1

Master en Gestión de las

Tecnologías de la
información

Página: 2
Master en Gestión de las
Tecnologías de la
información

El primer paso para ser capaces de definir o aplicar una política de seguridad es entender que
son en realidad las políticas, guías y procedimientos relacionados con la seguridad.
Las políticas de seguridad deben servirnos de ayuda tanto en la Gestión de Tecnologías de la
Información en general como en la Gestión de la Seguridad en particular.
El porqué y el para qué de las políticas no debe perderse de vista dado que en dichas políticas
se debe de reflejar la cultura de la empresa, y los empleados deben de percibir en la
implantación de Políticas de Seguridad una herramienta más que colabora para materializar
los objetivos del negocio.

Página: 3
Master en Gestión de las
Tecnologías de la
información

El primer paso para ser capaces de definir o aplicar una política de seguridad es entender que
son en realidad las políticas, guías y procedimientos relacionados con la seguridad.
Las políticas de seguridad deben servirnos de ayuda tanto en la Gestión de Tecnologías de la
Información en general como en la Gestión de la Seguridad en particular.
El porqué y el para qué de las políticas no debe perderse de vista dado que en dichas políticas
se debe de reflejar la cultura de la empresa, y los empleados deben de percibir en la
implantación de Políticas de Seguridad una herramienta más que colabora para materializar
los objetivos del negocio.

Página: 4
Master en Gestión de las
Tecnologías de la
información

Un política esta hecha por definición para durar. Es decir que debe de poder ser aplicada en el
futuro.
Hablando de Medios Removibles, no se hace mención a disquetes CD-Rom, pen drives, etc.
Sino que se deja la opción abierta para que pueda ser aplicada en el futuro a otros medios aún
por especificar.
La Política va a dictar que debe hacerse, pero en ningún caso el como. Es una declaración
descriptiva.

Página: 5
Master en Gestión de las
Tecnologías de la
información

El estándar es una declaración prescriptiva que complementa la política y en ocasiones puede

complementar o estar incluida en la Política.
En esencia va a definir como la Seguridad debe de ser implementada en la empresa.

Página: 6
Master en Gestión de las
Tecnologías de la
información

Página: 7
Master en Gestión de las
Tecnologías de la
información

Estándares y políticas pueden definirse con niveles de detalle muy diferentes, pero no debe
olvidarse que son un instrumento de ayuda a garantizar resultados y objetivos del negocio, por
lo que se requerirá el nivel adecuado a cada caso en función de lo que se pretenda asegurar y
transmitir a todos los implicados.

Página: 8
Master en Gestión de las
Tecnologías de la
información

En cada caso, en función del nivel de detalle deseado, la cultura de la empresa, etc. Los
estándares definirán los requerimientos que se deben cumplir.
En esencia son ya una relación de las tareas a realizar en las que es deseable un nivel de
detalle suficiente como para que quede claro todo lo que debe de ser controlado y gestionado
así como las líneas maestras de la actuación a seguir.

Página: 9
Master en Gestión de las
Tecnologías de la
información

El procedimiento es un conjunto de instrucciones, que puede incluir marcas y productos

concretos de software a ser instalado, impresión de pantallas orientadas a aclarar procesos y
que debe de estar dirigido a su audiencia específica, por lo que de un mismo procedimiento
pueden existir diferentes versiones orientadas a diferentes audiencias.

Página: 10
Master en Gestión de las
Tecnologías de la
información

En los procedimientos estamos detallando el Como debe de realizarse una determinada

acción, y será habitual que puedan incluir impresiones de pantalla y conjuntos de
instrucciones detalladas para efectuar la instalación y/o monitorización de las herramientas
y sistemas.

Página: 11
Master en Gestión de las
Tecnologías de la
información

Cuando hablamos de Guías, nos estamos refiriendo a todos aquellos documentos que
permiten la divulgación de una cierta cultura de la seguridad, bien entre usuarios finales o bien
entre los propios técnicos de IT.
Las “Best Practices” pueden incluirse en esta categoría.

Si el documento es considerado de cumplimiento obligatorio debe de ser encuadrado en otra

categoría.

Página: 12
Master en Gestión de las
Tecnologías de la
información

En resumen, el nombre dado a cada documento del sistema no es crítico. Encontraremos

diferentes nomenclaturas en diferentes empresas, pero es importante que con una u otra
denominación se defina Porqué dictamos normativas, Qué queremos gestionar y Cómo
deberemos efectuar el control y seguimiento de la Seguridad de la Información, y que esta
información quede clara para quien debe cumplirla y para quien debe hacerla cumplir.

Página: 13
Master en Gestión de las
Tecnologías de la
información

Página: 14
Master en Gestión de las
Tecnologías de la
información

Página: 15
Master en Gestión de las
Tecnologías de la
información

Página: 16
Master en Gestión de las
Tecnologías de la
información

Página: 17
Master en Gestión de las
Tecnologías de la
información

Página: 18
Master en Gestión de las
Tecnologías de la
información

Página: 19
Master en Gestión de las
Tecnologías de la
información

Página: 20
Master en Gestión de las
Tecnologías de la
información

Página: 21
Master en Gestión de las
Tecnologías de la
información

Página: 22
Master en Gestión de las
Tecnologías de la
información

Página: 23
Master en Gestión de las
Tecnologías de la
información

Página: 24
Master en Gestión de las
Tecnologías de la
información

Página: 25
Master en Gestión de las
Tecnologías de la
información

Algunas cuestiones básicas que preocupan desde la perspectiva del negocio:

- ¿Estamos suficientemente Seguros?

- ¿Estamos hoy más seguros que ayer?
- ¿Qué es Seguridad y como saber si la he alcanzado?
- ¿Qué obtengo a cambio del dinero gastado en seguridad?

Las actividades relacionadas con la Gestión de la Seguridad deben ayudarnos a responder a

estas cuestiones, y la implementación de Controles, es la manera de dar soporte a la dirección
en la toma de decisiones adecuadas.

Página: 26
Master en Gestión de las
Tecnologías de la
información

Estudiada la Estrategia de la Cía., y comprendidos sus objetivos, hemos de planificar la

Gestión de IT de forma que se convierta en una herramienta de apoyo a la consecución de los
mismos.
Es por ello que los controles a aplicar en la gestión de IT deben de ir encaminados a verificar
que avanzamos en la dirección correcta, con un grado de flexibilidad suficiente como para
permitirnos reorientar la propia estrategia de IT.

Página: 27
Master en Gestión de las
Tecnologías de la
información

Los diferentes elementos de los que disponemos inciden en distintos momentos del proceso.

Página: 28
Master en Gestión de las
Tecnologías de la
información

Página: 29
Master en Gestión de las
Tecnologías de la
información

Página: 30
Master en Gestión de las
Tecnologías de la
información

La diferencia clave entre KPI y métrica se centra en que un KPI refleja el estado de un
indicador estratégico que nos ayuda a valorar la consecución, mientras que una métrica
representa solo la medición de una actividad del negocio.

Página: 31
Master en Gestión de las
Tecnologías de la
información

Los KPI’s deben de estar alineados con objetivos estratégicos específicos, nos deben de
permitir verificar los avances o las carencias de las actuaciones desarrolladas.

Página: 32
Master en Gestión de las
Tecnologías de la
información

Página: 33
Master en Gestión de las
Tecnologías de la
información

En el siguiente ejemplo podemos ver como partiendo de un objetivo estratégico, pretendemos

definir algún KPI que nos permita verificar la consecución del mismo.

En este caso, se pretende optimizar la productividad de los usuarios mejorando de forma

directa la atención que reciben para solucionar los incidentes que se les presentan.
Podemos hacen hincapié en varios aspectos, como por ejemplo analizar que tipo de incidentes
son más habituales, que carencias formativas pueden existir, que defectos o carencias
estructurales puede haber, etc..

En este caso nos centramos en la mejora del tiempo de respuesta como un primer paso
cuantificable para acercarnos a nuestro objetivo.

No obstante, en su definición hay que ser cuidadosos porque si la misma es incompleta, nos
llevará a obtener una medida que no será suficientemente esclarecedora de que estamos
haciendo, y como mejorar en la obtención del objetivo.

Página: 34
Master en Gestión de las
Tecnologías de la
información

Analizando detalladamente nuestro KPI, vemos que deja sin respuesta una serie de
cuestiones que son cruciales para evaluar nuestra actividad y en consecuencia para mejorar
nuestra actividad.

Página: 35
Master en Gestión de las
Tecnologías de la
información

La reformulación del mismo nos permite acotar más exactamente la actividad medida, y, si
fuese necesario pondría en evidencia otras carencias, como por ejemplo la necesidad de
soporte fuera de horario normal o a través de otras vías.

Página: 36
Master en Gestión de las
Tecnologías de la
información

Página: 37
Master en Gestión de las
Tecnologías de la
información

Es básico analizar donde estamos. En función del grado de madurez, es decir, de donde esta
nuestra organización, deberemos adaptar nuestro estilo de gestión.
Si no existen procedimientos detallados difícilmente podremos evaluarlos, y es critico avanzar
desde los aspectos más básicos para crear una cultura de la Seguridad en la organización.

Página: 38
Master en Gestión de las
Tecnologías de la
información

Página: 39
Master en Gestión de las
Tecnologías de la
información

Página: 40
Master en Gestión de las
Tecnologías de la
información

Página: 41
Master en Gestión de las
Tecnologías de la
información

Página: 42
Master en Gestión de las
Tecnologías de la
información

Página: 43