Politica de seguridad:

Es el conjunto de normas y procedimientos establecidos por una

organizacin para regular el uso de la informacin y de los sistemas que la
tratan con el fin de mitigar el riesgo de prdida, deterioro o acceso no
autorizado al sistema.

Las polticas de seguridad definen lo que est permitido y lo que est

prohibido, permiten definir los procedimientos y herramientas necesarias,
expresan el consenso de los dueos y permiten adoptar una buena actitud
dentro de la organizacin.

El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia,

es el primer paso en la defensa de la seguridad de los sistemas y redes de
informacin. Estos sistemas y redes de informacin pueden verse afectados tanto
por riesgos internos como externos. Los participantes deben comprender que los
fallos en la seguridad pueden daar significativamente los sistemas y redes que
estn bajo su control. Deben asimismo ser conscientes del dao potencial que
esto puede provocar a otros derivados de la interconexin y la interdependencia.
Los participantes deben tener conocimiento de las configuraciones y
actualizaciones disponibles para sus sistemas, as como su lugar que ocupan
dentro de las redes, las prcticas a ejecutar para ampliar la seguridad, y las
necesidades del resto de los participantes.

la confianza es el principio bsico que rige el desarrollo de polticas. Lo primero es

determinar quin tiene privilegios, y hay que usar el principio del mnimo privilegio
posible.

Hay que tener cuidado en que tanto se confa en el personal. Se otorgan

privilegios a medida que se necesitan y se requieren controles tcnicos para
asegurar que no se den violaciones.

Adoptar el modelo Todo lo que no est especficamente prohibido est

permitido o bien Todo est prohibido excepto lo que est especficamente
permitido.
Beneficios

Las polticas de seguridad informtica muchas veces ayudan a tomar decisiones

sobre otros tipos de poltica (propiedad intelectual, destruccin de la informacin,
etc.). Tambin son tiles al tomas decisiones sobre adquisiciones porque algunos
equipos o programas no sern aceptables en trminos de las polticas mientras
que otras la sustentaran.

Las polticas de seguridad informtica deben considerarse como un documento de

largo plazo, que evolucionan. No contienen asuntos especficos de
implementacin, pero si asuntos especficos del equipo de cmputo y
telecomunicaciones de la organizacin. Probablemente sern la gua para el
diseo de cambios a esos sistemas.

El desarrollo e implantacin de polticas de seguridad informtica es una

indicacin de que una organizacin est bien administrada y los auditores lo
toman en cuenta en sus evaluaciones. Condicen a una profesionalizacin de la
organizacin.
Proceso del Diseo de Polticas
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que especificar el
alcance de las polticas y los objetos de las mismas, consistentemente con la
misin de seguridad previamente establecida.
Las polticas promulgadas deben escribirse en prrafos que sean, cada uno por
separado, implementarles mediante un mecanismo especfico. Es decir, hay que
procurar pensar claramente en la conveniencia de que las polticas sean
sumamente especficas, si esto se puede lograr, es deseable fragmentar las
polticas por departamento o unidad de trabajo. Pueden entonces pensarse en una
jerarqua de polticas, unas con aplicabilidad general, y otras para aplicabilidad
para grupos o tareas especficas.
Las polticas que no cuenten con la aceptacin entusiasta de los usuarios de todos
los niveles sern muy difciles de implantar. Todos aquellos que seran afectados
por las polticas deben tener la oportunidad de revisarlas y hacer comentarios
antes de que se promulguen, deben contar con el apoyo total de los
administradores.
En esta etapa deben considerarse los mecanismos de difusin, capacitacin y
concientizacin iniciales y permanentes sobre seguridad informtica.

La cultura de la organizacin y sus necesidades de seguridad son un factor

determinante para el equipo de redaccin de las polticas. El nivel del control que
se establezca no debe resultar en una reduccin de la productividad, pues en
muchos casos los ingresos y la carrera de la persona esta designadas por su
productividad. Si son demasiadas restrictivas en comparacin de la cultura
organizacional se violarn las polticas.
Las razones que llevan la implantacin de una poltica deben de explicarse dentro
de la poltica misma. Tambin debe definirse la cultura de cada poltica: quin, qu
y cundo.
Algunas polticas necesarias
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que considerar las
siguientes polticas necesarias:

Polticas de uso aceptable

Determina que se puede hacer con los recursos de cmputo (equipo y datos) de la
organizacin. Tambin determinan lo que no se puede hacer con esos recursos.
Indica l responsabilidad de los usuarios en la proteccin de la informacin que
manejan y en qu condiciones puede afectar o leer datos que no les pertenezca.

Polticas de cuentas de usuario

Determina el procedimiento que hay que seguir para adquirir privilegios de
usuarios en uno o ms sistemas de informacin y la vigencia de estos derechos.
Adems quien tiene la autoridad de asignar estos privilegios y quienes no podran
recibir esos privilegios por causas legales. Debe exhibir explcitamente los deberes
y derechos de los usuarios. Se explicara cmo y cundo se deshabilitaran las
cuentas de usuarios y que se har con la informacin que contenga. Debe
especificar claramente los detalles de los procedimientos de identificacin y
autenticacin.

Polticas de acceso remoto

Se definen y explican los mtodos aceptables para conectarse a los sistemas de
informacin de la organizacin desde el exterior de la misma. Son particularmente
para organizaciones geogrficamente extendidas o aquellas cuyos miembros pasa
la mayor parte del tiempo viajando. Adems de establecer quien tiene derecho a

este tipo de conexin tambin establecen quienes pueden emplear mdems para
conectarse al exterior de la organizacin, sobre todo mdems de alta velocidad.

Polticas de la proteccin de la informacin

El objetivo es evitar que la informacin sea modificada o difundida durante su
proceso, almacenamiento o transmisin. Especfica como deben establecerse
jerarquas de confidencialidad e integridad, y como se implementan su proteccin.
Debe ponerse especial atencin a la divulgacin y la destruccin de la
informacin.

Polticas de configuracin del cortafuego

Establece quien determina el establecimiento y los cambios de la configuracin.
Tambin quin debe tener acceso a ser usuario del cortafuego y quin puede
obtener informacin acerca de la configuracin del mismo. Debe establecer los de
administracin de la configuracin, para que responda a las necesidades de la
organizacin.

Polticas de cuentas privilegiadas

Establece los requisitos que debe satisfacer quienes usen cuentas privilegiadas
(root, bkup, admin) en cuanto a su biografa y trayectoria dentro de la
organizacin. Contienen procedimientos de la auditoria del uso de este tipo de
cuentas, particularmente sobre los procedimientos de identificacin y
autenticacin, y su uso. Determina en qu condiciones se debe cancelar el acceso
privilegiado.

Polticas de conexin a la red

Define los requisitos que deben cumplirse para que se conecten nuevos
dispositivos a la red de la organizacin. Son particularmente importantes para
organizaciones que tienen una diversidad de equipos de soporte tcnico, y para
aquellos que no estn protegidos con un cortafuegos. Deben especificar quien
puede instalar nuevos recursos en la red, cul es la autorizacin requerida y como

se documentan los cabios. Deben aclarar cmo se manejan los dispositivos

inseguros.
Restricciones a las polticas
La principal fuente de restricciones es la prdida de productividad. Es inevitable
que la implementacin polticas de seguridad informtica distraiga recursos
humanos e informticos que se podan emplear para otros fines.
Otra fuente de restricciones son la legislacin y los derechos de los empleados y
de los clientes. Cada pas tiene su propia cultura, as como cada organizacin
tiene la propia. Las polticas deben ajustarse al entorno cultural en el que estn
inmersas y ciertamente no pueden violar la legislacin vigente localmente.
Procedimientos
Una vez que se han determinado las polticas de seguridad que especifican lo que
hay que proteger, es necesario realizar los procedimientos de seguridad que
indican como hay que llevar a cabo la proteccin. Estos procedimientos tambin
constituyen los mecanismos para hacer las polticas. Adems resultan tiles, pues
indican detalladamente que hay que hacer cuando sucedan incidentes
especficos, son referencias rpidas en casos de emergencia y ayudan a eliminar
los puntos de falla crticos.
A continuacin se menciona algunos procedimientos que son necesarios, de
acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007):

Auditora de la seguridad de los sistemas

Dado que los datos que se almacenan sobre el uso de los sistemas son la
principal herramienta para detectar violaciones a las polticas, es necesario
especificar
detalladamente
lo
que
se
desea
almacenar.
Como se resguardan estas bitcoras y quien tiene acceso a ellas.

Administracin de cuentas
Abarca desde cmo se tiene que solicitar una cuenta en su sistema de
informacin, o en varios sistemas hasta qu tienen que hacer el departamento de
personal antes de despedir a un empleado. Tambin lo que debe hacerse para
cambiar los privilegios de una cuenta o cancelarla. Especifican como se

documentan el manejo de las cuentas y como se vigila el cumplimiento de las

polticas correspondientes.

Administracin de autenticadores
Hay cuatro tipos de autenticadores: mediante conocimientos, caractersticas
fsicas, objetos y ubicacin geogrfica. Los sistemas de control de acceso, en
general deben emplear por los menos dos autenticadores de tipos de distintos
para cada usuario. Estos procedimientos indican como deben obtenerse los
autenticadores, como deben resguardarse, la vigencia de los mismos y las
caractersticas que deben tener. Por ejemplo el procedimiento de uso de
contraseas indicar su longitud, su posicin, el algoritmo de cifrado que se debe
emplear para archivarlas y resguardarlas. En el caso de autenticadores
biomtricos se especifican la caracterstica seleccionada, los algoritmos que
permiten uso, cmo se puede evitar que se construya la caracterstica y como se
debe archivar y resguarda los datos correspondientes.

Administracin de la configuracin de los sistemas

Define como se instala y prueba un equipo nuevo o un programa nuevo, cmo se
documentan los cambios de los equipos y la configuracin, a quien se debe
informar cuando hagan cambios y quin tiene la autoridad para hacer cambios de
equipo, programas y configuracin.

Respaldos y acervos de datos y programas

Define qu sistema de archivos hay que respaldar, cuando hay que hacer los
respaldos, cmo se administran los medios que se utilizan para los respaldos,
donde se guardan los respaldos fuera de sitio, como se etiquetan los medios y
como documentan los respaldos.

Manejo de incidentes
Define cmo se manejan las instrucciones, delimita la responsabilidad de cada
miembro del equipo de respuesta, indica que informacin hay que anotar e
investigar, a quin hay que notificar y cundo, determinar quin, cundo y cmo se
har el anlisis posterior del incidente.

Escalamiento del problema

Es una coleccin de recetas para el personal de soporte de primera lnea. Define a

quin hay que llamar y cundo, indica que pasos iniciales hay dar y que
informacin inicial hay que anotar.

Planes de respuesta a desastres

Un desastre es un evento de gran escala que afecta a grandes secciones de la
organizacin. El plan debe delinear qu acciones hay que tomar para que los
recursos crticos sigan funcionando y minimice el impacto del desastre. Debe
indicar que hay que tener fuera del sitio y fcilmente disponible para emplearlo
despus de un desastre. Hay que estratificar el plan para responder a distintos
niveles de daos. Definir si se requieren sitios alternos calientes o fros. Se
debe establecer cada cuando se harn simulacros para probar el plan.
Modelos de Seguridad
Un modelo de seguridad es la presentacin formal de una poltica de seguridad. El
modelo debe identificar el conjunto de reglas y prcticas que regulan cmo un
sistema maneja, protege y distribuye informacin delicada (Lpez Barrientos &
Quezada Reyes, 2006).
De acuerdo a (Lpez Barrientos & Quezada Reyes, 2006), los modelos se
clasifican en:

1.

Modelo abstracto: se ocupa de las entidades abstractas como sujetos y

objetos. El modelo Bell LaPadula es un ejemplo de este tipo.

2.

Modelo concreto: traduce las entidades abstractas en entidades de un

sistema real como procesos y archivos.
Adems, los modelos sirven a tres propsitos en la seguridad informtica:

1.

Proveer un sistema que ayude a comprender los diferentes conceptos. Los

modelos diseados para este propsito usan diagramas, analogas, cartas. Un
ejemplo es la matriz de acceso.

2.

Proveer una representacin de una poltica general de seguridad formal

clara. Un ejemplo es el modelo Bell-LaPadula.

3.

Expresar la poltica exigida por un sistema de cmputo especfico.

Luego, para que las polticas de seguridad logren abrirse espacio al interior de una
organizacin deben integrarse a las estrategias del negocio, a su misin y visin,
con el propsito de que los que toman las decisiones reconozcan su importancia e
incidencias en las proyecciones y utilidades de la compaa. De igual forma, las
polticas de seguridad deben ir acompaadas de una visin de negocio que
promueva actividades que involucren a las personas en su diario hacer, donde se
identifiquen las necesidades y acciones que materializan las polticas.

En este contexto, el entender la organizacin, sus elementos culturales, es decir,

la forma en que acta la gente cuando nadie le dice qu hacer, estableciendo la
manera en que los miembros de la empresa deben conducirse, y los
comportamientos, los cuales depender de su motivacin, caractersticas
personales y del ambiente que lo rodea, nos deben llevar a reconocer claramente
las normas de seguridad que tendrn que privar en ese sitio de seguridad
necesarias y suficientes que aseguren confiabilidad en las operaciones y
funcionalidad de la compaa.