TEMA 2 - Planificacion Seguridad

ÍNDICE DE CONTENIDOS
CONTENIDO ...................................................................................................... 2
2. ADMINISTRACIÓN DE LA SEGURIDAD EN REDES .............................. 2
2.1. DISEÑO E IMPLANTACIÓN DE POLÍTICAS DE SEGURIDAD ........ 3
RESUMEN ....................................................................................................... 40
GLOSARIO....................................................................................................... 42
BIBLIOGRAFÍA ................................................................................................ 43
AUTOEVALUACIÓN ........................................... ¡Error! Marcador no definido.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 1
REDES
CONTENIDO
2. ADMINISTRACIÓN DE LA SEGURIDAD EN REDES
La persona (o personas) encargada de realizar las tareas de gestión,

configuración y seguridad en una red informática se conoce como
administrador de red. La responsabilidad del administrador de red va más allá
del mantenimiento de los servidores, ya que se encarga también de las
estaciones cliente, las cuentas de usuario y las relaciones de la red con el
exterior, sin olvidar la configuración de los protocolos, el diseño e
implementación del cableado y la instalación, configuración y mantenimiento
del sistema operativo de red. Además del conocimiento de las herramientas
necesarias, el administrador de red necesita de una formación adecuada que
suelen impartir las propias empresas que suministran el hardware y el software
a la organización.
Otra de las tareas fundamentales del administrador de red es la de determinar

las necesidades y el grado de utilización de las aplicaciones y de los diferentes
servicios de red, por parte de los usuarios del sistema. También es muy
importante conocer el origen del tráfico en la red para poder subsanar de forma
efectiva, las diferentes incidencias que se puedan presentar. No olvidemos la
labor de documentación que requiere el sistema y que debe ser realizada por el
administrador de red, así como la formación y atención a los diferentes
usuarios.
REDES
2.1. DISEÑO E IMPLANTACIÓN DE POLÍTICAS DE SEGURIDAD
Una política de seguridad es una estrategia acerca de cómo una empresa debe
implementar los principios y tecnologías de seguridad de la información. En
esencia, es un plan de negocios que se aplica solo a los aspectos de seguridad
de la información de una empresa.
La política de seguridad es diferente de los procesos y procedimientos de

seguridad general, ya que su objetivo es ofrecer pautas específicas acerca de
cómo proteger la información en una empresa, pero sin especificar
exactamente cómo se logrará dicho objetivo. Esto brinda un cierto margen de
maniobra a los directivos de las empresas, para que puedan elegir qué
dispositivos y métodos de seguridad son mejores de acuerdo con sus
actividades y presupuesto.
Las políticas de seguridad son independientes de ciertos factores externos,

como las tecnologías disponibles o los proveedores y/o colaboradores de las
empresas: su intención es únicamente establecer una política, que luego puede
implementar cada empresa de la manera en que mejor cumpla con sus
objetivos.
Estas políticas deben cubrir todos los sistemas y datos electrónicos de la

empresa, aunque, como regla general, no cubrirán las copias impresas de
dichos datos; no obstante, respecto a lo anterior existe un solapamiento, puesto
que las copias impresas de archivos fueron archivos digitales en algún
momento. Si en una empresa se decide que la política de seguridad se aplicará
también a las copias impresas de la información, debe establecerse
específicamente entre sus pautas establecidas.
REDES
Una política de seguridad debe cumplir tres objetivos concretos:
- Permitir la confidencialidad y privacidad de la información de la empresa.
- Ofrecer protección para la integridad de la información de la empresa.
- Proporcionar la disponibilidad de la información de su empresa.
A esto se le conoce comúnmente como "tríada de la CIA" (de Confidentiality,

Integrity, y Availability), o lo que es lo mismo, el enfoque compartido por las
principales normas y estándares de seguridad de la información. Este enfoque
es compatible con las mejores prácticas para la gestión de la seguridad en la
industria, que están generalmente aceptadas en forma de estándares.
Para que una empresa adquiera un mejor posicionamiento en el mercado, sus

productos y servicios deben llegar a los clientes de manera global. Para lograr
esto, los negocios suelen a ofrecer sus productos y servicios a través de
Internet. Aunque pueda parecer que con esta simple acción se da a conocer el
nombre de la empresa al mercado global, en realidad hay mucho más por
hacer.
Cualquier empresa que ofrezca productos o servicios online debe ganarse la

confianza de los clientes, ya no solo para llevar a cabo su negocio de manera
eficiente (la mejor calidad al mínimo coste), sino que además debe garantizar la
integridad a sus clientes o usuarios finales. Dicho de otro modo, el producto o
el servicio ofrecido deben proteger los datos del cliente ante cualquier acceso
no autorizado.
Así mismo, cualquier empresa debe cumplir con las leyes y regulaciones
pertinentes según su localización geográfica (como la Protección de Datos en
Europa). Así, junto con las características funcionales del producto o servicio, la
capacidad para proteger los datos del cliente es un aspecto clave para poder
REDES
desarrollar un negocio online y tener buena acogida entre los potenciales
clientes.
Para asegurar los datos y servicios contratados por los clientes, se deben
seguir estrictos estándares de seguridad, que se traducen en el diseño e
implantación de una política de seguridad.
Desde el punto de vista de la seguridad de la información, cuando se trabaja

con sistemas que almacenan datos, es importante protegerlos contra el uso, la
divulgación, la modificación o la eliminación no autorizados.
Un aspecto importante a la hora de diseñar una política de seguridad, es

asegurarse de que todos los usuarios tengan los permisos adecuados para ver
y trabajar con los datos, crear nuevos o actualizar los existentes. Es por ello
que cabe preguntarse si todos los usuarios necesitan el mismo nivel de acceso
a los datos y a las funciones proporcionadas por sus aplicaciones, si existen
subconjuntos de usuarios que necesitan acceso a ciertas funciones
privilegiadas, o si el acceso a determinados documentos debe estar restringido
para ciertas clases de usuarios. Las respuestas a preguntas como estas
pueden ayudar a diseñar los requisitos de seguridad de una política de
seguridad.
Algunos modelos de seguridad actuales están basados en roles (autorización),

y han demostrado ser eficaces y flexibles a la hora de proteger los datos de
acuerdo con los requisitos de seguridad que tiene cada empresa.
Siempre debe existir un equilibrio entre la seguridad y la usabilidad. Cuando un

sistema no tiene seguridad, está permitiendo al acceso no autorizado a
posibles intrusos y atacantes maliciosos. Por otro lado, cuando un sistema está
muy bien asegurado, puede resultar difícil de utilizar con eficiencia.
Antes de implementar cualquier política de seguridad en una empresa, es

importante comprender las características principales de su modelo de negocio,
así como sus necesidades particulares en cuanto a la seguridad.
REDES
Es esencial que una empresa identifique sus requisitos de seguridad. Hay tres
fuentes principales de requisitos de seguridad:
- La evaluación de riesgos: esta debe tener en cuenta la estrategia

general del negocio y los objetivos de la empresa. A través de una
evaluación de riesgos se puede:
 Identificar las principales amenazas para los activos,
 evaluar la vulnerabilidad de la empresa,
 calcular la probabilidad de que tenga lugar un incidente
 y evaluar el impacto potencial del mismo.
- Los requisitos legales, reglamentarios y contractuales: todas las

empresas deben cumplir varios de ellos, por ejemplo de tipo nacional o
estatal, o con sus socios comerciales, contratistas y proveedores de
servicios.
- El conjunto de principios, objetivos y requisitos que la empresa ha

desarrollado para procesar la información y respaldar sus operaciones.
Los requisitos de seguridad se identifican mediante una evaluación metódica

de los riesgos a los que está expuesta la empresa. Los resultados de esta
evaluación pueden ayudan a guiar y determinar las medidas y prioridades
adecuadas para gestionar los riesgos de seguridad de la información y para
implementar los controles necesarios para protegerla. La evaluación de riesgos
debe repetirse periódicamente para abordar cualquier cambio que pueda
afectar a los resultados de la evaluación de riesgos.
REDES
Hay varios aspectos que se pueden considerar como un buen punto de partida
a la hora de crear políticas de seguridad, como por ejemplo:
- La protección de datos y privacidad de datos personales.
- La protección de datos organizativos.
- Los derechos de propiedad intelectual.
Existen ciertos controles relacionados con la seguridad de la información que

se pueden aplicar a la mayoría de sectores y entornos empresariales actuales,
entre los que se incluyen los siguientes:
- Documentar la política de seguridad de la información.
- Asignar responsabilidades de seguridad de la información.
- Sensibilizar, educar y capacitar en seguridad de la información.
- Usar aplicaciones y software de seguridad específicos.
- Realizar una gestión técnica de las vulnerabilidades.
- Disponer de un Plan de continuidad de negocio.
- Realizar una buena gestión de incidencias y mejoras de la seguridad de

la información.
Hay que tener en cuenta que aunque todos los puntos del anterior listado son
importantes y deben considerarse, la importancia de cada uno debe
determinarse en función de los riesgos específicos que enfrenta cada empresa.
Por lo tanto, aunque el enfoque anterior se considera un buen punto de partida,
no puede sustituir a la evaluación de riesgos.
En cuanto a la seguridad de la información en relación con las políticas de

seguridad, conviene saber distinguir tres conceptos básicos, que son
autenticación, autorización y administración:
REDES
- Autenticación: este concepto, estrechamente relacionado con el control
de accesos, consiste en el proceso de verificar las credenciales de un
usuario para cualquier usuario que haya sido creado con anterioridad. La
autenticación asegura que alguien es quien dice ser. Los usuarios
suelen autenticarse con un nombre de usuario y contraseña
(credenciales). La autenticación verifica las credenciales del usuario y
asocia una sesión con el usuario autenticado.
Si bien la autenticación por nombre de usuario y contraseña es la más

habitual, también se puede otorgar acceso a los usuarios en función de
algo que no sea la identidad, como por ejemplo, la dirección IP de origen
de las solicitudes para la intranet de la empresa. La restricción del
acceso basado en algo distinto a la identidad del usuario, generalmente
se conoce como control de accesos.
- Autorización: este concepto hace referencia al mecanismo que permite

controlar el acceso a los datos, así como su creación y borrado. Para un
usuario autenticado, la autorización determina lo que se le permite
hacer. Por ejemplo, la autorización es lo que permite al usuario llamado
“Manuel López” leer y modificar un documento, permite al usuario
llamado “Raquel Álvarez” solo leer el documento, y evita que el usuario
llamado “Helena Picó” sepa que el documento existe (no puede verlo).
En todas las empresas se puede usar la autorización para proteger
archivos almacenados en bases de datos.
- Administración: es el proceso de definir, configurar y gestionar los

objetos de seguridad, como los usuarios, los roles, los privilegios y los
permisos que implementan sus políticas de seguridad.
Antes hemos citado brevemente el modelo de seguridad basado en roles;

debido a su flexibilidad, es una opción a tener en cuenta a la hora de diseñar la
REDES
política de seguridad de toda empresa, ya que su aplicación permite alcanzar
varios niveles de refinamiento, que es lo que se necesita para cumplir los
requisitos de seguridad estipulados.
Un rol es una entidad con nombre que proporciona privilegios de autorización y

permisos a otros roles o usuarios. Puede asignar roles a otros roles (que a su
vez pueden incluir asignaciones a otros roles, etc.). Los roles son los bloques
de construcción fundamentales que utiliza el modelo basado en roles para
implementar sus políticas de seguridad.
Los roles son el punto central de este modelo, pero también son importantes
los privilegios y permisos de los usuarios, que les permiten interactuar con
otros usuarios y los relacionan o no con los diferentes roles existentes:
- Privilegios: a modo de ejemplo, un privilegio es como una puerta y,

cuando la puerta está cerrada con llave, es necesario tener la llave para
abrirla. No obstante, si la puerta está desbloqueada (sin privilegios), se
puede traspasar. Las llaves de las puertas se distribuyen entre los
usuarios a través de roles; dicho de otro modo, si un usuario hereda un
privilegio a través del conjunto de roles al que está asignado, entonces
tiene las claves para desbloquear ese privilegio heredado.
- Permisos: los permisos se utilizan para proteger archivos. Los permisos

se asignan a los archivos, y cada uno de ellos es una combinación de un
rol y una capacidad (lectura, modificación, ejecución, etc.) Los usuarios
asignados a un rol correspondiente a un permiso, pueden usar la
capacidad o capacidades asignadas. Es posible establecer cualquier
número de permisos para un archivo. En definitiva, las capacidades
representan las acciones que se pueden realizar. Por lo general, en
sistemas Windows se puede: leer, leer y ejecutar, modificar, escribir, o
tener un control total (todos los permisos anteriores). Los usuarios
heredan la suma de los privilegios y permisos de sus roles.
REDES
Los administradores son usuarios privilegiados que tienen la autoridad para
realizar tareas como crear, eliminar, modificar usuarios, roles, privilegios, etc.
Se debe tener especial cuidado a la hora de asignar usuarios al rol de o
administración, ya que éstos pueden realizar cualquier tarea en el sistema,
incluida la eliminación de datos.
Por otro lado, los usuarios son entidades que tienen asignado un nombre que
utilizan para autenticar una solicitud de conexión o acceso en un servidor, una
red, un sistema operativo, una aplicación, etc.
Tras varios ciberataques importantes (como el de WannaCry), muchas grandes

empresas han decidido aumentar sus presupuestos de seguridad. Por otro
lado, el CERT (Equipo de Respuesta ante Emergencias Informáticas) de la
Universidad Carnegie-Mellon recomienda encarecidamente que las empresas
creen políticas de seguridad que puedan consultar en caso de que sus
sistemas se vean comprometidos. Pese a todo, muchas empresas aún se
preguntan por qué necesitan una política de seguridad.
En general, es imposible realizar una tarea compleja sin un plan detallado para
hacerlo. Una política de seguridad es ese plan y proporciona una metodología
para aplicar eficazmente los principios de seguridad de la información en toda
su empresa. Así, después de la implementación, se convierte en una guía de
referencia cuando surgen cuestiones de seguridad.
La política de seguridad indica el compromiso de la empresa con el

mantenimiento de una red segura, lo que permite al personal encargado de la
seguridad informática hacer un trabajo más eficaz a la hora de proteger los
activos de información de la empresa. En última instancia, la política de
seguridad reducirá el riesgo de la empresa ante un incidente de seguridad, y,
combinada con otras políticas como las de respuesta ante incidentes, puede
reducir la vulnerabilidad de la empresa y limitar el alcance del incidente.
REDES
Lo cierto es que una política de seguridad contiene procedimientos
organizativos aprobados previamente, que indican exactamente lo que se debe
hacer para evitar problemas de seguridad, así como los pasos que se tienen
que seguir si alguna vez la empresa se enfrenta a un robo de datos.
Los problemas más importantes de la seguridad de la información están

relacionados con tres aspectos que se han mencionado anteriormente:
- La confidencialidad: cuando terceros no autorizados obtienen y/o

divulgan información confidencial.
- La integridad: cuando la información se modifica o elimina

erróneamente, ya sea deliberada o accidentalmente.
- La disponibilidad: cuando la información no está disponible si es

requerida o está disponible para más usuarios de los necesarios.
Tener una política de seguridad garantizará, como mínimo, que todos los
trabajadores de la empresa se encuentran al corriente de los procesos y
procedimientos de seguridad.
Una política de seguridad puede proporcionar protección legal a la empresa,

puesto que al especificar a sus trabajadores exactamente cómo pueden y no
pueden usar la red o cómo deben tratar la información confidencial, se reduce
la exposición de la empresa en caso de incidente.
No existe una política de seguridad genérica que puedan usar todas las
empresas, o dicho de otro modo, diferentes empresas necesitarán diferentes
políticas para una gestión efectiva de su seguridad.
Los documentos de políticas de seguridad se componen, a su vez, de varios

tipos de políticas internas. Algunas empresas pueden necesitar más o menos,
pero en cualquier caso, ciertas políticas pueden considerarse básicas, y son
aplicables a la mayoría de ellas (como la Política de protección de datos de
REDES
carácter personal). A continuación se expone un listado que incluye las
políticas más comunes que conforman una política de seguridad:
- Política de uso aceptable.
- Política de autenticación.
- Política de copias de seguridad.
- Política de protección de datos de carácter personal.
- Política de cifrado de datos.
- Política de correo electrónico.
- Política de respuesta a incidentes.
- Política de dispositivos móviles.
- Política de acceso a la red.
- Política de seguridad de red.
- Política de contraseñas.
- Política de seguridad física.
- Política de acceso remoto.
Ahora bien, existen algunas políticas de seguridad que son mejores que otras.
Las mejores políticas de seguridad reúnen una serie de características
relacionadas con los siguientes aspectos:
- El propósito: los objetivos y las expectativas de la política son claros.
- El cumplimiento: es fundamental enumerar aquellas leyes o reglamentos

aplicables que se deben cumplir (por ejemplo, el Reglamento Europeo
de Protección de Datos de Carácter Personal). Además, una de las
razones más comunes por las que las empresas crean políticas de
REDES
seguridad hoy en día, es cumplir con las regulaciones y los estándares
relacionados con la seguridad de la información.
- La última fecha de prueba: las políticas de seguridad deben ser

documentos en continua evolución y para ello deben probare y ponerse
a prueba con cierta frecuencia.
- La fecha de la última actualización: los documentos de políticas de

seguridad deben actualizarse para adaptarse a los cambios en la
organización, las nuevas amenazas y la tecnología existente.
- El contacto con un responsable: todos los integrantes de una empresa u

organización deben leer, comprender y seguir la política de seguridad y,
por lo tanto, debe haber un encargado de resolver sus dudas cuyo
contacto esté disponible para todos.
A la hora de diseñar una buena política de seguridad, es necesario hacerse

una serie de preguntas, ya que al darles respuesta se conocen las verdaderas
prioridades de la empresa y los recursos que se necesitan para crear y
mantener dicha política. Algunas preguntas con las que se puede comenzar
son:
- ¿A quién va dirigida esta política? (no es lo mismo responder a los

empleados de una compañía de telecomunicaciones, que a los de una
fábrica de productos químicos, etc.)
- ¿Qué regulaciones se aplican al sector al que pertenece la empresa?

(Ley de Protección de Datos, regulaciones de seguridad específicas,
etc.)
- ¿Quién necesita acceso a qué datos de la empresa? (por ejemplo, los

empleados del Departamento de Informática necesitan acceso a la base
REDES
de datos central, pero a los del Departamento de Cuentas les basta con
acceder a la base de datos de nóminas y facturación, etc.)
- ¿Quién es el propietario de los datos que maneja la empresa? (la propia

empresa, una empresa subcontratada, los clientes…)
En cuanto a la solicitud de empleados para acceder a información:
- ¿Cuántas solicitudes se reciben cada semana para proporcionar acceso

a qué datos?
- ¿Cómo y cuándo se revisa cada acceso a dichas solicitudes de acceso?
- ¿Existen datos a los que puede acceder cualquier empleado sin

autorización explícita por parte de sus propietarios, o sin una
administración adecuada?
- ¿Se registran de alguna forma los accesos a información para poder

auditar dicha actividad posteriormente?
- ¿Cómo se puede alinear la política de seguridad con los objetivos

comerciales de la empresa?
Las políticas de seguridad funcionan mejor cuando son breves y concisas.

Además, deben apoyar y ser impulsadas por las necesidades del negocio, o
dicho de otro modo, deben surgir de las necesidades reales de la empresa,
pero sin comprometer sus objetivos; con un mantenimiento regular, la política
de seguridad ayudará a proteger los activos de la empresa.
No obstante, las políticas de seguridad no son fáciles de diseñar. El proceso de

obtención de una política de seguridad es difícil, requiere una considerable
inversión de tiempo y suele ser costoso. Las empresas generalmente tienen
dos opciones:
REDES
- Contratar a un profesional para crear una política de seguridad
personalizada.
- Intentar crear su propia política de seguridad con recursos que se

encuentran en Internet o en guías específicas.
La primera opción destaca por su alto coste, ya que diseñar una política de
seguridad personalizada puede costar miles de euros, dependiendo de la
complejidad; además, puede llevar mucho tiempo.
La segunda opción destaca por su poca practicidad debido a que puede llevar
semanas o meses. Esto puede suponer demasiado tiempo para desarrollar una
política que, probablemente, no sea del todo apropiada para la empresa.
Los citados motivos disuaden a muchas empresas a la hora de crear políticas

de seguridad, por lo que la mayoría de intentos por diseñarlas e implementarlas
se disuelven antes de comenzar. Además de lo anterior, el propio proceso de
crear una política de seguridad es confuso porque, por ejemplo, un experto
puede usar una serie de términos técnicos diferentes a los de otro, lo que hace
que, en definitiva, todo sea confuso y no resulte práctico ni comprensible para
los no versados en la materia.
Durante el diseño de una política de seguridad hay que tener en cuenta las
siguientes cuestiones:
- Seguridad organizativa: cubre los aspectos administrativos de la

seguridad de la información, incluidas las acciones de la empresa a la
hora de enfrentar riesgos. Esto se debe agrupar en diferentes
categorías, como políticas, objetivos, procesos y procedimientos para
abordar y mejorar la seguridad de la información en relación con las
necesidades y riesgos de la empresa.
- Seguridad física: cubre los aspectos específicamente relacionados con

el entorno físico, como edificios e infraestructuras, con el objetivo de
REDES
reducir sus riesgos. Algunos expertos no incluyen la seguridad física
dentro de los políticas de seguridad, pero conviene tenerla en cuenta en
caso de necesidades especiales, para decidir si se debe incluir o no.
- Requisitos específicos: cubren varios aspectos de la seguridad de la

información. Pueden centrarse en ciertas actividades que se llevan a
cabo con el objetivo de lograr la seguridad operacional, como por
ejemplo:
 Procedimientos de seguimiento.
 Medición del nivel de riesgo.
 Auditorías internas.
 Formación y capacitación del personal.
 Gestión de incidentes.
 Revisiones por parte de la dirección de la empresa.
 Etcétera.
Las empresas deben establecer, implementar, monitorear, revisar, mantener y

mejorar la seguridad de la información que usa, siempre teniendo en cuenta los
riesgos a los que está expuesta. Con el objetivo de implementar un proceso
eficaz de seguridad de la información, muchas empresas usan un modelo
basado en cuatro etapas cíclicas, que consiste en planificar, implementar,
revisar y mejorar.
Para ser efectiva, una política de seguridad debe ser clara y consistente, pero
además, debe ajustarse a la estructura de la empresa y no obligarla a llevar a
cabo un cambio radical de la forma en que lleva el negocio.
Toda política de de seguridad debe estar redactada de tal manera que sea
comprensible por la totalidad de su audiencia objetivo (que debe estar
REDES
claramente identificada en el documento). En ningún caso deben usarse
términos legales, excesivamente técnicos o confusos.
No obstante, pueden existir políticas de seguridad destinadas a sectores

técnicos (como por ejemplo, una empresa de hacking ético), que sí contengan
términos técnicos, dado que todos sus miembros lo usan habitualmente en su
trabajo. Así, las políticas de seguridad técnicas pueden ser, por su naturaleza,
más técnicas que las políticas destinadas a los trabajadores de otros sectores,
que deben estar escritas en un lenguaje cotidiano.
Una política de seguridad no debe permitir ningún malentendido. Debe ser de

comprensión universal y de aplicación sencilla, coherente con los principios de
seguridad general en toda la empresa. Además, debe contener, como mínimo,
las siguientes secciones:
- Descripción general: proporciona información acerca de los

antecedentes de los problemas que abordará la política.
- Propósito: especifica por qué se necesita la política. Puede ser único o

múltiple.
- Alcance: establece exactamente qué trata de proteger la política.
- Público objetivo: especifica a quién va dirigida la política.
- Políticas: esta es la sección principal del documento y desarrolla cada

aspecto de la política. Por ejemplo, puede contener declaraciones
relacionadas con el uso de Internet, el uso del correo electrónico, la
instalación de software, el acceso a la red desde dispositivos móviles
personales, etc.
- Definiciones: para mayor claridad, se deben definir los términos técnicos

(normalmente se incluye un glosario al final del documento, que los
enumera por orden alfabético).
REDES
- Versión: para garantizar el uso y aplicación eficaces de la política, se
incluye un número de versión que se debe modificar para reflejar
cualquier cambio y/o actualización del documento.
Al desarrollar una política de seguridad, muchos cometen el error de centrarse

en redactar cientos de páginas de información, en lugar de crear un documento
cuyo contenido sea fácilmente ejecutable; es necesario darle prioridad a la
calidad sobre la cantidad.
De acuerdo con lo anterior, las políticas de seguridad más exitosas comparten

ciertas características. Así, para desarrollar una buena política de seguridad se
debe tener en cuenta lo siguiente:
- No debe ser más larga de lo absolutamente necesario: algunos creen

que una política de seguridad es mejor cuanto más ocupa, o cuando
contiene cientos o incluso miles de políticas. Estos documentos solo
consiguen abrumar a su público objetivo debido a la cantidad de
información contenida y son contraproducentes. Tal y como se ha dicho
anteriormente, la cantidad no es igual a la calidad, y es la gran cantidad
de información de una política lo que la hace inútil. La brevedad es de
suma importancia.
- Debe estar escrita de manera simple: aunque en ocasiones, no se

pueda evitar usar ciertos términos técnicos, es importante que el texto
sea claro y comprensible para el público objetivo. Una política de
seguridad debe ser capaz de responder al máximo número de
preguntas que puedan surgir respecto a su contenido, y en caso de
duda, debe redactarse de manera que más personas puedan entenderla
en lugar de menos. La claridad debe ser una prioridad en las políticas de
seguridad, para que no se malinterprete durante una crisis, o se aplique
incorrectamente, lo que podría derivar en nuevas vulnerabilidades.
REDES
- Debe ser consistente con las leyes y regulaciones aplicables: en muchos
países existen leyes que se aplican a las prácticas de seguridad de sus
empresas, como por ejemplo, las que regulan el uso del cifrado. Algunos
países tienen leyes específicas que regulan la protección de los datos de
carácter personal de los ciudadanos (como en los Estados miembros de
la Unión Europea), y algunas industrias están sujetas a regulaciones que
rigen sus políticas de seguridad (como la química, la farmacéutica…). Es
altamente recomendable investigar y familiarizarse con cualquier
regulación o norma que se aplique a los controles de seguridad de la
empresa para la cual se va a desarrollar una política de seguridad.
- Debe ser razonable: el objetivo del proceso de crear una política de

seguridad, es desarrollar un documento que realmente pueda usarse, en
lugar de uno que haga que la empresa esté teóricamente segura pero
que sea imposible de llevar a la práctica (implementación imposible).
Cabe tener en cuenta que cuanto más segura sea una política, mayor
será la carga que debe cubrir para que los trabajadores cumplan con sus
obligaciones. Conviene encontrar un punto intermedio, o conseguir el
equilibrio entre seguridad y usabilidad.
- Debe ser ejecutable: se debe indicar claramente qué acciones están

permitidas y qué acciones infringen la política. El documento debe
detallar qué hacer si se descubren incumplimientos o violaciones, y debe
ser coherente con las leyes aplicables.
A una política de seguridad se le puede dar un formato concreto para que su

diseño guarde homogeneidad con el resto de documentación interna de la
empresa. Sin embargo, se recomienda incluir, en cada página, cierta
información, como el nombre de la política, la fecha de creación, la audiencia
REDES
objetivo y una clara designación de que el documento es confidencial. Estos
datos pueden incluirse en la cabecera y pie de página de cada folio, con un
tamaño de letra algo menor que el resto del texto si fuera necesario.
Una vez que haya diseñado la política, quizás la parte más difícil del proceso
sea implementarla en la empresa. Muchos intentos por obtener una política de
seguridad pierden fuerza durante la fase de implementación, por lo que este
paso debe planearse y llevarse a cabo cuidadosamente.
La implementación de la política de seguridad es un proceso que se divide en

cuatro etapas:
- Conseguir la aprobación y participación de los máximos responsables de

la empresa.
- Determinar individualmente el alcance de las políticas que la componen.
- Realizar un análisis de los procesos y procedimientos de seguridad de la

empresa.
- Evaluar las conductas de riesgo y su tratamiento mediante la formación.
En primer lugar, y lo más importante: toda política de seguridad debe estar

respaldada por el equipo de administración o dirección de la empresa; sin su
apoyo, la cooperación necesaria entre los diferentes departamentos
probablemente hará imposible una buena implementación. Los jefes de cada
departamento deben participar activamente, y en concreto, los de Recursos
Humanos y el Departamento Legal deben desempeñar una parte importante.
Hay que asegurarse de que se cuenta con la participación de la Dirección antes
de avanzar demasiado en el proceso de implementación.
Es necesaria una persona que ostente la autoridad a la hora de tomar

decisiones ejecutivas, o dicho de otro modo, debe existir un responsable de la
política de seguridad de la empresa que supervise personalmente su
REDES
implementación. La política de seguridad debe adoptarse oficialmente como
política de la empresa, por lo que debe firmarse y registrarse de la misma
manera en que se toma cualquier otra decisión importante.
Seguidamente, hay que revisar todas y cada una de las políticas que
componen el documento y reflexionar acerca de cómo se aplicarán en la
empresa. Para ello es necesario asegurarse de que existen las herramientas
adecuadas para cumplir con la política, y que éstas están disponibles para su
uso. Por ejemplo, si una política específica establece que se supervise una
determinada red, hay que asegurarse de que existe capacidad de supervisión
para esa red (un técnico especializado con acceso, etc.); si otra política
establece que los colaboradores externos de la empresa deben aceptar la
“Política de uso aceptable” antes de utilizar la conexión a Internet de la
empresa durante las reuniones, hay que asegurarse de que existe la
posibilidad de proporcionarles el documento.
Llegados a esta fase, si se descubre algo que no es práctico, hay que crear un
plan para realizar los cambios necesarios en la política. Esto nos lleva a la
siguiente conclusión: las políticas difieren de los procesos y procedimientos. Es
por ello que es necesario considerar cuidadosamente los procesos y
procedimientos de seguridad necesarios después de finalizar el diseño de una
política, y antes de implementarla. Por ejemplo, una “Política de copia de
seguridad” puede detallar los días y horarios para realizar copias de seguridad,
sin embargo, puede no especificar exactamente cómo se debe realizar esta
tarea.
Se deben crear ciertos procedimientos para respaldar las políticas. Por

ejemplo, ¿cómo deben actuar los trabajadores si sospechan que se está
produciendo un incidente de seguridad?, ¿cómo se notificará a los trabajadores
si no cumplen con una política específica?, ¿cómo se solicitarán y aprobarán
las exenciones a la política? Para dar respuesta a preguntas como estas, se
debe trabajar conjuntamente con cuantos departamentos sean necesarios
REDES
dentro de la empresa. Así es como se consiguen establecer procedimientos
que respaldan las políticas.
La concienciación y capacitación de los trabajadores es fundamental para una

implementación exitosa de la política de seguridad. Se debe llevar a cabo una
sesión de revisión de las políticas que afectarán a los trabajadores, así como
para ofrecer a éstos una capacitación básica acerca de la seguridad de la
información.
A menudo, los trabajadores generan problemas de seguridad porque

simplemente no entienden que lo que están haciendo es arriesgado o va en
contra de la política de seguridad. Por ello, se les debe proporcionar toda la
información sobre las políticas que les afecten, y deben reconocer por escrito
que las han leído y se adherirán a ellas. Si es posible, conviene coordinarse
con el Departamento de Recursos Humanos, para que la firma de las políticas
pueda incluirse con el resto de documentos que requieren la firma de los
trabajadores.
Ahora bien, hay que tener en cuenta que no importa lo bien implementada que
esté una política, ya que ninguna es aplicable al 100% para cada posible
escenario; es por ello que hay que hacer excepciones. No obstante, dichas
excepciones deben plantearse por escrito y deben estar bien documentadas.
Debe quedar claro desde el principio que la política es un estándar oficial de la
empresa, y que solo se aceptará una excepción cuando exista una necesidad
real de hacerlo.
También puede suceder que todos los empleados de una empresa

comprendan las políticas que componen la política de seguridad, pero que
exista una que pueda interpretarse de múltiples formas. Si esto puede poner en
peligro el compromiso de la empresa con los objetivos de la seguridad de la
información, debe estudiarse y analizarse el caso para determinar si es
conveniente incluirla.
REDES
Veamos ahora un ejemplo simplificado de implementación de una política de
seguridad en una empresa de telecomunicaciones; cada política está formada,
a su vez, por una serie de medidas concretas:
- Protección de sistemas operativos, bases de datos y aplicaciones:
 Fortalecer la seguridad implementada en sistemas operativos y

bases de datos.
 Auditar la implementación de la seguridad para aplicaciones

asociadas a los sistemas operativos y las bases de datos.
- Implementación de políticas concretas relacionadas con:
 Privacidad.
 Contraseñas.
 Gestión de riesgos.
 Almacenamiento y archivo de los datos en función de las políticas

de la empresa.
 Uso adecuado del correo electrónico como principal forma de

comunicación.
 Clasificación de documentos y datos en grupos de "clasificados" y

"no clasificados".
 Plan de continuidad de negocio.
 Gestión de incidentes de seguridad.
REDES
- Protección de la red:
 Controles de acceso.
 Acceso remoto.
 Seguridad de acceso a Internet y correo electrónico.
 Comunicaciones VoIP.
 Gestión de emergencias a través de copias de seguridad de los

datos.
- Seguridad y control de acceso a dispositivos externos:
 Discos duros portátiles, pendrives, CDs y DVDs.
 Impresoras, escáner, fax, etc.
- Gestión y control de la seguridad física a través de:
 Entradas a la sede física con diferentes niveles de acceso y para

diferentes áreas físicamente separadas.
 Controles de acceso para el uso de equipos como servidores,

enrutadores, ordenadores, etc.
 Monitoreo en tiempo real de los entornos de la sede física con la

posibilidad de registrar eventos relevantes, independientemente
de su naturaleza.
- Inclusión de hardware y software de seguridad:
 Antivirus para cada usuario.
 Cifrado de datos y gestión de claves de seguridad.
REDES
 Sistema de detección de intrusos y sistema de prevención de
intrusos.
 Notificaciones de seguridad y gestión de eventos.
 Cortafuegos.
 Gestión de logs.
Cuando una política de seguridad ha estado vigente durante un período de

tiempo prudencial (que puede ir desde los tres meses a un año), se deben
auditar los controles de seguridad de la información de la empresa, de acuerdo
con las políticas implementadas. Esto implica asegurarse de que cada política
se cumple según lo previsto y que es apropiada para la situación actual. Si se
encuentran discrepancias, o las políticas ya no son aplicables tal y como están
redactadas, deben cambiarse para que se ajusten a los requisitos actuales de
la empresa.
Después del proceso de revisión inicial, hay que revisar periódicamente la

política de seguridad para asegurarse de que ésta sigue cumpliendo con los
requisitos de su empresa. Se puede crear un proceso para que la política sea
revisada periódicamente por las personas apropiadas. Esto debe ocurrir tanto
en ciertos intervalos (lo ideal es una vez al año), como cuando se producen
ciertos cambios en la empresa; de esta manera se garantiza que la política no
se queda obsoleta y se puede seguir siendo una herramienta de gestión útil en
los próximos años.
Cuando sea necesario realizar cambios, hay que asegurarse de dos aspectos
fundamentales:
- Actualizar la sección de revisiones del documento para diferenciar el

nuevo de las versiones anteriores.
REDES
- Difundir cualquier política modificada entre su público objetivo. Hay que
comunicar claramente los cambios a los trabajadores a los que afecta.
Las políticas de seguridad más útiles comparten dos características:
- Son un fiel reflejo de la estrategia de seguridad de la empresa.
- Proporcionan objetivos realistas y alcanzables.
Muchas PYMES prefieren descargar plantillas de políticas de seguridad listas

para usar en lugar de contratar a profesionales con experiencia para redactar
sus políticas de seguridad desde cero. Si bien el uso de plantillas puede
ahorrar recursos humanos y económicos, también puede causar diversos tipos
de daño y afectar a la reputación a las empresas que dependen únicamente de
estas plantillas.
Las políticas de seguridad rigen las prácticas usadas por las empresas para
proteger sus activos físicos y lógicos, y es por ello que generalmente se
actualizan continuamente para reflejar los requisitos prácticos y reglamentarios
de cada momento. Las políticas de seguridad bien redactadas también
desempeñan un papel importante en la investigación de los ataques
cibernéticos, ya que pueden revelar las vulnerabilidades de seguridad que los
atacantes utilizan para llevarlos a cabo.
Las plantillas de políticas de seguridad se pueden encontrar en Internet tanto

en forma de documentos descargables gratuitos, como en forma de
documentos de pago, y a muchas personas, les pueden parecen una forma
rápida y conveniente de cumplir con los requisitos de seguridad de su empresa.
Sin embargo, cuando no se verifican adecuadamente, estas plantillas pueden
entrañar una serie de riesgos para las empresas.
REDES
Existen dos importantes riesgos relacionados con el uso de plantillas de
políticas de seguridad, a saber:
- Los riesgos de violar las leyes sobre prácticas comerciales engañosas:

para ser efectiva, una política de seguridad debe ser precisa, estar
actualizada y reflejar prácticas, estrategias y objetivos de seguridad
realistas.
El incumplimiento de cualquiera de estos requisitos puede ser

considerado como una práctica comercial engañosa, que son acciones
llevadas a cabo por una empresa que engañan al consumidor promedio
con respecto a la naturaleza, características y precios del producto o
servicio ofrecido. Dicho de otro modo, dichas acciones afectan al
alcance de los compromisos de la empresa con sus clientes. Las leyes
de la mayoría de los países prohíben las prácticas comerciales
engañosas.
Si una empresa copia una plantilla de política de seguridad sin adaptarla

a sus necesidades, y se dan una serie de circunstancias, se puede
considerar que la organización engaña a los consumidores. Esto es
especialmente relevante en cuanto a las declaraciones de privacidad
que en la actualidad son obligatorias para los sitios web y las
aplicaciones online, según las leyes de muchas jurisdicciones.
Por ejemplo, si la política de seguridad predefinida (procedente de una

plantilla) adoptada por una empresa que ofrece servicios online, indica
que la compañía usa contraseñas que contienen al menos 10
caracteres, pero la compañía usa contraseñas que contienen solo 8, la
política inducirá a error a los clientes, haciéndoles creer que las
contraseñas que protegen sus datos son más seguras de lo que en
realidad son. Las sanciones por prácticas comerciales engañosas varían
REDES
según el país, pero pueden suponer un duro golpe para muchas
empresas, especialmente las PYMES.
- Los riesgos de violar las leyes sobre publicidad engañosa: ocurre

cuando una persona física o jurídica publicita un producto o servicio de
tal manera que puede inducir a error a sus potenciales clientes o afectar
a su comportamiento económico. Si las personas a quienes se ha hecho
publicidad deciden denunciar el hecho, pueden tener derecho a una
indemnización por daños y perjuicios.
A modo de ejemplo, si una empresa induce a sus potenciales clientes a

firmar contratos en los que afirma falsamente que protege sus datos
personales mediante el uso de cifrado, éstos pueden tener derecho a
invalidar el contrato y obtener indemnizaciones si se descubriera que no
es cierto.
El hecho de violar leyes sobre publicidad engañosa puede ser

intencional o no intencional, pero en el contexto del uso de plantillas de
políticas de seguridad, se trata de hechos negligentes, ya que se
realizan sin que la empresa sepa a ciencia cierta que los argumentos
mediante los que oferta algo son falsos. Esto puede ocurrir porque la
política de seguridad se ha copiado de una plantilla, o se ha comprado o
descargado en Internet, sin modificarla para cumplir con las
características y necesidades particulares de la empresa.
Cada cláusula y declaración contenida en una política de seguridad debe

revisarse y adaptarse a cada empresa en particular, haciéndolas
coincidir con las prácticas de seguridad reales.
En definitiva, una política de seguridad nunca debe ser redactada simplemente

en base a lo que alguien ha escrito previamente en una plantilla, sino que debe
diseñarse e implementarse de manera que se adapte perfectamente a cada
empresa (esto es, que debe ser personalizada). A menudo, la parte más
REDES
compleja radica en encontrar la manera de lograr estos objetivos sin dedicar
una gran cantidad de tiempo y/o recursos económicos.
Una política de seguridad no está pensada para crearse y archivarse de

manera permanente, sino para ser consultada activamente y de manera
habitual. Al incorporar una política de seguridad personalizada en el proceso de
gestión de una empresa, se pueden cumplir las leyes y regulaciones aplicables,
al mismo tiempo que se reducen los riesgos.
Esta clase de documentos proporcionan información acerca del nivel de

compromiso con la seguridad de las empresas que los usan, pero también
constituyen una herramienta vital para que los empleados contribuyan a
alcanzar y mantener cierto nivel de seguridad. Por lo tanto, es esencial que la
política de seguridad sea precisa, completa y utilizable. En ella se abordan los
requisitos para lograr un nivel de seguridad aceptable según los estándares
actuales.
La administración de la seguridad es otro aspecto que se trata en este

documento y que se realiza a través de los procedimientos, políticas e
instrucciones. No obstante, se debe tener en cuenta que algunas empresas
deben alinearse con ciertos estándares que son más relevantes para ellas, así
como con procedimientos que son más compatibles con la naturaleza
específica de su actividad empresarial.
Para beneficiarse del uso de plantillas de políticas de seguridad sin correr los
riesgos que han sido expuestos anteriormente en este tema, una empresa
debe seguir tres pasos:
1. Elegir la plantilla correcta:
Como ya se ha comentado con anterioridad, en Internet hay una gran

variedad de plantillas genéricas de políticas de seguridad. Sin embargo,
para tener una estrategia de seguridad sólida y garantizar el
cumplimiento de todos los estándares y leyes aplicables, las empresas
REDES
deben dar preferencia al uso de plantillas integrales y personalizadas, en
lugar de a las plantillas simples y prediseñadas que pueden carecer de
información importante.
Un documento de política de seguridad integral debe cubrir, al menos,

los siguientes aspectos relacionados con la seguridad de la información:
 Uso aceptable (varios  Correo electrónico.

aspectos).
 Contraseñas.
 Copias de seguridad.
 Cifrado.
 Acceso a la red.
 Clasificación de datos.
 Respuesta a incidentes.
 Seguridad física.
 Datos confidenciales.
 Etc.
Es importante tener en cuenta que la plantilla elegida debe ser ajustada

e implementada por un profesional capacitado para verificar el
cumplimiento legal de la política y garantizar que el documento cumple
con los estándares y leyes aplicables.
Es sumamente importante tener en cuenta que en cada país se aplican

diferentes requisitos y estándares de cumplimiento a las políticas de
seguridad. Por ejemplo, las empresas que operan en territorio
estadounidense están sujetas a estándares de cumplimiento normativo
que difieren significativamente del marco legal de la Unión Europea.
Por lo tanto, es de suma importancia identificar la ley aplicable (y en

vigor) y garantizar que la plantilla de la política de seguridad elegida
cumple con ella. Este trabajo debe recaer sobre un profesional de la
seguridad que tenga conocimiento y acceso a la información legal
relevante.
2. Ajustar la plantilla de acuerdo a las necesidades de la empresa:
REDES
Además de cumplir con los requisitos legales y normativos
correspondientes, una plantilla de política de seguridad debe reflejar las
características de la empresa y satisfacer sus necesidades. En muchas
ocasiones puede ser necesario recurrir a un profesional de la seguridad
de la información que tenga amplios conocimientos sobre los estándares
aplicables para que realice los ajustes necesarios en la plantilla.
Un problema habitual relacionado con las políticas de seguridad para

empresas, es la complejidad del lenguaje y el estilo de redacción que
utilizan; esto se aplica tanto al propio documento de la política como al
contrato que suele asociarse con ellas. Debido a la compleja
terminología legal que se usa a menudo en este tipo de documentos, los
empleados de la empresa, especialmente aquellos que no tienen
conocimientos legales, pueden tener dificultades para entender los
detalles del documento y seguir las políticas y procedimientos indicados
en el mismo.
Este problema puede ser especialmente contraproducente a la hora de

realizar auditorías o cuando haya que lidiar con incidentes de seguridad.
Para asegurar una aplicación eficaz de una política de seguridad, es
importante evaluar si el documento está redactado de manera clara,
concisa y fácilmente comprensible para que los empleados de la
empresa puedan seguirlo. El documento también debe estar actualizado,
ser práctico y reflejar las experiencias por las que pasa la empresa en el
mundo real, en lugar de describir un conjunto de escenarios meramente
teóricos.
3. Verificar si la empresa cumple con todas las cláusulas de la plantilla

modificada:
Un gran número de pequeñas y medianas empresas prefieren descargar

y usar plantillas de políticas de seguridad con la única finalidad de ser
REDES
nombradas en listas de cumplimiento y superar auditorías externas. Sin
embargo, si la plantilla de la política de seguridad elegida se adopta a
ciegas y no se adapta de manera exhaustiva, sino que se repasa de
forma superficial, la empresa puede no cumplir con ciertas cláusulas de
la plantilla modificada. Para evitar problemas, todas las cláusulas
incluidas en la política de seguridad deben ser verificables. Dicho de otro
modo, la política debe reflejar, de manera fidedigna, las prácticas reales
de la empresa.
Las plantillas de políticas de seguridad a las que se puede acceder a través de

Internet, a menudo son una gran ayuda para que las PYMES preparen sus
políticas de seguridad. Sin embargo, el uso incorrecto de dichas plantillas
puede dar lugar a problemas legales y, por lo tanto, a pérdidas económicas.
Las empresas que decidan usar plantillas predefinidas de políticas de
seguridad, deben ser plenamente conscientes de los riesgos legales que
entraña esta práctica.
Así, pues, y a modo de resumen, los pasos básicos que debe tener en cuenta
una empresa para redactar una política de seguridad sobre la base de una
plantilla son:
- Elegir una plantilla que cumpla con los estándares y requisitos legales
aplicables, según el país.
- Permitir a los profesionales necesarios realizar cualquier ajuste sobre la

plantilla.
- Asegurar que el documento final quede totalmente personalizado y esté

redactado de acuerdo con las necesidades de la empresa.
- Hacer que el documento sea accesible y comprensible para todos los

empleados de la empresa.
REDES
- Verificar que todas las cláusulas de la plantilla modificada son
abordadas y cumplidas por la empresa.
Además, el documento debe ser actualizado, práctico y reflejar las experiencias

de la empresa en el mundo real. Es por ello que no debe descartarse la
asistencia profesional a la hora de revisar el documento, ya que este hecho
puede ser de gran importancia para aumentar la calidad del programa de
seguridad de la información de la empresa y para garantizar un resultado
positivo en posibles auditorías externas de cumplimiento.
Una empresa próspera en la era actual, debe tener una buena política de
seguridad, ya que esto puede marcar la diferencia entre un negocio en
crecimiento y uno exitoso.
Hasta ahora se han estudiado diversos conceptos que se relacionan con el

diseño e implementación de las políticas de seguridad, pero también es
necesario hacer mención de lo que algunos expertos denominan documentos
complementarios o anexos.
Las partes básicas y obligatorias que componen un documento de política de

seguridad se denominan igualmente, políticas; pero las estrategias de
implementación alternativas pueden ser responsabilidades, estándares,
procesos, procedimientos, directrices, etc.
Los documentos complementarios o anexos que pueden usarse son:
- Funciones y responsabilidades: son descripciones de las

responsabilidades de seguridad ejecutadas por departamentos distintos
del Departamento de seguridad (en caso de que éste exista).
Por ejemplo, en una empresa de desarrollo de software, el

Departamento de I+D pueden encargarse de comprobar si existen
vulnerabilidades de seguridad antes de implementar código, y el
REDES
Departamento de Recursos Humanos puede encargarse de mantener
registros minuciosos de los empleados y/o colaboradores actuales.
- Estándares de tecnología: son descripciones de parámetros de

configuración técnica que se determinan para garantizar que la
administración de una empresa puede controlar el acceso a la
información.
- Procesos: son flujos de trabajo que permiten que las funciones de

seguridad realizadas por los diferentes departamentos se combinen para
garantizar el manejo seguro de la información.
- Procedimientos: son instrucciones paso a paso para que el personal no

capacitado realice tareas de seguridad rutinarias, y se asegure de que
los mecanismos de prevención, de detección y/o de respuesta funcionan
según lo planeado.
- Pautas: son consejos sobre la forma más fácil de cumplir con la política
de seguridad, ya que generalmente existen múltiples opciones para
garantizar la seguridad de la información.
Para finalizar el tema, se expondrán varias consideraciones especiales para los

empleados de una empresa, que se deben tener en cuenta tanto a la hora de
diseñar una política de seguridad como a la hora de implementarla.
Esperar que todos los empleados se conviertan en expertos en seguridad

constituye una expectativa utópica. En lugar de ello, hay que dividir las
prácticas de seguridad recomendadas en instrucciones más pequeñas y
manejables, que además estén diseñadas para ser compatibles con el
cumplimiento de los deberes individuales de los trabajadores.
Un ejemplo de esto, que emplean algunas empresas, es ofrecer cada semana

un mensaje único, breve y bien enfocado; de esta manera la política de
REDES
seguridad se difunde entre los trabajadores a modo de “píldoras de
información” en lugar de una avalancha de información que sea demasiado
ambiciosa. Esta estrategia es mucho más efectiva, porque hace que los
trabajadores interioricen mejor lo que deben y lo que no deben hacer.
Si una empresa cuenta con varios tipos de entornos de trabajo (departamentos,

secciones…) o niveles de trabajadores, se debe considerar redactar varios
reglamentos de seguridad independientes, destinados a cada grupo de
trabajadores. Eso sí, todos ellos deben incluir y/o ser compatibles con políticas
de seguridad más generales.
Cada política se puede adaptar a las necesidades específicas del entorno o

tipo de trabajador en particular. Para aumentar la participación y aceptación de
la política, también se puede fomentar que el personal contribuya al desarrollo
de sus propias directrices y procedimientos. Una participación activa hace que
los trabajadores sientan que la política de seguridad es más “suya”, y por lo
tanto, están más dispuestos a aplicarla.
Para lograr una mayor integridad y coherencia en toda la empresa, cada grupo
de trabajadores puede contar con los servicios de un coordinador de seguridad
experto mientras desarrolla su propio subconjunto de directrices.
Uno de los objetivos de una política de seguridad exitosa consiste en limitar la

necesidad de confianza en el sistema interno de la empresa. Si bien esto
puede parecer contradictorio, en realidad sirve para proteger tanto a los
empleados de la empresa como a la propia empresa: cuando los trabajadores
saben a que el sistema interno no es inquebrantable, puede tener
vulnerabilidades, y puede ser propenso a fallos y negligencias, son más
conscientes de la importancia del factor humano para preservar la seguridad de
la empresa. Dicho de otro modo, una política de seguridad exitosa hace que los
trabajadores no se desentiendan, sino que sean proactivos respecto a la
seguridad.
REDES
No obstante, antes de empezar a obtener los beneficios de la política de
seguridad, el personal debe estar debidamente informado de sus funciones,
responsabilidades y expectativas organizativas.
Así, los empleados deben ser informados por escrito de:
- Lo que es y no es un uso aceptable de los equipos y sistemas

informáticos.
- Cuáles serán las sanciones por violar las regulaciones.
- Que algunas de sus actividades puedan ser monitoreadas (por ejemplo,

intentos por acceder a sitios web que alojan malware o por conectarse a
servidores potencialmente peligrosos).
- Que la seguridad que depende directamente de ellos será revisada

regularmente (por ejemplo, es bueno que los trabajadores que hagan
bien su trabajo sean recompensados de alguna manera, mientras que
los que no, deben ser capacitados de nuevo).
Por otro lado, se debe recordar a los empleados que:
- Los recursos organizativos, incluidos los equipos informáticos que usan

diariamente, pertenecen a la empresa.
- No debe haber ninguna expectativa de privacidad para con la

información almacenada o transmitida desde los equipos de la empresa.
- Están obligados a firmar un acuerdo para reconocer que conocen sus

responsabilidades y verificar que cumplirán con la política de seguridad.
Esto requiere que:
 El personal debe tener la oportunidad de leer y revisar todas las

políticas y regulaciones de las que será responsable.
REDES
 El personal debe disponer del entorno y los recursos apropiados
para aclarar las dudas o inquietudes que puedan tener acerca de
la política de seguridad.
 Los trabajadores no deben tener acceso completo al documento

de la política de seguridad hasta que medie un acuerdo firmado;
solo entonces se les dará acceso a toda la información, que
deberán mantener en un lugar seguro para consultarla cuando
deseen.
Respecto a los nuevos empleados, se debe esperar que todos ellos cumplan
con los requisitos y procedimientos de seguridad de la empresa como parte de
la descripción de su trabajo. Una vez contratados, los nuevos empleados
deben ser informados y capacitados sobre la política de seguridad como parte
fundamental de su formación inicial.
También es necesario hacer algunas aclaraciones respecto a los trabajadores

externos (técnicos de reparación de averías, consultores, personal de apoyo
temporal, etc.) y empresas colaboradoras (departamentos externos,
instituciones educativas, consultorías, etc.).
Debido a que estos trabajadores o empresas van a tener acceso a la empresa

en algún momento, también deben firmar acuerdos que exijan que respeten y
mantengan la confidencialidad de la información.
No obstante, hay que extremar las precauciones para no compartir más

información de la necesaria con extraños, especialmente aquella que concierne
a la seguridad. Esto es debido a que incluso la información más aparentemente
irrelevante acerca de los métodos de defensa o sistemas de seguridad que usa
una empresa, pueden darle a un intruso experto ventajas a la hora de intentar
quebrantarlos.
REDES
Es por ello que se deben limitar las sesiones informativas acerca de la
seguridad (o hacerlo en los niveles adecuados) con el fin de:
- Evitar que se rompa la seguridad de la empresa.
- Hacer saber a terceros que la empresa se toma en serio la protección de

sus activos.
- Asegurar que los activos se manejan de forma segura.
Un ejemplo de lo anterior se puede ver en el hecho de compartir noticias

generales con el público (medios de comunicación, organizaciones locales,
socios comerciales o legisladores, por mencionar algunos). Cuando se informa
adecuadamente acerca del compromiso de una empresa con su seguridad, se
puede inculcar un cierto sentimiento de confianza en la propia empresa y en la
comunidad que la rodea (clientes, posibles nuevos socios, inversores, etc.).
PREGUNTAS DE REFUERZO
1. Los permisos consisten en un rol y una capacidad:
a. Verdadero.
b. Falso.
2. Las políticas de seguridad no pueden diferir de los procesos y

procedimientos:
a. Verdadero.
b. Falso. Si se descubre algo que no es práctico, hay que crear un plan

para realizar los cambios necesarios en la política. Esto nos lleva a
REDES
la siguiente conclusión: las políticas difieren de los procesos y
procedimientos.
REDES
RESUMEN
En este tema se estudiará todo lo relacionado con el diseño y la implantación

de una política de seguridad para empresas.
Se abordará su concepto, utilidad, y qué objetivos debe cumplir para ayudar a

salvaguardar la seguridad de la información de toda empresa, aunque también
se harán breves menciones de modelos de políticas de seguridad que tienen
en cuenta otros tipos de seguridad, como la perimetral, la externa, etc.
El tema está estructurado en un macro-apartado donde se integran los

conocimientos necesarios para el diseño e implementación de una política de
seguridad, ya que se considera que ambos aspectos deben acometerse de una
manera similar, atendiendo a las necesidades de la empresa y haciendo lo
posible por favorecer su actividad habitual.
A lo largo del tema se aprenderá qué aspectos pueden tenerse en cuenta como
punto de partida para diseñar una política de seguridad, y también varios
conceptos relacionados con la seguridad de la información (como la
confidencialidad, la disponibilidad y la integridad (triada de la CIA), así como los
problemas más habituales asociados a la misma.
Se recalca también la importancia de adaptar las políticas de seguridad a cada

empresa (esto es, diseñarlas de manera personalizada), y algunos de los
riesgos de usar plantillas prediseñadas. Igualmente, se señala qué contenido
debe tener una buena política de seguridad y se aportan ideas para adaptas las
citadas plantillas adecuadamente, en caso de que decidan usarse.
Tras conocer cómo debe ser una política de seguridad o qué características
comunes son básicas en este tipo de documentos, se estudiarán varias
estrategias relacionadas con su implantación en la empresa, entre las que
destacan cómo formar, capacitar y concienciar a los trabajadores sobre su uso,
REDES
o como debe mantenerse y actualizarse con el paso del tiempo. Se incluye un
ejemplo de política de seguridad en una empresa de telecomunicaciones y
consejos para fomentar su uso entre empleados, nuevos empleados y personal
externo.
REDES
GLOSARIO
Amenaza: es un fenómeno o condición peligrosa que puede ocasionar un

impacto dañino, la pérdida de información o de servicios, etc.
Política de seguridad: es un documento de alto nivel que denota el

compromiso de una empresa con la seguridad de la información. Contiene la
definición de la seguridad de la información desde el punto de vista de dicha
empresa.
Riesgo: combinación de la probabilidad de que se produzca un evento y sus

consecuencias negativas. Los factores que lo componen son la amenaza y la
vulnerabilidad.
Seguridad de la información: conjunto de medidas preventivas y reactivas de

las empresas que permiten resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e integridad de los datos.
Vulnerabilidad: son las características y circunstancias de un sistema que lo

hacen susceptibles a los efectos dañinos de una amenaza.
REDES
BIBLIOGRAFÍA
Kamo, Bexhet, et al. Information security policy, design and implementation in a

telecommunication company. International Journal of Science, Innovation and
New Technology. Vol.1, Nº 2, 2011.
Peltier, T., ‘Information Security Policies, Procedures, and Standards:

Guidelines for Effective Information Security Management’, CRC Press, 2016
Timothy P. Layton. Information security, Design, Implementation, Measurement,

and Compliance. Auerbach Publications, 2006.
How to design and implement a cybersecurity strategy. Critical Infrastructure

Security Guide 2. Taiit Communications, 2016.
De: www.taitradio.com/__data/assets/pdf_file/0003/156063/Critical-Infrastruce-
Guide-2-v2.pdf
https://www.sei.cmu.edu/about/divisions/cert/
https://www.sans.org/security-resources/policies/
REDES

TEMA 2 - Planificacion Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TEMA 2 - Planificacion Seguridad

Cargado por

Copyright:

Formatos disponibles

ÍNDICE DE CONTENIDOS

2. ADMINISTRACIÓN DE LA SEGURIDAD EN REDES

La persona (o personas) encargada de realizar las tareas de gestión,

Otra de las tareas fundamentales del administrador de red es la de determinar

La política de seguridad es diferente de los procesos y procedimientos de

Las políticas de seguridad son independientes de ciertos factores externos,

Estas políticas deben cubrir todos los sistemas y datos electrónicos de la

- Permitir la confidencialidad y privacidad de la información de la empresa.

- Ofrecer protección para la integridad de la información de la empresa.

- Proporcionar la disponibilidad de la información de su empresa.

A esto se le conoce comúnmente como "tríada de la CIA" (de Confidentiality,

Para que una empresa adquiera un mejor posicionamiento en el mercado, sus

Cualquier empresa que ofrezca productos o servicios online debe ganarse la

Desde el punto de vista de la seguridad de la información, cuando se trabaja

Un aspecto importante a la hora de diseñar una política de seguridad, es

Algunos modelos de seguridad actuales están basados en roles (autorización),

Siempre debe existir un equilibrio entre la seguridad y la usabilidad. Cuando un

Antes de implementar cualquier política de seguridad en una empresa, es

- La evaluación de riesgos: esta debe tener en cuenta la estrategia

 Identificar las principales amenazas para los activos,

 evaluar la vulnerabilidad de la empresa,

 calcular la probabilidad de que tenga lugar un incidente

 y evaluar el impacto potencial del mismo.

- Los requisitos legales, reglamentarios y contractuales: todas las

- El conjunto de principios, objetivos y requisitos que la empresa ha

Los requisitos de seguridad se identifican mediante una evaluación metódica

- La protección de datos y privacidad de datos personales.

- La protección de datos organizativos.

- Los derechos de propiedad intelectual.

Existen ciertos controles relacionados con la seguridad de la información que

- Documentar la política de seguridad de la información.

- Asignar responsabilidades de seguridad de la información.

- Sensibilizar, educar y capacitar en seguridad de la información.

- Usar aplicaciones y software de seguridad específicos.

- Realizar una gestión técnica de las vulnerabilidades.

- Disponer de un Plan de continuidad de negocio.

- Realizar una buena gestión de incidencias y mejoras de la seguridad de

En cuanto a la seguridad de la información en relación con las políticas de

Si bien la autenticación por nombre de usuario y contraseña es la más

- Autorización: este concepto hace referencia al mecanismo que permite

- Administración: es el proceso de definir, configurar y gestionar los

Antes hemos citado brevemente el modelo de seguridad basado en roles;

Un rol es una entidad con nombre que proporciona privilegios de autorización y

- Privilegios: a modo de ejemplo, un privilegio es como una puerta y,

- Permisos: los permisos se utilizan para proteger archivos. Los permisos

Tras varios ciberataques importantes (como el de WannaCry), muchas grandes

La política de seguridad indica el compromiso de la empresa con el

Los problemas más importantes de la seguridad de la información están

- La confidencialidad: cuando terceros no autorizados obtienen y/o

- La integridad: cuando la información se modifica o elimina

- La disponibilidad: cuando la información no está disponible si es

Una política de seguridad puede proporcionar protección legal a la empresa,

Los documentos de políticas de seguridad se componen, a su vez, de varios

- Política de uso aceptable.

- Política de copias de seguridad.

- Política de protección de datos de carácter personal.

- Política de cifrado de datos.

- Política de correo electrónico.

- Política de respuesta a incidentes.

- Política de dispositivos móviles.

- Política de acceso a la red.

- Política de seguridad de red.

- Política de seguridad física.