Polticas de seguridad

El trmino poltica de seguridad se suele definir como el conjunto de requisitos definidos

por los responsables directos o indirectos de un sistema que indica en trminos generales
qu est y qu no est permitido en el rea de seguridad durante la operacin general de
dicho sistema. Al tratarse de `trminos generales, aplicables a situaciones o recursos muy
diversos, suele ser necesario refinar los requisitos de la poltica para convertirlos en
indicaciones precisas de qu es lo permitido y qu lo denegado en cierta parte de la
operacin del sistema, lo que se denomina poltica de aplicacin especfica.
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya
que las mismas establecen un canal formal de actuacin del personal, en relacin con los
recursos y servicios informticos de la organizacin.
No se puede considerar que una poltica de seguridad informtica es una descripcin
tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de
los empleados, es ms bien una descripcin de los que deseamos proteger y el porqu de
ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a
reconocer la informacin como uno de sus principales activos, as como, un motor de
intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de
seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informticos.

Diseo de una Poltica de Seguridad

Como una poltica de seguridad debe orientar las decisiones que se toman en relacin
con la seguridad, se requiere la disposicin de todos los miembros de la empresa para
lograr una visin conjunta de lo que se considera importante.
Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes
elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidades por cada uno de los servicios y recursos informticos aplicado a
todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca
el alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas.
Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.
Es necesario garantizar que los recursos del sistema se encontrarn disponibles cuando
se necesitan, especialmente la informacin crtica.
Los recursos del sistema y la informacin manejada en el mismo ha de ser til para
alguna funcin.

 Integridad: la informacin del sistema ha de estar disponible tal y como se almacen por
un agente autorizado.
Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
Confidencialidad: la informacin slo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesin: los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la seguridad
del sistema hacia el resto de usuarios.

Criterios
Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de
garantizar la seguridad corporativa, una poltica se suele dividir en puntos ms concretos
a veces llamados criterios. Ellas definen las siguientes lneas de actuacin:
Seguridad organizacional. Aspectos relativos a la gestin de la seguridad dentro de la
organizacin (cooperacin con elementos externos, outsourcing, estructura del rea de
seguridad).
Clasificacin y control de activos. Inventario de activos y definicin de sus mecanismos
de control, as como etiquetado y clasificacin de la informacin corporativa.
Seguridad del personal. Formacin en materias de seguridad, clusulas de
confidencialidad, reporte de incidentes, monitorizacin de personal.
Seguridad fsica y del entorno. Bajo este punto se engloban aspectos relativos a la
seguridad fsica de los recintos donde se encuentran los diferentes recursos - incluyendo
los humanos - de la organizacin y de los sistemas en s, as como la definicin de
controles genricos de seguridad.
Gestin de comunicaciones y operaciones. Este es uno de los puntos ms interesantes
desde un punto de vista estrictamente tcnico, ya que engloba aspectos de la seguridad
relativos a la operacin de los sistemas y telecomunicaciones, como los controles de red,
la proteccin frente a malware, la gestin de copias de seguridad o el intercambio de
software dentro de la organizacin.
Controles de acceso. Definicin y gestin de puntos de control de acceso a los recursos
informticos de la organizacin: contraseas, seguridad perimetral, monitorizacin de
acceso.
Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones,
cifrado de datos, control de software.
Gestin de continuidad de negocio. Definicin de planes de continuidad, anlisis de
impacto, simulacros de catstrofes.
Requisitos legales.