Electivo de especialidad II

Electivo de especialidad II
NORMA IRAM-Error: Reference source not found
Tema a tratar: Políticas de seguridad

Trabajo de Electivo de especialidad II

Profesor: Miguel Palma Esquivel.
Alumnos:
Franco Truffa Costa.
Matías Vargas Lobos.

Martes 21 de Septiembre de 2010. Santiago/Chile.

Alumnos: Carlos González Rivas,

Truffa F. / Vargas M. Andrea Vergara Torres.
“ Trabajo de seminario para optar al título de
Profesor: Rodrigo Valenzuela Castro
Fecha: 01 de enero de 2005
Ingeniero en Informática”
 Electivo de especialidad II

Índice N de página

1. Introducción...........................................................003
a. ¿Qué es la seguridad de la información?............................003
b. ¿Por que es necesaria la seguridad de la información?..............004
c. ¿Cómo establecer los requerimientos de seguridad?..................005
d. Evaluación de los riesgos en materia de seguridad..................006
e. Selección de controles.............................................007
f. Punto de partida para la seguridad de la información...............008
g. Factores críticos de éxito.........................................009
h. Desarrollo de lineamientos propios.................................010
2. Políticas de seguridad.................................................011
a. Introducción.......................................................011
b. Definición política de seguridad...................................014
c. Seguridad informática..............................................015
d. Objetivo de las políticas..........................................016
e. Políticas de seguridad de la información (Norma ISO)...............017
f. Revisión y evaluación..............................................018
g. Análisis de las razones por las cuales no se implementan políticas de
seguridad..........................................................019
h. Responsabilidades..................................................020
i. Beneficios de las políticas........................................021
3. Anexos
a. Norma ISO 17799....................................................022
b. Directrices del estándar...........................................023
c. Certificación......................................................024

Truffa F. / Vargas M.
.
 Electivo de especialidad II

1. Introducción

A. ¿Qué es la seguridad de la información?

La información es un recurso que, como el resto de los importantes activos comerciales, tiene
valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de
la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad
comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades.

La información puede existir en muchas formas. Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada
en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la
información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en
forma adecuada.

La seguridad de la información se define aquí como la preservación de las siguientes

características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas

autorizadas a tener acceso a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a
los recursos relacionados con ella toda vez que se requiera.

La seguridad de la información se logra implementando un conjunto adecuado de controles, que

abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.

Se deben establecer estos controles para garantizar que se logren los objetivos específicos de
seguridad de la organización.

Truffa F. / Vargas M. Página 3 de 24

 Electivo de especialidad II

B. ¿Por que es necesaria la seguridad de la información?

La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes
recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden
ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el
cumplimiento de las leyes y la imagen comercial.

Las organizaciones y sus redes y sistemas de información, se enfrentan en forma creciente con
amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por
computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los
ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más
comunes, ambiciosos y crecientemente sofisticados.

La dependencia de las organizaciones respecto de los sistemas y servicios de información denota

que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las
redes públicas y privadas y el uso compartido de los recursos de información incrementa la
dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha
debilitado la eficacia del control técnico centralizado.

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede
lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos
adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa
planificación y atención a todos los detalles. La administración de la seguridad de la información,
exige, como mínimo, la participación de todos los empleados de la organización. También puede
requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el
asesoramiento experto de organizaciones externas. Los controles de seguridad de la información
resultan considerablemente más económicos y eficaces si se incorporan en la etapa de
especificación de requerimientos y diseño.

Truffa F. / Vargas M. Página 4 de 24

 Electivo de especialidad II

C. ¿Cómo establecer los requerimientos de seguridad?

Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres
recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la
evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y
probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y
contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los
prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el

procesamiento de la información, que ha desarrollado la organización para respaldar sus
operaciones.

Truffa F. / Vargas M. Página 5 de 24

 Electivo de especialidad II

D. Evaluación de los riesgos en materia de seguridad

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos
de seguridad. Las erogaciones derivadas de la satisfacción de las necesidades de control deben
ser equilibradas con respecto al impacto potencial de las fallas de seguridad en los negocios. Las
técnicas de evaluación de riesgos pueden aplicarse a toda la organización, o sólo a partes de la
misma, así como a los sistemas de información individuales, componentes de sistemas o servicios
específicos cuando esto resulte factible, viable y provechoso.

La evaluación de riesgos es una consideración sistemática de los siguientes puntos;

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las
potenciales consecuencias por una pérdida de la confidencialidad, integridad o
disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar ya determinar las prioridades y acciones de
gestión adecuadas para la administración de los riesgos concernientes a seguridad de la
información, y para la implementación de los controles seleccionados a fin de brindar protección
contra dichos riesgos. Puede resultar necesario que el proceso de evaluación de riesgos y
selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de
la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles
implementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;

b) considerar nuevas amenazas y vulnerabilidades;
c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados
de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a
aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de
priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto
de abordar riesgos específicos.

Truffa F. / Vargas M. Página 6 de 24

 Electivo de especialidad II

E. Selección de controles

Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse

controles para garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles
pueden seleccionarse sobre la base de este documento, de otros estándares, o pueden diseñarse
nuevos controles para satisfacer necesidades específicas según corresponda. Existen diversos
modos de administrar riesgos y este documento brinda ejemplos de estrategias generales. No
obstante, es necesario reconocer que algunos controles no son aplicables a todos los sistemas o
ambientes de información, y podrían no resultar viables en todas las organizaciones. Como
ejemplo, el punto 8.1.4 describe cómo pueden separarse las tareas para evitar fraudes y errores.
Podría no resultar posible para las organizaciones más pequeñas separar todas las tareas,
pudiendo resultar necesarias otras formas de lograr el mismo objetivo de control.

Los controles deben seleccionarse teniendo en cuenta el costo de implementación en relación con
los riesgos a reducir y las pérdidas que podrían producirse de tener lugar una violación de la
seguridad. También deben tenerse en cuenta los factores no monetarios, como el daño en la
reputación.

Algunos controles de este documento pueden considerarse como principios rectores para la
administración de la seguridad de la información, aplicables a la mayoría de las organizaciones. Se
explican con mayor detalle en el siguiente párrafo, bajo el título de "Punto de partida para la
seguridad de la información".

Truffa F. / Vargas M. Página 7 de 24

 Electivo de especialidad II

F. Punto de partida para la seguridad de la información

Algunos controles pueden considerarse como principios rectores que proporcionan un buen punto
de partida para la implementación de la seguridad de la información. Están basados en requisitos
legales fundamentales, o bien se consideran como práctica recomendada de uso frecuente
concerniente a la seguridad de la información.

Los controles que se consideran esenciales para una organización, desde el punto de vista legal
comprenden:

a) protección de datos y confidencialidad de la información personal;

b) protección de registros y documentos de la organización ;
c) derechos de propiedad intelectual ;

Los controles considerados como práctica recomendada de uso frecuente en la implementación de

la seguridad de la información comprenden:

a) documentación de la política de seguridad de la información;

b) asignación de responsabilidades en materia de seguridad de la información;
c) instrucción y entrenamiento en materia de seguridad de la información ;
d) comunicación de incidentes relativos a la seguridad;
e) administración de la continuidad de la empresa;

Estos controles son aplicables a la mayoría de las organizaciones y en la mayoría de los

ambientes.

Se debe observar que aunque todos los controles mencionados en este documento son
importantes, la relevancia de cada uno de ellos debe ser determinada teniendo en cuenta los
riesgos específicos que afronta la organización. Por ello, si bien el enfoque delineado
precedentemente se considera un buen punto de partida, éste no pretende reemplazar la selección
de controles que se realiza sobre la base de una evaluación de riesgos.

Truffa F. / Vargas M. Página 8 de 24

 Electivo de especialidad II

G. Factores críticos de éxito

La experiencia ha demostrado que los siguientes factores, a menudo resultan críticos para la
implementación exitosa de la seguridad de la información, dentro de una organización:

a) política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa.

b) una estrategia de implementación de seguridad que sea consecuente con la cultura

organizacional.

c) apoyo y compromiso manifiestos por parte de la gerencia;

d) un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la

administración de los mismos;

e) comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

f) distribución de guías sobre políticas y estándares de seguridad de la información a todos

los empleados y contratistas;

g) instrucción y entrenamiento adecuados;

h) un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de

la gestión de la seguridad de la información y para brindar sugerencias tendientes a
mejorarlo.

Truffa F. / Vargas M. Página 9 de 24

 Electivo de especialidad II

H .Desarrollo de lineamientos propios

Este código de práctica puede ser considerado como un punto de partida para el desarrollo de
lineamientos específicos, aplicables a cada organización. No todos los lineamientos y controles de
este código de práctica resultarán aplicables. Más aún, es probable que deban agregarse controles
que no están incluidos en este documento. Ante esta situación puede resultar útil retener
referencias cruzadas que faciliten la realización de pruebas de cumplimiento por parte de auditores
y socios.

Truffa F. / Vargas M. Página 10 de 24

 Electivo de especialidad II

2. Políticas de seguridad

A. Introducción

"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo
sucede, nos lamentamos de no haber invertido más... Más vale dedicar recursos a la seguridad
que convertirse en una estadística."

Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el costo de la
seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre
perder un negocio o arriesgarse a ser hackeadas.

La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy

acotado les impediría hacer más negocios. "Si un Hacker quiere gastar cien mil dólares en equipos
para descifrar una encriptación, lo puede hacer porque es imposible de controlarlo. Y en tratar de
evitarlo se podrían gastar millones de dólares".

La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a
plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de
vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un
gran avance con respecto a unos años atrás.

Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado

documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas
tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede
ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.

En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una herramienta
organizacional para concientizar a cada uno de los miembros de una organización sobre la
importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía
desarrollarse y mantenerse en su sector de negocios.

Truffa F. / Vargas M. Página 11 de 24

 Electivo de especialidad II

De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto
compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las
organizaciones modernas.

Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo
que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible.
Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para
lograr (si así se pretendiese) un documento con estas características.

El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como

muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún,
de entender.

Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad
Informática. Extensos manuales explicando como debe protegerse una computadora o una red con
un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente
remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo.

He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y
ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del
avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.

En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero
cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de
procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el
resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy
difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y
procedimientos por un lado y la parte física por otra." (1)

Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:

Decisión: elección de un curso de acción determinado entre varios posibles.

Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos.
Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.

Estrategia: conjunto de decisiones que se toman para determinar políticas, metas y programas.

Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en
distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.

Meta: objetivo cuantificado a valores predeterminados.

Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad

determinada.

Truffa F. / Vargas M. Página 12 de 24

 Electivo de especialidad II

Norma: forma en que realiza un procedimiento o proceso.

Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para

coordinar y controlar operaciones.

Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de

apreciaciones subjetivas.

Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y

conocidos que se prevé influirán en los acontecimientos futuros.

Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una
acción tomada para hacer un hecho conforme a un plan. (2)

Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos
desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia,
emergencia, urgencia, apuro.

Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de
un sistema, que indica en términos generales que está y que no está permitido en el área de
seguridad durante la operación general del sistema." (3)

La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que
cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen
las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de
seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que
la seguridad comienza y termina con personas." (5) y debe:

• Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido
proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
• Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para
proteger un lápiz.
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades,
donde se conocen las alternativas ante circunstancias repetidas.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya

mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y
Utilidad.

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión

legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los
que deseamos proteger y el porqué de ello.

Truffa F. / Vargas M. Página 13 de 24

 Electivo de especialidad II

B. Definición

Una política de seguridad en el ámbito de la criptografía de clave púbica o PKI es un plan de

acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto
nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un
solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país
entero.

La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia

con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el
punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de
seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de
forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser
también un documento único o inserto en un manual de seguridad. Se debe designar un propietario
que será el responsable de su mantenimiento y su actualización a cualquier cambio que se
requiera.

Truffa F. / Vargas M. Página 14 de 24

 Electivo de especialidad II

C. Seguridad informática:

La seguridad informática es el área de la informática que se enfoca en la protección de la

infraestructura computacional y todo lo relacionado con esta (incluyendo la información). Para ello
existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas
para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad de la
información es una subárea de la seguridad informática que se enfoca exclusivamente en la
protección de la información, lo que comprende software, bases de datos, metadatos, archivos y
todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras
personas. Este tipo de información se conoce como información privilegiada o confidencial.

La seguridad informática está concebida para proteger los activos informáticos de la empresa,
entre los que se encuentran:

• La información
Se ha convertido en uno de los elementos más importantes y valiosos dentro de una
organización. La seguridad informática debe ser administrada según los criterios establecidos
por los administradores y supervisores, evitando que usuarios externos y no autorizandos
puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la
información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada,
ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad
informática en esta área es la de asegurar el acceso a la información en el momento oportuno,
incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de
accidentes, atentados o desastres.

• La infraestructura computacional
Una parte fundamental para el almacenamiento y gestión de la información, asi como para el
funcionamiento mismo de la organización. La función de la seguridad informática en esta área
es velar que los equipos funcionen adecuadamente y preveer en caso de falla planesde robos,
incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor
que atente contra la infraestructura informática.

• Los usuarios
Son las personas que utilizan la estructura tecnológica, zorra de comunicaciones y que
gestionan la información. La seguridad informática debe establecer normas que minimizen los
riesgos a la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de
seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la
organización en general.

Truffa F. / Vargas M. Página 15 de 24

 Electivo de especialidad II

D. Objetivo de las políticas

Proporcionar dirección y apoyo gerencial para brindar seguridad de la información

El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con
respecto a la seguridad de la información, mediante la formulación y mantenimiento de una política
de seguridad de la información a través de toda la organización.

Truffa F. / Vargas M. Página 16 de 24

 Electivo de especialidad II

E. Documentación de la política de seguridad de la información

Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la
política de seguridad y comunicarlo a todos los empleados, según corresponda. Éste debe poner
de manifiesto su compromiso y establecer el enfoque de la organización con respecto a la gestión
de la seguridad de la información. Como mínimo, deben incluirse las siguientes pautas:

a) definición de la seguridad de la información, sus objetivos y alcance generales y la

importancia de la seguridad como un mecanismo que permite la distribución de la
información (ver introducción);
b) una declaración del propósito de los responsables del nivel gerencial, apoyando los
objetivos y principios de la seguridad de la información;
c) una breve explicación de las políticas, principios, normas y requisitos de cumplimiento en
materia de seguridad, que son especialmente importantes para la organización, por
ejemplo:
1) cumplimiento de requisitos legales y contractuales;
2) requisitos de instrucción en materia de seguridad;
3) prevención y detección de virus y demás software malicioso;
4) administración de la continuidad comercial;
5) consecuencias de las violaciones a la política de seguridad;

d) una definición de las responsabilidades generales y específicas en materia de gestión de la

seguridad de la información, incluyendo la comunicación de los incidentes relativos a la
seguridad;
e) referencias a documentos que puedan respaldar la política, por ej. , políticas y
procedimientos de seguridad más detallados para sistemas de información específicos o
normas de seguridad que deben cumplir los usuarios.

Esta política debe ser comunicada a todos los usuarios de la organización de manera pertinente,
accesible y comprensible.

Truffa F. / Vargas M. Página 17 de 24

 Electivo de especialidad II

F. Revision y evaluación

La política debe tener un propietario que sea responsable del mantenimiento y revisión de la
misma de acuerdo con un proceso definido. Ese proceso debe garantizar que se lleve acabo una
revisión en respuesta a cualquier cambio que pueda afectar la base original de evaluación de
riesgos, por ej., incidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la
infraestructura técnica o de la organización. También deben programarse revisiones periódicas de
lo siguiente:

a) la eficacia de la política, demostrada por la naturaleza, número e impacto de los incidentes

de seguridad registrados;
b) el costo e impacto de los controles en la eficiencia del negocio;
c) los efectos de los cambios en la tecnología.

Truffa F. / Vargas M. Página 18 de 24

 Electivo de especialidad II

G. Análisis de las razones por las cuales no se implementan políticas de seguridad

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices
de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas
alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de
la necesidad y beneficios de buenas políticas de seguridad informática.

Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de

mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a
los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de
Sistemas".

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los
encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes
de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación
con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del
negocio, a su misión y visión, con el propósito de que quienes toman las decisiones reconozcan su
importancia e incidencias en las proyecciones y utilidades de la empresa.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la
seguridad de la empresa, ellas deben responder a intereses y necesidades empresariales basadas
en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus
recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con la empresa.

Truffa F. / Vargas M. Página 19 de 24

 Electivo de especialidad II

H. Responsabilidades

Es responsabilidad del supervisor de Seguridad Informática, desarrollar, someter a revisión y

divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas
internas) de los Procedimientos de Seguridad. Asimismo, es responsabilidad del supervisor
inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.

Truffa F. / Vargas M. Página 20 de 24

 Electivo de especialidad II

I. Beneficios de las políticas

Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas
son inmediatos, ya que SASF trabajará sobre una plataforma confiable, que se refleja en los
siguientes puntos:

• Aumento de la productividad.

• Aumento de la motivación del personal.

• Compromiso con la misión de la compañía.

• Mejora de las relaciones laborales.

• Ayuda a formar equipos competentes.

• Mejora de los climas laborales para los Recursos Humanos.

Truffa F. / Vargas M. Página 21 de 24

 Electivo de especialidad II

3. Anexos

A. Norma ISO 17799

ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la
información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization
for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de
Information technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisión y actualización de los contenidos del estándar, se
publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar
ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez
en 1995.

En España existe la publicación nacional UNE-ISO/IEC 17799 que fue elaborada por el comité
técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la
Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC
17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que
esté disponible en la segunda mitad del año 2006.

En Bolivia, la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde
agosto de 2004, estandarizando de esta forma los diversos proyectos y metodologías en este
campo, respondiendo a la necesidad de seguridad por el uso intensivo de internet y redes de datos
institucionales. La supervisión de su cumplimiento está a cargo de la Oficina Nacional de Gobierno
Electrónico e Informática - ONGEI ([1]).

En Chile, se empleó la ISO/IEC 17799:2005 para crear una norma que establece las
características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los
documento electrónicos de los órganos de la Administración del Estado de la República de Chile, y
cuya aplicación se recomienda para los mismos fines, denominado Decreto Supremo No. 83,
"NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO
ELECTRÓNICO".

El estándar ISO/IEC 17799 tiene equivalentes directos en muchos otros países. La traducción y
publicación local suele demorar varios meses hasta que el principal estándar ISO/IEC es revisado
y liberado, pero el estándar nacional logra así asegurar que el contenido haya sido precisamente
traducido y refleje completa y fehacientemente el estándar ISO/IEC 17799. A continuación se
muestra una tabla con los estándares equivalentes de diversos países:

Truffa F. / Vargas M. Página 22 de 24

 Electivo de especialidad II

Directrices del estándar

ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la

seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener
sistemas de gestión de la seguridad de la información. La seguridad de la información se define en
el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la información y sus
métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2005 del estándar incluye las siguientes once secciones principales:

1. Política de Seguridad de la Información.

2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de
la información. Para cada uno de los controles se indica asimismo una guía para su implantación.
El número total de controles suma 133 entre todas las secciones aunque cada organización debe
considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.

Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración

27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser
renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007.

Truffa F. / Vargas M. Página 23 de 24

 Electivo de especialidad II

Certificación

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios
que puedan permitir el establecimiento de un sistema de certificación adecuado para este
documento.

La norma ISO/IEC 27001 (Information technology - Security techniques - Information security

management systems - Requirements) sí es certificable y especifica los requisitos necesarios para
establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su
origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y
elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la
Información implantados en las organizaciones y por medio de un proceso formal de auditoría
realizado por un tercero.

Truffa F. / Vargas M. Página 24 de 24