Normatividad de la

Comunicación.
Dr. Alfredo de Jesús Córdova
Abarca
 CONTENIDO TEMATICO.
Unidad 3. Normatividad en las TICS.

• 3.1 Relativa al usuario (Factor humano, empleados, usuarios, proveedores,

formación y supervisión, identificación, autenticación y gestión de cuentas
de usuarios, sistemas biométricos).

• 3.2. Relativa al equipo (Seguridad en dispositivos de almacenamiento, en

impresoras, escáner, faxes, cámaras WEB, teléfonos o dispositivos móviles,
protección de los equipos y estaciones de trabajo, salida de equipo).

• 3.3 Relativa a la infraestructura (Seguridad física, protección eléctrica,

control de nivel de mediciones electromagnéticas).
 CONTENIDO TEMATICO.
Unidad 3. Normatividad en las TICS.

• 3.4 Relativa al software (Ley federal de derechos de autor, licencias,

control de acceso, criptografía, virus, informática forense, ISO/IEC 29110.

• 3.5 Relativa a la información (Copias de seguridad, Ley orgánica de

protección de datos, NOM 151,Familia ISO/IEC27000 y 38500).

• Relativa a las comunicaciones (Vigilancia de la red, acceso y configuración

de servidores, routers, switches, monitoreo y seguridad en conexiones
remotas, espionaje, ciberterrorismo).
3.1 Normatividad en las TICS.

Factor humano

«La forma de hacer que

la seguridad funcione es
hacer que la seguridad
funcione para las
personas»
3.1 Normatividad en las TICS.

Seguridad en las TICS

debe ser usable.

Efectividad, eficiencia y
satisfacción.
3.1 Normatividad en
Efectividad: la
las
Eficiencia:
TICS.
Satisfacción:
los
la
precisión e
recursos comodidad y
gastados
integridaden con la aceptabilidad
relación con la del
precisión sistema
que determinados e de
integridadtrabajo
usuarios pueden de los para sus
lograr objetivosobjetivos
usuarios y otras
específicos alcanzados;
en personas
entornos
afectadas por su
particulares;
uso.

Usabilidad
3.1 Normatividad en las TICS.
CONT
ROL
DE
ACCES
O

ISO 27001

14
REGL
AS 114
CONT
ROLES
3.1 Normatividad en las TICS.
• El usuario debe enfatizar.

• Entender los requerimientos de seguridad de la

información de una organización y la necesidad de
establecer una política y objetivos para esto. 

• Implementar y operar controles para manejar los riesgos

de la seguridad de la información. 

• Monitorear y revisar el desempeño y la efectividad del

SGSI.

• Mejoramiento continuo con base a la medición del objetivo.

3.1 Normatividad en las TICS.
Los 114 controles de la norma ISO 27001 están divididos en
14 secciones:

• Políticas de seguridad de la información.

• Organización de la seguridad de la información.
• Seguridad de los recursos humanos.
• Gestión de activos.
• Controles de acceso.
• Criptografía – Cifrado y gestión de claves.
• Seguridad física y ambiental.
• Seguridad operacional.
• Seguridad de las comunicaciones.
• Adquisición, desarrollo y mantenimiento del sistema.
• Gestión de incidentes de seguridad de la información.
• Cumplimiento.
3.1 Normatividad en las TICS.
Los requisitos de negocio de control de acceso Se debe establecer
una política de control de acceso, y definir qué usuarios tendrán
acceso a las redes servicios. Esto supone que se deben establecer las
reglas en primer lugar, y entonces dar permiso a los usuarios.

Se pueden configurar las reglas de acceso de diferentes formas. Por

regla general existen dos enfoques:

Se definen perfiles de usuario.

En función de cada puesto se asignan perfiles de usuarios

correspondientes.
 
Se puede definir:

• Usuario A: Acceso a aplicaciones y servicios básicos.

• Usuario B: Acceso a todo.
3.1 Normatividad en las TICS.
Se establece que todos los empleados tengan un perfil de
usuario A y los más privilegiados utilizan el perfil de usuario B.

El segundo enfoque es el que se define por los propietarios de

los activos. Se debe aprobar el acceso a diferentes usuarios
cada vez que necesiten tener acceso a esos activos. La
combinación de estos dos enfoques se utiliza muy a menudo,
como se explica más adelante.

La política de control de acceso se centra en el Sistema de

Gestión de Seguridad de la Información. La norma ISO
27001 permite que se den ambos enfoques. Aprobar el acceso
a una zona física no tiene muchas diferencias en comparación
con la que se aprueba en el acceso a un sistema de información.
3.1 Normatividad en las TICS.
Gestión de acceso de usuario

Las cosas comienzan a ponerse más técnicas. Se debe

definir cómo se necesitan los usuarios que se registran
en su sistema, cómo se les asigna el acceso y cómo
se gestionan todos los datos de autentificación. Tiene
que hacerse cargo de algunas cosas de la empresa, es
decir, si necesita permitir el acceso. Para ello será
necesario definir quién puede aprobar dicha
excepción de acceso a los usuarios. Lo que se suele
hacer es que las organizaciones definen perfiles de
usuario y en su caso el acceso debe ser aprobado por
el encargado. Se trata como un acceso privilegiado y el
propietario del activo debe aprobar la excepción.
3.1 Normatividad en las TICS.
No utilizar
No revelárselas a la
No escribir nadie misma
contraseñas contraseña en
diferentes sitios.

Responsabilid
ad de lusuario
3.1 Normatividad en las TICS.
Definir política
Protección decon Programas
control de que
seguridad deacceso utiliza el
inicio de sesión administrador.

Sistema de
Control de
Acceso
3.2 Relativa al Equipo.
¡¡¡ Gracias por su atención !!!