Eje N° 2

Políticas de Seguridad Informática

Seguridad en Aplicaciones

Estudiantes
Jhon Jairo Fagua Muñoz
Kevin Steve Rodríguez Castillo
Julio Adrian Salas Gonzalez

Profesor
José Alfredo Trejos Motato

Programa
Ingeniería de Sistemas

2023
 Introducción

Después de realizar la lectura del referente y las lecturas asociadas realizaremos la

actividad que tiene como objetivo crear una política de seguridad con todos los aspectos
importantes que se deben tener en cuenta a la hora de asegurar la integridad, privacidad y
disponibilidad de los activos de tecnología e información de una organización
proporcionando requisitos y pautas de actuación necesarias para llevar a cabo una correcta
protección en seguridad tecnológica e informática.
 Políticas de Seguridad Informática

Las políticas de seguridad informática (PSI) establecen medidas de índole técnica y

de organización, necesarias para garantizar la seguridad de las tecnologías de información
(equipos de cómputo, sistemas de información, redes (voz y datos) etc. Son declaraciones
formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos
de tecnología e información de una organización.

Las políticas de seguridad surgen como respuesta a los diferentes riesgos de

seguridad a la cual está expuesto nuestro sistema, así para su creación debemos tener en
cuenta los objetivos y prioridades de seguridad que la organización interesada haya fijado,
sin embargo, todas las políticas de seguridad informáticas deben tener las siguientes
características:

● Concretas: tiene que poderse implementar a través de procedimientos,

reglas y pautas claras.
● Claras: definir responsabilidades y obligaciones de los distintos usuarios:
personal, administrativos y directivos.
● Obligatorias: su cumplimiento tiene que hacerse respetar mediante
herramientas de seguridad o sanciones.

Existen ciertos principios fundamentales de las PSI que son: responsabilidad

individual, autorización, clasificación de obligaciones, auditoría y redundancia y privilegio
mínimo y consideran componentes tales como: alcance de políticas, objetivos de la política,
una clara descripción, responsabilidades de usuarios, responsabilidades de recursos
financieros y servicios, requerimientos mínimos de configuración y definición de
violaciones.
 Política de Seguridad

Apoyados en la Norma ISO/IEC 17799

La elaboración de las políticas de seguridad está fundada bajo la norma ISO/IEC

17799, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las
garantías básicas de los usuarios, muestra la manera de operar los sistemas con seguridad
respetando en todo momento estatutos y reglamentos internos de las organizaciones.

De acuerdo a la información y nuevos conocimientos adquiridos damos inicio a la

creación de la propuesta de Política de Seguridad Informática con los aspectos sugeridos a
tener en cuenta.

Aspectos Generales

Esta política se conforma por una serie de pautas sobre aspectos específicos de la
seguridad de la información, que incluye los siguientes tópicos:

1. Seguridad Física
Objetivo: impedir accesos no autorizados, daños e interferencia a las sedes e
información de la organización.
Directrices:
● La información crítica o sensible de la organización debe estar ubicada en
áreas protegidas y resguardadas por un perímetro de seguridad definido.
● Monitorear el acceso al centro de cómputo, centros de cableado, gabinetes
(racks). El personal de servicio de soporte externo debe tener acceso
limitado y vigilado.
● Registrar en una bitácora el ingreso y retiro de todo equipo de cómputo,
servidores, equipos activos de red, etc.
● Deshabilitar el acceso del personal tanto a las instalaciones como al sistema
en los casos de desvinculación laboral.
● Todos los puntos de acceso a las instalaciones físicas deben tener vigilancia
para controlar el acceso público interno y de visitantes y todo debe quedar
 documentado, igualmente deben usar mecanismos para inspeccionar y
revisar los morrales, bolsos, cajas etc., de colaboradores y visitantes.
2. Seguridad de Red
Objetivo: garantizar la seguridad de la información en las redes y la protección de
la infraestructura de apoyo.
Directrices
● Los dominios de red internos y externos deben estar protegidos por un
perímetro de seguridad definido, dicho perímetro puede ser implementado
mediante la instalación de una compuerta Gateway, para controlar el acceso
y flujo de información entre dominios.
● Controles para limitar la capacidad de conexión de los usuarios de la
organización.
● Todos los procedimientos y niveles de autorización deben ser documentados
y tener controles y procedimientos de gestión para proteger el acceso a las
conexiones y servicios de red.
● El acceso de usuarios remotos debe estar sujeto a la autenticación, sí es
necesario el acceso remoto de soporte este debe ser protegido por un
mecanismo de seguridad apropiado que garantice que solo son accesibles
mediante un acuerdo entre el gerente de servicios informativos y el personal
de soporte de hardware y software que requiere acceso.
3. Seguridad Humana
Objetivo: reducir los riesgos de error humano, comisión de ilícitos o uso
inadecuado de instalaciones.
Directrices
● Dar a conocer funciones y responsabilidades en materia de seguridad
relacionadas con la implementación y el mantenimiento de las políticas de
seguridad.
● Controles de verificación del personal periódicamente evaluando los
derechos y deberes del empleado relativos a la seguridad de la información.
● Formación y capacitación en materia de seguridad de la información para
todos los empleados de la organización.
 ● Compromisos de confidencialidad o no divulgación en lo que respecta al
tratamiento de la información con cada uno de los empleados.
● Los incidentes relativos a la seguridad deben ser comunicados a través de canales
apropiados tan pronto como sea posible.

Seguridad en Sistemas Operativos

Objetivo: Proteger la información que se almacena en el sistema.
Directrices:
● Los activos físicos (equipos, dispositivos, documentos) se protegerán contra daños,
robo o pérdida. Se realizarán copias de seguridad y se almacenarán en ubicaciones
seguras.
● Control de Acceso Lógico, se implementarán sistemas de control de acceso a
sistemas y datos. Se asignan permisos de acuerdo con los roles y responsabilidades
del usuario.
● Detección de intrusiones, se utilizarán sistemas de detección de intrusiones para
identificar y responder a actividades inusuales o maliciosas.
● Cifrado de Datos, se cifran los datos confidenciales durante su transmisión y
almacenamiento.

Seguridad en Aplicaciones

Objetivo: Proteger las aplicaciones informáticas y los sistemas de software contra

amenazas y vulnerabilidades que puedan comprometer la confidencialidad, integridad y
disponibilidad de los datos y funciones que manejan.
Directrices:
● Proteger los datos: Garantizar que los datos almacenados, transmitidos y
procesados por una aplicación estén protegidos contra el acceso no autorizado o la
divulgación.
● Garantizar la integridad de los datos: Asegurarse de que los datos no sean
alterados de manera no autorizada durante su almacenamiento o transmisión.
● Disponibilidad: Mantener la disponibilidad de la aplicación para los usuarios
legítimos y evitar interrupciones causadas por ataques o fallas.
 ● Autenticación y autorización: Verificar la identidad de los usuarios y garantizar
que solo tengan acceso a las partes de la aplicación y los recursos para los que están
autorizados.
● Prevención de ataques: Proteger la aplicación contra una variedad de ataques,
como inyección de código SQL, cross-site scripting (XSS), cross-site request
forgery (CSRF) y otros ataques comunes.
● Monitoreo y detección de amenazas: Implementar mecanismos de monitoreo y
detección para identificar actividades sospechosas o ataques en tiempo real y tomar
medidas para mitigarlos.
Seguridad en SGBD.
Objetivo: Garantizar la protección de la información almacenada en la base de datos y
garantizar que solo las personas autorizadas tengan acceso a los datos, mientras que se
previene el acceso no autorizado o las modificaciones no autorizadas.
Directrices:
● Confidencialidad: Garantizar que solo las personas autorizadas tengan acceso a la
información sensible almacenada en la base de datos. Esto implica la
implementación de mecanismos de autenticación y autorización para controlar
quién puede ver y acceder a los datos.
● Integridad: Asegurar que los datos en la base de datos sean precisos y confiables.
Esto se logra mediante la implementación de restricciones de integridad, como
claves primarias y secundarias, así como la validación de datos para prevenir la
inserción de información incorrecta o dañina.
● Disponibilidad: Garantizar que los datos estén disponibles cuando se necesiten.
Esto implica implementar estrategias de copia de seguridad y recuperación para
proteger los datos contra la pérdida debido a fallos del sistema, errores humanos o
ataques maliciosos.
● No repudio: Asegurar que las transacciones y acciones realizadas en la base de
datos puedan ser rastreadas hasta su origen, de modo que los usuarios no puedan
negar que realizaron una acción en particular.
 ● Auditoría y registro de actividades: Llevar un registro de todas las actividades
realizadas en la base de datos para permitir la supervisión y la detección de
actividades sospechosas o no autorizadas.
● Control de acceso: Implementar controles de acceso para garantizar que solo las
personas con los permisos adecuados puedan realizar operaciones en la base de
datos. Esto incluye la asignación de roles y privilegios a los usuarios y la gestión de
contraseñas seguras.
● Protección contra ataques: Defensa contra amenazas como inyección SQL,
denegación de servicio, ataques de fuerza bruta y otros ataques cibernéticos que
podrían comprometer la seguridad de la base de datos.
● Actualizaciones y parches: Mantener el sistema de gestión de bases de datos
actualizado con las últimas correcciones de seguridad y parches para mitigar
vulnerabilidades conocidas.

Política de Seguridad y sus directrices

Responsabilidades:

Alta Dirección: La alta dirección de la compañía es responsable de establecer la

cultura de seguridad y proporcionar recursos adecuados.

Responsable de Seguridad: Se designará a un responsable de seguridad de la

información para supervisar y aplicar esta política.

Usuarios: Todos los empleados y contratistas tienen la responsabilidad de seguir

esta política y notificar cualquier incidente de seguridad.

Cumplimiento y Auditoría

Se llevarán a cabo revisiones periódicas de cumplimiento y auditorías de seguridad

para evaluar la efectividad de esta política. Se tomarán medidas correctivas según sea
necesario.
Capacitación y Concienciación

Se proporcionará capacitación en seguridad a todos los empleados y contratistas

para garantizar que estén al tanto de las políticas y prácticas de seguridad.

Incidentes de Seguridad

Los incidentes de seguridad deben notificarse de inmediato al responsable de

seguridad de la información y se seguirá un proceso de gestión de incidentes para mitigar y
resolver los problemas.

Revisiones de Política

Esta política se revisará y actualizará periódicamente para mantenerla alineada con

los cambios en las amenazas y las necesidades de la empresa.

Cumplimiento Legal y Normativo

Esta política de seguridad se adhiere a todas las leyes y regulaciones aplicables, así
como a las normas internacionales de seguridad de la información, como la norma ISO/IEC
17799.

Documentación Relacionada

Se complementa con documentos de procedimiento, estándares y directrices que

deben seguirse para implementar adecuadamente los controles de seguridad física y lógica.

Prevención

Gestión de Riesgos: La compañía implementará un proceso continuo de gestión de

riesgos para identificar, evaluar y mitigar las amenazas a la seguridad de la información.

Controles de Acceso: Se establecerán controles de acceso físico y lógico para

garantizar que solo las personas autorizadas tengan acceso a los activos de información.

Política de contraseñas: Se aplicará una política de contraseñas sólida, que incluye

requisitos de complejidad y cambios periódicos.

Detección
 Monitoreo Continuo: Se implementarán sistemas de monitoreo continuo para
detectar actividades inusuales o maliciosas en los sistemas y la red.

Registro de Eventos: Todos los sistemas relevantes generarán registros de eventos,

que serán revisados regularmente para detectar incidentes de seguridad.

Detección de intrusiones: Se utilizarán sistemas de detección de intrusiones para

identificar amenazas y ataques.

Recuperación

Plan de Continuidad del Negocio: La compañía mantendrá un plan de continuidad

del negocio que incluirá procedimientos para restaurar operaciones críticas en caso de
interrupción.

Respuesta a Incidentes: Se establecerá un equipo de respuesta a incidentes para

gestionar de manera efectiva y coordinada las respuestas a incidentes de seguridad.

Respaldo y Recuperación de Datos: Se realizarán copias de seguridad regulares y

se almacenarán en ubicaciones seguras. Los procedimientos de recuperación de datos se
probarán y documentarán.
 Conclusiones

Al realizar esta actividad desarrollamos nuestras habilidades de observación,

análisis, identificación y orden de conceptos que nos permitió realizar la política de
seguridad que consideramos es la adecuada para una organización, para ello realizamos las
lecturas sugeridas y buscamos la información necesaria para completar la actividad.

El rol de cada uno de nosotros consistió en realizar la investigación necesaria para

así proponer la política de seguridad sugerida apoyados en la Norma ISO/IEC 17799, cada
uno se encargo de dos políticas de seguridad y de proponer las directrices generales de ella
mas las investigaciones de cada uno de los conceptos que consideramos eran importantes,
de igual forma hicimos una revisión general y aportamos lo que creíamos hacía falta para
completar la actividad.

Las políticas de seguridad informática son esenciales para proteger la información y

los sistemas de una organización. Estas políticas proporcionan directrices claras y
obligatorias para garantizar la seguridad de la información en diversas áreas, como la
seguridad física, de red, humana, sistemas operativos, aplicaciones y bases de datos. Estas
políticas se basan en estándares y normas reconocidos internacionalmente, como la norma
ISO/IEC 17799, y se centran en aspectos como la confidencialidad, la integridad y la
disponibilidad de la información.

También establecen responsabilidades claras para la alta dirección, el responsable

de seguridad de la información y todos los usuarios de la organización. Además, las
políticas de seguridad informática incluyen medidas preventivas, de detección y de
recuperación para hacer frente a amenazas y riesgos de seguridad.

Se enfocan en la gestión de riesgos, el control de acceso, la gestión de contraseñas,

el monitoreo continuo, la detección de intrusiones, la planificación de la continuidad del
negocio y la respuesta a incidentes.

Es importante destacar que estas políticas deben revisarse y actualizarse

periódicamente para adaptarse a los cambios en las amenazas y las necesidades de la
empresa. Además, deben cumplir con todas las leyes y regulaciones aplicables y estar
respaldadas por documentos de procedimiento y estándares específicos. las políticas de
seguridad informática son un componente fundamental de la estrategia de seguridad de una
organización y deben ser seguidas por todos los miembros de la misma para garantizar la
protección de la información y los sistemas.
 Referencias

Varon Quimbaya Angel Alberto, (2023). Eje 2 Analicemos la situación. En:

Seguridad en Aplicaciones. Bogotá, Colombia.

Ormella Carlos, (2014). Norma ISO 31000 de Riesgos Corporativos. En: Gestión y
Auditoría de Riesgos y seguridad de la información. Argentina.

Rodriguez Ruben, Zarco José, (2023). Políticas de seguridad informática PSI.

Recuperado de
[Link]
(consulta 30-08-23).

Yori Jaime, (2006). Un acercamiento a las mejores prácticas de seguridad de

información internacionalmente reconocidas en el estándar ISO 17799:2005. Recuperado
de: [Link]
(consulta 29-08-23).

Carballar, J. (2014). Instalación, seguridad y aplicaciones.. RA-MA Editorial.

[Link]

Martín González, E. S. (2015). Salvaguarda y seguridad de los datos:

administración de bases de datos (UF1473).. IC Editorial.
[Link]