POLITICAS DE SEGURIDAD INFORMATICA

Un mundo donde la tecnología y sistemas de información han invadido todo lo que conocemos es
necesario que entre todo ese “tumulto de cables” establezcamos políticas para la seguridad de nuestra
información.

Se deben tener instrucciones claras y definitivas que ayuden a garantizar la seguridad de la información de
una empresa. Algunos de los beneficios que se tienen al implementar la tecnología en una empresa son:

 Mayor productividad para el empleado.

 Reducción de costos.
 Integración de los procesos de negocio.

Hoy en día los servicios que las empresas brindan son amenazados por hackers, crackers los cuales buscan
penetrar los sistemas de seguridad para el robo de información; el deterioro de ésta puede representar
millones de dólares en pérdidas en el mundo de los negocios. Las vulnerabilidades en los sistemas de
información pueden traer graves problemas. Los elementos que la seguridad de la información busca
proteger son:

 La información.
 Los equipos que lo soportan.
 Las personas que la utilizan.

La seguridad de la información contiene 3 principios:

1. Integridad.- Garantiza que la información sea integra.

2. Confidencialidad.- Acceso a la información de solo la persona autorizada.
3. Disponibilidad.- La información debe estar disponible.

Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el manejo de la
información de forma segura. También se debe tener en cuenta cuáles son los tipos de amenazas más
comunes a las cuales están expuestas las empresas hoy en día como vienen a ser los siguientes:

Suplantación

 Falsificar mensajes de correo electrónico

 Reproducir paquetes de autenticación

Alteración

 Alterar datos durante la transmisión

 Cambiar datos en archivos

Repudio

 Alterar datos durante la transmisión

 Cambiar datos en archivos

Divulgación de Información

 Exponer la información en mensajes de error

 Exponer el código de los sitios Web

Denegación de Servicio

 Inundar una red con paquetes de sincronización

 Inundar una red con paquetes ICMP falsificados
 Elevación de Privilegios

 Explotar la saturación de un búfer para obtener privilegios en el sistema

 Obtener privilegios de administrador de forma ilegítima

Áreas de Normalización de las Políticas de Seguridad.

 Tecnológica.- Se refiere a los esfuerzos que se deben realizar para el buen funcionamiento de la
plataforma de hardware, software y telecomunicaciones.

 Humana.- Indica que tanto los proveedores, clientes, empleados etc. Tienen una cultura
organizacional y cómo se integran en sus actividades diarias aspectos como la ética, la
responsabilidad, capacitación y mejoramiento continuo.

Elaboración de la Política.
Para la elaboración de una política de seguridad de información es importante tener en cuenta lo siguiente:

1. Exigencias de la Política .- Se debe considera lo siguiente:

 Integrar el comité de seguridad responsable de definir la política (equipo

multidisciplinario).
 Elaborar el documento final.
 Hacer oficial la política una vez que se tenga definida.

2. Etapas de la producción de la política.- Se debe conocer cómo se estructura la organización y

como son dirigidos sus procesos. El trabajo de producción se compone por diversas etapas:

a. Objetivos y ámbito.
b. Entrevista.
c. Investigación y análisis de documentos.
d. Reunión de política.
e. Glosario de la política.
f. Responsabilidades y penalidades.

Documentos de una política de seguridad:

Un modelo propuesto según la norma ISO 17799 la cual recomienda la aplicación de estándares
encaminados a la seguridad informática plantea tres grandes secciones:

 Las directrices: son un conjunto de reglas generales de nivel estratégico donde se expresan los
valores de la seguridad de la organización.
 Las normas: son un conjunto de reglas generales y específicas de la seguridad de la
información.
 Los procedimientos e instrucciones de trabajo: son un conjunto de orientaciones para
realizar las actividades operativas, que representa las relaciones interpersonales e ínter
departamentales y sus respectivas etapas de trabajo para su implementación y mantenimiento
de la seguridad de la información.

Acompañamiento de una política:

Una política de seguridad para que sea efectiva, necesita contar con elementos indispensables que apoyen
este proceso.

 Seguridad física: Acceso físico, centro de datos.

 Seguridad de la red corporativa: Configuración de los SO, acceso lógico y remoto, Internet,
desarrollo de aplicaciones, etc.
 Seguridad de usuarios: composiciones de claves, seguridad en estaciones de trabajo.
  Seguridad de datos: Criptografía, copias de seguridad y autenticación, antivirus, plan de
contingencia.
 Auditoria de seguridad: Análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y
auditorias.
 Aspectos legales: Contratos y acuerdos comerciales, leyes, reglamentación.

Conclusiones:

 las políticas de seguridad deben ser claras, concisas y efectivas, enfocadas a la forma de hacer
negocios de la empresa.
 Es responsabilidad de los gerentes de las empresas liderar estos proyectos que permitan entrar
a una economía soportada en un mundo digital.