UNIVERSIDAD POLITECNICA TERRITORIAL

“JOSE ANTONIO ANZOATEGUI”

SEDE BARCELONA
SEGURIDAD INFORMÁTICA

POLITICAS DE SEGURIDAD INFORMATICA

Profesor: Integrante:
Sanez, José Díaz, Brenda C.I. 17.537.489
Trayecto 4, semestre 1
Sección: 01

Barcelona, Junio 2022

¿Qué son las políticas de seguridad informática (PSI)?

Una política de seguridad informática es una forma de comunicarse con los usuarios
y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con
los recursos y servicios informáticos, importantes de la organización. No se trata de una
descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre
sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos
proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos críticos de la compañía. Es un
conjunto de requisitos definidos por los responsables de un sistema, que indica en términos
generales que está y que no está permitido en el área de seguridad durante la operación
general del sistema. Una declaración de intenciones de alto nivel que cubre la seguridad de
los sistemas informáticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.

Una política de seguridad es un conjunto de directrices, normas, procedimientos e

instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para
que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y
normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus
principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto
que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado
a la estandarización del método de Conceptos clave operación de cada uno de los
individuos involucrados en la gestión de la seguridad de la información.

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se

definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...)
una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay
que tener en cuenta que la seguridad comienza y termina con personas. “y debe: Ser
holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el
acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las
necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz. Ser
atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir
estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se
conocen las alternativas ante circunstancias repetidas. Cualquier política de seguridad ha de
contemplar los elementos claves de seguridad ya mencionados: la Integridad,
Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

Elementos de una política de seguridad informática

Como una política de seguridad debe orientar las decisiones que se tomen en relación con
la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considere importante.

Las políticas de Seguridad Informática deben considerar principalmente los siguientes

elementos:

 Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
 Objetivos de la política y descripción clara de los elementos involucrados en su
definición. Responsabilidades por cada uno de los servicios y recursos informáticos
aplicados a todos los niveles de la organización.
 Requerimientos mínimos para la configuración de la seguridad de los sistemas que abarca
el alcance de la política.
 Definición de violaciones y sanciones por no cumplir con las políticas.

Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las
políticas de seguridad informática, también deben ofrecer explicaciones comprensibles
sobre porque deben tomarse ciertas decisiones y explicar la importancia de los recursos.
Igualmente, deberán establecer las expectativas de la organización en relación con la
seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro
punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo
y entendible, libre de tecnicismo, términos ambiguos que impidan una comprensión clara
de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el
que las políticas de seguridad, deben seguir unos procesos de actualización periódica sujeto
a los cambios organizacionales relevantes, como son: El aumento de personal, cambios en
la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios,
regionales de la empresa, cambio o diversificación del área de negocios, etc.

El objetivo de las políticas de seguridad informática

Una PSI busca proteger y garantizar los 3 principios de la seguridad de la información,
que son: confidencialidad, integridad y disponibilidad. Las normas y prácticas descritas en
las políticas de seguridad siempre se deben relacionar a uno o más de tales principios.

Su implantación previene daños en el funcionamiento de la empresa y estandariza los

procedimientos, además de prevenir y mediar las respuestas a incidentes. A largo plazo eso
repercutirá en la reducción de costos por incidentes de TI.
¿Cómo abordar la implementación de políticas de seguridad?

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es
necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son
evidentes (como la seguridad física) otras pautas no lo son tanto e incluso algunas pueden
ocasionar una sensación de falsa seguridad.

Todas y cada una de las políticas de seguridad de una empresa u organización deben
cumplir con los siguientes aspectos:
 Objetivos de la política y descripción clara de los elementos involucrados en su
definición
 Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a
todos los niveles de la organización
 Requerimientos mínimos para configuración de la seguridad de los sistemas que
abarca el alcance de la política
 Definición de violaciones y sanciones por no cumplir con las políticas
 Responsabilidades de los usuarios con respecto a la información a la que tiene
acceso

Entre las estrategias de seguridad:

 Disponer de un plan de contingencia que contemple:
1. Confidencialidad de la información almacenada
2. Autenticación de usuarios,
3. Integridad de los datos
4. Control de acceso
5. Copias de seguridad

Implementación

La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como

este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar
fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se
tomen no tendrán la fuerza necesaria.

Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados

varios tipos de problemas que afectan el funcionamiento de la organización. La
implementación de un sistema de seguridad conlleva a incrementar la complejidad en la
operatoria de la organización, tanto técnica como administrativamente.

Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los
costos administrativos y técnicos que se generen.

Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas

disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad
a los actos de la administración.

Una PSI informática deberá abarcar:

 Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.

 Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
 Responsabilidad de cada uno de los servicios, recurso y responsables en todos los
niveles de la organización.
 Responsabilidades de los usuarios con respecto a la información que generan y a la
que tienen acceso.
 Requerimientos mínimos para la configuración de la seguridad de los sistemas al
alcance de la política.
 Definición de violaciones y las consecuencias del no cumplimiento de la política.
 Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones
sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con
 exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria
de la ley.

Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su

precisión) sobre el porqué de las decisiones tomadas.
Finalmente, como documento dinámico de la organización, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la
planta de personal, cambio en la infraestructura computacional, alta y rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.

Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el
siguiente diagrama:

Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar

Se comienza realizando una evaluación del factor humano, el medio en donde se

desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea
encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del análisis, se originan un

programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de estas
políticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para
asegurar un marco efectivo se realiza una auditoria a los archivos Logs de estos controles.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una
simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta
simulación y los casos reales registrados generan una realimentación y revisión que
permiten adecuar las políticas generadas en primera instancia.

Por último el Plan de Contingencia es el encargado de suministrar el respaldo necesario en

caso en que la política falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un
sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal
se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que
implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de
seguridad.

Evaluación De Riesgos

El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura
No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático.
Esta identificación se realiza en una determinada área para que se pueda tener información
suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos
de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos
de análisis.

Además el análisis de riesgos cumple los siguientes  objetivos:

 Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los

problemas.
  Llevar a cabo un minucioso análisis de los riesgos y debilidades.
 Identificar, definir y revisar los controles de seguridad.
 Determinar si es necesario incrementar las medidas de seguridad.
 Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor
peligro, se pueden hacer el mantenimiento mas fácilmente.

Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:

 Se debe tener en cuenta las políticas y las necesidades de la organización así como

la colaboración con todas las partes que la conforman y que intervienen en los
procesos básicos.
 Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos
expertos.
 Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de
mecanismos de control.
 El comité o la junta directiva de toda organización debe incluir en sus planes
y presupuesto los gastos necesarios para el desarrollo de programas de seguridad,
así como tener en cuenta que esta parte es fundamental de todo proceso de
desarrollo de la empresa, especificar los niveles de seguridad y las
responsabilidades de las personas relacionadas, las cuales son complemento crucial
para el buen funcionamiento de todo programa de seguridad.
 Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los
mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar
los costos adicionales que se generan por su implementación.

El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para

identificar la vulnerabilidad de un servicio  o negocio a riesgos típicos, El método contiene
los siguientes pasos:

 Localización de los procesos en las dependencias que intervienen en la prestación

del servicio 
  Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este
paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un
peso a cada riesgo; se consideran tres categorías de vulnerabilidad (1 baja, 2 media,
3 alta) que se asignarán a cada actividad de acuerdo a su debilidad a una amenaza
(causa de riesgo). Por ejemplo, si afirmamos que el riesgo a una Decisión
equivocada tiene alto riesgo de vulnerabilidad, entonces tendría alta prioridad
dentro de nuestras políticas de seguridad.

RIESGO (%) Obtenido Vulnerabilidad

Decisiones 59 ALTA
equivocadas

Fraude 55 MEDIA

Hurto 54 MEDIA

Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:

 Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una
manera u otra el normal desempeño del entorno informático; por ejemplo, la
posibilidad de un incendio en el sitio donde se encuentran los concentradores de
cableado dado que posiblemente están rodeados de paredes de madera es una
amenaza natural.
 Accidentales: Son las más comunes que existen e incluyen:
  Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos
de administrador y posiblemente sin intención modifica información relevante.
 Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y
olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede
causar estragos.
 Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con
mecanismos de seguridad para su protección.
 Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.
 Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.
 Errores de comunicación: Por ejemplo, permitir la transmisión de información
violando la confidencialidad de los datos.
 Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados,
modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más
técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).
 Localización de los riesgos críticos en las dependencias de la empresa y procesos
que intervienen en el negocio.

Proceso / Riesgo Decisiones Fraude Hurto

equivocadas

Gestión de centros X X
transaccionales

Administración de X X
sistemas

Atención al cliente X X

Conciliación de X X X
cuentas

Riesgos Vs. División Sistemas Cartera Contabilidad

Dependencias. Financiera

Decisiones X X
equivocadas
Fraude X X X X

Hurto X X X X

 Identificar los controles necesarios: En este paso se precisan los controles, los
cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en
algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas
medidas tienen tres diferentes capacidades que incluyen: mecanismos de
prevención, mecanismos de detección y mecanismos de corrección; y que dentro de
un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se
incluye la funcionalidad y utilidad del control, y se identifican las personas
responsables de la implantación de los controles.

 Diseñar los controles definitivos: En este paso se tienen los productos necesarios

para iniciar el proceso de implantación de los controles utilizados o bien para
empezar la construcción de dichos mecanismos.
  Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de
control:
 Confidencialidad: Se refiere a la protección de la información principalmente de
accesos no autorizados. Información del personal, investigaciones y reportes de
desarrollo son algunos de los ejemplos de información que necesita
confidencialidad.
 Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser
adecuado, completo y auténtico en el momento de ser procesada, presentada,
guardada o transmitida la información.
 Disponibilidad: Indica la disponibilidad que pueden tener en un determinado
momento las actividades informáticas. Esta disponibilidad debe ser inmediata.
 Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben
dados a conocer oportunamente para que sean incorporados, desde las primeras
fases del proceso.
 Verificar por parte de la auditoría informática, la incorporación oportuna de los
controles: La auditoría informática debe conocer el resultado del análisis de riesgos
y verificar su implantación oportuna, para asegurar los mejores niveles de calidad,
seguridad y efectividad de los procesos informáticos.

Estrategias de Seguridad

El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos
en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la
aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo
permiten acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la
mayoría de los casos es una combinación de varios de ellos).
A continuación se enumeran una serie de medidas que se consideran básicas para
asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas
extraordinarias y de mayor profundidad:

 Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso

para todo el software que se implante en los sistemas, partiendo de estándares y de
personal suficientemente formado y concienciado con la seguridad.
 Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de
los centros de proceso de datos, sistemas de protección contra inundaciones,
protecciones eléctricas contra apagones y sobretensiones, sistemas de control de
accesos, etc.
 Codificar la información: criptología, criptografía y criptociencia. Esto se debe
realizar en todos aquellos trayectos por los que circule la información que se quiere
proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base
muy confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el
trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan
certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la
impresora de red, tendríamos un punto de vulnerabilidad.
 Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a
partir de los datos personales del individuo o por comparación con un diccionario, y
que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener
la suficiente complejidad como para que un atacante no pueda deducirla por medio
de programas informáticos. El uso de certificados digitales mejora la seguridad
frente al simple uso de contraseñas.
 Vigilancia de red. Las redes transportan toda la información, por lo que además de
ser el medio habitual de acceso de los atacantes, también son un buen lugar para
obtener la información sin tener que acceder a las fuentes de la misma. Por la red no
solo circula la información de ficheros informáticos como tal, también se
transportan por ella: correo electrónico, conversaciones telefónica (VoIP),
mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos,
etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de
 información. Existen medidas que abarcan desde la seguridad física de los puntos de
entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el caso
de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y deben
adoptarse medidas adicionales.
 Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes
entre los usuarios y servidores no públicos y los equipos publicados. De esta forma,
las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos,
que quedarán tras dos niveles de seguridad.
 Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de
intrusos - antispyware, antivirus, llaves para protección de software, etc.
 Mantener los sistemas de información con las actualizaciones que más impacten en
la seguridad.
 Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener
la información en dos ubicaciones de forma asíncrona.
 Controlar el acceso a la información por medio de permisos centralizados y
mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los
medios para conseguirlo son:
 Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
 Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
 Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
 Asegurar que la información transmitida sea la misma que reciba el destinatario al
cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de
emergencia alternativos de transmisión entre diferentes puntos.
 Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
 Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo,
como se ha indicado más arriba, e incluso utilizando programa que ayuden a los
 usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los
entornos actuales, conocidos habitualmente como gestores de identidad.
 Redundancia y descentralización.

Respaldo de información

La información constituye el activo más importante de las empresas, pudiendo verse

afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros.
Desde el punto de vista de la empresa, uno de los problemas más importantes que debe
resolver es la protección permanente de su información crítica.

La medida más eficiente para la protección de los datos es determinar una buena política de
copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos
son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo
se copian los ficheros creados o modificados desde el último backup). Es vital para las
empresas elaborar un plan de backup en función del volumen de información generada y la
cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

 Continuo
 El respaldo de datos debe ser completamente automático y continuo. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.
 Seguro
 Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho
localmente en el equipo antes del envío de la información.
 Remoto
 Los datos deben quedar alojados en dependencias alejadas de la empresa.
 Mantenimiento de versiones anteriores de los datos
  Se debe contar con un sistema que permita la recuperación de, por ejemplo,
versiones diarias, semanales y mensuales de los datos.
 Hoy en día los sistemas de respaldo de información online, servicio
de backup remoto, están ganando terreno en las empresas y organismos
gubernamentales. La mayoría de los sistemas modernos de respaldo de
información online cuentan con las máximas medidas de seguridad y disponibilidad
de datos. Estos sistemas permiten a las empresas crecer en volumen de información
derivando la necesidad del crecimiento de la copia de respaldo a proveedor del
servicio.

Protección contra virus

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la
información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los
medios de acceso a ellos, principalmente la red.

Control del software instalado

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo
tener controlado el software asegura la calidad de la procedencia del mismo (el software
obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de
software proporciona un método correcto de asegurar la reinstalación en caso de desastre.
El software con métodos de instalación rápidos facilita también la reinstalación en caso de
contingencia.

Control de la red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de
ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las máquinas.
 Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo
se ha introducido el virus.

Protección física de acceso a las redes

Independientemente de las medidas que se adopten para proteger los equipos de una red de
área local y el software que reside en ellos, se deben tomar medidas que impidan que
usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico
a proteger.
A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de
la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

Redes cableadas
Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida
básica es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser
sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales:
norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de
DHCP por asignación reservada, etc.

Redes inalámbricas
En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de
contención de la emisión electromagnética para circunscribirla a aquellos lugares que
consideremos apropiados y seguros. Además se consideran medidas de calidad el uso del
cifrado (WPA, WPA v.2, uso de certificados digitales, etc.), contraseñas compartidas y,
también en este caso, los filtros de direcciones MAC, son varias de las medidas habituales
que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente
al uso de un único método.

Sanitización
Proceso lógico y/o físico mediante el cual se elimina información considerada sensible o
confidencial de un medio ya sea físico o magnético, ya sea con el objeto de desclasificarlo,
reutilizar el medio o destruir el medio en el cual se encuentra.

Beneficios en la gestión de la empresa

El mercado se ve obligado a recibir cantidades masivas de información en diversas
camadas, por lo que se hace preciso que se mantenga constantemente atento a las
situaciones que envuelven el trato de datos.

Las empresas sufren cada vez más con ciberataques, corriendo el riesgo de que su
información vital y confidencial sea corrompida, se pierda y caiga en las manos de
ciberdelincuentes. Por tanto, los daños pueden ser invaluables para la empresa.

Con las políticas de seguridad informática bien diseñadas y planificadas, es posible reducir
considerablemente esos riesgos, dando a la organización la debida protección contra
amenazas internas y fallas en la seguridad.

Al establecer y comunicar al equipo de trabajo sobre las directrices de un uso aceptable de

la información, se asegure de que los trabajadores sepan cual es el comportamiento que se
espera de ellos al tener que tratar con diferentes niveles de importancia y privacidad, este
conocimiento previne violaciones accidentales.

Una vez implantadas las políticas de seguridad informática, el aumento de la transparencia

y mejora de la eficiencia del negocio vienen de forma natural consecuentemente. Esas
políticas deben ser los más claras posibles, para que los trabajadores entiendan como
organizar la información siguiendo un padrón para facilitar los flujos de procesos en todas
las escalas.
Ejecutando bien tales reglas de SI, verá una reducción en los daños a la infraestructura de
TI de la empresa. Además, la experiencia del usuario también se ve beneficiada
significativamente.

¿Qué se describe en los documentos de seguridad?

Existe una estructura normativa que divide los documentos de seguridad en 3 categorías:
 Política: Dirigida al nivel estratégico, define las reglas de alto nivel que representan
los principios básicos. Servirá como base para que las normas y los procedimientos
sean creados y detallados.
 Normas: Dirigida al nivel táctico, especifican las opciones tecnológicas y los
controles que deben aplicarse para alcanzar la estrategia definida en las directrices
de la política.
 Procedimientos: Dirigida al nivel operacional, describe los procedimientos que
serán utilizados para realizar las actividades citadas en las normas y las políticas.
También puede realizarse una clasificación de la información. Tal como se presenta a
continuación:
  Confidencial: Información crítica para el negocio de la organización o de sus
clientes. La revelación no autorizada de dicha información puede causar impactos
de tipo financieros, de imagen, operacional o, también, sanciones administrativas,
civiles y criminales a la empresa o a sus clientes. Está siempre restringida a un
grupo específico de personas, pudiendo este compuesto por empleados, clientes y/o
proveedores.
 Interna: Información de la empresa que la misma no quiere hacer pública y que el
acceso de personas externas debe ser evitado. Si ocurriera que la información sea
accedida de forma indebida, podrá causar daños a la imagen de la Organización, sin
embargo, no con la misma magnitud de una información confidencial. Puede ser
accedida sin restricciones por todos los empleados y prestadores de servicios.
 Pública: Información de la empresa o de sus clientes con lenguaje y formato
exclusivo para la divulgación al público en general, es de carácter informativo,
comercial o promocional. Destinada al público externo o debido al cumplimiento de
una ley vigente que exija publicidad de la misma.

También es posible visualizar dentro del documento de políticas de seguridad, papeles y

responsabilidades. En esta parte del documento, se describen las obligaciones de cada tipo
de trabajador.

Así como todas las reglas criadas en el documento de las PSI, existe una penalidad para el
individuo que no las cumpla. Generalmente, en cada documento, existe un capítulo
exclusivo para penalidades. Y en este capítulo se reúne información sobre las violaciones
de política, sanciones y tipo de legislación aplicada.

Para cada norma no seguida, se evalúan los riesgos y por cada penalidad la empresa tomará
las medidas pertinente basándose en lo expresado en el capítulo sobre penalidades.

La norma NBR ISO/IEC 27002 puede orientar la creación del documento de PSI.

Las Políticas de Seguridad Informática como base de la administración de la
seguridad integral

Las políticas de seguridad informática conforman el conjunto de lineamientos que una

organización debe seguir para asegurar la confiabilidad de sus sistemas. En razón a lo
anterior, son parte del engranaje del sistema de seguridad que la organización posee para
salvaguardar sus activos.

Las PSI constituyen las alarmas y compromisos compartidos en la organización, que le

permiten actuar proactivamente ante situaciones que comprometan su integridad. Por tanto,
deben constituir un proceso continuo y retroalimentado que observe la concientización,
métodos de acceso a la información, monitoreo de cumplimiento y renovación, aceptación
de las directrices y estrategia de implantación, que lleven a una formulación de directivas
institucionales que logren aceptación general.

Las políticas por sí solas no constituyen una garantía para la seguridad de la organización,
ellas deben responder a intereses y necesidades organizacionales basadas en la visión de
negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a
reconocer en los mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con la organización.