UNIDAD 3 – La política de seguridad

Introducción
En la actualidad la ausencia de políticas de seguridad en las empresas, puede
ocasionar efectos catastróficos en los negocios de éstas. Escenarios como el que se
presenta a continuación, ocurrido a la Empresa Ebay en diciembre del 2002, son un
claro ejemplo de situaciones en las que se muestra la enorme necesidad de contar con
estas políticas y mantenerlas al día. La presente unidad nos permitirá tener una idea
precisa de los pasos requeridos para su creación e implementación.

FRAUDE
eBay denuncia el intento de robo de información de 55 millones de
clientes

La empresa eBay se dio cuenta que intrusos enviaron fraudulentamente correos a sus 55
millones de usuarios para solicitarles que confirmaran sus datos a través de un portal o
Noticias del sitio de eBay, igualmente falso, para una “comprobación técnica” por ese motivo, pocos
mundo clientes de eBay sospecharon que se trataba de un fraude. La nota señala textualmente:

“Estas solicitudes a menudo contienen enlaces a páginas de Web en las que se les pedirá
que de su información personal... los empleados de eBay nunca le pedirán su
contraseña", aseguran.

“El mensaje fraudulento lleva como título "Error de su cuenta de Ebay" y comienza:
"Distinguido miembro de Ebay (escrito así). Nosotros en Ebay sentimos informarle que
estamos teniendo problemas con la información de cobro de su cuenta".

Fuente consultada: http://www.el-

mundo.es/navegante/2002/12/11/seguridad/1039605160.html

Objetivos

Conocer los conceptos básicos de las políticas de

seguridad, para permitir sentar las bases necesarias para
su correcta elaboración.
Identificar el ámbito humano y tecnológico en el que se
aplicará dichas políticas, y ayudar de esta manera a
abarcar todos los puntos necesarios para la seguridad de
la empresa.
Comprender las exigencias básicas y etapas de
producción de una política de seguridad, para poder
partir de una base mucho más sólida para la misma.
Comprender la importancia de escuchar las
preocupaciones básicas de la administración de la
empresa, con el fin de plasmarlas de forma adecuada en
Objetivos el documento.
Definir las directrices estratégicas que permitan ilustrar
los valores que se desean plasmar en las políticas de
seguridad.
Conocer las ventajas de la aplicación de las políticas de
seguridad para permitir colaborar en la selección de
 productos y desarrollo de procesos.

Contenido de la unidad:
Conceptos básicos y elaboración de la política
Documentos de la política de seguridad
Implantación de la política de seguridad
Capítulo 1 – Conceptos básicos y elaboración de la política

1.1 Introducción
En este capítulo conoceremos en qué consiste una política de seguridad de la
información. Como vimos en la unidad anterior, el análisis de riesgos permite que sean
identificados los puntos críticos en una gestión de procesos con el objetivo de
implementar recomendaciones de seguridad en un ambiente tecnológico y humano. El
siguiente paso es establecer los valores y normas que deben ser seguidos por todos
aquellos involucrados en el uso de la información y sus diversos activos.

La política es elaborada considerando el entorno en que se está trabajando como la

tecnología de la seguridad de la información, para que los criterios establecidos estén
de acuerdo con las prácticas internas más recomendadas de la organización, con las
prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor
con criterios actualizados y reconocidos en todo el mundo.

La noticia siguiente nos da un ejemplo de cómo la mayoría de las empresas en

Latinoamérica aún no cuenta con una política de seguridad formal e implantada en la
organización. Esto implica un riesgo grave ante los posibles ataques que se pueden
sufrir el día de hoy en los sistemas de manejo de información de las empresas.

Falta mucho para que las empresas chilenas incorporen políticas de

seguridad informática

En una entrevista a Cristóbal Soto, Consultor de Seguridad de NEOSECURE de

la cual presentamos algunas de sus respuestas, se refiere a cómo están
preparadas las empresas chilenas para enfrentar la nueva oleada de ataques
Noticias del informáticos.
mundo
“La Ingeniería Social, que es una de las técnicas de hacking más antiguas de la
informática, permite penetrar hasta en los sistemas más difíciles, usando una
de las vulnerabilidades más graves y poco detectables: el factor humano”

Y en relación con las amenazas informáticas más frecuentes comenta :

“El phishing o las estafas bancarias y financieras por Internet es lo que más se
ha manifestado este año. Pero eso no significa que el resto de las amenazas se
hayan mitigado en la práctica. Los virus siguen siendo dañinos y las
vulnerabilidades se mantienen vigentes.

Señala también:
“ -Existe la opinión de que la principal amenaza para la seguridad en una
empresa pasa por los mismos empleados.”

Pero acota esta opinión al decir:

“ -Muchas veces sí, pero no necesariamente. Esto puede pasar más bien por un
inadecuado manejo de privilegios; por el ejemplo, si un empleado deja de
pertenecer a la empresa y no se actualiza el sistema de accesos para ingresar a
ciertos sistemas”

Y respecto de lo que es el tema del capítulo que estamos por empezar

“la política de seguridad” señala:
“…Hay un avance que es notorio en términos de conocimiento, pero el principal
logro se refiere a ver a la seguridad como un elemento operativo central. Lo
que deben hacer los niveles directivos de la compañía es fijar la política de
seguridad de la empresa, la que está sobre los controles tecnológicos”.

“ … en todo caso, pienso que la razón la ausencia de políticas de seguridad es

 que con frecuencia las empresas subestiman los riesgos informáticos. Un
catalizador surgiría si todas las empresas calcularan los costos y pérdidas
ocasionadas por no contar con políticas de seguridad”

Fuente consultada:
http://www.mundoenlinea.cl/noticia.php?noticia_id=375&categoria_id=1
1.2 Objetivos

Conocer los conceptos básicos para la generación de

políticas de seguridad de la empresa, para permitir que
estas mismas abarquen todos los aspectos necesarios
para su buena implantación.
Identificar las exigencias que deben ser cumplidas al
realizar una política de seguridad, incluyendo el concepto
de análisis de riesgos, aprendido con anterioridad
Objetivos
1.3 Conceptos básicos

Una política de seguridad es un conjunto de directrices, normas,

procedimientos e instrucciones que guía las actuaciones de trabajo y define
los criterios de seguridad para que sean adoptados a nivel local o institucional,
con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en
el ámbito humano como en el tecnológico.
A partir de sus principios, es posible hacer de la seguridad de la información un
esfuerzo común, en tanto que todos puedan contar con un arsenal informativo
documentado y normalizado, dedicado a la estandardización del método de
Conceptos clave operación de cada uno de los individuos involucrados en la gestión de la
seguridad de la información.

Conociendo esto, veamos con más profundidad los ámbitos de intervención de una
política de seguridad:

Áreas de normalización de la política de seguridad

Tecnológica
Hay quienes consideran que la seguridad de la
información es apenas un problema tecnológico.
Pero lo importante es definir los aspectos más
técnicos del buen funcionamiento de servidores,
estaciones de trabajo, acceso a Internet, etc. Para
eso, el apoyo de la Administración es fundamental,
pues sin ella el programa de seguridad quedaría sin
inversiones para la adquisición de los recursos
necesarios. Sin embargo, no se debe dejar de lado
las cuestiones relacionadas con la buena
conducta y la ética profesional de los usuarios.

Humana
Otras personas ven a la seguridad como un
problema únicamente humano. Es importante
definir primero la conducta considerada adecuada
para el tratamiento de la información y de los
recursos utilizados. Por lo tanto, sin el apoyo de la
Administración, el programa de seguridad no
consigue dirigir las acciones necesarias para
modificar la cultura de seguridad actual. El
resultado es un programa de seguridad sin el nivel
de cultura deseado y la falta de monitoreo más
apropiado al orientar empleados, proveedores,
clientes y socios. Sin embargo, no se debe dejar de
lado los temas tecnológicos y su sofisticación,
una vez que también son determinantes para la
implementación de soluciones de seguridad
adecuadas y eficientes.

Enseguida expondremos algunos ejemplos genéricos del porqué es necesario

considerar los dos aspectos, tecnológico y humano al momento de definir una política
de seguridad de la información:
 En la elaboración de una política de seguridad no podemos olvidar el lado humano, los
descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad
de la información si no son adecuadamente considerados dentro de la misma política.
Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password
constantemente y que ésta deba tener una complejidad adecuada para la información
Ejemplos manejada.
La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política
de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir
en materia de configuración y administración de la tecnología. Por ejemplo, establecer
que los servidores con información crítica de la empresa no deben prestar servicio de
estaciones de trabajo a los empleados.

1.4 Elaboración de la política

Para elaborar una política de seguridad de la información, es importante tomar en

cuenta las exigencias básicas y las etapas necesarias para su producción.

a) Exigencias de la política
b) Etapas de producción

Empecemos por revisar las siguientes exigencias.

Exigencias de la política

La política es elaborada tomando como base la cultura de la organización y el conocimiento

especializado de seguridad de los profesionales involucrados con su aplicación y
comprometimiento.
Es importante considerar que para la elaboración de una política de seguridad institucional se
debe:

Integrar el Comité de Seguridad responsable de definir la política.

Elaborar el documento final.
Hacer oficial la política una vez que se tenga definida.

Integrar el Comité de Seguridad

Formar un equipo multidisciplinario que
represente gran parte de los aspectos culturales
y técnicos de la organización y que se reúnan
periódicamente dentro de un cronograma
establecido por el Comité de Seguridad.
Este comité es formado por un grupo definido de
personas responsables por actividades referentes
a la creación y aprobación de nuevas normas de
seguridad en la organización.
En las reuniones se definen los criterios de
seguridad adoptados en cada área y el esfuerzo
común necesario para que la seguridad alcance
un nivel más elevado.
Se debe tener en mente que los equipos
involucrados necesitan tiempo libre para analizar
y escribir todas las normas discutidas durante las
reuniones.

Partes que integran el documento final

En este documento deben expresarse las
preocupaciones de la administración,
donde se establecen normas para la gestión
 de seguridad de la información, que
contengan:
La definición de la propia política,
Una declaración de la administración que
apoye los principios establecidos y una
explicación de las exigencias de
conformidad con relación a:
o legislación y cláusulas
contractuales;
o educación y formación en
seguridad de la información;
o prevención contra amenazas
(virus, caballos de Troya, hackers,
incendio, intemperies, etc.)
Debe contener también la atribución de las
responsabilidades de las personas
involucradas donde queden claros los roles
de cada uno, en la gestión de los procesos
y de la seguridad.

No olvidar de que toda documentación ya

existente sobre cómo realizar las tareas
debe ser analizada con relación a los
principios de seguridad de la información,
para aprovechar al máximo las prácticas
actuales, evaluar y agregar seguridad a esas
tareas.

Hacer oficial la política

La oficialización de una política tiene como
base la aprobación por parte de la
administración de la organización.
Debe ser publicada y comunicada de
manera adecuada para todos los
empleados, socios, terceros y clientes.

En virtud que las políticas son guías para orientar la acción de las personas que
intervienen en los procesos de la empresa, a continuación presentamos ejemplos que
ilustran cómo esas acciones pueden comprometer los fines de la política de
seguridad.

De nada nos sirve generar una política completa y correcta en todos los aspectos, si los
empleados de la compañía no la conocen o aplican.
Es importante también dejar muy claras las sanciones a las que pueden hacerse
acreedores los usuarios que no cumplan con las políticas de seguridad en la empresa,
Ejemplos tanto empleados como clientes de la misma.

Finalmente, para mejorar la comprensión de las exigencias de la política de seguridad,

proponemos las siguientes preguntas de reflexión:
 ¿Cuenta en la actualidad con un comité de seguridad en su empresa?¿Los empleados en
su organización están conscientes de la necesidad de una política y su aplicación en la
compañía? ¿Tiene apoyo en este sentido de la alta dirección de la empresa?
Preguntas
de reflexión

Ahora continuemos con las siguientes etapas para la definición de la política.

Etapas de producción de la política

Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se
estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este
reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar
para que esté en conformidad con los estándares de seguridad.

El trabajo de producción se compone por distintas etapas, entre otras:

Objetivos y ámbito
Entrevista
Investigación y análisis de documentos
Reunión de política
Glosario de la política
Responsabilidades y penalidades

Objetivos y ámbito
En este punto debe constar la presentación del tema
de la norma con relación a sus propósitos y
contenidos, buscando identificar resumidamente
cuáles estándares la política trata de establecer,
además de la amplitud que tendrá en relación a
entornos, individuos, áreas y departamentos de la
organización involucrados.

Entrevista
Las entrevistas tratan de identificar junto a los
usuarios y administradores de la organización las
preocupaciones que ellos tienen con los activos, los
procesos de negocio, áreas o tareas que ejecutan o
en la cual participan. Las entrevistas tratan de
identificar las necesidades de seguridad existentes
en la organización.

Investigación y análisis de documentos

En esta etapa se identifican y analizan los
documentos existentes en la organización y los que
tienen alguna relación con el proceso de seguridad
en lo referente a la reducción de riesgos,
disminución de trabajo repetido y falta de
orientación. Entre la documentación existente, se
pueden considerar: libros de rutinas, metodologías,
políticas de calidad y otras.
 Reunión de política
En las reuniones, realizadas con los equipos
involucrados en la elaboración, se levantan y
discuten los temas, además se redactan los párrafos
para la composición de las normas con base en el
levantamiento del objetivo y del ámbito de la política
específica.

Glosario de la política
Es importante aclarar cualquier duda conceptual que
pueda surgir en el momento de la lectura de la
política. Así todos los lectores deben tener el mismo
punto de referencia conceptual de términos. Por lo
tanto se recomienda que la política cuente con un
glosario específico donde se especifiquen los
términos y conceptos presentes en toda la política
de seguridad.

Responsabilidades y penalidades
Es fundamental identificar a los responsables, por la
gestión de seguridad de los activos normalizados,
con el objetivo de establecer las relaciones de
responsabilidad para el cumplimiento de tareas,
como las normas de aplicación de sanciones
resultantes de casos de inconformidad con la
política elaborada. De esa manera, se busca el nivel
de conciencia necesario para los involucrados, con
relación a las penalidades que serán aplicadas en
casos de infracción de la política de seguridad.

Enseguida mostramos algunos ejemplos sobre las etapas en la elaboración de la

política.

En las entrevistas realizadas es importante recabar todas las preocupaciones en materia

de seguridad de los empleados, ya que esto nos permite tener una imagen amplia de lo
que requiere ser incluido en el documento de política de seguridad.
Es importante que el glosario incluido en la política de seguridad, aclare todos los
conceptos que pudieran quedar poco claros a la totalidad de las personas que leerán
Ejemplos dicha política, esto con el fin de que el documento sea comprendido y aplicado en su
totalidad.
Las reuniones del comité de seguridad representan una gran oportunidad para pulir e
incrementar la claridad del documento final de política, en ellas es recomendable incluir
empleados de las diferentes áreas de negocios para considerar sus puntos de vista.

Para cerrar esta sección sobre las etapas de la política, lo invitamos a reflexionar desde
su perspectiva cuestiones tan vitales como la seguridad de la información.
 ¿Se cuenta con un equipo técnico capaz de analizar e identificar riesgos en la
documentación de procesos de la empresa?¿Está consciente de la necesidad de incluir
penalidades para aquellos que incumplan la política de seguridad? ¿Cree necesario
formar un comité encargado del análisis de los casos que llegasen a ocurrir?
Preguntas ¿Tiene claro el objetivo principal de la política de seguridad en su empresa?
de reflexión
1.5 Lecciones aprendidas

Aprendimos aspectos básicos relacionados con una

política de seguridad, las partes que la componen y los
elementos necesarios previos a su generación.
Identificamos las diferentes etapas de generación de la
política de seguridad, que nos permite estar preparados
para llevar a cabo con éxito cada una de ellas.
Lecciones aprendidas
Capítulo 2 – Documentos de la política de seguridad

2.1 Introducción

Al iniciar el proceso de elaboración sobre una política de seguridad, es necesario

recopilar cierta información con los usuarios de activos y realizar estudios de los
documentos existentes. El objetivo de esa tarea es definir qué tipo de adaptación debe
ser hecha en el modelo de estandarización existente para atender las características de
la empresa (con relación a trazado, identificación, numeración y lenguaje utilizado). Si
ya existen esos estándares definidos, los documentos de la política de seguridad
deben adaptarse a ellos para garantizar una proximidad entre la práctica gerencial
existente y la política sugerida. Veamos un ejemplo sobre documentación de políticas
de seguridad.

Estafas por ‘phishing’ alcanzan los 500 millones de dólares en

EEUU

La falta de políticas de seguridad bien documentadas y aplicadas en la

empresa, podría ocasionar situaciones como la que documenta la
investigación realizada por el Ponemon Institute publicada en DiarioTI.
Noticias del Aquí se expone algunas citas textuales de la publicación:
mundo
Según una investigación realizada por Ponemon Institute, con base en entrevistas
realizadas a mil 335 usuarios de Internet, las pérdidas ocasionadas por el “phising” van
en aumento.

El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los
estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares
a los usados por entidades bancarias. En el mensajes se solicita urgentemente a los
clientes del banco (o de servicios como eBay, PayPal o similares) visitar una página de
Internet, cuyo enlace se adjunta, con el fin de verificar sus datos personales e
información sobre su cuenta.

Fuente consultada: http://www.diarioti.com/gate/n.php?id=7607

En la noticia se observó una estrategia de uso común y de la cual podemos encontrar

muchos casos reales documentados por los medios noticiosos, sin embargo, en las
acciones que se pueden tomar en materia de administración de la seguridad de la
información, se establece procedimientos muy específicos para evitar que mediante la
suplantación se falsifiquen comunicados para que parezcan oficiales, con la finalidad
de obtener información valiosa de los usuarios. Esto tiene que ser establecido en los
documentos de la política de seguridad de las empresas, que veremos con un poco
más de detalles en este capítulo.

Recordemos que nuestra tarea dentro del área de seguridad es lograr que estos casos
no se presenten en la organización
2.2 Objetivos

Conocer las bases para la documentación necesaria en

una política de seguridad, para permitir plasmar de forma
correcta todos los elementos requeridos para la misma.

Identificar las tres partes principales de una política de

seguridad: Normas, procedimientos y directrices. Éstas
permitirán producir una política completa y útil de
implantar.
Objetivos
2.3 Documentos de la política de seguridad

Si existe ya un estándar de estructura de documentos para políticas dentro de la

empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo
de estructura de política que puede ser desarrollado dentro de su organización.

Modelo de estructura de política

En este modelo, visualizamos que
una política de seguridad esté
formada por tres grandes
DIRETRIZES ESTRATÉGICO secciones:
NORMAS TÁTICO las Directrices,
las Normas
PROCEDIMENTOS OPERACIONAL los Procedimientos e
Instrucciones de Trabajo.
Ferramentas
Cultura

Monitoração

Su estructura de sustentación está

formada por tres grandes
aspectos: herramientas, cultura y
monitoreo.

ACOMPANHAMENTO

Conjunto de reglas generales de nivel estratégico donde se expresan los valores de

seguridad de la organización. Es endosada por el líder empresarial de la
Directrices
organización y tiene como base su visión y misión para abarcar toda la filosofía de
(Estrategias) seguridad de la información.
Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad
de la información, al establecer sus objetivos, medios y responsabilidades.

Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos

los valores que deben ser seguidos, para que el principal patrimonio de la empresa,
que es la información, tenga el nivel de seguridad exigido.

Como la información no está presente en un único entorno (microinformática, por

ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe
permitir que se aplique a cualquier ambiente existente y no contener términos
técnicos de informática. Se compone de un texto, no técnico, con las reglas
generales que guían a la elaboración de las normas de seguridad.

Normas Conjunto de reglas generales y específicas de la seguridad de la información que

deben ser usadas por todos los segmentos involucrados en los procesos de negocio
(Táctico)
de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso
de negocio, público a que se destina, etc.

Las normas, por estar en un nivel táctico, pueden ser específicas para el público a
que se destina, por ejemplo para técnicos y para usuarios.

Normas de Seguridad para técnicos

Reglas generales de seguridad de información dirigida para quien cuida
de ambientes informatizados (administradores de red, técnicos etc.),
basadas en los aspectos más genéricos como periodicidad para cambio de
claves, copias de seguridad, acceso físico y otros. Pueden ser
ampliamente utilizadas para la configuración y administración de
ambientes diversos como Windows NT, Netware, Unix etc.

Normas de Seguridad para Usuarios

 Reglas generales de seguridad de la información dirigidas para hacer uso
de ambientes informatizados, basadas en aspectos más genéricos como
cuidados con claves, cuidados con equipos, inclusión o exclusión de
usuarios, y otros. Pueden ser ampliamente utilizadas para todos los
usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos e Procedimiento
Conjunto de orientaciones para realizar las actividades operativas de
instrucciones de
seguridad, que representa las relaciones interpersonales e ínter
trabajo departamentales y sus respectivas etapas de trabajo para la implantación
(Operacional) o manutención de la seguridad de la información.

Instrucción de trabajo
Conjunto de comandos operativos a ser ejecutados en el momento de la
realización de un procedimiento de seguridad establecido por una norma,
establecido en modelo de paso a paso para los usuarios del activo en
cuestión.

A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo

muy específicas que resultan de beneficio en la operación diaria.

Se pueden integrar, por ejemplo, la lista con los procedimientos para la realización de
respaldos de la base de datos, quiénes son los responsables, periodicidad,
almacenamiento, etc.
Se puede contar también con instrucciones de trabajo para la restauración de equipos
Ejemplos portátiles que se tengan que reinstalar, con una guía paso a paso sobre qué hacer en
dicho caso.

Reflexione sobre los siguientes tópicos.

¿Su empresa cuenta con normas generales de seguridad en la actualidad? ¿Se encuentran
bien documentadas?
¿Cuenta con un conjunto de directrices generales en la organización?
¿Sus procedimientos técnicos están completamente documentados?
Preguntas
de reflexión
2.4 Acompañamiento de la política

Una política de seguridad, para que sea efectiva, necesita contar con los siguientes
elementos como base de sustentación:

Cultura
Herramientas
Monitoreo

A continuación se describe cada una de ellas.

Bases de sustentación de la política de seguridad

El entrenamiento de personas debe ser constante, de
tal manera que se actualice toda la empresa con
Cultura relación a los conceptos y normas de seguridad,
además de sedimentar la conciencia de seguridad,
para tornarla como un esfuerzo común entre todos
los involucrados.
Los recursos humanos, financieros y las
herramientas de automatización deben estar de
acuerdo con las necesidades de seguridad. Parte de
la seguridad puede ser automatizada o mejor
Herramientas controlada con herramientas específicas, como
copias de seguridad obligatorias programadas,
control de acceso con registro de ejecución, etc.
La implementación de la política de seguridad debe
ser constantemente monitoreada. Es necesario
efectuar un ciclo de manutención para ajustar la
estandarización resultante de los problemas
Monitoreo
encontrados, reclamaciones de empleados o
resultados de auditoría. Se debe también adaptar la
seguridad a las nuevas tecnologías, a los cambios
administrativos y al surgimiento de nuevas
amenazas.

Enseguida proporcionamos algunos ejemplos de la capacitación de las personas y del

monitoreo en el acompañamiento de la política.

Es necesario contar con un plan de entrenamiento para el personal activo y nuevo

de la empresa, para mantenerlo actualizado en materia de seguridad.
En la manera de lo posible es necesario contar con sistemas de monitoreo, que
Ejemplos ayuden a detectar las fallas ocasionadas por ataques a los sistemas de información.

Una vez revisados los ejemplos anteriores, ¿qué respuestas podría encontrar a las
siguientes preguntas?
 ¿El personal de su empresa cuenta con capacitación continua en materia de
seguridad?
¿Cuenta con sistemas de monitoreo que le permitan alertarse en poco tiempo de
Preguntas
posibles ataques a la seguridad de su empresa?
de reflexión
2.5 Lecciones aprendidas

Comprendimos lo que forma la base de toda política de

seguridad: la cultura, herramientas y el monitoreo. Estas
bases permiten que la aplicación de la política se
mantenga siempre vigente ante los cambios surgidos en
toda la organización.
Además, aprendimos los conceptos de normas,
directrices, procedimientos e instrucciones de trabajo
que ayudan a formar cada uno de los elementos
necesarios para nuestra política de seguridad.
Lecciones aprendidas
Capítulo 3 – Implantación de la política de seguridad

3.1 Introducción
El éxito en la implantación de un sistema y política de seguridad en la empresa,
depende en gran medida de conocimiento a fondo de los procesos involucrados
cuando dicha implantación es llevada a cabo. Una vez recabada toda la información
necesaria y después de comunicar los logros a todo el personal de la empresa, es
posible incluso, como lo muestra la siguiente nota de prensa sobre la compañía
Nextel, que el proceso y la política de seguridad puedan llegar a implementarse bajo
algún estándar conocido a nivel mundial.

Nextel S.A. celebra una rueda de prensa en Madrid

Nextel, S.A. / 7 de Octubre de 2004

El pasado 7 de octubre de 2004, Nextel S.A. celebró una rueda de prensa en el Hotel
Sofitel Airport. El motivo fue anunciar la Certificación en Seguridad de la Información
obtenida el presente año, como ya hizo una semana antes en otra rueda de prensa
Noticias del celebrada en Bilbao. Esta vez asistieron como ponentes Iñaki Murcia, Director Regional
mundo de la Zona Norte; Agustín Lerma, Security Manager; y Ricardo Acebedo, Director de
Marketing.

Nextel S.A., miembro de Innovalia con más de 15 años de experiencia, es la primera

Consultora de España que obtiene una Certificación para Sistema de Gestión de la
Seguridad de la Información bajo un estándar de Seguridad de la Información
internacionalmente reconocido: BS 7799-2:2002

La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) en

una empresa como Nextel S.A. supone la gestión integral de la seguridad de la
información. Esto se consigue mediante la planificación, análisis de activos y de riesgos,
aplicación de controles técnicos, gestión de recursos humanos, difusión, formación y
planes de contingencia. La seguridad de la información implica además, tanto a la
información que está basada en sistemas informáticos o en papel como a las personas

Fuente consultada: http://www.nextel.es/aNW/web/cas/noticias/07102004_59.jsp

Información adicional:
http://www.nextel.es/web/docs/BS7799/nota_prensa_madrid.pdf
3.2 Objetivos

Comprender todos los aspectos necesarios para que la

implantación de la política de seguridad sea un éxito en la
empresa.
Conocer el entorno completo que rodea a una política de
seguridad, mismo que es necesario para sustentar su
implantación en la empresa.
Comprender que los ámbitos en los que se puede trabajar
en una política de seguridad son variados, y plasmarlos
en esta política depende de la importancia de cada uno de
Objetivos ellos en nuestra empresa.
3.3 Implantación de la política

Una política se encuentra bien implantada cuando:

Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la
operación necesaria para alcanzar las metas establecidas.
Agrega seguridad a los procesos de negocio y garantiza una gestión
inteligente de los riesgos.
Está de acuerdo con la cultura organizacional y está sustentada por el
compromiso y por el apoyo de la administración.
Permite un buen entendimiento de las exigencias de seguridad y una
evaluación y gestión de los riesgos a los que está sometida la organización.

La implantación de la política de seguridad depende de:

Una buena estrategia de divulgación entre los usuarios.

Una libre disposición de su contenido a todos los involucrados para aumentar
el nivel de seguridad y compromiso de cada uno.
Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje.
Otros mecanismos adoptados para hacer de la seguridad un elemento común a
todos.

Revisemos algunos ejemplos básicos de políticas bien implantadas:

Si una de las metas de su organización es, por ejemplo, aumentar el número de clientes
que utilizan sus servicios por Internet, es necesario que su política de seguridad facilite
esto en lugar de entorpecerlo.
Como ya lo comentamos antes, de nada sirve tener la mejor política impresa, sino que
Ejemplos sea comunicada adecuadamente a todos los empleados y usuarios de nuestros servicios.

La fase de la implantación de la política exige que reflexionemos de aspectos tales

como lo que se muestran en las siguientes preguntas:

¿Está consciente de todas las metas que tiene su organización a corto y largo plazo?
¿Tiene planeado ya la forma en que se divulgará la política de seguridad?

Preguntas de
reflexión

Para finalizar esta sección señalaremos algunos conceptos clave:

 La política se debe basar en el análisis de riesgo y tener como
objetivo la estandarización de entornos y procesos de manera que se
eviten las vulnerabilidades existentes. Su creación está directamente
conectada a la concretización de este análisis, pues a través del
levantamiento de las vulnerabilidades se puede elaborar la
documentación de seguridad, con el objetivo de minimizar los riesgos
de que las amenazas se conviertan en incidentes.

Como todo proceso de evaluación y posible cambio de las prácticas

actuales, una política debe tener como base una estrategia de
Conceptos clave medición de eficacia, para poder evaluar el desempeño de la gestión
de seguridad y los puntos débiles que necesitan ser mejorados.
3.4 Temas de la política

Para elaborar una política, es necesario delimitar los temas que serán convertidos
en normas.

La división de los temas de una política depende de las necesidades de la organización

y su delimitación se hace a partir de:

el conocimiento del ambiente organizacional, humano o tecnológico,

la recopilación de las preocupaciones sobre seguridad de parte de los usuarios,
administradores y ejecutivos de la empresa

Algunos ejemplos de temas posibles son:

Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.

Seguridad de la red corporativa: configuración de los sistemas operativos,

acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de
Ejemplos cambios, desarrollo de aplicaciones.

Seguridad de usuarios: composición de claves, seguridad en estaciones de

trabajo, formación y creación de conciencia.

Seguridad de datos: criptografía, clasificación, privilegios, copias de

seguridad y recuperación, antivirus, plan de contingencia.

Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas

técnicas, monitoreo y auditoria.

Aspectos legales: prácticas personales, contratos y acuerdos comerciales,

leyes y reglamentación gubernamental.

Con el propósito de ahondar un poco más en la reflexión le proponemos algunos de

los posibles cauces en los que se pueden definir temas para la política de seguridad:
 ¿Cuenta con personas que puedan asesorar al equipo que redactará la política de
seguridad, en materia de aspectos legales?¿Hay personas dentro de su empresa con
experiencia en materia de capacitación para concienciar a sus empleados?
Preguntas
de reflexión
3.5 Usos de la política
Una vez elaborada, la política de seguridad es importante se garantice en la
implementación controles de uso adecuado de la política de seguridad.

Usos de la política
Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos:

Ayudar en la selección de productos y en el desarrollo de procesos.

Realizar una documentación de las preocupaciones de la dirección sobre seguridad para
que el negocio de la organización sea garantizado.

La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como
lo son:

Permite definir controles en sistemas informáticos.

Permite establecer los derechos de acceso con base en las funciones de cada persona.
Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar
violaciones de seguridad.
Establece exigencias que pretenden evitar que la organización sea perjudicada en
casos de quiebra de seguridad.
Permite la realización de investigaciones de delitos por computadora.
Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.

Veamos unos ejemplos relativos al uso de la política:

Una política de seguridad debe ayudarnos a escoger la mejor tecnología en materia de

sistemas operativos.
También debe servir para elegir los procedimientos y reglas básicas de seguridad para
toda la empresa.
Ejemplos

A manera de cierre de esta sección le proponemos estas preguntas de reflexión

relativas a la importancia del uso de la política de seguridad:

¿Conoce usted los deseos e inquietudes de la alta dirección en materia de seguridad?

¿Está consciente que la política de seguridad no es el paso final, sino el principio de la
implantación de seguridad en la empresa?
Preguntas
de reflexión

Debido a que una política de seguridad impacta la forma de trabajo diario de las
personas, esta debe ser:

Clara (escrita en buena forma y lenguaje no elevado),

Concisa (evitar información innecesaria o redundante),
De acuerdo con la realidad práctica de la empresa (para que pueda ser
reconocida como un elemento institucional).
Actualizada periódicamente.
Es importante que mecanismos paralelos , como una campaña para crear conciencia
de la seguridad en la empresa, sean puestos en práctica para que la política de
seguridad pueda ser asimilada por sus usuarios e incorporada en la organización.

Para finalizar la unidad, veamos algunas estadísticas que tienen como finalidad,
identificar los distintos escenarios a los que puede enfrentarse durante este proceso
de implantación, a través del conocimiento de las fallas y problemas más comunes
dentro de las compañías de Latinoamérica.

Según la Investigación Nacional sobre Seguridad de la Información del año 2000 en

Brasil, realizada anualmente por módulo, la política de seguridad es un punto de
preocupación del mundo corporativo. La gran mayoría (63%) de las empresas cuentan
con una política de seguridad, en un 31% de los casos la política aún está siendo
desarrollada y un 5% afirman que será elaborada en el año venidero. En el 2001, cerca
del 99% de las empresas tendrían una política de seguridad implementada.

Algunos resultados mencionan además que:

Las empresas de mayor capital y las de capital extranjero son las que se
Estadísticas preocupan con el tema desde hace más tiempo.
Apenas un 24% contestó que el nivel de adhesión a la política es alto,
revelando que el desafío actual es aumentar la participación de los
empleados.
Cerca del 47% de los ejecutivos entrevistados afirman que el principal
obstáculo en la implementación de la política de seguridad es la falta de
conciencia de los empleados, porque con frecuencia presentan resistencia
en adoptar esas prácticas.

Vea la investigación en versión completa en el portal de seguridad de Módulo

www.modulo.com

Según la investigación del año 2001, la política de seguridad sigue siendo el

tema en que la mayoría de las empresas invierte (71%). Hubo pocas
variaciones desde el año anterior para el 2001, pues las posiciones se
mantuvieron prácticamente sin movimientos.

Investimento em segurança
2001 2000 Esta investigación reveló que:
(%) (%)
1. Política de Segurança 71 79 La mayor parte de las empresas
Estadísticas 2. Capacitação da Equipe Técnica 65 73
3. Criptografia 41 54
planea invertir en políticas de
4. Testes de Invasão 38 52 seguridad (71%) y la capacitación
5. Virtual Private Network (VPN) 38 44 del equipo técnico (65%).
6. Análise de Riscos 35 50
7. Sistemas de detecção de 34 41 La mayoría de las empresas (66%)
intrusos afirma poseer una política de
8. Contratação de empresa 30 36
especializada seguridad, sin embargo en 19%
9. Aquisição de software de 29 32 de ellas la política no está
controle de acesso actualizada.
10. Autoridade Certificadora 29 23
11. Certificado digital 28 - Cerca del 41% de las
12. Implementação do Firewall 26 40
13. Sistemas de gestão de 19 -
organizaciones entrevistadas
segurança centralizada señalan la falta de conciencia
14. Smartcard 12 14 por parte de los funcionarios
15. Biométrica 11 - como el principal obstáculo de
16. Segurança em call center 9 -
la implementación de la política
de seguridad.
 Principais obstáculos para implementação da
segurança

OB STÁC U LOS À IMPLEME N TAÇ ÃO D A SEGU R AN Ç A

Cons c iênc ia

Orç amento

Rec urs os humanos

Falta de apoio es pec ializ ado

Ferramentas

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

Otros obstáculos indicados fueron la falta de presupuesto (32%), escasez de

recursos humanos especializados (21%), además de la falta de herramientas
adecuadas y de apoyo especializado, ambos citados por el 13% de los
entrevistados.

Algunas de las medidas de seguridad más adoptadas, están: el firewall (83%),

la prevención contra virus (78%) y el servidor proxy (71%).

A manera de cierre de esta sección reflexione sobre lo siguiente:

¿Sabe usted a cuáles obstáculos se puede enfrentar dentro de su empresa?

¿Tiene pensado ya cómo solucionarlos?
¿Ha tomado en cuenta acciones alternas para su solución?
Preguntas
de reflexión

3.6 Lecciones aprendidas

Aprendimos que una política de seguridad bien

implantada es aquella que refleja los objetivos de
negocio de la empresa.
Ahora sabemos, que para lograr el éxito para la
implantación de la política de seguridad, es necesario
tener el apoyo y crear conciencia en la alta dirección de
la empresa.
Descubrimos que la política de seguridad puede
comprender una gran variedad de ámbitos dentro de la
empresa y estos se seleccionan en base a la importancia
Lecciones aprendidas de cada uno en los negocios de la empresa.
Aprendimos también que una política de seguridad se
convierte en el primer paso para lograr que la seguridad
sea un esfuerzo común.