes en

cómo y porqué se recoge información de los clientes y cómo esta información será
usada.
• Classification of Information (Clasificación de la Información): Define los diferentes
tipos de clasificación de la información, y que nivel de acceso es necesario para acceder
a dicha información. Asignar un nivel de clasificación (conocido como etiqueta de datos),
determina que controles de seguridad son usados para securizar la información y cuanto
dinero se invierte en proteger la información.
Los niveles de clasificación de la información son los siguientes:
o Top Secret: Nivel mas alto de clasificación. Puede causar daños a la seguridad
nacional.
o Secret: Nivel por debajo de Top Secret. Puede causar daños serios.
o Confidential: El nivel más bajo de clasificación. Puede causar un daño potencial.
o Unclassified: No se clasifica, de dominio público. Considerado seguro y no
perjudicial.

SERGIO ROMERO 4
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

Los niveles de acceso a la información asignados a cada persona se miden mediante el

nivel de acceso (clearance level):
o High/Medium/Low: Sistema de clasificación interna para medir el riesgo en
caso de que la información sea expuesta públicamente.
o Private/Public: Privado es para uso interno. Público es debido a que no presenta
un riesgo para la seguridad si es expuesto al público.
o Propietary: Usado para identificar la información de la que la empresa es
propietaria, la cual, no se suele compartir fuera de la compañía sin autorización.
• Data Retention Policy (Política de Retención de Datos): Especifica el tiempo que cierta
información debe ser retenida dentro de la empresa refiriéndose a los datos:
o Age of Data: Incluye los metadatos identificando la fecha de creación y de
expiración. El límite de edad en los datos podría ser de 3 a 7 años.
o Retaining Data: Especifica el tiempo que la información debe ser retenida antes
de ser permitida su destrucción. Debe identificar donde la información se
archiva para almacenamiento a largo plazo.

2.2.5 Otras políticas de seguridad comunes

Son políticas de seguridad que se siguen en un gran entorno de empresas casi por defecto,
siendo estas las más comunes que se suelen encontrar:

• Remote Access Policy (Política de Acceso Remoto): Diseñada para determinar cómo los
usuarios deben contactarse remotamente para obtener acceso.
• Wireless Policy (Política de WiFi): Especifica como se permite el acceso a redes no
cableadas, contando los controles de seguridad que se deben encontrar para poder
acceder de forma segura.
• VPN Policy: Hace referencia a cómo los usuarios se deben conectar a la red usando
internet.
• Incident Response Policy (Política de Respuesta a Incidentes): Diseñada para el equipo
de seguridad que debe lidiar con los incidentes de seguridad.
• Firewall Policy: Especifica la solución de seguridad que se implementa como Firewall y
los tipos de tráfico que son permitidos o denegados al pasar por él.
• Virus Protection Policy: Especifica que dispositivos y sistemas requieren tener un
software antivirus instalado.
• Audit Policy: Especifica donde se necesita implementar una auditoria en la compañía;
así, como los tipos de servidores, redes o actividades que necesitan ser auditadas.
• Physical Security Policy (Política de Seguridad Física): Diseñada para especificar
cualquier tipo de control de seguridad, como las puertas bloqueadas o cerradas,
guardias, vallas, etc.
• Software Policy: Especifica que software es aprobado para el negocio e indicando cual
se puede instalar y cual no. Se debe especificar cómo se puede añadir un software nuevo
a la lista que está permitida.
• Backup Policy (Política de Copias de Seguridad): Especifica que tipo de datos son
necesarios que sean copiados por seguridad frecuentemente. Los administradores
deben ver la política para determinar cómo harán las copias de seguridad dentro del
negocio.

SERGIO ROMERO 5
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

2.3 Políticas de seguridad en Recursos Humanos (RRHH)

Como las funciones de RRHH pueden afectar en la seguridad del negocio y que pueden hacer
para ayudar a mantener la seguridad en la organización:

2.3.1 Contratación
Creado para ayudar a los RRHH a entender la necesidad de mantener la seguridad en el proceso
de contratación de un empleado:

• Proceso de Entrevista: Ordenando los tipos de entrevistas que se llevan a cabo.

• Contact References (Contactar a las referencias): Especifica que hay que preguntar a
las referencias para, que pueden ser contactadas antes de la próxima entrevista.
• Background Check (Comprobaciones): Es el tipo de controles de comprobación que se
llevan a cabo a los candidatos para corroborar la veracidad de la información que
comparten.
• Sign a noncompete and NDA (No competencia y No divulgación): Especifica que los
candidatos deberán firmar un documento en el que acepten no divulgar información si
son despedidos, y de no poder irse a la competencia en caso de dejar la empresa.
• Drug screening (Prueba de drogas): Los candidatos deben ser preguntados durante la
ultima entrevista si ellos están dispuestos a realizarse una prueba de drogas.

2.3.2 Despido
Determina los pasos que se deben seguir en el proceso de terminar una vinculación legalmente
con un empleado. Hay 2 formas de terminar una relación laboral:

• Friendly Termination: Hace referencia a cuando una relación laboral termina de forma
amistosa, es la más recomendable. Involucra que un empleado deje la compañía en
buenos términos y de forma normal por razones de no competencia. El empleado
deberá reflejar en una entrevista al dejar la empresa en un documento las razones por
las que deja la empresa.
• Unfirendly Termination: involucra que un empleado ha sido despedido de la compañía
o la ha dejado en malos términos. En estos casos, suele acabar debido a que el empleado
se va a la competencia. Se debe notificar al equipo de ciberseguridad que usuario deja
la compañía para dar su perfil de baja en los sistemas informáticos de la empresa.

2.3.3 Vacaciones
El tiempo de vacaciones se debe usar. Ayuda a detectar las actividades fraudulentas o
sospechosas dentro de la organización, pues otro compañero deberá asumir el rol de trabajo
mientras éste está de vacaciones.

2.3.4 Seguridad relacionada con RRHH

Se deben incluir estos 3 principios de la seguridad informatica en la política de seguridad de
RRHH:

• Job Rotation: Rotación de tareas en el trabajo.

• Separation of Duties: Separar en varias funciones las tareas en el trabajo.
• Least Privilege: Menor privilegio para que no puedan llevar a cabo ninguna acción que
requiera permisos superiores.

SERGIO ROMERO 6
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

2.4 Políticas de seguridad de Educación y Entrenamiento

Hay que invertir tiempo en desarrollar el entrenamiento en seguridad y los programas de
concienciación que involucran la educación de todos los empleados para todos los niveles de
responsabilidad.

2.4.1 Formación general y en roles

Identificar cuales contenidos son apropiados presentara cada diferente rol de empleado o
departamento dentro de la organización.

• Business Users: Los usuarios del negocio deben estar educados acerca de las buenas
prácticas de contraseña, ingeniería social, protección antivirus, y la importancia de la
seguridad física.
• Technical Team: Administradores del sistema, administradores de la red,
administradores de seguridad, y potencialmente, el equipo de soporte.
• Management: Concienciación en seguridad para el personal de gestión, enfocando en
porque ellos deben apoyar las iniciativas de seguridad que son propuestas y dando
ejemplo de como afectaron en el pasado al negocio con pérdidas.
• Data Owner: Responsable de los datos y deben ser entrenados en como proteger cada
dato.
• System Owner: Responsable de los activos, debe estar entrenado en el valor de cada
tipo de sistema y los tipos de controles de seguridad que deben ser usados para proteger
los activos.
• Privileged User: Cualquiera que tenga asignados permisos extra para realizar tareas
administrativas.

Se debe formar y concienciar acerca de la educación para reducir la exposición con el riesgo de
que un evento de seguridad ocurra. Hay que asegurar que entienden la política de dispositivos
y la importancia de la destrucción de discos duros y activos una vez quedan obsoletos.

2.4.2 Hábitos de usuario

Identifica los puntos comunes en los que se quiere educar a los usuarios.

• Comportamiento de contraseñas: Educar en la importancia de tener contraseñas

robustas debido a que contraseñas simples son crackeadas en segundos. Hay que
asegurar que no reúsan contraseñas y que no las tienen escritas en papel cerca.
• Data Handling: Enfocar en que no se puedan sacar datos de los equipos del negocio,
bloqueando la posibilidad de conectar dispositivos USB. Educar en la destrucción de
datos antiguos.
• Clean Desk Policy: Politica de escritorio limpio, en la cual, se debe asegurar que los
documentos sensibles son almacenados en una localización segura y que no están en
texto plano o sobre el escritorio de un empleado.
• Tailgating & Piggybacking: Métodos en los que los intrusos aprovechan a colarse en la
empresa debido a que la puerta no se ha cerrado, aprovechando que un usuario
legitimado ha dejado abierta la puerta. Hay que usar una puerta giratoria o un
dispositivo “mantrap” que evite que se cuelen intrusos.

SERGIO ROMERO 7
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4 INFORMÁTICA PARA GALLINAS
(POLÍTICAS DE SEGURIDAD)

• Personally Owned Devices: Las buenas prácticas de seguridad impiden que un

empleado haga uso de sus dispositivos personales en la infraestructura de la empresa
para evitar comprometerla y debido a la imposibilidad de monitorizar la actividad de
estos dispositivos ya que no son propiedad de la empresa.

2.4.3 Nuevas amenazas, Redes Sociales (RRSS) y programas P2P

Hay que asegurar que se entrena y se conciencia acerca de que las nuevas amenazas son
descubiertas cada día y que los empleados deben asegurar que su equipo de casa y de trabajo
tiene actualizadas las definiciones de virus.

Hay que asegurar que se entrena a los usuarios en el acceso/uso de las RRSS para evitar que
publiquen información en ellas que pueda comprometer a la seguridad del negocio/empresa.

Entrenar en el uso de programas P2P mediante los cuales se prohíba la descarga de contenido
multimedia, debido a que suele ser una entrada de virus y posibles infecciones hacia la red o
equipos de la empresa.

SERGIO ROMERO 8