2.

Políticas de seguridad
Proceso

22%
Índice
2.1. Introducción a las políticas de seguridad
2.2. ¿Por qué son importantes las políticas de seguridad?
2.3. Qué debe contener una política de seguridad
2.4. Lo que no debe contener una política de seguridad
2.5. Cómo conformar una política de seguridad informática
2.6. Hacer que se cumplan las decisiones sobre estrategia y políticas
2.1. INTRODUCCIÓN A LAS
POLÍTICAS DE SEGURIDAD
Las políticas de seguridad son las que recogen toda la seguridad con la que cuentan los sistemas
informáticos y nos ayudan a actuar mejor y más rápidamente frente a problemas futuros.
Política
de seguridad
Según el estándar RFC (Request
For Comments) 1244 y 2196
podemos definir una Política de
Seguridad como una “declaración
de intenciones de alto nivel que
cubre la seguridad de los
sistemas informáticos y que
proporciona las bases para
definir y delimitar
responsabilidades para las
diversas actuaciones técnicas y
organizativas que se requieran”.
Plan
de seguridad
Conjunto de decisiones que se
toman para abordar acciones
futuras, así como, la definición
de los medios que se van a
utilizar para conseguir dichas
acciones.
Procedimiento
de seguridad
Definición detallada de los
pasos a realizar para llevar a
cabo determinadas tareas.
Estos procedimientos, lo que
permiten es implantar las
políticas de seguridad que han
sido aprobadas por la
organización.
 Por encima de la política de seguridad se
situarían los objetivos fundamentales de la
gestión de la seguridad de la información:
confidencialidad, integridad y disponibilidad. Que
podrás conocer también por sus siglas, CIA

Características y
requisitos básicos
Esta práctica, pone en peligro de manera
directa el valor vital de los datos que son
el activo de la organización. Las
consecuencias de un clic en un email
infectado o acceder a una web indeseada
es dar acceso al activo de la empresa a los
ciberdelincuentes.
 En conclusión, para hacer bien su trabajo, los
empleados no deben tener acceso a toda la
información de la compañía, tienen que es estar
bien formados y hacer bien su trabajo.

El principio de mínimo privilegio

debe ser el elegido por cualquier
organización.

El usuario solo debe tener acceso a aquella

información que le sea fundamental para la
realización de sus funciones.
 2.2. ¿POR QUÉ SON
IMPORTANTES LAS
POLÍTICAS DE SEGURIDAD?
Como hemos dicho con anterioridad, las
políticas de seguridad tratan de crear una
metodología para actuar en favor del cuidado
de la información.

Su principal objetivo es, por lo tanto,

expresar las intenciones del sistema de
gestión y del documento creado.

La clave de estas políticas es tener detallados, en

todo momento, los objetivos principales del
Sistema de Gestión de Seguridad de la
Información y crear un ámbito para actuar acorde
a ellos.
Dentro de las
competencias de estas
políticas podemos…
Detallar cómo se va
Cómo vamos a llevar Cómo se ha
a llevar a cabo la
el seguimiento de los llegado a su
consecución de
mismos. Aprobación.
estos objetivos.
 Es importante que estas estén
adaptadas en todo momento a las
características de la empresa, por lo que
estos datos han de estar en continuo
seguimiento, ya que pueden ir
cambiando las normativas e incluso
pueden llegar a quedar obsoletos.
2.3. QUÉ DEBE CONTENER UNA
POLÍTICA DE SEGURIDAD
¡Recuerda!
Principales requisitos de
una política de seguridad
Capacidad de ser ejecutada mediante unos procesos administrativos o por la instalación de dispositivos y herramientas.

Resumen de lo que el personal con acceso al sistema necesita de ella.

Capacidad de adaptación.

Establecimiento de un marco con todos los objetivos.

Tiene en cuenta el entorno legal.

Realización de copias de seguridad.

Correcta comunicación entre la empresa y las partes involucradas

2.4. LO QUE NO DEBE CONTENER
UNA POLÍTICA DE SEGURIDAD
 Dos puntos muy importantes para mantener un buen
rendimiento de la seguridad de la red informática de la
empresa:

Aquello que tenemos que hacer

Aquello que NO tenemos que hacer

Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales
Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o den accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía.

Respecto a las páginas web.

Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales
Abrir archivos
Pueden adjuntos
suponer un de procedencia
grave problema para nuestro
dudosa
No compartir las contraseñas
dispositivo, que puede o dendeaccesos
incluir errores seguridad

privados muy difíciles e incluso imposibles de reparar.

No usar recursos de la empresa para objetivos
que no sean íntegramente de la compañía.

Respecto a las páginas web.

Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o den accesos
Abrir archivos que sean de procedencia dudosa o que
privados
en un principio puedan parecer sospechosos por
No usar recursos de la empresa para objetivos
alguna razón. Las consecuencias de abrir documentos
que no sean íntegramente de la compañía.
que estén dañados pueden ser irreversibles, ya que la
Respecto a las
exposición frente páginas
al peligro web.
es directa.
Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales
Abrir archivos adjuntos de procedencia
dudosa
No compartir las contraseñas o den accesos privados

No usar recursosnode
Será importante la empresa
compartir para
contraseñas objetivos
a personas
quedesconocidas.
no sean íntegramente
Aspecto que va unde la ligado
poco compañía.
a la
necesidad de poner contraseñas difíciles e incluso al
Respecto a las páginas web.
hecho de no repetir contraseñas en los diferentes
dispositivos.
Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o den accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía.

Respecto
Los fines personales a las páginas
solo pueden dar lugar a web.
fallos de seguridad.
Puntos que NO deberíamos incluir en nuestra política de seguridad:
Descarga de archivos o servicios ilegales

Abrir archivos adjuntos de procedencia dudosa

No compartir las contraseñas o den accesos privados

No usar recursos de la empresa para objetivos

que no sean íntegramente de la compañía.

Respecto a las páginas web.

Se pueden visitar todas sin necesidad de estar
vinculadas a la empresa, aunque será importante
cuidar la cantidad de veces que lo hacemos.
Hasta las acciones que consideramos habituales y sencillas de realizar que, a priori, no tendrían
por qué suponer un riesgo por su uso normalizado, pueden suponer un problema a corto-medio
plazo. ¿Quién no se ha descargado música en su ordenador? Pues bien, hasta esta acción puede
hacer que recibamos amenazas externas que nos generen algún tipo de daño.
2.5. CÓMO CONFORMAR UNA
POLÍTICA DE SEGURIDAD
INFORMÁTICA
 Antes de conformar una política
de seguridad, se debe:

Tener en cuenta la repercusión

Analizar y gestionar los riesgos

Personas que deberían estar involucradas
en la definición de las políticas de
seguridad.
Los Directivos y Responsables.

El personal del Departamento de Informática y Comunicación.

El equipo de respuesta a incidentes de seguridad

informática.
Los consultores especializados en el campo de la de
seguridad.
Las personas que representan a los usuarios.
¿Cómo se estructura exactamente
este documento según lo que hemos
visto?
EL TÍTULO

LA FECHA DE PUBLICACIÓN

LA FECHA DE SU ENTRADA EN
VIGOR
L O S C O N S U LT O R E S
ESPECIALIZADOS EN EL CAMPO DE
LA DE SEGURIDAD.
LA FECHA EN LA QUE TENEMOS LA
PREVISIÓN DE REALIZAR LA
REVISIÓN
2.6. HACER QUE SE CUMPLAN
LAS DECISIONES SOBRE
ESTRATEGIA Y POLÍTICAS
Para hacer que se
cumplan las
decisiones se
necesita:

PREDISPOSICIÓN

UN DOCUMENTO FIRMADO

CONSTANTE ACTUALIZACIÓN

SESIONES DE FORMACIÓN
 ¡Enhorabuena!
Has conseguido superar la segunda unidad. Continúa
con el curso para… ¡Ser el mejor en gestión de la
seguridad informática en tu empresa!