DIRECTRICES PARA LA DEFINICIN E
IMPLANTACIN DE POLTICAS DE SEGURIDAD
lvaro Gmez Vieites
agomezvieites@gmail.com
Profesor de la Escuela de Negocios Caixanova
RESUMEN DE LA PONENCIA
En esta ponencia se presentan los conceptos
bsicos sobre Polticas, Planes y Procedimientos
de seguridad, presentando la jerarqua de ele-
mentos a considerar, comenzando por los obje-
tivos fundamentales de la Gestin de la Seguri-
dad de la Informacin, resumidos mediante el
acrnimo CIA (Confidencialidad, Integridad y
Disponibilidad de la informacin).
Seguidamente, se estudian cules son las
principales caractersticas y requisitos que debe-
ran cumplir las Polticas de Seguridad, y se
analizan las principales dificultades a tener en
consideracin a la hora de definir las Polticas
de Seguridad
A continuacin se describen todos los as-
pectos que es necesario considerar para poder
definir e implantar las Polticas de Seguridad:
alcance; objetivos; compromiso de la Direccin;
inventario de recursos; anlisis y gestin de
riesgos; asignacin de responsabilidades; com-
portamientos exigidos y prohibidos del perso-
nal; identificacin de las medidas, normas y
procedimientos de seguridad a implantar; rela-
ciones con terceros; gestin de incidentes; pla-
nes de contingencia y de continuidad del nego-
cio; etc.
Asimismo, tambin se analiza el papel de
los distintos colectivos que deberan estar impli-
cados en la definicin de las Polticas de Segu-
ridad dentro de una organizacin.
Por ltimo, la ponencia incluye una serie de
consejos y pautas para facilitar la implantacin
y actualizacin de las Polticas de Seguridad.
1. CONCEPTOS BSICOS
Podemos definir una Poltica de Seguridad
como una declaracin de intenciones de alto
nivel que cubre la seguridad de los sistemas
informticos y que proporciona las bases para
definir y delimitar responsabilidades para las
diversas actuaciones tcnicas y organizativas
que se requieran (RFCs 1244 y 2196).
Alvaro Gmez Vieites
Un Plan de Seguridad es un conjunto de
decisiones que definen cursos de accin futuros,
as como los medios que se van a utilizar para
conseguirlos.
Por ltimo, un Procedimiento de Seguri-
dad es la definicin detallada de los pasos a
ejecutar para llevar a cabo unas tareas determi-
nadas. Los Procedimientos de Seguridad permi-
ten aplicar e implantar las Polticas de Seguri-
dad que han sido aprobadas por la organizacin.
En la siguiente figura se representa la jerar-
qua de conceptos manejados al hablar de las
Polticas, Planes y Procedimientos de Seguri-
dad:
CIA
Polticas
Planes
Procedimientos
Tareas / Operaciones
Registros / Evidencias
Figura 1: Polticas, Planes y
Procedimientos de Seguridad
As, en la cspide de la pirmide se situar-
an los objetivos fundamentales de la Gestin de
la Seguridad de la Informacin, resumidos me-
diante el acrnimo CIA (Confidencialidad,
Integridad y Disponibilidad de la informacin).
Una vez fijados los objetivos fundamentales, es
necesario definir las Polticas de Seguridad, as
como los Planes y Procedimientos de actuacin
para conseguir su implantacin en la organiza-
cin.
Los Procedimientos de Seguridad se
descomponen en tareas y operaciones concretas,
las cuales, a su vez, pueden generar una serie de
registros y evidencias que facilitan el
seguimiento, control y supervisin del requisitos que debera cumplir las Polticas de
funcionamiento Sistema de Gestin de la Seguridad:
Seguridad de la Informacin.
Las Polticas de Seguridad deberan
Los Procedimientos de Seguridad permiten poder ser implementadas a travs de
implementar las Polticas de Seguridad defini- determinados procedimientos adminis-
das, describiendo cules son las actividades que trativos y la publicacin de unas guas
se tienen que realizar en el sistema, en qu mo- de uso aceptable del sistema por parte
mento o lugar, quines seran los responsables del personal, as como mediante la ins-
de su ejecucin y cules seran los controles talacin, configuracin y mantenimien-
aplicables para supervisar su correcta ejecucin. to de determinados dispositivos y
herramientas hardware y software que
En este sentido, las Polticas definen qu se
implanten servicios de seguridad.
debe proteger en el sistema, mientras que los
Procedimientos de Seguridad describen cmo se Deben definir claramente las responsa-
debe conseguir dicha proteccin. En definitiva, bilidades exigidas al personal con ac-
si comparamos las Polticas de Seguridad con ceso al sistema: tcnicos, analistas y
las Leyes en un Estado de Derecho, los Proce- programadores, usuarios finales, direc-
dimientos seran el equivalente a los Reglamen- tivos, personal externo a la organiza-
tos aprobados para desarrollar y poder aplicar cin...
las Leyes.
Deben cumplir con las exigencias del
As, a modo de ejemplo, podramos citar entorno legal (Proteccin de Datos Per-
como procedimientos la planificacin de las sonales LOPD, Proteccin de la
tareas administrativas y de sus responsables: Propiedad Intelectual, Cdigo Penal...).
administracin de las cuentas de usuario y de
los controles de acceso a los recursos lgicos; Se tienen que revisar de forma peridi-
realizacin y supervisin de las copias de segu- ca para poder adaptarlas a las nuevas
ridad; seguimiento de los eventos de seguridad; exigencias de la organizacin y del en-
etctera. Otro grupo de procedimientos de segu- torno tecnolgico y legal. En este sen-
ridad estara relacionado con la instalacin, tido, se debera contemplar un proce-
configuracin y mantenimiento de distintos dimiento para garantizar la revisin y
elementos de seguridad: cortafuegos (firewalls), actualizacin peridica de las Polticas
servidores proxy, antivirus, Sistemas de Detec- de Seguridad.
cin de Intrusiones (IDS) Aplicacin del principio de Defensa
En la siguiente tabla se presenta otro ejem- en Profundidad: definicin e implan-
plo de la relacin entre una determinada direc- tacin de varios niveles o capas de se-
triz o Poltica de Seguridad, los procedimientos guridad. As, si un nivel falla, los res-
que de ella se derivan y las tareas concretas que tantes todava podran preservar la se-
debera realizar el personal de la organizacin. guridad de los recursos del sistema. De
acuerdo con este principio, es necesario
considerar una adecuada seleccin de
Poltica Procedimiento Tareas a realizar medidas de prevencin, de deteccin y
Proteccin del Actualizacin del 9Revisin diaria de los parches
servidor Web de software del publicados por el fabricante de correccin.
la organizacin servidor Web 9Seguimiento de las noticias sobre
contra accesos posibles fallos de seguridad Asignacin de los mnimos privilegios:
no autorizados
Revisin de los 9Revisin semanal de los logs del los servicios, aplicaciones y usuarios
registros de servidor para detectar situaciones
actividad en el anmalas del sistema deberan tener asignados
servidor 9Configuracin de alertas de seguridad
que permitan reaccionar de forma
los mnimos privilegios necesarios para
urgente ante determinados tipos de que puedan realizar sus tares. La
ataques e intentos de intrusin
poltica por defecto debe ser aquella en
Figura 2: Ejemplo de Poltica y la que todo lo que no se encuentre
Procedimientos de Seguridad expresamente permitido en el sistema
estar prohibido. Las aplicaciones y
2. CARACTERSTICAS DESEABLES servicios que no sean estrictamente
DE LAS POLTICAS DE SEGURIDAD necesarios deberan ser eliminados de
En este apartado se presentan de forma los sistemas informticos.
esquemtica las principales caractersticas y Configuracin robusta ante fallos: los
sistemas deberan ser diseados e

Alvaro Gmez Vieites

 implementados para que, en caso de
fallo, se situaran en un estado seguro y
cerrado, en lugar de en uno abierto y
expuesto a accesos no autorizados.
Las Polticas de Seguridad no deben
limitarse a cumplir con los requisitos
impuestos por el entorno legal o las
exigencias de terceros (clientes, Admi-
nistracin Pblica), sino que deber-
an estar adaptadas a las necesidades re-
ales de cada organizacin.
3. DIFICULTADES AL DEFINIR LAS
POLTICAS DE SEGURIDAD
La organizacin tambin debera tener en
consideracin cules son las principales dificul-
tades a la hora de definir las Polticas de Seguri-
dad.
As, en primer lugar conviene destacar que
la informacin constituye un recurso que en
muchos casos no se valora adecuadamente por
su intangibilidad, situacin que no se produce
con los equipos informticos, la documentacin
o las aplicaciones informticas.
Adems, con la proliferacin de las redes
de ordenadores, la informacin de las empresas
ha pasado de concentrarse en los grandes siste-
mas (sistemas centralizados) a distribuirse por
los ordenadores y servidores ubicados en los
distintos departamentos y grupos de trabajo. Por
este motivo, en la actualidad muchas organiza-
ciones no conocen con precisin toda la infor-
macin que hay en los puestos de trabajo (gene-
ralmente, ordenadores personales de la propia
organizacin), ni los riesgos que tienen de sufrir
ataques u otro tipo de desastres, ni cmo la
propia organizacin utiliza esa informacin.
Debemos tener en cuenta dos aspectos
contradictorios en las redes y sistemas
informticos: por un lado, su principal razn de
ser es facilitar la comunicacin y el acceso a la
informacin y, por otro, asegurar que slo
acceden a ella los usuarios debidamente
autorizados. Esta contradiccin est presente
continuamente, ya que las medidas adoptadas
para mejorar la seguridad (autenticacin, control
de los accesos, monitorizacin del uso, cifrado,
herramientas de deteccin de ataques,
antivirus...) dificultan el uso de las redes y
sistemas, al ralentizar los accesos e imponer
ciertas restricciones, por lo que es necesario
mantener un compromiso entre la usabilidad y
rendimiento de los sistemas informticos, por un
parte, y su seguridad, por otra.
Otro factor importante, que muchas veces
se olvida, es que, segn numerosos estudios
Alvaro Gmez Vieites
publicados, ms del 75% de los problemas
inherentes a la seguridad se producen por fallos
de los equipos o por un mal uso por parte del
personal de la propia organizacin. Por este
motivo, las Polticas de Seguridad deben
contemplar no slo los ataques provenientes del
mundo exterior ajeno a la organizacin, sino
tambin los procedimientos de uso interno,
prestando especial atencin a la formacin y
sensibilizacin de los empleados y directivos.
La adopcin de determinadas medidas bu-
rocrticas (registro de entradas y salidas, inven-
tario de soportes informticos) o de determi-
nados controles y procedimientos de seguridad
se traducen generalmente en una mayor inco-
modidad para los usuarios, por lo que resultar
fundamental explicar la importancia de la co-
rrecta aplicacin de estas medidas para mejorar
la seguridad en el trabajo cotidiano con los
recursos de la organizacin.
Los problemas con las aplicaciones y pro-
gramas informticos (productos incompletos o
defectuosos que requieren de la aplicacin de
continuos parches y actualizaciones de seguri-
dad), los continuos cambios en el entorno tecno-
lgico y normativo, la creciente complejidad de
los sistemas informticos, as como la cada vez
mayor dependencia de las conexiones a Internet
y de los accesos y servicios remotos son facto-
res que han venido a complicar an ms, si
cabe, el escenario en el que tienen que definirse
e implantarse las medidas de seguridad.
Adems, las medidas de seguridad no con-
tribuyen a mejorar la productividad de los sis-
temas y redes informticas, sino, ms bien, todo
lo contrario, ya que pueden reducir el rendi-
miento de los equipos y las aplicaciones (los
sistemas criptogrficos, por ejemplo, consumen
mayores recursos computacionales y ancho de
banda en las conexiones a Internet), por lo que
las organizaciones son reticentes a dedicar re-
cursos a esta tarea.
Sin embargo, es necesario contar con los
adecuados recursos tcnicos, humanos y
organizativos, as como de una dotacin
presupuestaria suficiente para conseguir una
adecuada implantacin de las Polticas de
Seguridad definidas por la organizacin. No
invertir en seguridad informtica en una
organizacin del siglo XXI sera como circular
en un automvil sin seguro frente a terceros: en
caso de accidente las consecuencias pueden ser
muy graves para el propietario y los
acompaantes.
No se debe olvidar que la finalidad ltima
del Departamento de Informtica es
proporcionar las herramientas y la informacin
que van a necesitar los usuarios para poder
llevar a cabo su trabajo de forma sencilla y
eficiente (y, por supuesto, de forma segura). Sin
embargo, en muchas organizaciones se sacrifica
la seguridad por la usabilidad y rendimiento del
sistema, primando de este modo la
productividad.
4. DEFINICIN E IMPLANTACIN
DE LAS POLTICAS DE SEGURIDAD
A la hora de definir las Polticas de Seguri-
dad en una organizacin, sera conveniente
contemplar todos los aspectos que se enumeran
a continuacin:
Alcance: recursos, instalaciones y pro-
cesos de la organizacin sobre los que
se aplican.
Objetivos perseguidos y prioridades de
seguridad.
Compromiso de la Direccin de la or-
ganizacin.
Clasificacin de la informacin e iden-
tificacin de los activos a proteger.
Anlisis y gestin de riesgos.
Elementos y agentes involucrados en la
implantacin de las medidas de seguri-
dad.
Asignacin de responsabilidades en los
distintos niveles organizativos.
Definicin clara y precisa de los com-
portamientos exigidos y de los que es-
tn prohibidos (Appropriate Use Poli-
cy) por parte del personal.
Identificacin de las medidas, normas y
procedimientos de seguridad a implan-
tar.
Gestin de las relaciones con terceros
(clientes, proveedores, partners...).
Gestin de incidentes.
Planes de contingencia y de continui-
dad del negocio.
Cumplimiento de la legislacin vigen-
te.
Definicin de las posibles violaciones
y de las consecuencias derivadas del
incumplimiento de las Polticas de Se-
guridad.
Alvaro Gmez Vieites
Adems, la organizacin debera
contemplar la seguridad en todas las fases del
Ciclo de Vida de los Sistemas Informticos. En
las Polticas de Seguridad se deberan definir
cules son estas medidas de seguridad relacio-
nadas con el desarrollo, implantacin y mante-
nimiento de las aplicaciones informticas, esta-
bleciendo una clara separacin entre los entor-
nos de desarrollo y los sistemas en produccin.
Todos los cambios y actualizaciones realizados
en las aplicaciones deberan ser probados de
forma segura y en un entorno independiente,
antes de su puesta en marcha como un sistema
en produccin.
Las Polticas de Seguridad tambin deber-
an reflejar los requisitos de seguridad aplicables
a todas las operaciones relacionadas con la ad-
ministracin y mantenimiento de la red y de los
equipos informticos. Asimismo, ser necesario
especificar el personal implicado en cada tipo
operacin, as como los procedimientos que se
deberan seguir para respetar los requisitos m-
nimos de seguridad.
Las Polticas de Seguridad relacionadas con
la subcontratacin de determinados trabajos y
actividades a proveedores externos requieren
contemplar aspectos tales como la negociacin
de los mnimos niveles de servicio y calidad, en
especial con aquellos proveedores relacionados
con la informtica, las comunicaciones o el
tratamiento de los datos.
Asimismo, se debera exigir el cumplimien-
to de ciertas medidas de seguridad que puedan
afectar al sistema informtico de la organiza-
cin. Este aspecto resulta de especial importan-
cia en los tratamientos de datos personales, ya
que as lo exigen leyes como la Ley Orgnica de
Proteccin de Datos en Espaa.
En la Poltica de Relacin con Proveedores
se deberan estipular las clusulas y exigencias
habituales en la firma de contratos con los pro-
veedores, a fin de delimitar las responsabilida-
des y los requisitos del servicio contratado.
5. COLECTIVOS IMPLICADOS Y SE-
GURIDAD FRENTE AL PERSONAL
Podemos sealar cules son los distintos
colectivos que deberan estar implicados en la
definicin de las Polticas de Seguridad dentro
de una organizacin:
Directivos y responsables de los
distintos departamentos y reas
funcionales de la organizacin.
Personal del Departamento de Inform-
tica y de Comunicaciones.
 Miembros del Equipo de Respuesta a
Incidentes de Seguridad Informtica
(CSIRT, Computer Security Incident
Response Team), en caso de que ste
exista.
Representantes de los usuarios que
pueden verse afectados por las medidas
adoptadas.
Consultores externos expertos en segu-
ridad informtica.
La organizacin debe definir con claridad
cules son los distintos niveles de acceso a los
servicios y recursos de su sistema informtico.
De este modo, en funcin de las distintas
atribuciones de los usuarios y del personal de la
organizacin, se tendr que establecer quin est ridad, de sus consecuencias para los responsa-
autorizado para realizar una serie de actividades
y operaciones dentro del sistema informtico; a
qu datos, aplicaciones y servicios puede acce-
der cada usuario; desde qu equipos o instala-
ciones podr acceder al sistema y en qu inter-
valo temporal (da de la semana y horario).
En relacin con este aspecto de la seguri-
dad, la organizacin debe prestar especial aten-
cin a la creacin de cuentas de usuarios y la
asignacin de permisos de acceso para personal
ajeno a sta, que pueda estar desempeando con
carcter excepcional determinados trabajos o
actividades que requieran de su acceso a algu-
nos recursos del sistema informtico de la orga-
nizacin.
Asimismo, ser necesario establecer qu
datos y documentos podr poseer o gestionar
cada empleado.
Sera conveniente aplicar el principio de
segregacin de responsabilidades, en virtud del
cual determinados privilegios no podrn ser
ostentados por la misma persona dentro del
sistema informtico de la organizacin.
La organizacin deber informar puntual-
mente a sus empleados con acceso al sistema de
informacin de cules son sus obligaciones en
materia de seguridad. Asimismo, debera llevar
a cabo acciones de formacin de manera peri-
dica para mejorar los conocimientos informti-
cos y en materia de seguridad de estos emplea-
dos.
Del mismo modo, las personas que se in-
corporen a la organizacin tendrn que ser in-
formadas y entrenadas de forma adecuada, sobre
todo en las reas de trabajo con acceso a datos
sensibles y aplicaciones importantes para el
funcionamiento de la organizacin.
Alvaro Gmez Vieites
Por otra parte, la organizacin tambin
debe contemplar la privacidad de los usuarios
que tienen acceso a estos recursos y servicios
del sistema informtico, estableciendo en qu
condiciones sus ficheros, mensajes de correo u
otros documentos podran ser intervenidos por
la organizacin.
Todas estas medidas deberan completarse
con la preparacin de una serie de manuales de
normas y procedimientos, que incluyesen las
medidas de carcter administrativo y organizati-
vo adoptadas para garantizar la adecuada utili-
zacin de los recursos informticos por parte del
personal de la organizacin.
Asimismo, ser necesario definir cules son
las posibles violaciones de las Polticas de Segu-
bles y de las medidas y pasos a seguir en cada
caso.
Tambin sera aconsejable una revisin de
las medidas y directrices definidas en las Polti-
cas de Seguridad por parte de los asesores lega-
les de la organizacin.
6. OTROS CONSEJOS PARA FACILI-
TAR LA IMPLANTACIN DE LAS POL-
TICAS DE SEGURIDAD
De cara a facilitar su difusin en el seno de
la organizacin, resultar fundamental poner en
conocimiento de todos los empleados que se
puedan ver afectados por las Polticas de Segu-
ridad cules son los planes, normas y procedi-
mientos adoptados por la organizacin.
El establecimiento claro y preciso de cules
son las actuaciones exigidas, las recomendadas
y las totalmente prohibidas dentro del sistema
informtico o en el acceso a los distintos recur-
sos e informacin de la organizacin, citando
ejemplos concretos que faciliten su comprensin
por parte de todos los empleados, contribuirn a
la difusin e implantacin de estas medidas.
Asimismo, el acceso a documentacin clara
y detallada sobre todas las medidas y directrices
de seguridad, as como los planes de formacin
y sensibilizacin inicial de los nuevos
empleados que se incorporan a la organizacin
son otros dos aspectos de vital importancia. La
documentacin debera incluir contenidos
sencillos y asequibles para personal no tcnico,
incorporando un glosario con la terminologa
tcnica empleada en los distintos apartados. En
todo momento, los autores deberan ponerse en
el lugar del lector a la hora de preparar los
materiales para dar a conocer las Polticas de
Seguridad.
 En cada documento se podra incluir la si-
guiente informacin:
Ttulo y codificacin.
Fecha de publicacin.
Fecha de entrada en vigor.
Fecha prevista de revisin o renova-
cin.
mbito de aplicacin (a toda la organi-
zacin o slo a un determinado depar-
tamento o unidad de negocio).
Descripcin detallada (redactada en
trminos claros y fcilmente compren-
sibles por todos los empleados) de los
objetivos de seguridad.
Persona responsable de la revisin y
aprobacin.
Documento (o documentos) al que re-
emplaza o modifica.
Otros documentos relacionados.
En los procedimientos de seguridad ser
necesario especificar adems otra informacin
adicional:
Descripcin detallada de las activida-
des que se deben ejecutar.
Personas o departamentos responsables
de su ejecucin.
Momento y/o lugar en que deben reali-
zarse.
Controles para verificar su correcta
ejecucin.
La implantacin de un adecuado sistema de
gestin documental facilitar el registro, clasifi-
cacin y localizacin de toda la documentacin
que se haya generado, adems de constituir un
aspecto fundamental si la organizacin desea
conseguir la certificacin del Sistema de Ges-
tin de Seguridad de la Informacin.
Por otra parte, la organizacin debera tener
identificado al personal clave para garantizar el
adecuado nivel de cumplimiento de las normas
y procedimientos de seguridad. En estos casos,
se podra solicitar la firma de una carta o
documento por parte de estos empleados en el
que se comprometan a cumplir con las
directrices y principios establecidos en las
Polticas de Seguridad de la organizacin.
Tambin se podran contemplar las obligaciones
y responsabilidades mediante una serie de
clusulas anexas al contrato laboral de cada uno
Alvaro Gmez Vieites
de estos empleados. Esta medida podra
extenderse, si se considera necesario, a todo el
personal de la organizacin.
Las Polticas de Seguridad constituyen una
herramienta para poder hacer frente a futuros
problemas, fallos de sistemas, imprevistos o
posibles ataques informtica. Sin embargo, se
puede incurrir en una falsa sensacin de seguri-
dad si las Polticas de Seguridad no se han im-
plantado correctamente en toda la organizacin.
En consecuencia, la organizacin debera
tratar de evitar que las Polticas de Seguridad se
conviertan en un libro ms en las estanteras de
sus despachos. En este sentido, para conseguir
una implantacin real y eficaz de las medidas y
directrices definidas ser necesario contar con el
compromiso e implicacin real de los directivos
de la organizacin, aspecto fundamental para
poder disponer de los recursos necesarios y para
que su actuacin sirva de gua y referencia para
el resto de los empleados.
Asimismo, se podran adoptar una serie de
medidas para recordar la importancia de la segu-
ridad a los distintos empleados de la organiza-
cin en el da a da: mostrar mensajes de aviso
al entrar en el sistema; utilizar diverso material
impreso (alfombrillas, carteles informativos,
etctera) para recordar las principales directrices
de seguridad; llevar a cabo sesiones peridicas
de formacin y sensibilizacin de los emplea-
dos...
Por otra parte, la organizacin tambin de-
be contemplar una serie de actuaciones para
verificar el adecuado nivel de cumplimiento e
implantacin de las directrices y procedimientos
de seguridad: auditoras y revisiones peridicas;
simulacros de fallos y ataques informticos;
inspeccin manual de los procedimientos y
tareas realizadas da a da por el personal; utili-
zacin de herramientas para detectar violaciones
de la seguridad (intentos de acceso a carpetas y
documentos protegidos, contraseas poco robus-
tas o instalacin de software no autorizado en
los equipos de la organizacin, por citar algunas
de las ms frecuentes); cuestionarios y entrevis-
tas al personal para determinar su nivel de sen-
sibilizacin y conocimiento de las Polticas;
etctera.
Otra medida que contribuye a una adecuada
implantacin sera la actualizacin y revisin de
las Polticas de Seguridad cuando sea necesario,
manteniendo plenamente vigentes las directrices
y medidas establecidas.
Las posibles violaciones de las Polticas de
Seguridad pueden tener lugar por
desconocimiento o falta de la adecuada
formacin, por negligencia, por un fallo
accidental o bien por una actuacin
malintencionada de un determinado usuario del
sistema. Como consecuencia de estas
violaciones de las directrices y medidas de
seguridad, la organizacin deber determinar
cul es el nivel de responsabilidad del usuario y
de la gravedad de su actuacin, adoptando las
correspondientes medidas disciplinarias que
correspondan en cada caso.
Las medidas disciplinarias tendran que
haber sido previamente aprobadas y publicitadas
por la Direccin o el Departamento de Recursos
Humanos, contando con la participacin de los
propios representantes de los trabajadores. Estas
medidas disciplinarias deberan ser consecuen-
tes con el resto de las polticas de la empresa,
respetando adems los derechos fundamentales
de los trabajadores y la legislacin laboral vi-
gente.
7. AUDITORA DE LA GESTIN DE
LA SEGURIDAD
La Auditora de la Gestin de la Seguridad
constituye un elemento fundamental dentro de
las Polticas de Seguridad, ya que cumple con el
objetivo de poder verificar de forma peridica la
correcta configuracin de los equipos y el nivel
de implantacin de las Polticas y Procedimien-
tos de Seguridad definidos por la organizacin,
as como la adecuacin de stas a las nuevas
necesidades y caractersticas del sistema infor-
mtico de la organizacin.
En este sentido, sera conveniente que la
auditora se realizase de acuerdo con las guas y
recomendaciones de organismos reconocidos a
nivel nacional e internacional, como ISACA
(Information Systems Audit and Control Asso-
ciation, www.isaca.org).
Podemos considerar las siguientes etapas en
una auditora:
1. Planificacin de la auditora (tareas a
realizar y recursos necesarios), defi-
niendo el mbito y los objetivos perse-
guidos. Asimismo, ser necesario pro-
ceder a la validacin de estos objetivos
con los dueos y responsables del sis-
tema.
2. Realizacin de las tareas planificadas,
documentando cada una de estas tareas
y los resultados obtenidos.
3. Validacin de los resultados de la audi-
tora.
Alvaro Gmez Vieites
4. Elaboracin del informe con los resul-
tados de la auditora, las conclusiones y
recomendaciones.
5. Presentacin y aprobacin de la
auditora por parte de los dueos y
responsables del sistema.
En todo este proceso conviene destacar la
importancia de mantener la seguridad de los
registros de auditora (audit trails), que facili-
tan el seguimiento de la actividad en los siste-
mas que van a ser auditados.
REFERENCIAS BIBLIOGRFICAS
S. Barman, Writing Information Security
Policies, New Riders Publishing, 2001.
E. Casey, Digital Evidence and Computer
Crime: Forensic Science, Computers, and the
Internet, Academic Press, 2004.
E. Cole, R. Krutz, J. Conley, Network Se-
curity Bible, John Wiley & Sons, 2005.
C. Cresson, Information Security Policies
Made Easy, PentaSafe Security Technologies,
2002.
J. Erickson, Hacking: The Art of Exploita-
tion, No Starch Press, 2003.
A. Gmez, Enciclopedia de la Seguridad
Informtica, Ra-Ma, 2006.
K. Mitnick, W. Simon, The Art of Intru-
sion, John Wiley & Sons, 2005.
RFCs 1244, 2196 y RFC 3067.
R. Russell, Stealing the Network: How to
Own the Box, Syngress, 2003.
J. Scambray, S. McClure, G. Kurtz, Hack-
ing Exposed: Network Security Secrets & Solu-
tions - 2nd Edition, Osborne/McGraw-Hill,
2001.
J. Scambray, M. Shema, Hacking Exposed
Web Applications, Osborne/McGraw-Hill,
2002.
RESEA CURRICULAR DEL AUTOR
lvaro Gmez Vieites
Ingeniero de Telecomunicacin por la
Universidad de Vigo. Especialidades de Tele-
mtica y de Comunicaciones. Nmero uno de su
promocin (1996) y Premio Extraordinario Fin
de Carrera.
Ingeniero Tcnico en Informtica de
Gestin por la UNED (2004-2006). Premio al
mejor expediente acadmico del curso 2004-
2005 en la Escuela Tcnica Superior de
Ingeniera Informtica de la UNED
Executive MBA y Diploma in Business
Administration por la Escuela de Negocios
Caixanova.
Ha sido Director de Sistemas de Informa-
cin y Control de Gestin en la Escuela de Ne-
gocios Caixanova. Profesor colaborador de esta
entidad desde 1996, responsable de los cursos y
seminarios sobre Internet, Marketing Digital y
Comercio Electrnico.
Socio-Director de la empresa SIMCe Con-
sultores, integrada en el Grupo EOSA.
Autor de varios libros y numerosos
artculos sobre el impacto de Internet y las TICs
en la gestin empresarial.

Alvaro Gmez Vieites