¿Qué son las políticas de seguridad informática?

Las políticas de seguridad informática son declaraciones formales de

las reglas que debemos cumplir las personas que tenemos acceso a
los activos de tecnología e información de una organización. Esta es la
definición según la RFC 2196 del Internet Engineering Task Force
(IETF) de 1997. Esta publicación sustituye a la anterior de 1991, lo que
pone en evidencia como la seguridad informática es una prioridad que
nació casi al mismo tiempo que Internet.
Existen dos grupos principales de políticas de seguridad
informática:
Las que definen lo que tenemos que evitar. Se trata de aquellos
comportamientos y prácticas que pueden poner en riego los sistemas
y la información, como, por ejemplo: abrir archivos o enlaces
sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas.
Las que definen lo que tenemos que hacer siempre, para mantener un
correcto nivel de protección y seguridad. Por ejemplo:
Cifrar archivos sensibles
Implementar copias de respaldo
Usar contraseñas y renovarlas de forma periódica
Usar VPN
Instalar software antivirus y antimalware
Importancia de las políticas de seguridad informática, ¿para qué
son?
politicas de seguridad informatica importancia
Las políticas de seguridad informática surgen como respuesta a los
diferentes riesgos de seguridad a la cual están expuestos nuestros
sistemas:
 Privacidad de la información, y su protección frente a
accesos por parte de personas no autorizadas como
hackers.
 Integridad de los datos, y su protección frente a corrupción
por fallos de soportes o borrado.
 Disponibilidad de los servicios, frente a fallos técnicos
internos o externos.
El objetivo de las políticas de seguridad informática es proporcionar a
todo el personal de una empresa también como a los usuarios que
acceden a sus activos de tecnología e información los requisitos y
pautas de actuación necesarios para protegerlos. Asimismo, estas
políticas son útiles a la hora de auditar los sistemas de información de
una empresa.
Políticas de seguridad informática: ventajas y desventajas
Las políticas de seguridad informática y de la información dependen
de forma directa de los objetivos de seguridad que nuestra empresa se
haya fijado. Hoy en día es imposible obtener un sistema
completamente seguro y resistente frente a cualquier tipo de amenaza
o vulnerabilidad. Por lo cual habrá que determinar si nuestras políticas
de seguridad serán más o menos restrictivas, lo que implicará realizar
un balance entre ventajas y desventajas:
Servicios ofrecidos VS seguridad: cada servicio que proporcionamos a
nuestros usuarios conllevan unos riesgos de seguridad, que a veces
superan a los beneficios del servicio, lo que pueden llevarnos a la
decisión de suprimirlo.
Usabilidad VS seguridad: cuantos más estrictas sean las medidas de
seguridad, tanto menos fácil de usar serán nuestros sistemas y
servicios. Hay que calibrar bien las medidas más restrictivas (cómo
autenticación multifactor) para que se implementen solamente en los
puntos más críticos.
Coste VS riesgo: la implementación de las políticas de seguridad
siempre conlleva un coste, tanto humano (contratación de personal
experto) como monetario (adquisición de hardware y software).
Características de las políticas de seguridad informática
Como hemos visto, hay distintas políticas de seguridad informática en
las empresas según los objetivos y prioridades de esta. Sin embargo,
todas las buenas políticas de seguridad informáticas tienen en común
estas características:
Concretas: tienen que poderse implementar a través de
procedimientos, reglas y pautas claras.
Claras: tienen que definir de forma clara las responsabilidades y
obligaciones de los distintos tipos de usuarios: personal,
administradores y dirección.
Obligatorias: su cumplimiento tiene que hacerse respetar, mediante
herramientas de seguridad o sanciones.

Procedimiento de Procedimiento de
gestion de usuario control de Acceso
Recoge las
Recoge las
instrucciones medidas tecnicas y
precisas para orgnizativas
realizar un alta, relacionadas con
cambio o
los permisos de
eliminacion de un acceso a las
usuario , asi como
instalaciones y
para la concesión sistemas que
de los permisos de
albergan la
acceso tanto fisico información de la
como logicoque
organizacion, asi
deberian tener las como el acceso la
instalaciones ,
propia información.
sistemas y a la
propia informacion
Control de acceso Control de acceso
fisico
Mecanismo y
sistemas
implementados
para controlar el
acceso de
personas a las
instalaciones de la
organizacion como
por ejemplo:
camaras, Sistemas
de apertura de
puertas biometricas
o por tarjetas o
computadoras. En
general es
cualquier medio
que dificulte o no
permita el acceso
no auhtorizado a la
Objetivos de la
información.
Proteccion
Politicas de
Seguridad
Procedimiento de
Procedimineto de Gestion de
clasificacion y incidentes de
tratamiento de la seguridad de la
información información
Incluye las Instrucciones para
instrucciones
la notificación de
acerca de como incidentes, de
clasificar la
respuesta a los
informacion de mismos con las
acuerdo a su valor,
acciones a realizar
requisitos legales, al ser detectados.
sensibilidad y
criticidad para la
organizacion y las
medidas de
proteccion y
manipulacion de la
misma acorde a su
clasificación
logico
Sistemas
implementados
para controlar el
acceso de los
usuarios a lso
distintos sistemas
que albergan la
información o el
acceso a la propia
información, por
ejemplo: Las
implementaciones
de un NAC(control
de acceso a
equipos y usuarios
a la red). la
configuracion de
permisos de lectura
y escritura sobre
los propios archivos
de informacion,
sistemas de login
en los distintos
sistemas,
autorizaciones de
acceso remoto de
los usuarios a la
red a traves de una
VPN, etc.
seguridad informatica
 Esto garantiza
que solo los
usuarios
autorizados
puedan
acceder a la
información

Autenticación

Es para
verificar
que el
usuario que
accedio es
en verdad
quien dice
ser