UNIVERSIDAD NACIONAL DE

INGENIERÍA

ADMINISTRACIÓN
INFORMÁTICA

INGENIERÍA DE SISTEMAS
—
I
UNI Sede Juigalpa

Unidad II: POLÍTICAS, NORMATIVAS,

MECANISMOS, PROCEDIMIENTOS Y
REGLAMENTOS INFORMÁTICOS DE LA
ORGANIZACIÓN

Objetivos:

1. Reconocer políticas sobre adquisición de medios tecnológicos, contratación de

personal, seguridad de la información, entre otras, que regulan el quehacer de los
servicios prestados por la Unidad Informática de la Organización.

2. Diseñar e Implementar políticas informáticas, normativas informáticas y

reglamentos que coadyuven al correcto uso de las Tics dentro de la organización.

Contenido:

2.1 Políticas para la Asignación, Utilización, Adquisición o Contratación de Recursos

Informáticos y Solicitud de Servicios en la Organización.

2.2.- Políticas de Seguridad en la Organización.

2.2.1.- Seguridad Organizacional.

2.2.1.1.- Servicios o Contrataciones externas a la infraestructura de seguridad.

Administración Informática Página 2

UNI Sede Juigalpa

2.2.1.- Seguridad Organizacional.

La Seguridad Corporativa u Organizacional es un concepto consolidado. ... También se

puede identificar la Seguridad Corporativa u Organizacional como la función que identifica,
gestiona y mitiga eficazmente, en una fase temprana, cualquier situación que pueda amenazar
la resiliencia y la capacidad de supervivencia de una organización.

Las políticas de seguridad, las cuales, son un conjunto de reglas, normas y protocolos de
actuación que se encargan de velar por la seguridad informática de la empresa.
Una vez teniendo un panorama mas claro, es necesaria la Cultura de seguridad, la cual es el
conjunto de valores, hábitos y costumbres de los trabajadores, que determinan el
comportamiento con respecto a la Gestión de Seguridad y Salud en el Trabajo de una
organización y que contribuyen a la prevención de accidentes y enfermedades de origen
ocupacional.
"Los responsables de Seguridad deberían estar al más alto nivel posible dentro de la
estructura organizativa y recibir educación ejecutiva".
Lo anterior, junto al imperativo para las organizaciones de gestionar sus riesgos de una forma
integral, más holísticamente, obliga a la seguridad a integrarse mejor con otras funciones
claves, tanto como para derivar en la Primera Convergencia (seguridad física y seguridad
lógica) y más adelante en la Segunda (la anterior con la gestión de crisis, la gerencia de riesgos
y, en algunos casos, la continuidad de negocio). La convergencia de los riesgos de seguridad es
un término amplio que cubre la multiplicidad e interdependencia de la variedad de estos riesgos
de seguridad que afectan hoy en día a las organizaciones.

¿Qué busca la seguridad corporativa?

Identificar, mitigar y administrar efectivamente riesgos y vulnerabilidades que puedan
amenazar la seguridad de la empresa, la capacidad de recuperación y la supervivencia de la
organización. Los encargados de seguridad deben entender el negocio y la forma en que
contribuyen en la consecución de sus objetivos.
Quizás sea la interpretación holística del concepto de seguridad y las convergencias el motivo
para que comience a emplearse como más adecuado el término ‘seguridad organizacional’, en
lugar del más comúnmente conocido de ‘seguridad corporativa’. Este nuevo alineamiento, que
se desarrolla proactiva y reactivamente a través del ESRM (Enterprise Security Risk
Management), tiene importantes consecuencias sobre la forma en que la seguridad está
organizada, su aproximación estratégica y las áreas de responsabilidad que concurren en el
Departamento de Seguridad, que se encuentran en fase de expansión.
En este contexto, los imperativos del negocio son los que dirigen a la seguridad y no al
contrario, y también bajo estas circunstancias el Departamento de Seguridad tiene que escuchar
continuamente al comité de dirección y el equipo directivo. Esto significa que sus responsables
deberían estar al más alto nivel posible dentro de la estructura organizativa. Volvemos
nuevamente al concepto del CSO (Chief Security Officer) y en consecuencia a la necesidad de
la educación ejecutiva para los profesionales de seguridad.

¿Qué puedo hacer para mejorar la seguridad en el trabajo?

1. Establezca una serie de normas.
Al establecer normas de procedimiento, usted está estableciendo procedimientos más
organizados que guiarán a sus empleados a la hora de algún problema o peligro. El protocolo
de seguridad debe incluir desde la vestimenta de seguridad (cascos protectores, lentes de
protección, guantes, etc.) hasta un simulacro de incendio y vías de escape.
2. Eduque al personal.
Una vez que haya establecido los procedimientos de seguridad, asegúrese de que todos los
empleados estén informados. Realice reuniones y simulacros dentro de la oficina y cree un

Administración Informática Página 3

UNI Sede Juigalpa

manual de seguridad al que todos tengan acceso. Asegúrese de actualizarlo si algún

procedimiento cambia y de informar del cambio.
3. Exhiba recomendaciones de seguridad.
Si el ambiente laboral por sus características se presta para que ocurran lesiones, coloque avisos
recordando a los empleados los riesgos y los procedimientos de seguridad. Esto puede incluir
carteles, afiches, rutas de escape, procedimiento de primeros auxilios y otros.
4. Examine los procedimientos.
La seguridad laboral es un proceso que requiere de mejoras continuas, por lo que recuerde e
informe constantemente a sus empleados de los viejos y nuevos procedimientos y expectativas
de seguridad para que no hayan confusiones.
5. Mantenga el ambiente seguro.
Tome las medidas necesarias para mantener un entorno laboral sano y seguro en todo
momento. Repare ventanas rotas y cables expuestos, limpie regularmente y mantenga un
botiquín de primeros auxilios a la mano.
Teniendo lo anterior en cuenta, es necesario saber que para una estrategia de seguridad,
aprobada por el comité de dirección, es esencial demostrar que esta función contribuye a los
objetivos más amplios de la organización. Una estrategia de seguridad efectiva ayuda a
conseguir una buena gestión de la seguridad a través de toda la organización y, por lo tanto,
constituye una parte muy importante del gobierno corporativo. Es importante recordar que es el
cumplimiento y no la seguridad lo que determina el centro de gravedad de los presupuestos.

¿Qué es la ISO 31000?

Sistemas de Gestión de Riesgos
La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar
el riesgo de las organizaciones.
Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de
Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de
todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo
que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un
marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus
actividades.
Como complemento a esta norma se ha desarrollado otro estándar: la ISO 31010 “Gestión del
riesgo. Técnicas de evaluación de riesgos”. Esta norma provee de una serie de técnicas para la
identificación y evaluación de riesgos, tanto positivos como negativos.
El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva
gestión de riesgos:
 los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo en una
organización
 la estructura de soporte o marco de Trabajo. El objetivo de este elemento es integrar el
proceso de gestión de riesgos con la dirección, para que esta adquiera un fuerte compromiso
con la implantación de la Gestión del Riesgo.
 En este caso la norma establece una serie de órdenes que debe cumplir la gerencia para
asegurar la efectividad de la gestión de riesgos
 el proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del
contexto, valoración de riesgos y tratamiento de los mismos.

2.2.1.1.- Servicios o Contrataciones externas a la infraestructura de

seguridad.

En numerosas ocasiones, las limitaciones estructurales y organizacionales frustran el

crecimiento de las empresas. Los servicios gestionados de IT nacen para solucionar este
problema.

Administración Informática Página 4

UNI Sede Juigalpa

Los servicios gestionados de IT son aquellos servicios de carácter técnico que se delegan en
empresas especializadas. Se basan en la externalización de proyectos de software o hardware.
Es decir, son servicios IT (Information Technology), que abarcan desde la planificación y el
desarrollo hasta la consultoría y seguridad, que se contratan a una empresa externa.
Las empresas contratan servicios gestionados IT cuando necesitan llevar a cabo un proyecto o
solucionar un problema, delegándolo completamente en un tercero. Aunque se delegue la
gestión del proyecto, empresa y proveedor de servicios gestionados IT se alinean y han de estar
en constante contacto para establecer objetivos, metodologías y toma de decisiones.
Cabe destacar que los servicios gestionados incluyen la búsqueda y la contratación de los
profesionales especializados.
Algunos ejemplos de servicios gestionados son:
 Creación de redes (inalámbricas, móviles, en la nube…) e infraestructura.
 Sistemas y DevOps.
 Gestión de la seguridad de la infraestructura IT.
 Administración de servicios de comunicaciones, incluyendo datos, voz y video.

Cuando se almacenan en forma electrónica grandes cantidades de datos, son vulnerables a

muchos más tipos de amenazas que cuando estaban en forma manual. Los sistemas de
información se interconectan en distintas ubicaciones a través de las redes de comunicaciones.
El potencial de acceso sin autorización, abuso o fraude no se limita a una sola ubicación, sino
que puede ocurrir en cualquier punto de acceso en la red. La figura 8.1 ilustra las amenazas más
comunes contra los sistemas de información contemporáneos. Se pueden derivar de factores
técnicos, organizacionales y ambientales compuestos por malas decisiones gerenciales. En el
entorno de computación cliente/servidor multinivel que se ilustra en esta figura, hay
vulnerabilidades en cada capa y en las comunicaciones entre ellas. Los usuarios en la capa de
cliente pueden provocar daños al introducir errores o acceder a los sistemas sin autorización. Es
posible acceder a los datos que fluyen a través de las redes, robar datos valiosos durante la
transmisión o alterar mensajes sin autorización. La radiación también puede interrumpir una
red en diversos puntos. Los intrusos pueden lanzar ataques de negación de servicio o software
malicioso para interrumpir la operación de los sitios Web. Aquellas personas capaces de
penetrar en los sistemas corporativos pueden destruir o alterar los datos corporativos
almacenados en bases de datos o archivos.

Los sistemas fallan si el hardware de computadora se descompone, no está configurado en

forma adecuada o se daña por el uso inapropiado o actos delictivos. Los errores en la
programación, una instalación incorrecta o los cambios no autorizados, hacen que el software
de computadora falle. Las fallas de energía, inundaciones, incendios u otros desastres naturales
también pueden perturbar los sistemas computacionales.

Administración Informática Página 5

UNI Sede Juigalpa

Actividad en Clases:
- Leer y analizar el siguiente caso de estudio

Administración Informática Página 6

UNI Sede Juigalpa

Administración Informática Página 7

UNI Sede Juigalpa

Administración Informática Página 8