REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACION SUPERIOR

INSTITUTO UNIVERSITARIO I.U.T
SAN JUAN DE COLON EDO. TACHIRA

Polticas de seguridad

Autor
Apellidos: Acevedo Gelves
Nombre: Juan Gabriel
Especialidad: informtica
Trayecto IV
Trimestre II
Turno: tarde

San Juan de Colon

Introduccin
Debido a que el uso de Internet se encuentra en aumento, cada vez ms
compaas permiten a sus socios y proveedores acceder a sus sistemas de
informacin. Por lo tanto, es fundamental saber qu recursos de la compaa
necesitan proteccin para as controlar el acceso al sistema y los derechos de
los usuarios del sistema de informacin. Los mismos procedimientos se aplican
cuando se permite el acceso a la compaa a travs de Internet.
Adems, la tendencia creciente hacia un estilo de vida nmada de hoy en
da, el cual permite a los empleados conectarse a los sistemas de informacin
casi desde cualquier lugar, se pide a los empleados que lleven consigo parte
del sistema de informacin fuera de la infraestructura segura de la compaa.

Poltica de Seguridad Informtica

La seguridad informtica o seguridad de tecnologas de la informacin es el
rea de la informtica que se enfoca en la proteccin de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la informacin
contenida o circulante. Para ello existen una serie de estndares, protocolos,
mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles
riesgos a la infraestructura o a la informacin. La seguridad informtica
comprende software (bases de datos, metadatos, archivos), hardware y todo lo
que la organizacin valore y signifique un riesgo si esta informacin
confidencial llega a manos de otras personas, convirtindose, por ejemplo, en
informacin privilegiada.
La definicin de seguridad de la informacin no debe ser confundida con la
de seguridad informtica, ya que esta ltima slo se encarga de la seguridad
en el medio informtico, pero la informacin puede encontrarse en diferentes
medios o formas, y no solo en medios informticos.
La seguridad informtica es la disciplina que se ocupa de disear las
normas, procedimientos, mtodos y tcnicas destinados a conseguir un
sistema de informacin seguro y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de
identificar y eliminar vulnerabilidades. Una definicin general de seguridad debe
tambin poner atencin a la necesidad de salvaguardar la ventaja
organizacional, incluyendo informacin y equipos fsicos, tales como los
mismos computadores. Nadie a cargo de seguridad debe determinar quin y
cundo se puede tomar acciones apropiadas sobre un tem en especfico.
Cuando se trata de la seguridad de una compaa, lo que es apropiado vara
de organizacin a organizacin. Independientemente, cualquier compaa con
una red debe de tener una poltica de seguridad que se dirija a conveniencia y
coordinacin.
Objetivos
La seguridad informtica debe establecer normas que minimicen los riesgos
a la informacin o infraestructura informtica. Estas normas incluyen horarios
de funcionamiento, restricciones a ciertos lugares, autorizaciones,
denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo
necesario que permita un buen nivel de seguridad informtica minimizando el
impacto en el desempeo de los trabajadores y de la organizacin en general y
como principal contribuyente al uso de programas realizados por
programadores.
La seguridad informtica est concebida para proteger los activos informticos,
entre los que se encuentran los siguientes:

La infraestructura computacional: Es una parte fundamental para el

almacenamiento y gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de la seguridad
informtica en esta rea es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot,
desastres naturales, fallas en el suministro elctrico y cualquier otro factor
que atente contra la infraestructura informtica.
Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona
de comunicaciones y que gestionan la informacin. Debe protegerse el
sistema en general para que el uso por parte de ellos no pueda poner en
entredicho la seguridad de la informacin y tampoco que la informacin que
manejan o almacenan sea vulnerable.
La informacin: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.
Amenazas
No solo las amenazas que surgen de la programacin y el funcionamiento
de un dispositivo de almacenamiento, transmisin o proceso deben ser
consideradas, tambin hay otras circunstancias que deben ser tomadas en
cuenta e incluso no informticas. Muchas son a menudo imprevisibles o
inevitables, de modo que las nicas protecciones posibles son las
redundancias y la descentralizacin, por ejemplo mediante determinadas
estructuras de redes en el caso de las comunicaciones o servidores en clster
para la disponibilidad.
Las amenazas pueden ser causadas por
Usuarios: causa del mayor problema ligado a la seguridad de un sistema
informtico. En algunos casos sus acciones causan problemas de seguridad, si
bien en la mayora de los casos es porque tienen permisos sobre
dimensionados, no se les han restringido acciones innecesarias.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el

ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informtico, un gusano informtico, un troyano,
una bomba lgica, un programa espa o spyware, en general conocidos como
malware.
Errores de programacin: La mayora de los errores de programacin que
se pueden considerar como una amenaza informtica es por su condicin de
poder ser usados como exploits por los crackers, aunque se dan casos donde
el mal desarrollo.
Como Abordar la Implementacin de Polticas de Seguridad
La implementacin de medidas de seguridad, es un proceso TcnicoAdministrativo. Como este proceso debe abarcar toda la organizacin, sin
exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya
que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad,
trae aparejados varios tipos de problemas que afectan el funcionamiento de la
organizacin. La implementacin de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organizacin, tanto tcnica
como administrativamente.
Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad
respecto de los costos administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en
las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el
fin de otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar:
Alcance de la poltica, incluyendo sistemas y personal sobre el cual se
aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados
en su definicin.
Responsabilidad de cada uno de los servicios, recurso y responsables
en todos los niveles de la organizacin.
Responsabilidades de los usuarios con respecto a la informacin que
generan y a la que tienen acceso.
Requerimientos mnimos para la configuracin de la seguridad de los
sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la

poltica.
Por otra parte, la poltica debe especificar la autoridad que debe hacer
que las cosas ocurran, el rango de los correctivos y sus actuaciones que
permitan dar indicaciones sobre la clase de sanciones que se puedan
imponer. Pero, no debe especificar con exactitud qu pasara o cundo
algo suceder; ya que no es una sentencia obligatoria de la ley.
Explicaciones comprensibles (libre de tecnicismos y trminos legales
pero sin sacrificar su precisin) sobre el porqu de las decisiones
tomadas.
Finalmente, como documento dinmico de la organizacin, deben seguir
un proceso de actualizacin peridica sujeto a los cambios
organizacionales relevantes: crecimiento de la planta de personal,
cambio en la infraestructura computacional, alta y rotacin de personal,
desarrollo de nuevos servicios, cambio o diversificacin de negocios.
Legislacin Nacional e Internacional y los Delitos Informticos
LEGISLACIN NACIONAL
El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela
(2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el
conocimiento, la innovacin y sus aplicaciones y los servicios de informacin
necesarios por ser instrumentos fundamentales para el desarrollo econmico,
social y poltico del pas, as como para la seguridad y soberana nacional.
Para el fomento y desarrollo de esas actividades, el Estado destinar recursos
suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con
la ley. El sector privado deber aportar recursos para los mismos. El Estado
garantizar el cumplimiento de los principios ticos y legales que deben regir
las actividades de investigacin cientfica, humanstica y tecnolgica. La ley
determinar los modos y medios para dar cumplimiento a esta garanta.
El Artculo 28 de la CRBV establece que toda persona tiene el derecho de
acceder a la informacin y a los datos que sobre s misma o sobre sus bienes
consten en registros oficiales o privados, () Igualmente, podr acceder a
documentos de cualquier naturaleza que contengan informacin cuyo
conocimiento sea de inters para comunidades o grupos de personas
Por otra parte el Artculo 60 seala que toda persona tiene derecho a la
proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad
y reputacin. La ley limitar el uso de la informtica para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno
ejercicio de sus derechos.
A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen
derecho a ser informados e informadas oportuna y verazmente por la

Administracin Pblica, () Asimismo, tienen acceso a los archivos y registros

administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad
democrtica
La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la
Proteccin integral de los sistemas que utilicen tecnologas de informacin, as
como la prevencin y sancin de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de
dichas tecnologas.
LEGISLACIN INTERNACIONAL
Muchos son los problemas que han surgido a nivel internacional en materia
de delincuencia informtica. Tradicionalmente se ha considerado en todos los
pases el principio de territorialidad, que consiste en aplicar sanciones penales
cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso
del delito informtico, la situacin cambia porque el delito pudo haberse
cometido desde cualquier otro pas, distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la
necesidad de agruparse y en primer lugar definir algunos trminos cibernticos
que pudieran permitir la unificacin de criterios en esta materia. As, se le
asignaron nombres conocidos en materia de delitos tradicionales, para
adaptarlos a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa,
fraude.
Entre estos estn:
Fraude y falsificacin informticos
Alteracin de datos y programas de computadora
Sabotaje informtico
Acceso no autorizado
Interceptacin no autorizada y reproduccin no autorizada de un
programa de computadora protegido.
Posteriormente, la Comisin Poltica de Informacin Computadoras y
Comunicacin rrecomend que se instituyesen protecciones penales contra
otros usos indebidos. Se trataba de una lista optativa o facultativa, que inclua
entre otros aspectos, los siguientes:
Espionaje informtico
Utilizacin no autorizada de una computadora
Utilizacin no autorizada de un programa de computadora protegido
Robo de secretos comerciales y
Acceso o empleo no autorizado de sistemas de computadoras.

Adicionalmente, el Comit Especial de Expertos en Delitos Informticos,

adscritos al Comit Europeo para los problemas de la Delincuencia, se dedic
a examinar temas como:
La proteccin de la esfera personal
Las Victimas
La posibilidad de prevencin
Procedimiento (investigacin y confiscacin internacional de bancos de datos y
la cooperacin internacional en la investigacin y represin del delito
informtico)
De igual manera, la Organizacin de las Naciones Unidas (ONU), en el
Manual de la ONU para la Prevencin y Control de Delitos Informticos seala,
cuando el problema se eleva a la escena internacional, se magnifican los
inconvenientes y las insuficiencias, por cuanto los delitos informtico
constituyen una nueva forma de crimen transnacional y su combate requiere de
una eficaz cooperacin internacional.
Evaluacin de riesgos
Los riesgos de seguridad de informacin deben ser considerados en el
contexto del negocio, y las interrelaciones con otras funciones de negocios,
tales como recursos humanos, desarrollo, produccin, operaciones,
administracin, TI, finanzas, entre otros y los clientes deben ser identificados
para lograr una imagen global y completa de estos riesgos.

Cada organizacin tiene una misin. En esta era digital, las organizaciones
que utilizan sistemas tecnolgicos para automatizar sus procesos o informacin
deben de estar conscientes que la administracin del riesgo informtico juega
un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser
proteger a la organizacin y su habilidad de manejar su misin no solamente
la proteccin de los elementos informticos. Adems, el proceso no solo debe
de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin
esencial de administracin por parte de toda la organizacin.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio
de la vulnerabilidad, considerando la probabilidad y la importancia de
ocurrencia. Por lo que podemos decir a grandes rasgos que la administracin
de riesgos es el proceso de identificacin, evaluacin y toma de decisiones
para reducir el riesgo a un nivel aceptable.

En el anlisis de riesgo informtico es necesario identificar si existen

controles que ayudan a minimizar la probabilidad de ocurrencia de la
vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad ser de riesgo
no controlado.
Dentro de la evaluacin del riesgo es necesario realizar las siguientes
acciones: Calcular el impacto en caso que la amenaza se presente, tanto a
nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de
tal forma que se pueda priorizar, esto se realiza de forma cuantitativa
(asignando pesos) o de forma cualitativa (matriz de riesgos)
Estrategias de seguridad
Para establecer una estrategia adecuada es conveniente pensar una
poltica de proteccin en los distintos niveles que esta debe abarcar y que no
son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y
la interaccin que existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia
Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es
un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos
vulnerables existentes en las directivas de seguridad y a desarrollar planes de
contingencia. La determinacin del dao que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este
ataque ayudar a desarrollar esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al
ataque ayuda al personal de seguridad a evaluar el dao que ha causado el
ataque, a repararlo o a implementar el plan de contingencia desarrollado en la
estrategia Proactiva, a documentar y aprender de la experiencia, y a
conseguir que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos
compartidos:
Lo que no se permite expresamente est prohibido: significa que la
organizacin proporciona una serie de servicios bien determinados y
documentados, y cualquier otra cosa est prohibida.
Lo que no se prohbe expresamente est permitido: significa que, a
menos que se indique expresamente que cierto servicio no est
disponible, todos los dems s lo estarn.
Estas posturas constituyen la base de todas las dems polticas de
seguridad y regulan los procedimientos puestos en marcha para
implementarlas. Se dirigen a describir qu acciones se toleran y cules no.
Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones
que atentan contra los sistemas informticos los expertos se inclinan por
recomendar la primera poltica mencionada.

Conclusin
La clave para desarrollar con xito un programa efectivo de la seguridad e
informacin consiste en recordar que las polticas, estndares y procedimientos
de seguridad de la informacin son un grupo de procedimientos
interrelacionados que estos facilitaran y a su vez ayudaran a la creacin e
implementacin de polticas de seguridad ya que hoy da se cometen muchos
fraudes por falta de la planificacin y aplicacin de las polticas de seguridad.