INSTITUTO

UNIVERSITARIO MILITAR
DE COMUNICACIONES Y
ELECTRONICA DE LA
F.A.N.B

Prof. Julio C. Jordn A.

 Que

son las Polticas de Seguridad Informtica?

Una poltica de seguridad informtica es una forma

de comunicarse con los usuarios y los gerentes. Las
PSI establecen el canal formal de actuacin del
personal, en relacin con los recursos y servicios
informticos, importantes de la organizacin.
Es ms bien una descripcin de los que deseamos
proteger y el por qu de ello.
Cada PSI es consciente y vigilante del personal por
el uso y limitaciones de los recursos y servicios
informticos crticos de la compaa.
2

Las PSI se deben considerar entre otros, los

siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y

personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los
elementos involucrados en su definicin.
Responsabilidades por cada uno d los servicios y recursos
informticos a todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad
de los sistemas que cobija el alcance de la poltica.
Definicin de violaciones y de las consecuencias del no
cumplimiento de la poltica.
Responsabilidades de los usuarios con respecto a la
informacin a la ella tiene acceso.

Espere lo inesperado, Imagine lo que sucedera si:

La informacin esencial fuera robada, se perdiera,
estuviera en peligro, fuera alterada o borrada.
Los sistemas de correo electrnico no funcionaran
durante un da o ms. Cunto costara esta
improductividad?
Los clientes no pudieran enviar rdenes de compra a
travs de la red durante un prolongado periodo de
tiempo.

Los directivos se interesen cada vez ms en la prevencin de

desastres fsicos y espionaje. Implementar una poltica de
seguridad le da valor a su empresa o institucin. Tambin
mejorar la credibilidad y reputacin de la institucin y
aumentar la confianza de los accionistas principales, lo que le
dar a la empresa una ventaja estratgica.

 Identifique

y evalu los

activos.
Hardware.
Software.

Datos.
Personas.

Identifique

las

amenaza
Amenazas externas.
Amenazas internas

Evalu los riegos.

Componente mas
desafiante.
Calcular
que
puedan
ocurrir ciertos sucesos
Determinar cuales tienen
potencial para causar
daos.

Asigne

responsabilidades

las

Cree equipo de apoyo para

identificar amenazas.
Involucre personal de cada
departamento.

Establezca poltica de seguridad.

Cree una poltica que apunte a los documentos asociados;

parmetros y procedimientos, normas, as como los
contratos de empleados.

Involucre a las reas propietarias de los recursos o

servicios, pues ellos poseen la experiencia y son fuente
principal para establecer el alcance y las definiciones de
violaciones a la PSI.

Comunique a todo el personal involucrado en el desarrollo

de las PSI, los beneficios y riesgos relacionados con los
recursos y bienes, y sus elementos de seguridad.

Recuerde que es necesario identificar quin tiene la

autoridad para tomar decisiones, pues son ellos los
responsables de salvaguardar los activos crticos de la
funcionalidad de su rea u organizacin.

Desarrolle un proceso de monitoreo peridico de las

directrices en el hacer de la organizacin, que permita
una actualizacin oportuna de las mismas.

No d por hecho algo que es obvio.

Implemente una poltica en toda la organizacin.

La poltica que se escoja debe establecer claramente las
responsabilidades en cuanto a la seguridad y reconocer
quin es el propietario de los sistemas y datos especficos.
stas son las tres partes esenciales de cumplimiento que
debe incluir la poltica:

Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento
y
las
consecuencias
potenciales
por
incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean
directamente responsables de la seguridad de la informacin.
Asegrese de que no es la misma persona que supervisa,
implementa o revisa la seguridad para que no haya conflicto de
intereses.
Financiacin: Asegrese de que a cada departamento se le haya
asignado los fondos necesarios para poder cumplir
adecuadamente con la poltica de seguridad de la compaa.

Administre el programa de seguridad.

Evaluacin de
riesgos

Diseo e
implementacin
de la seguridad

Re-evaluacin

Manejo de la
seguridad
9

10

Las empresas necesitan establecer polticas, estndares y

procedimientos de seguridad para hacer cumplir la seguridad
de la informacin de forma estructurada. Una evaluacin de
riesgos le ayudar a identificar y administrar las
vulnerabilidades de su entorno., Con base en este anlisis,
usted puede desarrollar un marco de polticas apropiado y
empezar a construir un conjunto de polticas adaptadas a su
empresa.
La norma ISO 17799 es una de las muchas regulaciones y
estndares gubernamentales, o del sector, que las empresas
estn incorporando a sus polticas de seguridad.

10

INSTITUTO
UNIVERSITARIO MILITAR
DE COMUNICACIONES Y
ELECTRONICA DE LA
F.A.N.B

Prof. Julio C. Jordn A.

Es la expresin grfica del Sistema de Seguridad Informtica

diseado y constituye el documento bsico que establece los
principios organizativos y funcionales de la actividad de
Seguridad Informtica en una Entidad y recoge claramente las
polticas de seguridad y las responsabilidades de cada uno de
los participantes en el proceso informtico, as como las
medidas y procedimientos que permitan prevenir, detectar y
responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseo de un Sistema de Seguridad
Informtica se distinguen tres etapas:

1) Determinar las necesidades de proteccin del sistema

informtico objeto de anlisis, que incluye:
Caracterizacin del sistema informtico.
Identificacin de las amenazas y estimacin de los
riesgos.
Evaluacin del estado actual de la seguridad.

2) Definir e implementar el sistema de seguridad que garantice

minimizar los riesgos identificados en la primera etapa.
Definir las polticas de seguridad.
Definir las medidas y procedimientos a implementar.
3) Evaluar el sistema de seguridad diseado.

Para la elaboracin del Plan de Seguridad Informtica se

tendrn en cuenta las consideraciones siguientes:
Sern confeccionados tantos ejemplares como se determine en cada
lugar, numerando las pginas consecutivamente.
Se determinar su clasificacin, parcial o total, de acuerdo a la
informacin que contenga, en correspondencia con las categoras que
expresa el LEY ESPECIAL CONTRA LOS DELITOS INFORMTICOS (2001).
Gaceta Oficial de la Repblica Bolivariana de Venezuela, 37.313,
octubre 30 de 2001 y otras que aplique.
Contendr las tablas y grficos que se consideren necesarios y
contribuyan a su mejor interpretacin.
Tendrn acceso a este documento, o a parte de l, las personas que en
cada rea requieran de su conocimiento.
Se mantendr permanentemente actualizado sobre la base de los
cambios que se produzcan en las condiciones que se consideraron
durante su elaboracin.

DOCUMENTO

LECTURA DEL DOCUMENTO