Universidad Tecnológica de Honduras

Catedrático:

Renato Adolfo Cruz Pineda.

Asignatura:

Sistemas Operativos 2. 5:40 p.m. a 6:30 p.m.

Grupo N#6:

Félix Javier Salinas Palma (202210060631).

Hansel Josué Gonzales Espino (202210110085).

Daniel Padilla Aguilar (202220060293).

Sindy Osiris Zepeda Zelaya (202120010035).

Dailan Samir Reyes Sabillon (202210050052).

Victoria Del Carmen Torres (201910110407).

Tarea:

Políticas de seguridad como se aplican y donde se implementan.

Tegucigalpa M.D.C 19 de junio 2023

 Introducción
Las políticas de seguridad informática son reglas que tenemos que cumplir todo el personal
relacionado con una empresa. Así se asegura la integridad, disponibilidad y privacidad de las
infraestructuras informáticas y de la información que contienen. En este artículo se explica qué
son las políticas de seguridad informática y sus aplicaciones prácticas en la empresa en distintos
ámbitos.
 ¿Qué son las políticas de seguridad informática?

Las políticas de seguridad informática son declaraciones formales de las reglas que debemos
cumplir las personas que tenemos acceso a los activos de tecnología e información de una
organización. Esta es la definición según la RFC 2196 del Internet Engineering Task Force
(IETF) de 1997. Esta publicación sustituye a la anterior de 1991, lo que pone en evidencia
como la seguridad informática es una prioridad que nació casi al mismo tiempo que Internet.

Existen dos grupos principales de políticas de seguridad informática:

•Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y prácticas
que pueden poner en riego los sistemas y la información, como, por ejemplo: abrir archivos o
enlaces sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas.

•Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel de
protección y seguridad. Por ejemplo:

o Cifrar archivos sensibles

o Implementar copias de respaldo

o Usar contraseñas y renovarlas de forma periódica

o Usar VPN

o Instalar software antivirus y antimalware

Importancia de las políticas de seguridad informática, ¿para qué son?

Las políticas de seguridad informática surgen como respuesta a los diferentes riesgos de
seguridad a la cual están expuestos nuestros sistemas:

•Privacidad de la información, y su protección frente a accesos por parte de personas no

autorizadas como hackers.

•Integridad de los datos, y su protección frente a corrupción por fallos de soportes o borrado.

•Disponibilidad de los servicios, frente a fallos técnicos internos o externos.

El objetivo de las políticas de seguridad informática es proporcionar a todo el personal de una

empresa también como a los usuarios que acceden a sus activos de tecnología e información
los requisitos y pautas de actuación necesarios para protegerlos. Asimismo, estas políticas son
útiles a la hora de auditar los sistemas de información de una empresa.

Políticas de seguridad informática: ventajas y desventajas

Las políticas de seguridad informática y de la información dependen de forma directa de los

objetivos de seguridad que nuestra empresa se haya fijado. Hoy en día es imposible obtener un
sistema completamente seguro y resistente frente a cualquier tipo de amenaza o vulnerabilidad.
Por lo cual habrá que determinar si nuestras políticas de seguridad serán más o menos
restrictivas, lo que implicará realizar un balance entre ventajas y desventajas:

•Servicios ofrecidos VS seguridad: cada servicio que proporcionamos a nuestros usuarios

conlleva unos riesgos de seguridad, que a veces superan a los beneficios del servicio, lo que
pueden llevarnos a la decisión de suprimirlo.

•Usabilidad VS seguridad: cuantos más estrictas sean las medidas de seguridad, tanto menos
fácil de usar serán nuestros sistemas y servicios. Hay que calibrar bien las medidas más
restrictivas (cómo autenticación multifactor) para que se implementen solamente en los puntos
más críticos.

•Coste VS riesgo: la implementación de las políticas de seguridad siempre conlleva un coste,

tanto humano (contratación de personal experto) como monetario (adquisición de hardware y
software).

Características de las políticas de seguridad informática

Como hemos visto, hay distintas políticas de seguridad informática en las empresas según los
objetivos y prioridades de esta. Sin embargo, todas las buenas políticas de seguridad
informáticas tienen en común estas características:

•Concretas: tienen que poderse implementar a través de procedimientos, reglas y pautas claras.

•Claras: tienen que definir de forma clara las responsabilidades y obligaciones de los distintos
tipos de usuarios: personal, administradores y dirección.

•Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad

o sanciones.
 Ejemplos de políticas de seguridad informática

Existen distintos tipos de políticas de seguridad informática en función si se dirigen al equipo

directivo, al personal técnico o a los empleados.

En este sentido, algunos ejemplos de políticas de seguridad informática son:

• Pautas de compras de tecnologías y contratación de servicios

• Privacidad en el uso de herramientas de trabajo.

• Acceso y autenticación de usuarios y la definición de derechos y privilegios.

• Responsabilidad de los distintos tipos de usuarios.

• Disponibilidad de sistemas y recursos.

• Notificación de violaciones y brechas de seguridad.

El Instituto Nacional de Ciberseguridad, INCIBE, pone a disposición en su página web las

principales políticas de seguridad informática para una Pyme.

¿Dónde se aplican las políticas de seguridad?

Las políticas de seguridad se aplican en una empresa con el objetivo de proteger la

confidencialidad, integridad y disponibilidad de la información, así como los recursos y activos
de la organización. Estas políticas se implementan en diferentes niveles y áreas de la empresa
para garantizar una protección adecuada contra amenazas internas y externas. Aquí hay algunas
áreas clave donde se pueden aplicar las políticas de seguridad:

Políticas de seguridad de la información: Estas políticas establecen cómo se debe manejar la

información sensible dentro de la organización, incluyendo la clasificación de datos, el acceso
a la información, el intercambio seguro de datos y la gestión de contraseñas.

Políticas de seguridad de red: Estas políticas se enfocan en proteger la infraestructura de red de

la empresa, incluyendo la configuración de firewalls, detección y prevención de intrusiones,
gestión de permisos de red y políticas de seguridad para conexiones remotas.
Políticas de seguridad física: Estas políticas se ocupan de proteger los activos físicos de la
empresa, como el acceso a las instalaciones, la vigilancia, la protección contra robos y el
manejo seguro de equipos y dispositivos.

Políticas de seguridad de recursos humanos: Estas políticas establecen procedimientos

relacionados con la contratación, el despido y la gestión de empleados, incluyendo la
asignación de privilegios de acceso, la capacitación en seguridad y la concienciación sobre las
políticas de seguridad.

Políticas de seguridad de aplicaciones: Estas políticas se centran en garantizar la seguridad de

las aplicaciones y el software utilizados en la organización, incluyendo la gestión de parches y
actualizaciones, el desarrollo seguro de software y la implementación de medidas de control
de acceso.

¿Dónde se implementan?

La implementación de políticas de seguridad en una empresa implica seguir una serie de pasos
clave. Aquí se describe un proceso general para aplicar políticas de seguridad:

Evaluación de riesgos: Antes de implementar políticas de seguridad, es importante realizar una

evaluación de riesgos. Esto implica identificar y analizar las posibles amenazas y
vulnerabilidades que podrían afectar la seguridad de la empresa y sus activos. Esta evaluación
permite determinar las áreas prioritarias en las que se deben aplicar las políticas de seguridad.

Desarrollo de políticas: Una vez que se comprenden los riesgos, es necesario desarrollar
políticas de seguridad claras y bien definidas. Estas políticas deben abordar aspectos como el
acceso a la información, la protección de los sistemas, la gestión de contraseñas, el uso de
dispositivos móviles, la respuesta a incidentes de seguridad, entre otros. Las políticas deben ser
redactadas de manera comprensible para los empleados y aprobadas por la dirección de la
empresa.

Comunicación y capacitación: Una vez que las políticas de seguridad se han desarrollado, es
fundamental comunicarlas a todos los empleados de la organización. Esto se puede lograr
mediante reuniones, presentaciones, correos electrónicos o cualquier otro medio de
comunicación efectivo. Además, es importante brindar capacitación sobre las políticas y los
procedimientos de seguridad para asegurarse de que los empleados las comprendan y sepan
cómo aplicarlas en su trabajo diario.
Implementación tecnológica: Las políticas de seguridad a menudo requieren la implementación
de tecnologías y controles específicos para respaldar su aplicación. Esto puede incluir la
instalación de firewalls, sistemas de detección y prevención de intrusiones, software de
protección contra malware, herramientas de encriptación y otras soluciones de seguridad
necesarias para proteger los sistemas y la información.

Monitoreo y cumplimiento: Una vez que las políticas de seguridad están implementadas, es
importante monitorear su cumplimiento y realizar auditorías periódicas para evaluar la
efectividad de los controles de seguridad y garantizar que se sigan las políticas establecidas.
Esto puede involucrar la supervisión del acceso a los sistemas, la revisión de los registros de
actividad, la detección de eventos de seguridad y la respuesta adecuada a los incidentes.

Conclusión sobre las políticas de seguridad informática

Las políticas de seguridad informática son una herramienta fundamental para las empresas de
cualquier tipo y tamaño, a la hora de concienciar a su personal sobre los riesgos de seguridad
y proporcionar pautas de actuación concretas. Sin embargo, para que sean efectivas, estas
deberán:

•Redactarse en documentos que serán puestos a disposición de todo el personal.

•Ser flexibles y revisarse periódicamente, para que se adapten a los distintos cambios
tecnológicos o de objetivos de la empresa.

•Ser respaldadas completamente por la dirección de la empresa, de otra forma su adopción

podría verse comprometida.