Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO ...................................................................................................... 2
2. ADMINISTRACIÓN DE LA SEGURIDAD EN REDES .............................. 2
2.1. DISEÑO E IMPLANTACIÓN DE POLÍTICAS DE SEGURIDAD ........ 3
RESUMEN ....................................................................................................... 40
GLOSARIO....................................................................................................... 42
BIBLIOGRAFÍA ................................................................................................ 43
AUTOEVALUACIÓN ........................................... ¡Error! Marcador no definido.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 1
REDES
CONTENIDO
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 2
REDES
2.1. DISEÑO E IMPLANTACIÓN DE POLÍTICAS DE SEGURIDAD
Una política de seguridad es una estrategia acerca de cómo una empresa debe
implementar los principios y tecnologías de seguridad de la información. En
esencia, es un plan de negocios que se aplica solo a los aspectos de seguridad
de la información de una empresa.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 3
REDES
Una política de seguridad debe cumplir tres objetivos concretos:
Así mismo, cualquier empresa debe cumplir con las leyes y regulaciones
pertinentes según su localización geográfica (como la Protección de Datos en
Europa). Así, junto con las características funcionales del producto o servicio, la
capacidad para proteger los datos del cliente es un aspecto clave para poder
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 4
REDES
desarrollar un negocio online y tener buena acogida entre los potenciales
clientes.
Para asegurar los datos y servicios contratados por los clientes, se deben
seguir estrictos estándares de seguridad, que se traducen en el diseño e
implantación de una política de seguridad.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 5
REDES
Es esencial que una empresa identifique sus requisitos de seguridad. Hay tres
fuentes principales de requisitos de seguridad:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 6
REDES
Hay varios aspectos que se pueden considerar como un buen punto de partida
a la hora de crear políticas de seguridad, como por ejemplo:
Hay que tener en cuenta que aunque todos los puntos del anterior listado son
importantes y deben considerarse, la importancia de cada uno debe
determinarse en función de los riesgos específicos que enfrenta cada empresa.
Por lo tanto, aunque el enfoque anterior se considera un buen punto de partida,
no puede sustituir a la evaluación de riesgos.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 7
REDES
- Autenticación: este concepto, estrechamente relacionado con el control
de accesos, consiste en el proceso de verificar las credenciales de un
usuario para cualquier usuario que haya sido creado con anterioridad. La
autenticación asegura que alguien es quien dice ser. Los usuarios
suelen autenticarse con un nombre de usuario y contraseña
(credenciales). La autenticación verifica las credenciales del usuario y
asocia una sesión con el usuario autenticado.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 8
REDES
política de seguridad de toda empresa, ya que su aplicación permite alcanzar
varios niveles de refinamiento, que es lo que se necesita para cumplir los
requisitos de seguridad estipulados.
Los roles son el punto central de este modelo, pero también son importantes
los privilegios y permisos de los usuarios, que les permiten interactuar con
otros usuarios y los relacionan o no con los diferentes roles existentes:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 9
REDES
Los administradores son usuarios privilegiados que tienen la autoridad para
realizar tareas como crear, eliminar, modificar usuarios, roles, privilegios, etc.
Se debe tener especial cuidado a la hora de asignar usuarios al rol de o
administración, ya que éstos pueden realizar cualquier tarea en el sistema,
incluida la eliminación de datos.
Por otro lado, los usuarios son entidades que tienen asignado un nombre que
utilizan para autenticar una solicitud de conexión o acceso en un servidor, una
red, un sistema operativo, una aplicación, etc.
En general, es imposible realizar una tarea compleja sin un plan detallado para
hacerlo. Una política de seguridad es ese plan y proporciona una metodología
para aplicar eficazmente los principios de seguridad de la información en toda
su empresa. Así, después de la implementación, se convierte en una guía de
referencia cuando surgen cuestiones de seguridad.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 10
REDES
Lo cierto es que una política de seguridad contiene procedimientos
organizativos aprobados previamente, que indican exactamente lo que se debe
hacer para evitar problemas de seguridad, así como los pasos que se tienen
que seguir si alguna vez la empresa se enfrenta a un robo de datos.
Tener una política de seguridad garantizará, como mínimo, que todos los
trabajadores de la empresa se encuentran al corriente de los procesos y
procedimientos de seguridad.
No existe una política de seguridad genérica que puedan usar todas las
empresas, o dicho de otro modo, diferentes empresas necesitarán diferentes
políticas para una gestión efectiva de su seguridad.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 11
REDES
carácter personal). A continuación se expone un listado que incluye las
políticas más comunes que conforman una política de seguridad:
- Política de autenticación.
- Política de contraseñas.
Ahora bien, existen algunas políticas de seguridad que son mejores que otras.
Las mejores políticas de seguridad reúnen una serie de características
relacionadas con los siguientes aspectos:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 12
REDES
seguridad hoy en día, es cumplir con las regulaciones y los estándares
relacionados con la seguridad de la información.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 13
REDES
de datos central, pero a los del Departamento de Cuentas les basta con
acceder a la base de datos de nóminas y facturación, etc.)
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 14
REDES
- Contratar a un profesional para crear una política de seguridad
personalizada.
La primera opción destaca por su alto coste, ya que diseñar una política de
seguridad personalizada puede costar miles de euros, dependiendo de la
complejidad; además, puede llevar mucho tiempo.
La segunda opción destaca por su poca practicidad debido a que puede llevar
semanas o meses. Esto puede suponer demasiado tiempo para desarrollar una
política que, probablemente, no sea del todo apropiada para la empresa.
Durante el diseño de una política de seguridad hay que tener en cuenta las
siguientes cuestiones:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 15
REDES
reducir sus riesgos. Algunos expertos no incluyen la seguridad física
dentro de los políticas de seguridad, pero conviene tenerla en cuenta en
caso de necesidades especiales, para decidir si se debe incluir o no.
Procedimientos de seguimiento.
Auditorías internas.
Gestión de incidentes.
Etcétera.
Para ser efectiva, una política de seguridad debe ser clara y consistente, pero
además, debe ajustarse a la estructura de la empresa y no obligarla a llevar a
cabo un cambio radical de la forma en que lleva el negocio.
Toda política de de seguridad debe estar redactada de tal manera que sea
comprensible por la totalidad de su audiencia objetivo (que debe estar
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 16
REDES
claramente identificada en el documento). En ningún caso deben usarse
términos legales, excesivamente técnicos o confusos.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 17
REDES
- Versión: para garantizar el uso y aplicación eficaces de la política, se
incluye un número de versión que se debe modificar para reflejar
cualquier cambio y/o actualización del documento.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 18
REDES
- Debe ser consistente con las leyes y regulaciones aplicables: en muchos
países existen leyes que se aplican a las prácticas de seguridad de sus
empresas, como por ejemplo, las que regulan el uso del cifrado. Algunos
países tienen leyes específicas que regulan la protección de los datos de
carácter personal de los ciudadanos (como en los Estados miembros de
la Unión Europea), y algunas industrias están sujetas a regulaciones que
rigen sus políticas de seguridad (como la química, la farmacéutica…). Es
altamente recomendable investigar y familiarizarse con cualquier
regulación o norma que se aplique a los controles de seguridad de la
empresa para la cual se va a desarrollar una política de seguridad.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 19
REDES
objetivo y una clara designación de que el documento es confidencial. Estos
datos pueden incluirse en la cabecera y pie de página de cada folio, con un
tamaño de letra algo menor que el resto del texto si fuera necesario.
Una vez que haya diseñado la política, quizás la parte más difícil del proceso
sea implementarla en la empresa. Muchos intentos por obtener una política de
seguridad pierden fuerza durante la fase de implementación, por lo que este
paso debe planearse y llevarse a cabo cuidadosamente.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 20
REDES
implementación. La política de seguridad debe adoptarse oficialmente como
política de la empresa, por lo que debe firmarse y registrarse de la misma
manera en que se toma cualquier otra decisión importante.
Seguidamente, hay que revisar todas y cada una de las políticas que
componen el documento y reflexionar acerca de cómo se aplicarán en la
empresa. Para ello es necesario asegurarse de que existen las herramientas
adecuadas para cumplir con la política, y que éstas están disponibles para su
uso. Por ejemplo, si una política específica establece que se supervise una
determinada red, hay que asegurarse de que existe capacidad de supervisión
para esa red (un técnico especializado con acceso, etc.); si otra política
establece que los colaboradores externos de la empresa deben aceptar la
“Política de uso aceptable” antes de utilizar la conexión a Internet de la
empresa durante las reuniones, hay que asegurarse de que existe la
posibilidad de proporcionarles el documento.
Llegados a esta fase, si se descubre algo que no es práctico, hay que crear un
plan para realizar los cambios necesarios en la política. Esto nos lleva a la
siguiente conclusión: las políticas difieren de los procesos y procedimientos. Es
por ello que es necesario considerar cuidadosamente los procesos y
procedimientos de seguridad necesarios después de finalizar el diseño de una
política, y antes de implementarla. Por ejemplo, una “Política de copia de
seguridad” puede detallar los días y horarios para realizar copias de seguridad,
sin embargo, puede no especificar exactamente cómo se debe realizar esta
tarea.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 21
REDES
dentro de la empresa. Así es como se consiguen establecer procedimientos
que respaldan las políticas.
Ahora bien, hay que tener en cuenta que no importa lo bien implementada que
esté una política, ya que ninguna es aplicable al 100% para cada posible
escenario; es por ello que hay que hacer excepciones. No obstante, dichas
excepciones deben plantearse por escrito y deben estar bien documentadas.
Debe quedar claro desde el principio que la política es un estándar oficial de la
empresa, y que solo se aceptará una excepción cuando exista una necesidad
real de hacerlo.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 22
REDES
Veamos ahora un ejemplo simplificado de implementación de una política de
seguridad en una empresa de telecomunicaciones; cada política está formada,
a su vez, por una serie de medidas concretas:
Privacidad.
Contraseñas.
Gestión de riesgos.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 23
REDES
- Protección de la red:
Controles de acceso.
Acceso remoto.
Comunicaciones VoIP.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 24
REDES
Sistema de detección de intrusos y sistema de prevención de
intrusos.
Cortafuegos.
Gestión de logs.
Cuando sea necesario realizar cambios, hay que asegurarse de dos aspectos
fundamentales:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 25
REDES
- Difundir cualquier política modificada entre su público objetivo. Hay que
comunicar claramente los cambios a los trabajadores a los que afecta.
Las políticas de seguridad rigen las prácticas usadas por las empresas para
proteger sus activos físicos y lógicos, y es por ello que generalmente se
actualizan continuamente para reflejar los requisitos prácticos y reglamentarios
de cada momento. Las políticas de seguridad bien redactadas también
desempeñan un papel importante en la investigación de los ataques
cibernéticos, ya que pueden revelar las vulnerabilidades de seguridad que los
atacantes utilizan para llevarlos a cabo.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 26
REDES
Existen dos importantes riesgos relacionados con el uso de plantillas de
políticas de seguridad, a saber:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 27
REDES
según el país, pero pueden suponer un duro golpe para muchas
empresas, especialmente las PYMES.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 28
REDES
compleja radica en encontrar la manera de lograr estos objetivos sin dedicar
una gran cantidad de tiempo y/o recursos económicos.
Para beneficiarse del uso de plantillas de políticas de seguridad sin correr los
riesgos que han sido expuestos anteriormente en este tema, una empresa
debe seguir tres pasos:
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 29
REDES
deben dar preferencia al uso de plantillas integrales y personalizadas, en
lugar de a las plantillas simples y prediseñadas que pueden carecer de
información importante.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 30
REDES
Además de cumplir con los requisitos legales y normativos
correspondientes, una plantilla de política de seguridad debe reflejar las
características de la empresa y satisfacer sus necesidades. En muchas
ocasiones puede ser necesario recurrir a un profesional de la seguridad
de la información que tenga amplios conocimientos sobre los estándares
aplicables para que realice los ajustes necesarios en la plantilla.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 31
REDES
nombradas en listas de cumplimiento y superar auditorías externas. Sin
embargo, si la plantilla de la política de seguridad elegida se adopta a
ciegas y no se adapta de manera exhaustiva, sino que se repasa de
forma superficial, la empresa puede no cumplir con ciertas cláusulas de
la plantilla modificada. Para evitar problemas, todas las cláusulas
incluidas en la política de seguridad deben ser verificables. Dicho de otro
modo, la política debe reflejar, de manera fidedigna, las prácticas reales
de la empresa.
Así, pues, y a modo de resumen, los pasos básicos que debe tener en cuenta
una empresa para redactar una política de seguridad sobre la base de una
plantilla son:
- Elegir una plantilla que cumpla con los estándares y requisitos legales
aplicables, según el país.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 32
REDES
- Verificar que todas las cláusulas de la plantilla modificada son
abordadas y cumplidas por la empresa.
Una empresa próspera en la era actual, debe tener una buena política de
seguridad, ya que esto puede marcar la diferencia entre un negocio en
crecimiento y uno exitoso.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 33
REDES
Departamento de Recursos Humanos puede encargarse de mantener
registros minuciosos de los empleados y/o colaboradores actuales.
- Pautas: son consejos sobre la forma más fácil de cumplir con la política
de seguridad, ya que generalmente existen múltiples opciones para
garantizar la seguridad de la información.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 34
REDES
seguridad se difunde entre los trabajadores a modo de “píldoras de
información” en lugar de una avalancha de información que sea demasiado
ambiciosa. Esta estrategia es mucho más efectiva, porque hace que los
trabajadores interioricen mejor lo que deben y lo que no deben hacer.
Para lograr una mayor integridad y coherencia en toda la empresa, cada grupo
de trabajadores puede contar con los servicios de un coordinador de seguridad
experto mientras desarrolla su propio subconjunto de directrices.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 35
REDES
No obstante, antes de empezar a obtener los beneficios de la política de
seguridad, el personal debe estar debidamente informado de sus funciones,
responsabilidades y expectativas organizativas.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 36
REDES
El personal debe disponer del entorno y los recursos apropiados
para aclarar las dudas o inquietudes que puedan tener acerca de
la política de seguridad.
Respecto a los nuevos empleados, se debe esperar que todos ellos cumplan
con los requisitos y procedimientos de seguridad de la empresa como parte de
la descripción de su trabajo. Una vez contratados, los nuevos empleados
deben ser informados y capacitados sobre la política de seguridad como parte
fundamental de su formación inicial.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 37
REDES
Es por ello que se deben limitar las sesiones informativas acerca de la
seguridad (o hacerlo en los niveles adecuados) con el fin de:
PREGUNTAS DE REFUERZO
a. Verdadero.
b. Falso.
a. Verdadero.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 38
REDES
la siguiente conclusión: las políticas difieren de los procesos y
procedimientos.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 39
REDES
RESUMEN
A lo largo del tema se aprenderá qué aspectos pueden tenerse en cuenta como
punto de partida para diseñar una política de seguridad, y también varios
conceptos relacionados con la seguridad de la información (como la
confidencialidad, la disponibilidad y la integridad (triada de la CIA), así como los
problemas más habituales asociados a la misma.
Tras conocer cómo debe ser una política de seguridad o qué características
comunes son básicas en este tipo de documentos, se estudiarán varias
estrategias relacionadas con su implantación en la empresa, entre las que
destacan cómo formar, capacitar y concienciar a los trabajadores sobre su uso,
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 40
REDES
o como debe mantenerse y actualizarse con el paso del tiempo. Se incluye un
ejemplo de política de seguridad en una empresa de telecomunicaciones y
consejos para fomentar su uso entre empleados, nuevos empleados y personal
externo.
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 41
REDES
GLOSARIO
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 42
REDES
BIBLIOGRAFÍA
De: www.taitradio.com/__data/assets/pdf_file/0003/156063/Critical-Infrastruce-
Guide-2-v2.pdf
https://www.sei.cmu.edu/about/divisions/cert/
https://www.sans.org/security-resources/policies/
2. ADMINISTRACIÓN DE LA SEGURIDAD EN 43
REDES