4.

1 Polticas de Seguridad Informtica

Las polticas son una serie de instrucciones documentadas que indican la forma en que se
llevan a cabo determinados procesos dentro de una organizacin, tambin describen cmo
se debe tratar un determinado problema o situacin.
Este documento est dirigido principalmente al personal interno de la organizacin, aunque
hay casos en que tambin personas externas quedan sujetas al alcance de las polticas.


Por simples qeu parezcan, las polticas de seguridad pueden evitar desastres mayores
Las polticas pueden considerarse como un conjunto de leyes obligatorias propias de una
organizacin, y son dirigidas a un pblico mayor que las normas pues las polticas
proporcionan las instrucciones generales, mientras que las normas indican requisitos
tcnicos especficos. Las normas, por ejemplo, definiran la cantidad de bits de la llave
secreta que se requieren en un algoritmo de cifrado. Por otro lado, las polticas simplemente
definiran la necesidad de utilizar un proceso de cifrado autorizado cuando se enve
informacin confidencial a travs de redes pblicas, tales como Internet.
Entrando al tema de seguridad informtica, una poltica de seguridad es un conjunto de
reglas y prcticas que regulan la manera en que se deben dirigir, proteger y distribuir los
recursos en una organizacin para llevar a cabo los objetivos de seguridad informtica de la
misma.

4.1.1 Objetivo de una poltica de seguridad
El objetivo de una poltica de seguridad informtica es la de implantar una serie de leyes,
normas, estndares y prcticas que garanticen la seguridad, confidencialidad y
disponibilidad de la informacin, y a su vez puedan ser entendidas y ejecutadas por todos
aquellos miembros de la organizacin a las que van dirigidos.

4.1.2 Misin, visin y objetivos de la organizacin
La misin, visin y objetivos varan mucho de una organizacin a otra, esto es normal si se
considera que una organizacin es diferente de otra en sus actividades y en el conjunto de
elementos que la conforman (Elementos humanos, recursos materiales, infraestructura).
De manera rpida se definirn los conceptos de misin, visin y organizacin.
Misin
Una misma organizacin puede tener varias misiones, que son las actividades objetivas y
concretas que realiza. Las misiones tambin pretenden cubrir las necesidades de la
organizacin.
La misin es influenciada en momentos concretos por algunos elementos como: la historia
de la organizacin, las preferencias de la gerencia y/o de los propietarios, los factores
externos o del entorno, los recursos disponibles, y sus capacidades distintivas
Visin
Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida, pues
todas las actividades de la organizacin estarn enfocadas a alcanzar esta visin.
Objetivos
Son actividades especficas enfocadas a cumplir metas reales, alcanzables y accesibles. Se
puede decir que un objetivo es el resultado que se espera logrra al final de cada operacin.
As, se vuelve importante considerar la misin, la visin y el objetivo de ser de la empresa,
a fin de realizar un estudio que con base en stas permita identificar el conjunto de polticas
de seguridad informtica que garantice la seguridad, confidencialidad y disponibilidad de la
informacin.

4.1.3 Principios fundamentales de las polticas de seguridad
Son las ideas principales a partir de las cuales son diseadas las polticas de seguridad.
Los principios fundamentales son: responsabilidad individual, autorizacin, mnimo
privilegio, separacin de obligaciones, auditora y redundancia.

4.1.3.1 Responsabilidad individual
Este principio dice que cada elemento humano dentro de la organizacin es responsable de
cada uno de sus actos, aun si tiene o no conciencia de las consecuencias.

4.1.3.2 Autorizacin
Son las reglas explcitas acerca de quin y de qu manera puede utilizar los recursos.

4.1.3.3 Mnimo privilegio
Este principio indica que cada miembro debe estar autorizado a utilizar nicamente los
recursos necesarios para llevar a cabo su trabajo. Adems de ser una medida de seguridad,
tambin facilita el soporte y mantenimiento de los sistemas.

4.1.3.4 Separacin de obligaciones
Las funciones deben estar divididas entre las diferentes personas relacionadas a la misma
actividad o funcin, con el fin de que ninguna persona cometa un fraude o ataque sin ser
detectado. Este principio junto con el de mnimo privilegio reducen la posibilidad de
ataques a la seguridad, pues los usuarios slo pueden hacer uso de los recursos relacionados
con sus actividades, adems de que facilita el monitoreo y vigilancia de usuarios,
permitiendo registrar y examinar sus acciones.

4.1.3.5 Auditora
Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos,
deben ser monitoreados desde el inicio y hasta despus de ser terminado el proceso.
Adems es importante considerar que una auditora informtica busca verificar que las
actividades que se realizan as como las herramientas instaladas y su configuracin son
acordes al esquema de seguridad informtica realizado y si ste es conveniente a la
seguridad requerida por la empresa.

4.1.3.6 Redundancia
Trata entre otos aspectos sobre las copias de seguridad de la informacin, las cuales deben
ser creadas mltiples veces en lapsos de tiempos frecuentes y almacenados en lugares
distintos.
Sin embargo, la redundancia como su nombre lo indica, busca duplicar y en este sentido
se puede decir que a travs de los respaldos se duplica informacin, y lo mismo se puede
realizar en diferentes aspectos, como por ejemplo: en cuanto a energa elctrica, una planta
de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en
operacin cuando el primario sufra una avera, etctera, de manera tal que la redundancia se
considera en aquellos casos o servicios que se vuelven imprescindibles para la empresa y
que no pueden suprimirse pase lo que pase.

Mulpiles respaldos de la misma informacin es un ejemplo de cmo la redundancia es
benfica

4.1.4 Polticas para la confidencialidad
Desde el primer captulo de esta investigacin, se ha mencionado la necesidad de mantener
el control sobre quin puede tener acceso a la informacin (ya sea a los documentos
escritos o a los medios electrnicos) pues no siempre queremos que la informacin est
disponible para todo aquel que quiera obtenerla.
Por ello existen las polticas de confidencialidad, encargadas de establecer la relacin entre
la clasificacin del documento y el cargo (nivel jerrquico dentro de la organizacin) que
una persona requiere para poder acceder a tal informacin.

4.1.5 Polticas para la integridad
La poltica de integridad est orientada principalmente a preservar la integridad antes que la
confidencialidad, esto se ha dado principalmente porque en muchas de las aplicaciones
comerciales del mundo real es ms importante mantener la integridad de los datos pues se
usan para la aplicacin de actividades automatizadas an cuando en otros ambientes no es
as, como en los mbitos gubernamental o militar.

4.1.6 Modelos de Seguridad: abstracto, concreto, de control de acceso y de flujo de
informacin
Un modelo de seguridad es la presentacin formal de una poltica de seguridad ejecutada
por el sistema. El modelo debe identificar el conjunto de reglas y prcticas que regulan
cmo un sistema maneja, protege y distribuye la informacin.
Los modelos de seguridad pueden ser de dos tipo, abstracto y concreto:

Modelo Abstracto
Se ocupa de las entidades abstractas como sujetos y objetos.

Modelo Concreto
Traduce las entidades abstractas a entidades de un sistema real como procesos y archivos.
Tambin pueden clasificarse como modelos de control de acceso y modelos de flujo de
informacin.

Modelos de control de acceso
Identifican las reglas necesarias para que un sistema lleve a cabo el proceso que asegura
que todo acceso a los recursos, sea un acceso autorizado, en otras palabras, se enfoca a la
proteccin, administracin y monitoreo de los procedimientos de acceso a la informacin.
Estos modelos refuerzan el principio fundamental de seguridad de autorizacin, ya que ste
protege tanto a la confidencialidad como a la integridad.

Modelos de flujo de informacin
Una meta de las polticas de seguridad es proteger la informacin. Los modelos de control
de acceso se aproximan a dicha meta indirectamente, sin relacionarse con la informacin
pero s con objetos (tales como archivos) que contienen informacin. Estos modelos se
enfocan a proteger los objetos con los que se trabajan en el sistema una vez que se han
superado los procesos de control de acceso.

4.1.7 Desarrollo de polticas orientadas a servicios de seguridad
Las polticas de seguridad son un conjunto de normas y procedimientos que tienen por
objetivo garantizar la seguridad en cada proceso en los que estn involucrados. Esto es
aplicable a todos los procesos llevados a cabo en una organizacin, incluso los servicios de
seguridad (Confidencialidad, autenticacin, integridad, no repudio, control de acceso,
disponibilidad) son diseados con base en estos documentos.

4.1.8 Publicacin y Difusin de las Polticas de Seguridad
Como todos los documentos creados por una organizacin, se debe decidir correctamente
hacia qu grupos van dirigidas las polticas de seguridad, por qu medios se van a dar a
conocer, si se desea que otros grupos puedan conocer su contenido.
El objetivo principal de la publicacin y difusin es que el grupo objetivo entienda en qu
consisten las polticas y se cree conciencia sobre su importancia a travs de plticas y
talleres para tal fin.

4.2 Procedimientos y Planes de Contingencia
Solo cuando una organizacin toma conciencia de lo importante que es la seguridad de sus
recursos incluyendo sus tecnologas de la informacin, es cuando empieza a disear y
establecer medidas de seguridad que tienen por objetivo protegerla de diversas situaciones
perjudiciales.
Aunque prevenir stos desastres es de vital importancia, tampoco se puede descuidar la casi
inevitable eventualidad de que sucedan, para ello tambin se necesita formular y establecer
una serie de procedimientos que permitan enfrentar los problemas y posteriormente
restaurar las condiciones normales de operacin del rea afectada.

4.2.1 Procedimientos Preventivos
Contempla todos los procedimientos antes de que se materialice una amenaza, su finalidad
es evitar dicha materializacin.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que
realiza la organizacin, los recursos que tiene disponibles, que es lo que quiere proteger, las
instalaciones en que labore y la tecnologa que use.
Las actividades que se realizan en este punto son las siguientes:
-Copias de seguridad de las bases de datos y otros tipos de documentos con informacin
indispensable para la organizacin
-Instalacin de dispositivos de seguridad tales como cerraduras, alarmas, puertas
electrnicas, cmaras de seguridad, software de proteccin para los equipos de cmputo,
entre otros.
-Inspeccionar y llevar un registro constante del funcionamiento y estado de los recursos
informticos, la infraestructura y las condiciones del edificio.
-Instauracin de servicios de seguridad, como lneas telefnicas de emergencia, extintores,
construccin de rutas de emergencia (Entrada y salida), plantas elctricas de emergencia,
etc.
-Establecer un centro de servicio alternativo que cuente con los recursos necesarios para
continuar las operaciones de la organizacin hasta el momento en que el centro de trabajo
normal pueda ser usado en condiciones normales.
-Capacitacin del personal en el uso adecuado de las tecnologas informticas, en le
ejecucin correcta de sus labores y en la ejecucin de los procedimientos de emergencia.

4.2.2 Procedimientos Correctivos
Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los
daos producidos por un desastre, ataque u otra situacin desfavorable y restaurar el
funcionamiento normal del centro de operacin afectado.
Al igual que los procedimientos preventivos, pueden variar segn los recursos disponibles,
pero tambin vara dependiendo el dao que se quiere contrarrestar pues no todas las
emergencias requieren el uso de todos los procedimientos correctivos definidos por la
organizacin.

4.2.3 Planes de Contingencia
El Plan de Contingencias es el instrumento de gestin para el manejo de las Tecnologas de
la Informacin y las Comunicaciones.
Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para
garantizar la continuidad de las operaciones de una institucin en caso de desastres y
situaciones catastrficas como incendios, terremotos, inundaciones, etc. pero tambin
contiene las medidas para enfrentar los daos producidos por robo, sabotaje e incluso
ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia
sea rpida y efectiva. Sin una previa planificacin de contingencia se perder mucho tiempo
en los primeros das de una emergencia.

4.2.3.1 Objetivos y Caractersticas de un Plan de Contingencias
Los principales puntos que debe cumplir un plan de contingencia son:
-Reducir la probabilidad de que ocurra un desastre.
-Establecer los procedimientos necesarios para enfrentar y solucionar los eventos negativos
que se presenten.
-Aminorar los efectos negativos de un desastre una vez ocurrido.
-Asegurar la continuidad de las operaciones de la organizacin.
-Reestablecer el funcionamiento normal de las reas afectadas por el desastre.
-Dar a conocer el plan de contingencia al personal involucrado.
Para lograr tales objetivos, se debe disear e implantar una serie de procedimientos acorde
a las necesidades y recursos disponibles que permitan responder de manera oportuna y
precisa a todos los eventos negativos a los que se enfrente la organizacin.
Estos procedimientos deben estar basados en los resultados obtenidos de un anlisis previo
de riesgos y un establecimiento de prioridades.

4.2.3.2 Fases del Plan de Contingencia
Un plan de contingencias est dividido en fases, esto facilita el monitoreo del desempeo
de dicho plan as como tambin ayuda a la deteccin de fallos e implementacin de
mejoras, pues cada fase est enfocado a una serie de aspectos especficos y cualquier
posible cambio se aplicar a partir de la fase apropiada sin necesidad de modificar todo el
plan completo.
Las fases se pueden dividir en anlisis y diseo, desarrollo, pruebas y mantenimiento.

En cada fase se realizan diferentes actividades, esto facilita posbiles modificaciones
futuras

4.2.3.2.1 Anlisis y Diseo
En esta fase se identifican las funciones de la organizacin que pueden considerarse como
crticas y se les da un orden jerrquico de prioridad.
Se define y se documentan las amenazas a las que estn expuestas las funciones crticas y
se analiza el impacto que tendr un desastre en las funciones en caso de materializarse.
Tambin se definen los niveles mnimos de servicio aceptable para cada problema
planteado.
Se identifican las posibles alternativas de solucin as como evaluar una relacin de
costo/beneficio para cada alternativa propuesta

4.2.3.2.2 Desarrollo de un plan de contingencias

En esta fase se crear la documentacin del plan, cuyo contenido mnimo ser:
Objetivo del plan.
Modo de ejecucin.
Tiempo de duracin.
Costes estimados.
Recursos necesarios.
Evento a partir del cual se pondr en marcha el plan.
Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
Es necesario que el plan sea validado por los responsables de las reas involucradas. De
igual manera hay que tener en cuenta las posibles consecuencias jurdicas que pudiesen
derivarse de las actuaciones contempladas en l.

4.2.3.2.3 Pruebas y Mantenimiento
Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un
posible problema dentro de los escenarios establecidos en la etapa de diseo. Las pruebas
no deben buscar comprobar si un plan funciona, mas bien debe enfocarse a buscar
problemas y fallos en el plan para as poder corregirlos. Es necesario documentar las
pruebas para su aprobacin por parte de las reas implicadas
En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero
tambin se revisa que los elementos preparados para poner en accin el plan de
contingencia estn en condiciones ptimas para ser usados de un momento a otro para
contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir.
Algunas de las actividades realizadas en esta fase son:
- Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de
contingencia.
- Verificar los procedimientos que se emplearan para almacenar y recuperar los datos
(backup).
- Comprobar el correcto funcionamiento del disco extrable, y del software encargado de
realizar dicho backup.
- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en
el plan de contingencia para la medicin de su efectividad.