2.

Políticas de seguridad
Proceso

22%
Índice
2.1. Introducción a las políticas de seguridad
2.2. ¿Por qué son importantes las políticas de seguridad?
2.3. Qué debe contener una política de seguridad
2.4. Lo que no debe contener una política de seguridad
2.5. Cómo conformar una política de seguridad informática
2.6. Hacer que se cumplan las decisiones sobre estrategia y políticas
2.1. INTRODUCCIÓN A LAS
POLÍTICAS DE SEGURIDAD
Hablemos de las políticas de seguridad
Las políticas de seguridad son las que recogen toda la seguridad con la que cuentan los sistemas
informáticos y nos ayudan a actuar mejor y más rápidamente frente a problemas futuros.
 Es importante que las políticas de seguridad sirvan para la correcta:

CONCIENCIACIÓN ENTENDIMIENTO COMPROMISO

Política Plan Procedimiento
de seguridad de seguridad de seguridad
Según el estándar RFC (Request
Conjunto de decisiones que se Definición detallada de los
For Comments) 1244 y 2196
toman para abordar acciones pasos a realizar para llevar a
podemos definir una Política de
futuras, así como la definición cabo determinadas tareas.
Seguridad como una “declaración
de los medios que se van a Estos procedimientos
de intenciones de alto nivel que
utilizar para conseguir dichas permiten implantar las
cubre la seguridad de los
acciones. políticas de seguridad que han
sistemas informáticos y que
proporciona las bases para sido aprobadas por la
definir y delimitar organización.
responsabilidades para las
diversas actuaciones técnicas y
organizativas que se requieran”.
Por encima de la política de seguridad se situarían
los objetivos fundamentales de la gestión de la
seguridad de la información: confidencialidad,
integridad y disponibilidad, que podrás conocer
también por sus siglas, CIA.

Características y
requisitos básicos
Esta práctica pone en peligro de manera
directa el valor vital de los datos que son el
activo de la organización. La consecuencia
de un clic en un email infectado o acceder a
una web indeseada es dar acceso al activo
de la empresa a los ciberdelincuentes.
 En conclusión, para hacer bien su trabajo, los
empleados no deben tener acceso a toda la
información de la compañía, tienen que estar
bien formados y hacer bien su trabajo.

El principio de mínimo privilegio

debe ser el elegido por cualquier
organización.

El usuario solo debe tener acceso a aquella

información que le sea fundamental para la
realización de sus funciones.
 2.2. ¿POR QUÉ SON
IMPORTANTES LAS
POLÍTICAS DE SEGURIDAD?
Como hemos dicho con anterioridad, las políticas
de seguridad tratan de crear una metodología
para actuar en favor del cuidado de la
información.
Su principal objetivo es, por lo tanto, expresar las
intenciones del sistema de gestión y del
documento creado.

La clave de estas políticas es tener detallados, en todo

momento, los objetivos principales del Sistema de
Gestión de Seguridad de la Información y crear un
ámbito para actuar acorde a ellos.
Dentro de las
competencias de estas
políticas podemos…
Detallar cómo se
Cómo vamos a llevar Cómo se ha
va a llevar a cabo
el seguimiento de llegado a su
la consecución de
los mismos. aprobación.
estos objetivos.
 Es importante que estas cuestiones
estén adaptadas en todo momento a las
características de la empresa, por lo que
estos datos han de estar en continuo
seguimiento, ya que pueden ir
cambiando las normativas e incluso
pueden llegar a quedar obsoletos.
2.3. QUÉ DEBE CONTENER UNA
POLÍTICA DE SEGURIDAD
¿Qué debe contener una
política de seguridad?
¡Recuerda!
Principales requisitos de
una política de seguridad
Capacidad de ser ejecutada mediante unos procesos administrativos o por la instalación de dispositivos y herramientas.

Resumen de lo que el personal con acceso al sistema necesita de ella.

Capacidad de adaptación.

Establecimiento de un marco con todos los objetivos.

Tiene en cuenta el entorno legal.

Realización de copias de seguridad.

Correcta comunicación entre la empresa y las partes involucradas

2.4. LO QUE NO DEBE CONTENER
UNA POLÍTICA DE SEGURIDAD
 Dos puntos muy importantes para mantener un buen
rendimiento de la seguridad de la red informática de la
empresa:
Aquello que tenemos que hacer

Aquello que NO tenemos que hacer

Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales
Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

Haz clic aquí
No usar recursos de la empresa para objetivos
que no sean íntegramente de la compañía

Respecto a las páginas web

Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos

Pueden suponer un gravede procedencia
problema dudosa
para nuestro
dispositivo, que puede incluir errores de seguridad
No compartir las contraseñas o accesos privados
muy difíciles e incluso imposibles de reparar.

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía

Respecto a las páginas web

Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos Haz clic aquí

que no sean íntegramente de la compañía

Respecto a las páginas web

Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir
Abrir archivoslas
quecontraseñas o accesos
sean de procedencia privados
dudosa o que en
un principio puedan parecer sospechosos por alguna
No usar recursos de la empresa para objetivos
razón. Las consecuencias de abrir documentos que
que no sean íntegramente de la compañía
estén dañados pueden ser irreversibles, ya que la
Respecto
exposición a las
frente páginas
al peligro web
es directa.
Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía
Haz clic aquí
Respecto a las páginas web
Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos
Será importantede la empresa
no compartir para objetivos
contraseñas con
que no sean
personas íntegramente
desconocidas; de la
este aspecto va compañía
ligado a la
necesidad de poner contraseñas difíciles e incluso al
Respecto a las páginas web
hecho de no repetir contraseñas en los diferentes
dispositivos.
Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía

Respecto a las páginas web

Haz clic aquí
Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía
Los fines personales solo pueden
Respecto a las dar lugar a fallos
páginas webde seguridad.
Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía

Respecto a las páginas web

Haz clic aquí

Puntos a evitar que deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía

Respecto a las páginas web

Se pueden visitar todas sin necesidad de estar vinculadas a la empresa siempre y cuando se
verifique que las URL sean las correctas, que se utilicen certificados válidos en entornos
seguros o realizando transacciones y comprobando que se cumple el protocolo https://
Hasta las acciones que consideramos habituales y sencillas de realizar y que, a priori, no tendrían por
qué suponer un riesgo por su uso normalizado pueden suponer un problema a corto-medio plazo.
¿Quién no se ha descargado música en su ordenador? Pues bien, incluso esta acción puede hacer que
recibamos amenazas externas que nos generen algún tipo de daño.
2.5. CÓMO CONFORMAR UNA
POLÍTICA DE SEGURIDAD
INFORMÁTICA
¡Vamos a ver ahora cómo conformar una
política de seguridad informática!
 Antes de conformar una
política de seguridad, se debe:

Tener en cuenta la repercusión

Analizar y gestionar los riesgos

La gestión
de riesgo

La gestión de riesgo permite establecer, analizar,

evaluar y clasificar el riesgo para, de este modo,
poder implementar las medidas necesarias para
mitigarlo o eliminarlo.
La gestión del riesgo se divide en distintas fases dependiendo de los
procesos y la metodología que se utilice. Las fases más comunes, tal como
muestra INCIBE (Instituto Nacional de Ciberseguridad de España) son:

◉ Definir el alcance: se establece el alcance del análisis; qué departamentos

de la empresa, qué procesos, sistemas o instalaciones pueden verse
afectados.
◉ Identificar los activos: es necesario identificar y clasificar todos los
activos que debemos tener en cuenta (información, bases de datos,
documentos, servidores, routers, terminales, etc.).

◉ Identificar las amenazas: en esta fase se deben

encontrar todas las amenazas que puedan afectar
o estén afectando a cada uno de los activos
seleccionados en la fase anterior.
◉ Identificar vulnerabilidades y salvaguardas: identificar las
vulnerabilidades que podemos encontrar en los activos, analizando las
posibles medidas de seguridad que ya deben estar implementadas para
salvaguardar dichos activos.

◉ Evaluar el riesgo: tras recabar la información en las fases anteriores, se

puede realizar el análisis del riesgo. En esta fase es necesario realizar una
valoración de la probabilidad de que suceda una amenaza para un activo
determinado y el impacto que esto tendría de manera particular y global.

◉ Tratar el riesgo: en último lugar, será necesario tratar los

riesgos, e identificar aquellos que superen el umbral de
seguridad establecido. La empresa debe establecer la
necesidad de realizar un tratamiento de aquellos riesgos
que superen un cierto valor o nivel.
Al gestionar el riesgo hay que tomar decisiones y estas se resumen en:

TRANSFERIR: derivar el riesgo a terceros. Un caso habitual es la contratación de seguros.

ELIMINAR: destruir el activo o proceso implicado en el riesgo, por ejemplo, suspender la conexión a
internet. Sin embargo, en la mayoría de casos, eliminar un activo o proceso no suele ser la opción más
adecuada.
ASUMIR: en algunas situaciones, aunque deben ser muy estudiadas y fundadas, se puede tomar la
decisión de asumir el riesgo y no llevar a cabo ningún tratamiento. Esto puede ocurrir cuando el coste de
realizar otro tipo de acción no es factible. Es crucial valorar adecuadamente el impacto del riesgo si llegase a
materializarse.
MITIGAR: esta debería ser la decisión más común. Por
ejemplo, si implementamos una correcta política de cifrado
de datos, en caso de que no exista, estaremos
contribuyendo a mitigar el riesgo.
La gestión del riesgo debe incluir obligatoriamente un plan de revisión habitual.

Los riesgos en la ciberseguridad son elementos vivos y cambiantes, por tanto, continuamente aparecen
nuevas vulnerabilidades. Los activos rotan y se actualizan constantemente. Por otro lado, debemos tener en
cuenta que la obsolescencia de los equipos y sistemas es elevada.
Personas que deberían estar involucradas
en la definición de las políticas de seguridad.
Los directivos y responsables.

El personal del departamento de informática y comunicación.

El equipo de respuesta a incidentes de seguridad informática.

Los consultores especializados en el campo de la seguridad.

Las personas que representan a los usuarios.

¿Cómo se estructura exactamente este
documento según lo que hemos visto?
EL TÍTULO

LA FECHA DE PUBLICACIÓN

LA FECHA DE SU ENTRADA EN
VIGOR
LOS CONSULTORES ESPECIALIZADOS
EN EL CAMPO DE LA SEGURIDAD

LA FECHA EN LA QUE TENEMOS LA

PREVISIÓN DE REALIZAR LA REVISIÓN
2.6. HACER QUE SE CUMPLAN
LAS DECISIONES SOBRE
ESTRATEGIA Y POLÍTICAS
¿Cómo hacer que se cumplan las
decisiones sobre estrategia y políticas?
Para hacer que se
cumplan las
decisiones se
necesita:

PREDISPOSICIÓN

UN DOCUMENTO FIRMADO

CONSTANTE ACTUALIZACIÓN

SESIONES DE FORMACIÓN
 ¡Enhorabuena!
Has conseguido superar la segunda unidad. Continúa con el
curso para… ¡Ser el mejor en gestión de la seguridad
informática en tu empresa!