Universidad Autnoma de Nuevo

Len
Facultad de Ingeniera Mecnica y Elctrica

Seguridad de la Informacin

Captulo 1. Polticas, planes y procedimientos

Ing. Jos Lus Torres Garza

Alumno: Matrcula:
Leticia Isabel Vzquez Mendoza 1652343

Hora: V1

Captulo 1. Polticas, planes y procedimientos

Polticas de Seguridad
Las polticas de seguridad informtica (PSI) surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y
servicios crticos que permiten a la compaa desarrollarse y mantenerse en
su sector de negocios.

Definicin de Poltica
La poltica de seguridad es un conjunto de leyes, reglas y prcticas que
regulan la manera de dirigir, proteger y distribuir recursos en una
organizacin para llevar a cabo los objetivos de seguridad informtica
dentro de la misma.

Las polticas de seguridad definen lo que est permitido y lo que est

prohibido, permiten definir los procedimientos y herramientas necesarias,
expresan el consenso de los dueos y permiten adoptar una buena
actitud dentro de la organizacin.

Objetivo de una poltica de seguridad

El objetivo de una poltica de seguridad informtica es la de implantar
una serie de leyes, normas, estndares y prcticas que garanticen la
seguridad, confidencialidad y disponibilidad de la informacin, y a su vez
puedan ser entendidas y ejecutadas por todos aquellos miembros de la
organizacin a las que van dirigidos.

Postura
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), la confianza es el
principio bsico que rige el desarrollo de polticas. Lo primero es determinar
quin tiene privilegios, y hay que usar el principio del mnimo privilegio
posible.

Beneficios
Las polticas de seguridad informtica muchas veces ayudan a tomar
decisiones sobre otros tipos de poltica (propiedad intelectual, destruccin
de la informacin, etc.). Tambin son tiles al tomas decisiones sobre
adquisiciones porque algunos equipos o programas no sern aceptables en
trminos de las polticas mientras que otras la sustentaran.

Proceso del Diseo de Polticas

De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que
especificar el alcance de las polticas y los objetos de las mismas,
consistentemente con la misin de seguridad previamente establecida.
Algunas polticas necesarias
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que
considerar las siguientes polticas necesarias:

Polticas de uso aceptable

Determina que se puede hacer con los recursos de cmputo (equipo y
datos) de la organizacin. Tambin determinan lo que no se puede hacer
con esos recursos. Indica l responsabilidad de los usuarios en la
proteccin de la informacin que manejan y en qu condiciones puede
afectar o leer datos que no les pertenezca.

Polticas de cuentas de usuario

Determina el procedimiento que hay que seguir para adquirir privilegios
de usuarios en uno o ms sistemas de informacin y la vigencia de estos
derechos.
Adems quien tiene la autoridad de asignar estos privilegios y quienes
no podran recibir esos privilegios por causas legales. Debe exhibir
explcitamente los deberes y derechos de los usuarios. Se explicara
cmo y cundo se deshabilitaran las cuentas de usuarios y que se har
con la informacin que contenga. Debe especificar claramente los
detalles de los procedimientos de identificacin y autenticacin.

Restricciones a las polticas

La principal fuente de restricciones es la prdida de productividad. Es
inevitable que la implementacin de polticas de seguridad informtica
distraiga recursos humanos e informticos que se podan emplear para
otros fines.
Otra fuente de restricciones son la legislacin y los derechos de los
empleados y de los clientes. Cada pas tiene su propia cultura, as como
cada organizacin tiene la propia. Las polticas deben ajustarse al entorno
cultural en el que estn inmersas y ciertamente no pueden violar la
legislacin vigente localmente.

Modelos de Seguridad
Un modelo de seguridad es la presentacin formal de una poltica de
seguridad. El modelo debe identificar el conjunto de reglas y prcticas que
regulan cmo un sistema maneja, protege y distribuye informacin
delicada (Lpez Barrientos & Quezada Reyes, 2006).

De acuerdo a (Lpez Barrientos & Quezada Reyes, 2006), los modelos se

clasifican en:

1. Modelo abstracto: se ocupa de las entidades abstractas como sujetos

y objetos. El modelo Bell LaPadula es un ejemplo de este tipo.
2. Modelo concreto: traduce las entidades abstractas en entidades de
un sistema real como procesos y archivos.
Adems, los modelos sirven a tres propsitos en la seguridad informtica:

1. Proveer un sistema que ayude a comprender los diferentes

conceptos. Los modelos diseados para este propsito usan
diagramas, analogas, cartas. Un ejemplo es la matriz de acceso.
2. Proveer una representacin de una poltica general de seguridad
formal clara. Un ejemplo es el modelo Bell-LaPadula.
3. Expresar la poltica exigida por un sistema de cmputo especfico.

Procedimientos y Planes de Contingencia

Definicin

Un plan de contingencia o plan de recuperacin en caso de desastre es una

gua para la restauracin rpida y organizada de las operaciones de
cmputo despus de una suspensin. Especfica quin hace qu y cmo.

Los objetivos de dicho plan son los de restablecer, lo ms pronto posible, el

procesamiento de aplicaciones crticas (aquellas necesarias para la
recuperacin) para posteriormente restaurar totalmente el procesamiento
normal.

Un plan de contingencia es un plan escrito en el que se detallan acciones,

procedimientos y recursos que deben usarse durante un desastre que cause
destruccin parcial o total de los servicios de computacin. En este plan se
define qu tareas son crticas, quin es el responsable de todos los
aspectos del proceso de recuperacin, y cmo va a funcionar la
organizacin mientras los sistemas estn siendo reparados o transportados
a un nuevo local.

Utilidad del Plan de contingencian

Permite controlar la situacin y realizar las actividades necesarias sin

afectar a la informacin y para ello se debe de tomar en cuenta lo
siguiente:

Disminuir los efectos de esos desafortunados desastres y permitir

una respuesta rpida, una transferencia del procesamiento crtico a
otras instalaciones, y una eventual recuperacin.
Proporcionar a los directivos de una empresa una excelente
oportunidad para aliviar o minimizar problemas potenciales que, en
un momento dado, podran interrumpir el procesamiento de datos.
Debern tener sentido, ser legibles e indicar todos los aspectos de la
funcin de la cuestin.
El nivel de detalle para el plan de contingencia, para respaldar la
informacin y para los procedimientos de recuperacin, depender de
la importancia de la aplicacin y del tipo de informacin.
 Se desarrollar un plan de contingencia propio para cada empresa y
as cubrir sus necesidades especficas.

Elementos

El plan de contingencia, es un plan de emergencia y recuperacin porque

incorpora seguridad fsica al centro de cmputo, es decir, es un plan formal
que describe los pasos a seguir en el caso de presentarse alguna situacin
de emergencia, con la finalidad de reducir el impacto que pueda provocar el
desastre, y posteriormente restablecer las operaciones del procesamiento
electrnico de datos en forma tan inmediata como sea posible.

Por lo tanto, el diseo e implementacin de un plan de esta naturaleza debe

contemplar:

Los riesgos y los porcentajes de factibilidad de stos, a los que est

expuesta la organizacin.
La asignacin de responsabilidades al personal, tanto en las
actividades que se realizarn durante la emergencia como en las de
preparacin y las de recuperacin.
La identificacin de aplicaciones (sistemas automatizados) de mayor
importancia dentro de la produccin de datos, para darles la
seguridad necesaria.
La especificacin de alternativas de respaldo.
La definicin de procedimientos y polticas a seguir durante el
momento de la crisis.
La definicin de medidas y el tiempo previsto para la recuperacin.
La integracin de prcticas de mantenimiento, entrenamiento en el
plan y pruebas del mismo.

Quin debe escribir el Plan de Contingencia?

Una vez que se ha tomado la decisin de hacer un plan de contingencia, el

Director de Sistemas junto con el cuerpo directivo de la empresa
determinarn que es lo que ms le interesa a la organizacin y as tomar la
decisin si se contrata a un consultor externo para hacerlo o desarrollarlo
en casa. Ambas opciones tienen pros y contras.

El desarrollo de un plan de contingencia estn complicado como

cualquier sistema importante, debido a que en ambos se debe de
seguir una serie de pasos ordenadamente para obtener un buen
resultado.
Los consultores poseen conocimientos especializados que pueden
facilitar el desarrollo ms rpido de un buen plan.

Metodologas de desarrollo de Planes de Contingencia

A continuacin se describen tres metodologas de desarrollo de Planes de
Contingencia para Sistemas de Informacin (Rodrguez, 1995): la de William
Toigo, la de Hewlett-Packard y una Universal llamada as por sus
caractersticas.

Metodologa de William Toigo

Metodologa de Hewlett-Packard
Metodologa Universal
Metodologa para el Desarrollo de Planes de Atencin de
Emergencias