UNIVERSIDAD AUTÓNOMA DEL CARMEN

SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN

CD. DEL CARMEN, CAMPECHE

POLÍTICAS DE SEGURIDAD
PRESENTACION – ACTIVIDAD 1

PROFESOR
MTRO. JOSÉ ÁNGEL PÉREZ REJÓN

ALUMNA
ORIBE DEL CARMEN DIONICIO ARCOS

31 DE MARZO, 2024.
 POLÍTICAS DE SEGURIDAD
PRESENTACION

1. Planteamiento de la política de seguridad

Se dice que es un conjunto de reglas que se aplican a las actividades del sistema y a
los recursos de comunicaciones que pertenecen a una organización, estas reglas
incluyen áreas como la seguridad física, personal, administrativa y de la red.
En otras palabras es lo que se desea proteger y de lo que se espera de los usuarios
del sistema; proporcionando una base para la planificación de la seguridad al diseñar
nuevas aplicaciones o ampliar la red, sirve para describir las responsabilidades del
usuario como las de proteger la información confidencial y de crear contraseñas no
repetitivas.
También sirve para describir cómo es que se debe supervisar las medidas de seguridad
buscando un mayor porcentaje de efectividad de estás, dicha supervisión ayudará a
determinar si algún usuario intenta burlar el sistema.
Ahora veamos brevemente los objetivos de las políticas de seguridad:
a) Protección de recursos.- es la forma de asegurar de que solo los usuarios
autorizados pueden acceder al sistema.
b) Autenticación.- Se dice que es la verificación de que el recurso (ya sea persona o
máquina) que se encuentra en el otro extremo de la sesión en verdad sea quien dice
ser, recordemos que los usuarios autenticados podrán tener distintos tipos de permisos
según su nivel de autorización.
c) Integridad.- Con esta medida se busca que la información que se mando sea la
misma que llego, es decir existen dos tipos de integridad; Primero Integridad de Datos,
es donde se protege a los datos contra cambios o manipulaciones no autorizadas.
Además de proteger los datos que se encuentran almacenados en la red. Segundo
Integridad del Sistema, es el que proporciona resultados coherentes con el rendimiento
esperado.
d) No repudio.- Es donde se produce una prueba de que se ha producido una
transacción o de que se ha enviado o recibido un mensaje, para ello usa los certificados

P á g i n a 2 | 13
digitales y de la criptografía de claves públicas para firmar transacciones, mensajes y
documentos es la base del no repudio.
e) Confidencialidad.- Con ella se confirma de que la información permanezca de forma
privada y que no sea visible para los intrusos, no olvidemos que la confidencialidad es
base fundamental para la seguridad total de los datos. Recordemos que las políticas
de seguridad deben indicar qué métodos se empelarán para proporcionar la
confidencialidad de la información dentro de la red y de la información que sale de ella.
f) Actividades de Seguridad de Auditoría.- Los registros de accesos satisfactorios
indican quién está haciendo cada tarea en los sistemas mientras que los registros de
acceso no satisfactorios o denegados indican que alguien está intentando abrirse paso
a través de las barreras de seguridad del sistema o que alguien tiene dificultades para
acceder al sistema.

2. Análisis de riesgos
Decimos que es la evaluación de los distintos peligros que afectan a nivel informático
y que pueden producir situaciones de amenaza al negocio, por ejemplo, de robos o
intrusiones que comprometan los datos o ataques externos que impidan el
funcionamiento de los sistemas propiciando periodos de inactividad empresarial.

3. Políticas generales
Son las directrices que delimitan el camino a seguir por la organización y sirven como
guía para dirigir nuestra actividad empresarial, en otras palabras son un conjunto de
normas que dictaminan cómo debe actuar la empresa en los aspectos más generales
de la empresa con el objetivo de conseguir el funcionamiento idóneo de la compañía.
Las políticas generales son una declaración de intenciones en la que se muestran los
principios básicos de la empresa, es decir son las que marcan las intenciones y criterios
en el ámbito económico, laboral y con nuestros principales públicos; no olvidemos que
a raíz de estas políticas se crean otras políticas específicas para las diversas áreas de
la empresa.
4. Identificación de recursos
Es la que supone conocer cuáles son las personas, equipos o el material y qué cantidad
de cada recurso se necesitará para realizar el proyecto; en general son más fáciles de

P á g i n a 3 | 13
identificar, porque hay más herramientas de rendimiento del sistema disponibles para
evaluar la utilización de recursos reales. Ahora los recursos lógicos son generalmente
abstracciones de programación que particionan recursos reales.

5. Identificación de amenazas
Son técnicas y herramientas que se utilizan en las organizaciones para identificar las
ciberamenazas, se dice que la detección de amenazas es la que hace referencia a la
detección proactiva de amenazas, en el cual las organizaciones analizan de forma
preventiva su red con el objetivo de encontrar indicios de actividades maliciosa internas
o investigar la infraestructura de atacantes de fuera de la misma, aunque también se
puede describir como la detección reactiva de amenazas, durante la cual las
organizaciones analizan su propia infraestructura para encontrar puntos débiles tras
una fuga de datos o un ataque similar.
Recordemos que los procedimientos de detección de amenazas varían en función de
las necesidades de una organización y de las capacidades. Estos suelen dividirse en 3
categorías las cuales son:
a) Detección Estructurada.- Es el que identifica y analiza los comportamientos y tácticas
específicas de los atacantes, su objetivo principal es localizar de forma proactiva el
comportamiento de los atacantes antes de que se produzca un ataque contra una
organización.
b) Detección No Estructurada.- Este se activa al descubrir un Indicador de Riesgo, es
decir, pruebas de actividad maliciosa que puede indicar un ataque reciente o pasado
en el que se haya puesto en riesgo alguna parte de la organización. Su principal
objetivo es investigar las vulnerabilidades existentes en la infraestructura y los sistemas
de una organización.
c) Detección Situacional.- Conocida como detección impulsada por entidades, es la que
centra en sistemas, activos, cuentas o datos específicos que pueden verse en riesgo.
Este sistema una un modelo de detección de amenazas personalizado que puede
adaptarse a las necesidades de una organización ya que su principal objetivo de alto
riesgo y comprender con qué tipo de amenazas pueden enfrentarse.

P á g i n a 4 | 13
La detección de amenazas moderna usa herramientas de ciberseguridad para ayudar
a automatizar y agilizar el proceso de investigación, por ejemplo:
I) Administración de Eventos e Información de Seguridad (SIEM), ofrece agregación de
datos de registro, supervisión de alertas, análisis de incidentes de seguridad, informes
de cumplimiento, entre otras funciones.
II) Detección y Repuesta Gestionadas (MDR), es un tipo de centro de operaciones de
seguridad gestionado que realiza un seguimiento de la actividad de la red, crea alertas,
investiga las amenazas potenciales, elimina los falsos positivos de las alertas, ofrece
análisis avanzados y ayuda a solucionar los incidentes de seguridad.
III) Análisis de Comportamiento de Usuarios y Entidades (UEBA), es un servicio de
seguridad que agrega datos de usuarios y puntos finales, establece una línea base de
comportamiento normal, y detecta y analiza anomalías en los sistemas de una
organización.

6. Discreción en la divulgación de información

Este es el principio que garantiza que la información solo puede ser accedida por las
personas que tienen la autorización, dicha autorización se basa en la necesidad de
conocer la información para el desempeño de su actividad laboral o cotidiana y se
provee para:
• Información Almacenada.- ya sea digital o física.
• Información en Tránsito.- es la información digital transmitida a través de
internet, transportada en soporte digitales de información o información física
transportada de un lugar a otro.
Ahora las principales medidas de seguridad que aseguran la confidencialidad de la
información se organizan en dos grupos:
• Almacenamiento.- Es la información almacenada que según su clasificación ya
legal, valor o sensibilidad debe ser confidencial y se debe proteger de acceso
no autorizados; y que cuenta con tres medidas de seguridad: (Primero) Control
de Acceso Físico, es la ubicación física donde se encuentran los equipos,
servidores y en general los dispositivos almacenados; (Segundo) Control de
Acceso Lógico, La red y los sistemas que almacenan la información deben ser

P á g i n a 5 | 13
 protegidos de manera que solo pueden acceder a ellos personas autorizadas; y
(Tercero) Cifrado, la información almacenada se cifra garantizando que
únicamente puede ser descifrada por las personas con permisos o autorizadas
y basados en su necesidad de conocerla para el desempeño de sus funciones.
• Tránsito.- Como sabemos la información digital sensible o confidencial que viaja
a través de las redes se debe de encontrar protegida a tal manera que si llega a
manos no autorizadas no pueda ser legible y por tal motivo el mejor mecanismo
es el cifrado.

7. Jerarquías de responsabilidades
Con ella se facilita la comunicación interna efectiva, la toma de decisiones eficientes y
una base solida para el crecimiento y la calidad del trabajo, en otras palabras se
refiere a la disposición de niveles o capas de autoridad y responsabilidad dentro de la
empresa y que sirve para establecer una cadena de mando y responsabilidad.
Los elementos que conforman esta estructura son:
• Niveles jerárquicos de autoridad y responsabilidad.
• Cada nivel superior tiene autoridad sobre los niveles inferiores.
• Responsabilidades y roles definidos.
• Comunicación estructurada y predefinida.
• Las decisiones se toman en niveles de jerarquía.
• Cada nivel representa una especialización de la empresa.
• Los niveles superiores suelen supervisar los inferiores.
• Oportunidades de crecimiento profesional, avanzando en los niveles.

8. Plan de contingencias
Un plan de contingencia empresarial es una estrategia sobre cómo responderá tu
organización en caso de eventos importantes o críticos para el negocio que te hagan
desviar de tus planes originales. Ahora los planes de contingencia o planes de
continuidad del negocio, son los que ayudan a las organizaciones a recuperarse
después de una interrupción.
Veamos los cinco pasos que utilizan las empresas para crear planes de forma eficaces:

P á g i n a 6 | 13
 I) Crear una lista de riesgos y priorizarlos.
II) Realizar un informe de análisis de impacto empresarial.
III) Hacer primero un plan para los riesgos más críticos.
IV) Conseguir la aceptación de toda la organización y ser realista en cuanto a
los costos.
V) Pruebe y reevalúe los planes periódicamente.

9. Responsiva ante violaciones de seguridad

Un plan y un proceso de respuesta a la violación de datos sólidos y bien diseñados
pueden reducir drásticamente los daños causados a una organización cuando se
produce un desastre.
Tanto si se trata de un ataque de ransomware como de un incidente de ciberseguridad
u otra infracción, existen siete razones para que los proveedores de servicios cuenten
con un plan de respuesta a incidentes:
I) Las violaciones de datos no vienen con una advertencia, así que tiene sentido
estar preparado.
II) Hace que su respuesta sea repetible y escalable en toda la empresa.
III) Mejora la coordinación.
IV) Expone las lagunas de sus medidas técnicas y organizativas.
V) Institucionaliza el conocimiento.
VI) Capacidad de permanencia en el tiempo.
VII) Reduce la responsabilidad de la organización.
Es necesario recordad que la posibilidad de poner en marcha su plan de respuesta
dentro de una plataforma de privacidad.

10. Contactos con organizaciones externas

Son aquellos contactos externos que pueden ser empleados de empresas con las que
hace negocios o sus clientes directos.
Ahora la comunicación externa se refiere al conjunto de acciones informativas que una
empresa dirige con el objetivo de reforzar las relaciones con diferentes públicos. La
comunicación externa tiene que ver con el intercambio de información fuera de la

P á g i n a 7 | 13
empresa, es decir es la forma en que la organización se comunica con el mundo
exterior.

11. Comunicación de medidas de seguridad

El tratamiento de los datos personales debe de establecer e implementar medidas de
seguridad para la protección de la información personal que poseen, y estas forman
parte del sistema de gestión de datos personales. Las medidas de seguridad deben de
considerar:
a) El riesgo inherente a los datos personales tratados.
b) La sensibilidad de los datos personales tratados.
c) El desarrollo tecnológico.
d) Las posibles consecuencias de una vulneración para los titulares.
e) Las transferencias de datos personales que se realicen.
f) El número de titulares.
g) Las vulneraciones previas ocurridas en los sistemas de tratamiento.
h) El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los
datos personales tratados para una tercera persona no autorizada para su
posesión.
Ahora las medidas de seguridad técnicas son el conjunto de acciones y mecanismos
que se valen de la tecnología relacionada con hardware y software, para proteger el
entorno digital de los datos personales y recursos involucrados en su tratamiento, y por
lo tanto considerar las siguientes actividades:
a) Prevenir que el acceso a las bases de datos o a la información, así como a los
recursos.
b) Generar un esquema de privilegios para que el usuario realice las actividades
que se requiere.
c) Verificar y revisar la configuración de seguridad en la adquisición, operación,
desarrollo y mantenimiento del software y hardware.
d) Gestionar las comunicaciones, medios de almacenamiento y operaciones de los
recursos informáticos en el tratamiento de datos personales.

P á g i n a 8 | 13
No olvidemos las medidas de seguridad físicas los cuales son el conjunto de acciones
y mecanismos para proteger el entorno físico de los datos personales y de los recursos
involucrados en su tratamiento. Para ello se debe considerar los siguientes puntos:
a) Prevenir el acceso no autorizado al perímetro de la organización, sus
instalaciones físicas, áreas críticas, recursos e información.
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la
organización, recursos e información.
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico,
que pueda salir de las instalaciones de la organización.
d) Proveer a los equipos que contienen o almacenan datos personales de un
mantenimiento eficaz que asegure su disponibilidad, integridad y funcionalidad.
También existe las medidas de seguridad administrativas, las cuales son las que se
refieren a las políticas y procedimientos para la gestión, soporte y revisión de la
seguridad de la información a nivel organizacional, la identificación, clasificación y
borrado seguro de la información, así como la sensibilización, formación y capacitación
del personal, en materia de protección de datos personales. Dentro de estas medidas
encontramos las siguientes:
a) Política de seguridad.
b) Cumplimiento de la normatividad.
c) Organización de la seguridad de la información.
d) Clasificación y control de activos.
e) Seguridad relacionada a los recursos humanos.
f) Administración de incidentes.
g) Continuidad de las operaciones.

12. Redefinición de confidencialidad

Se le conoce como la garantía de que la información personal será protegida para que
no sea divulgada sin consentimiento de la persona. Los acuerdos de confidencialidad
tienen la finalidad de proteger ciertas informaciones que deben suministrarse en el
transcurso de una relación comercial, bien sea con clientes, socios, distribuidores,
proveedores empleados o consultores. Las tres funciones de estos acuerdos son:

P á g i n a 9 | 13
(Uno) Definir con precisión la información que puede y no puede ser divulgada, (Dos)
Proteger la información técnica, comercial y financiera que no desea divulgar y
(Tercero) Prevenir la pérdida de derechos valiosos de propiedad intelectual.
Existen distintos tipos y modelos de Acuerdos de confidencialidad en función de quién
sea la otra Parte con la que la empresa realiza el acuerdo para proteger la información
técnica, comercial y financiera que tendrá que suministrar durante sus relaciones
comerciales. A continuación, mencionaremos algunos:
• Acuerdo de confidencialidad entre empresas.
• Acuerdo de confidencialidad para empleados.
• Acuerdo de confidencialidad de producto o idea de negocio.
• Acuerdo internacional de confidencialidad.

13. Ubicación de sistemas mal configurados

Las configuraciones incorrectas de seguridad son controles de seguridad que se
configuran incorrectamente o se dejan inseguros, lo que pone en riesgo sus sistemas
y datos. Básicamente, cualquier cambio de configuración mal documentado,
configuración predeterminada o un problema técnico en cualquier componente de sus
terminales podría provocar una configuración incorrecta.
Las configuraciones incorrectas de seguridad no son difíciles de solucionar, pero son
inevitables en una Enterprise que opera a escala, la falta de visibilidad y de medios
centralizados para remediar las configuraciones incorrectas hace que las
organizaciones sean víctimas de ataques de configuración incorrecta.

14. Manejo de cuentas

La administración de cuentas permite cambiar contraseñas y editar preferencias de
usuario. Si tiene una cuenta de usuario nativo, puede cambiar la contraseña en
cualquier momento con la aplicación Cambiar contraseña. Si la cuenta no ha sido
creada por el usuario, éste debe cambiar la contraseña la primera vez que inicie sesión
en Administrator Tool.

P á g i n a 10 | 13
Las preferencias del usuario controlan las opciones que presenta Administrator Tool
cuando inicia sesión. Las preferencias del usuario no tienen efecto en las opciones que
aparecen cuando otro usuario inicia sesión en Administrator Tool.

15. Procedimientos para la recopilación de información

Para la recolección de información existen diversos tipos métodos, como, por ejemplo:
• Encuestas.
• Entrevistas.
• Pruebas.
• Evaluaciones.
• Observaciones
Es importante realizar la recolección de la información con precisión, exactitud y un
mínimo de errores, en cualquier tipo de información recolectada para un estudio o de
la forma en que esta se recolecte.

16. Políticas de encriptación

Con las políticas de encriptación tiene como objetivo establecer las expectativas
empresariales y de cumplimiento que la organización debe cumplir, este sirve como
punto de partida para crear una estrategia de cifrado correcto, siendo lo
suficientemente abstracta como para ofrecer libertad y flexibilidad para que pueda ser
implementada de forma rápida y correcta, pero buscando definir límites a su
implementación buscando cumplir con sus objetivos de la organización. n general, las
políticas son independientes de la tecnología y se modifican con muy poca frecuencia
porque definen las características fundamentales de la estrategia de cifrado de la
empresa.
Debemos de tener en cuenta que para crear políticas de cifrado los siguientes puntos:
• Su línea de negocio determina los regímenes regulatorios y de cumplimiento
que debe cumplir.
• Debe especificar qué tipo de datos deben cifrarse.
• Su política de cifrado debe alinearse con sus estándares internos de
categorización de datos.

P á g i n a 11 | 13
 • Que incluya criterios para determinar qué datos deben cifrarse y qué datos
deben protegerse con otra técnica, como la tokenización o el hash.

17. Manejo de correo electrónico

Existen empresas que abusan del correo electrónico de diferentes maneras y aunque
la mayoría de los usuarios tienen una amplia experiencia en el uso del correo
electrónico, pero es conveniente tener en cuenta una serie de normas para un correcto
uso:
• No responder a los correos Spam.
• No abrir ficheros que no esperamos.
• No difundir correo no solicitado.
• No envie mensajes a muchas personas en el campo "Para".
• Dar nuestra dirección con moderación.
• Diferenciar entre correo profesional y personal.
• Usar un estilo de redacción adecuado al destinatario.
• Limite el tamaño de los mensajes y el uso de adjuntos.
• Incluya un "Asunto" del mensaje.
• No utilice estilos ni adornos innecesarios.
• Respete la privacidad de los mensajes y el destinatario.
Y por último (con fines legales) el enviar correos masivos con las direcciones a la vista,
debemos de ser conscientes de que al hacer esto en realidad estamos violando la
privacidad de los correos electrónicos de otros usuarios, es decir información personal
estamos revelando a otros usuarios.

P á g i n a 12 | 13
 Referencias Bibliográficas

• IBM documentation. (2023, October 10).

https://www.ibm.com/docs/es/i/7.3?topic=security-policy-objectives
• Rodríguez, P. (n.d.). Análisis de riesgos informáticos y ciberseguridad. https://www.ambit-
bst.com/blog/an%C3%A1lisis-de-riesgos-inform%C3%A1ticos-y-ciberseguridad
• Caurin, J., & Caurin, J. (2023, March 23). Políticas generales de una empresa.
Emprendepyme. https://emprendepyme.net/politicas-generales-de-una-empresa.html
• IBM documentation. (2023, March 24).
https://www.ibm.com/docs/es/aix/7.3?topic=process-identification-critical-resources
• ¿Qué es la detección de ciberamenazas y qué tipos hay? | Cloudflare. (n.d.).
https://www.cloudflare.com/es-es/learning/security/glossary/what-is-threat-hunting/
• Unir, V. (2021, March 30). Confidencialidad en seguridad informática: claves para
garantizarla. UNIR. https://www.unir.net/ingenieria/revista/confidencialidad-seguridad-
informatica/
• ¿Qué es la planificación de contingencia? | IBM. (n.d.). https://www.ibm.com/mx-
es/topics/contingency-plan
• Borner, P. (2024, February 12). ¿Tiene un plan de respuesta a la violación de datos? - El
Grupo de Privacidad de Datos. El Grupo De Privacidad De Datos.
https://thedataprivacygroup.com/es/blog/do-you-have-a-data-breach-response-plan/
• https://www.idaip.org.mx/archivos/formatos/Promocion_Vinculacion/Gu%C3%ADa%20me
didas%20de%20seguridad.pdf
• Llamazares, O. (2019, March 29). Acuerdos de Confidencialidad: Tipos y Modelos –.
Global Negotiator Blog. https://www.globalnegotiator.com/blog/acuerdos-de-
confidencialidad/
• México, M. (n.d.). ¿Qué es una mala configuración de seguridad? | Prevención de errores
de configuración con ManageEngine Vulnerability Manager Plus | México.
https://manageengine.com.mx/vmp/mala-configuracion
• Métodos de recolección de información. (n.d.).
https://ori.hhs.gov/education/products/sdsu/espanol/eg_info.htm
• Política de cifrado - AWS Guía prescriptiva. (n.d.).
https://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-data-at-rest-
encryption/policy.html
• Manual del buen uso del Correo Electrónico. (n.d.).
https://sdei.unican.es/Paginas/servicios/correo/Manual-del-buen-uso-del-Correo-
Electronico.aspx

P á g i n a 13 | 13