Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Avalos Alexandra Presentacion
Avalos Alexandra Presentacion
UNIVERSIDAD AUTÓNOMA DE
CARMEN.
MATERIA:
SEGURIDAD E INTEGRIDAD DE LA
INFORMACIÓN.
DOCENTE:
ALUMNO:
MATRICULA:
181392
ACTIVIDAD 1.
POLÍTICAS DE SEGURIDAD.
Ya que esta política interviene en todas las áreas de la compañía y evidencia las
intenciones por asegurar la información, cualquier auditor necesitará saber qué
autoridad emitió, revisó y publicó este documento. Generalmente lo realiza alguien
de la alta gerencia o quien se haya designado como el responsable de la estrategia
de seguridad.
Recuerda que esta es una política madre de la que se desprenden las demás y por
ello es imprescindible detallar este tipo de datos.
También, debes enviar un acta o minuta en la que se comunique a cada miembro
del directorio o alta gerencia la emisión de esta política y solicitar su conformidad
mediante un e-mail o su firma de puño y letra. Esto te servirá como evidencia para
la auditoría, pero también, como una constancia de que todos conocen y aprueban
este documento.
Definir las medidas de seguridad.
2. Análisis de riesgos.
3. Políticas generales.
Una buena política no debe de ocupar más de una o dos páginas y no debe incluir
detalles. Simplemente se deben enumerar las líneas generales que definen la
filosofía de la empresa, como pueden ser por ejemplo el compromiso de cumplir la
legislación, la voluntad de crear un buen ambiente de trabajo, la implantación de
sistemas de mejora continua, la definición de objetivos ambiciosos, la necesidad de
gestionar las actividades por procesos y de hacer caso a los procedimientos, la
expectativa de minimizar el impacto ambiental mediante una buena gestión de los
recursos, etc.
Una vez creada la política, ésta debe quedar documentada y ser incluida en el
Manual de Calidad o en el Manual Gestión Integral de la empresa. Además, la
política debe ser distribuida y conocida por los empleados, debe ser implementada
y servir como punto de partida a la hora de redactar el resto de los documentos de
la compañía. Por ejemplo, si en la política se habla del “cumplimiento de la
legislación”, el resto de los procedimientos deben poner énfasis en que esto se
cumple, de otro modo estarían incumpliendo ese principio marcado por la empresa.
Las políticas generales, son políticas que alcanzan a toda la organización y marcan
sus líneas generales. Deben ser conocidas por todos y servir de guía. Una buena
política general deberá ser acorde con la estrategia fijada por la empresa y servir de
referencia para la elaboración del resto de políticas departamentales y específicas.
Existen varias normas que exigen tener una política de gestión que incluya una serie
de aspectos. Entre ellas tenemos las siguientes:
ISO 9001: Requisitos para el sistema de gestión de calidad normas isoLa ISO 9001
exige incluir una política en el Manual de Gestión de Calidad (o Manual de Gestión
Integrado) de la organización que contemple los siguientes aspectos:
De forma adicional, también es muy común añadir un punto donde deje claro que
las actividades se gestionarán por procesos (la Gestión por Procesos no se
menciona explícitamente como requisito a añadir en la política, pero sí que se
enfatiza mucho sobre este enfoque en otros apartados de la ISO 9001).
La norma ISO 14001 exige definir una política ambiental en el Manual de Gestión
Ambiental (o Integrado) que contemple lo siguiente:
– Compromiso a cumplir los requisitos legales y suscritos.
– Mejora continua.
– Prevención de la contaminación.
El estándar ISO 45001 (en versiones anteriores llamado OHSAS 18001) exige los
siguientes puntos a la hora de crear una política de SST:
– Mejora continua.
Además de las tres normas citadas anteriormente, existen otras normas menos
conocidas que también desarrollan modelos de sistemas de gestión de temas
concretos. Por poner un ejemplo, podemos nombrar la ISO 50001 de Sistemas de
Gestión de la Energía, donde se pide tener una política energética enfocada en una
gestión eficiente de la misma.
4. Identificación de recursos.
Identificar recursos supone conocer cuáles son las personas, los equipos o el
material y qué cantidad de cada recurso se necesitará para realizar el proyecto. La
identificación de recursos se coordina junto con la estimación de los costes.
La identificación de recursos requiere revisar estos factores consideradas entradas:
Factores ambientales de la empresa. Alguno de estos factores es:
Cultura de la organización.
Infraestructura (instalaciones y equipos).
Recursos humanos.
Condiciones del mercado.
Sistemas de información de gestión de proyectos.
Activos de los procesos de la organización. Entre los que se incluye:
Políticas formales e informales relacionadas con la planificación de actividades,
procedimientos y guías.
Lista de actividades de proyectos anteriores.
Enunciado del alcance del proyecto. Se tiene en cuenta:
Productos entregables, restricciones (limitan las opciones del equipo) y asunciones
(factores medibles para la planificación, como las horas de trabajo) que han sido
documentadas.
Estructura de desglose del trabajo. Fundamental para la realización del cronograma.
También conocida como EDT, puede utilizarse la plantilla de un proyecto anterior
semejante. La descomposición del trabajo del proyecto implica:
Identificar productos entregables y el trabajo que hay que realizar para entregarlos.
Estructurar y organizar la EDT
Verificar que el grado de división del trabajo es suficiente.
Diccionario de la EDT o estructura de desglose del trabajo. Se denomina diccionario
al documento que se crea para desglosar el trabajo. Detalla los paquetes de trabajo
y las cuentas de control, también puede incluir información sobre contratos, calidad
y referencias técnicas que faciliten la realización del trabajo.
Plan de gestión del proyecto, que contiene el cronograma y que facilita el desarrollo
y la planificación de actividades del cronograma y del plan de gestión del alcance.
Las herramientas disponibles para la identificación de recursos son:
Descomposición, para hacer manejables los paquetes de trabajo y convertirlos en
actividades del cronograma.
Plantillas. Pueden utilizarse como base las listas de otros proyectos.
Planificación gradual. La EDT y su diccionario reflejan la evolución del alcance del
proyecto.
Juicio de expertos. Tanto miembros del equipo como otros expertos pueden aportar
la experiencia para definir las actividades.
Componente de planificación. Cuando la EDT no es suficiente para descomponer
un paquete de trabajo. El equipo utilizará estos componentes de planificación para
programar el trabajo a diversos niveles superiores dentro de la EDT.
5. Identificación de amenazas.
Las amenazas de una empresa no sólo están relacionadas con el resto de las
marcas rivales que operan en un mismo mercado, sino que se trata de una categoría
que engloba otros factores.
Qué quiere decir “Amenazas” en FODA.
Por ejemplo, en términos generales son situaciones adversas, circunstancias
desfavorables para la operatividad o elementos concretos que ponen en riesgo la
buena marcha de las empresas.
No obstante, en este punto del texto es importante introducir un matiz: a diferencia
de las debilidades, las amenazas de una empresa provienen del exterior, es decir,
no son consecuencia directa de las decisiones o la gestión propia de cada
compañía.
7. Jerarquías de responsabilidades.
También conocida por estructura piramidal, se trata del modelo que las medianas y
las grandes empresas suelen integrar. Los empleados se organizan de mayor a
menor rango, marcándose así los límites de autoridad entre los trabajadores.
A través de esta organización se pretende cubrir las necesidades que surgen en los
diferentes niveles jerárquicos, habiendo un especialista o jefe de sección en cada
uno de ellos. Este modelo se caracteriza por la especialización y el trabajo por
objetivos, pero, a su vez, pueden surgir problemas de comunicación y ambientes
poco estables.
Clientes: los grupos de trabajo se organizan según las necesidades de los clientes,
fomentando la especialización en diferentes ámbitos.
• CEO o director ejecutivo. Es la persona con mayor autoridad sobre una empresa,
pues se encarga de dirigirla y administrarla.
• Presidente. Es la segunda persona con más autoridad de una empresa y actúa
como representante de esta. Se encarga de mantener la dirección general,
establecer objetivos y estrategias.
• Vicepresidente. Ofrece apoyo y asesoramiento al presidente, pudiendo llegar a
asumir algunas de sus funciones. Dentro de una empresa puede haber más de
un vicepresidente.
• Jefes de cada departamento. Estos se encargan de coordinar la organización de
cada departamento, así como la elaboración de las respectivas estrategias.
• Gerentes. Tienen una posición intermedia y se encargan de dirigir y coordinar a
los trabajadores de un departamento concreto. Toma decisiones a nivel
organizativo y técnico.
• Supervisores. Este puesto se dedica a la gestión de las tareas de los
trabajadores, comprobándolas y supervisándolas.
• Empleados. Son el seno de una empresa, pues realizan las tareas designadas
por los superiores.
8. Plan de contingencias.
Un plan de contingencia sirve para que la empresa tenga muy claro qué acciones
debe llevar a cabo en caso de una emergencia, tanto para lidiar con las afectaciones
como para respaldar su operación y recuperarse una vez terminado el periodo de
crisis.
1. Plan de respaldo.
Dependiendo del tipo de riesgo que se haya identificado, el plan puede incluir
instrumentos diferentes. Por ejemplo, si existe riesgo de ataque cibernético, el plan
seguramente incluirá el uso de servidores de respaldo para poner en marcha la
operación de la empresa.
2. Plan de emergencia.
3. Plan de recuperación
Las directrices del plan de recuperación deben considerar que la empresa podría
haber sufrido múltiples daños (económicos, financieros, estructurales, físicos)
derivados de los riesgos a los que está expuesta. A partir de una cuantificación de
los daños, los dueños de la empresa pueden determinar, con ayuda del plan de
recuperación, el mejor camino para poner en marcha su operación nuevamente.
Qué áreas de la empresa deben mantenerse en operación para cumplir con los
compromisos de clientes, proveedores, inversionistas y colaboradores.
Identificar qué equipos y qué miembros en particular de cada equipo son los más
indicados para dirigir los esfuerzos de tu plan de contingencia y, a su vez, toda esa
gente estará preparada con anticipación.
2. Planifica tu estrategia.
Una vez que tienes identificadas aquellas situaciones a las que se puede enfrentar
tu compañía, ya puedes encontrar vías precautorias que garanticen la continuidad
de sus operaciones durante una crisis o emergencia.
Al diseñar un plan de acción, debes preguntarte en primer lugar cuáles son las
capacidades que tiene tu empresa para afrontar la situación. Para ello, deberás
evaluar si tienes un fondo de emergencia, cuál es la capacidad de endeudamiento
de tu compañía e incluso las características de tu plantilla de trabajo. Esto te
ayudará a saber si una estrategia realmente funcionará o no y si es adecuada para
el personal con el que cuentas. De nada sirve idear un gran plan de contingencia si
no hay manera de llevarlo a la acción.
Por último, ten en cuenta que la capacitación es un factor esencial para estar
preparados y para prevenir emergencias. Si ya has delegado responsabilidades,
será sencillo ubicar dónde debes poner mayor esfuerzo para concientizar, capacitar
y formar recursos humanos listos para afrontar contingencias.
También, te sugiero que cuando realices una actualización o reajuste al plan, los
indiques en una bitácora de cambios incluida en el documento. Ahí podrás registrar
lo que se modificó o eliminó, además de la fecha en que se hizo para contar con un
historial completo que te permita saber qué no hay que hacer frente a una situación
o qué es preferible.
Además, la constante revisión del plan de acción te ayudará a saber si las medidas
ahí propuestas están vigentes con los avances tecnológicos, las regulaciones
laborales y económicas y las herramientas que forman parte de la empresa. Las
bitácoras ayudan, sobre todo, a dar certeza en la efectividad del plan de
contingencia.
1. Es uniforme.
Es decir, que cuenta con un documento o manual que establece el tono, lenguaje y
elementos de los mensajes que se comunican. Ya sean campañas publicitarias o
comunicados dirigidos a los colaboradores, existen pautas que se crean para que
las personas receptoras del mensaje reconozcan de inmediato que es una
comunicación oficial (de la marca o empresa), se identifiquen con lo que dice (por
la elección de las palabras y el tono) y si es parte de un esfuerzo que aparece en
múltiples canales.
3. Es oportuna y clara
4. Tiene un plan.
Es decir, es un contrato que firma tu empresa y el trabajador para evitar que este
desvele información que quieres mantener oculta, sobre todo para que no acceda
la competencia.
Lo que ocurre con bastante frecuencia es que los ingenieros de red son un poco
laxos con las configuraciones de los dispositivos de red. Y, lo entendemos,
solucionar problemas de red puede ser una lata. Pero eso no es motivo para olvidar
la siguiente configuración de seguridad.
Porque cuando no lo haces (o cuando lo haces a medias), los atacantes pueden
tener la oportunidad de acceder a los activos internos, realizar shells inversos sin
ninguna restricción, y mucho más. Además, las soluciones mal configuradas como
IPS, SIEM e IDS pueden crear más vulnerabilidades de seguridad. Por ejemplo, si
se olvida de configurar un bind shell durante la intervención, los hackers no tendrán
problemas para desfigurar su página web.
Pasar por alto la configuración de seguridad (es decir, NO configurarla con valores
seguros) en los servidores de aplicaciones, frameworks de aplicaciones, bibliotecas,
bases de datos, etc.
Utilizar componentes vulnerables y/o anticuados (que, por cierto, se encuentra justo
detrás de la configuración de seguridad incorrecta en los 10 principales riesgos de
seguridad de las aplicaciones web de OWASP mencionados anteriormente).
Y, por último, pero no menos importante, no desactivar las cuentas por defecto con
contraseñas estándar (sí, lo creas o no, eso pasa MUCHO).
Una prueba es una forma o una tarea física o mental para la cual se ha determinado
un estándar normal, o para la cual se conocen las respuestas correctas. El
desempeño de un participante en una prueba es comparado contra estos
estándares y/o respuestas correctas. Las pruebas son usadas en la investigación
para determinar la aptitud, habilidad, conocimiento, estado de salud físico o mental
del participante en comparación a la población en general. Las pruebas pueden ser
administradas en persona, por escrito o un medio electrónico. Un ejemplo de esto
serían los estudiantes haciendo pruebas estandarizadas de desempeño académico
(como el SAT, MCAT o GRE).
Su política debe especificar qué tipo de datos deben cifrarse. Esto varía según los
requisitos de cumplimiento y los objetivos de manejo de datos de su empresa. Por
ejemplo, su política puede establecer que todos los datos que la empresa capture o
posea deben estar cifrados en reposo.
Incluya criterios para determinar qué datos deben cifrarse y qué datos deben
protegerse con otra técnica, como la tokenización o el hash. Por ejemplo, su política
puede establecer que toda la información de identificación personal (PII) que vaya
a los registros de auditoría, rastreo o aplicación debe estar tokenizada.
Normas sencillas y de sentido común sin las cuales corremos el riesgo de ser
considerados unos ignorantes. Estas pautas deben observarse cuando
incorporamos cualquier contenido a la red, por tanto, son aplicables a todas
nuestras publicaciones y mensajes.
Estas son unas cuantas normas para un buen uso de esa maravillosa herramienta
que es el correo electrónico:
Con el correo electrónico ocurre lo mismo que con el resto de las relaciones
humanas, la primera impresión es la queda. Es importante el uso de un tono
correcto, no cometer faltas de ortografía ni de gramática. Antes de enviar un
mensaje, asegúrate de que está escrito con corrección y claridad. Debemos ser
siempre conscientes de que se trata de comunicación escrita, y como tal queda
registro de ella.
Escribe por párrafos para que el mensaje quede mejor estructurado, y sepáralos
con líneas en blanco, para no cansar con su lectura. Tampoco escribas líneas de
más de 80 caracteres. Muchos monitores no permiten visualizar más en la pantalla.
Cuando respondas a un mensaje, incluye parte del mensaje original para situar el
contexto. De otra manera, tu(s) interlocutor(es) podría(n) no saber de qué estás
hablando o a qué estas contestando, especialmente si reciben mucho correo.
Normalmente basta con el asunto. Muchos servidores de correo integran ya esta
opción por defecto.
Reenvío de correos: Si recibes un correo electrónico interesante que deseas
reenviar a tus contactos, no olvides eliminar esas líneas heredadas de los mensajes
anteriores y las direcciones de correo del mensaje que has recibido. Puede que
alguno de los destinatarios del correo tenga un virus en su ordenador y que ese
virus capture las direcciones de correo de los mensajes que se reciben para luego
enviarlas a un spammer. Todas esas direcciones sufrirán a partir de ahora el molesto
correo basura.
Por el mismo motivo, cuando envíes copias de un correo a varias personas, pon la
lista de direcciones a enviar en el campo CCO (cuentas de correo ocultas). De esa
forma evitarás dar a conocer las direcciones de terceras personas, que no interesan
a nadie. Es una buena medida de seguridad para evitar virus y spam.
Cuando envíes un archivo adjunto a alguien que recibe muchos como el tuyo, por
ejemplo, un(a) profesor(a), nómbralo con tu nombre_apellido_nombre_de_la_tarea
(minúscula, sin tildes i caracteres especiales, con las palabras unidas por guiones
bajos).
Limita el tamaño de las firmas automáticas: Las firmas automáticas deben ser lo
más claras y breves posible. No incluyas imágenes o información innecesaria.
Nunca dejes de identificarte con nombre y apellidos cuando te dirijas a personas
desconocidas.
Si usas webmail, como Gmail, utiliza claves seguras (más de 8 dígitos, conteniendo
letras y números) y configura la pregunta secreta de una forma que no sea
adivinable, ya que esta es la forma más común de robar una cuenta de otra persona.
Araujo, A., & Araujo, A. (2023, 13 octubre). Cómo hacer tu política de seguridad de
la información. Hackmetrix Blog. https://blog.hackmetrix.com/politica-de-
seguridad-de-la-informacion/
Ortega, C. (2023, 26 julio). Análisis de riesgos: Qué es y cómo realizarlo.
QuestionPro. https://www.questionpro.com/blog/es/analisis-de-riesgos/
Jimeno, J. (2012, 19 noviembre). Cómo crear la política de tu empresa: Definiciones,
requisitos y tipos de políticas – PDCA Home.
https://www.pdcahome.com/2551/como-crear-la-politica-de-tu-empresa-
definiciones-requisitos-y-tipos-de-politicas/
Pérez, A. (2023, 28 septiembre). ¿Sabes cómo identificar los recursos de tus
proyectos de forma adecuada? OBS Business School.
https://www.obsbusiness.school/blog/sabes-como-identificar-los-recursos-
de-tus-proyectos-de-forma-adecuada
Pérez, A. (2022, 3 agosto). ¿Cómo identificar las amenazas de una empresa? OBS
Business School. https://www.obsbusiness.school/blog/como-identificar-las-
amenazas-de-una-empresa
Sobre la importancia de la confidencialidad de la información – Lofton Servicios
Integrales | Despacho Contable y Jurídico. (s. f.).
https://loftonsc.com/juridico-laboral/confidencialidad-de-la-informacion/
Esneca, C. G. (2023, 4 mayo). Jerarquía empresarial: ¿qué tipos hay? Escuela
ELBS. https://escuelaelbs.com/jerarquia-
empresarial/#:~:text=La%20jerarqu%C3%ADa%20de%20una%20empresa
%20hace%20referencia%20a%20la%20organizaci%C3%B3n,y%20organiz
aci%C3%B3n%20de%20cualquier%20tipo.
Gasbarrino, S. (2023, 8 noviembre). Plan de contingencia de una empresa: qué es,
cómo hacerlo y ejemplos. https://blog.hubspot.es/sales/plan-contingencia-
empresas#:~:text=Un%20plan%20de%20contingencia%20empresarial%20
es%20un%20documento%20que%20contiene,la%20continuidad%20de%2
0la%20compa%C3%B1%C3%ADa. https://blog.hubspot.es/sales/plan-
contingencia-
empresas#:~:text=Un%20plan%20de%20contingencia%20empresarial%20
es%20un%20documento%20que%20contiene,la%20continuidad%20de%2
0la%20compa%C3%B1%C3%ADa.
Valenzuela, L. (2021, 16 septiembre). Violaciones de seguridad en pymes ¿qué son
y cómo actuar?. - Umbra Abogados. Umbra Abogados.
https://www.umbraabogados.com/violaciones-de-seguridad-en-pymes-que-
son-y-como-actuar/
Elementos Clave de la Comunicación en Seguridad. (2023, 31 octubre).
https://www.joinmoment.mx/elementos-clave-de-la-comunicacion-en-
seguridad#:~:text=La%20comunicaci%C3%B3n%20en%20seguridad%20n
o,la%20seguridad%20en%20el%20trabajo.
Pymes, A. T. (2023, 23 enero). Acuerdo de confidencialidad con ejemplos y Modelo
descargable | NDA. https://es.linkedin.com/pulse/acuerdo-de-
confidencialidad-con-ejemplos-y-modelo-descargable-
#:~:text=Un%20acuerdo%20de%20confidencialidad%20es,de%20negocios
%2C%20inversiones%20y%20empleo.
QAwerk ES. (2024, 15 marzo). Vulnerabilidad de desconfiguración de seguridad |
QAwerk. QAwerk. https://qawerk.es/blog/mala-configuracion-de-
seguridad/#anch1_1_5
Motivos por los cuales la administración de cuentas es un elemento clave para el
éxito empresarial. (2020, 2 noviembre). Lucidchart.
https://www.lucidchart.com/blog/es/que-es-la-administracion-de-
cuentas#:~:text=La%20administraci%C3%B3n%20de%20cuentas%20es,cli
entes%20y%20aumentar%20esas%20oportunidades.
Métodos de recolección de información. (s. f.).
https://ori.hhs.gov/education/products/sdsu/espanol/eg_info.htm#:~:text=Alg
unos%20m%C3%A9todos%20de%20recolecci%C3%B3n%20de,registros%
20existentes%20y%20muestras%20biol%C3%B3gicas.
Política de cifrado - AWS Guía prescriptiva. (s. f.).
https://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-
data-at-rest-encryption/policy.html
Normas para el buen uso del Correo Electrónico. (s. f.).
https://www.juntadeandalucia.es/averroes/centros-
tic/14002984/helvia/aula/archivos/repositorio/2750/2994/html/buen_uso_cor
reo_electronico/index.htm