UNIVERSIDAD NACIONAL

DE INGENIERA
FACULTAD DE INGENIERIA
INDUSTRIAL Y DE SISTEMAS

PAPER 4
CURSO

PROYECTO DE TESIS EN ING. DE SISTEMAS I

PROFESOR

TEMA

POLTICAS DE SEGURIDAD INFORMTICA

ALUMNO

:
:

ING. SOTELO VILLENA, JUAN CARLOS

AMPUERO BUENDIA, GONZALO ERIC

2012-I

UNI-FIIS

NDICE
1

QUE PROBLEMA TRATA________________________________________________________3

SOLUCIONES O ESTUDIOS ANTERIORES REVISADAS POR EL AUTOR_______3

QUE PROPONE EL AUTOR______________________________________________________4

RESULTADOS___________________________________________________________________6

APRECIACIN CRTICA_________________________________________________________6

BIBLIOGRAFA__________________________________________________________________6

Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 2 / 7

UNI-FIIS
1

QUE PROBLEMA TRATA

Como disear una poltica de seguridad basndose en la norma ISO 17799.

La globalizacin de la economa ha exigido que las empresas implementen
plataformas tecnolgicas que soporten la nueva forma de hacer negocios. El uso
de Internet para este fin, conlleva a que se desarrollen proyectos de seguridad
informtica que garanticen la integridad, disponibilidad y accesibilidad de la
informacin. La creacin de polticas de seguridad es una labor fundamental que
involucra las personas, los procesos y los recursos de la compaa.
2

SOLUCIONES O ESTUDIOS ANTERIORES REVISADAS POR EL AUTOR

Charles Cresson Wood

Polticas de Seguridad Informtica, Charles Cresson Wood, CISA CISSP, captulo
1 pg. 8, Las polticas de seguridad informtica representan un tipo especial de
reglas de negocios documentadas. Hace 25 aos no exista tal necesidad de
polticas, pero el cambio ha sido estimulado por la explosin de tecnologas de
manejo de informacin, incluyendo a los telfonos celulares, los buscapersonas
y los computadores.
Los que trabajan en el ambiente empresarial deben recibir instrucciones claras y
definitivas que los ayuden a garantizar la seguridad de la informacin generada
en el complejo mundo de los negocios.
ISACA
Estndares de Seguridad, ISACA, COBIT Normatividad General, Pag. 5. Hoy en
da, las vulnerabilidades son explotadas a una velocidad mucho mayor por
aquellas personas cuya intencin es daar los activos de las empresas. Dicha
velocidad implica que debemos estar ms alertas que nunca, no slo actuando
en consecuencia, sino tambin previniendo posibles riesgos y problemas de
seguridad.
ISO27001:2005 Information Security Management- Specifications for
an ISM
ISO27001:2005 Information Security Management- Specifications for an ISM ,
Chapter 3, page 58. El establecimiento de una poltica de seguridad, integra un
conjunto de directrices, normas, procedimientos e instrucciones que gua las
actuaciones de trabajo y define los criterios de seguridad para que sean
adoptados a nivel local o institucional, con el objetivo de establecer,
estandarizar y normalizar la seguridad tanto en el mbito humano como en el
tecnolgico.

Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 3 / 7

UNI-FIIS
A partir de sus principios, es posible hacer de la seguridad de la informacin un
esfuerzo comn, en tanto que todos puedan contar con un arsenal informativo
documentado y normalizado, dedicado a la estandarizacin del mtodo de
operacin de cada uno de los individuos involucrados en la gestin de la
seguridad de la informacin.

Sistemas de Informacin Gerencial

Sistemas de Informacin Gerencial, Segunda Edicin, pag. 45, El entrenamiento
de personas debe ser constante, de tal manera que se actualice toda la empresa
con relacin a los conceptos y normas de seguridad, adems de sedimentar la
conciencia de seguridad, para tornarla como un esfuerzo comn entre todos los
involucrados.

Norma ANSI TIA/EIA

Norma ANSI TIA/EIA (Instituto Nacional Americano de Normalizacin), ISO 17799
versin 2000, Captulo 1, Domins de Seguridad. Organizacin voluntaria
compuesta por corporativas, organismos del gobierno y otros miembros que
coordinan las actividades relacionadas con estndares, aprueban los estndares
nacionales de los EE.UU. y desarrollan posiciones en nombre de los Estados
Unidos ante organizaciones internacionales de estndares. ANSI ayuda a
desarrollar estndares de los EE.UU. e internacionales en relacin con, entre
otras cosas, comunicaciones y networking. ANSI es miembro de la IEC (Comisin
Electrotcnica Internacional), y la Organizacin Internacional para la
Normalizacin.

QUE PROPONE EL AUTOR

Para elaborar una poltica de seguridad de la informacin es importante tomar

en cuenta las exigencias bsicas y las etapas necesarias para su produccin.
1. Exigencias de la Poltica: La poltica es elaborada tomando como base la
cultura de la organizacin
y el conocimiento especializado en seguridad
de los profesionales involucrados con su aplicacin y comprometimiento. Es
importante considerar que para la elaboracin de una poltica de seguridad
institucional se debe:
a. Integrar el comit de seguridad responsable de definir la poltica (equipo
multidisciplinario)
Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 4 / 7

UNI-FIIS
b. Elaborar el documento final (preocupaciones de la administracin, atribucin
de las
responsabilidades de las personas involucradas, legislacin y clusulas
contractuales, prevencin contra amenazas, educacin y formacin en
seguridad de la informacin.)
c. Hacer oficial la poltica una vez que se tenga definida (aprobacin por parte
de la administracin, mecanismos de comunicacin efectiva a socios,
empleados, proveedores y clientes de la empresa).
2. Etapas de produccin de la poltica: Elaborar una poltica es un proceso que
exige tiempo e informacin. Es necesario saber cmo se estructura la
organizacin y cmo son dirigidos en la actualidad sus procesos.

A partir de este reconocimiento, se evala el nivel de seguridad existente para

poder despus detectar los puntos a analizar para que est en conformidad con
los estndares de seguridad.
Documentos de una poltica de seguridad
Un modelo propuesto segn la norma ISO 17799 la cual recomienda la
aplicacin de estndares encaminados a la seguridad informtica plantea tres
grandes secciones:
Las directrices son un conjunto de reglas generales de nivel estratgico
donde se expresan los valores de la seguridad de la organizacin. Es
propuesta por el lder empresarial de la organizacin y tiene como su base
la misin y visin para abarcar toda la filosofa de la seguridad de la
informacin.
Las normas son un conjunto de reglas generales y especficas de la
seguridad de la informacin que deben ser usadas por todos los
segmentos involucrados en todos los procesos de negocio de la
institucin, y que deben ser elaboradas por activo, rea, tecnologa,
proceso de negocio, pblico a que se destina, etc. Las normas de
seguridad para usuarios son dirigidas para el uso de ambientes
informatizados, basadas en aspectos genricos como el cuidado con las
claves de acceso, manejo de equipos o estaciones de trabajo, inclusin y
exclusin de usuarios, administracin de sistemas operativos, etc.
Los procedimientos e instrucciones de trabajo son un conjunto de
orientaciones para realizar las actividades operativas, que representa las
relaciones interpersonales e nter departamentales y sus respectivas
Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 5 / 7

UNI-FIIS
etapas de trabajo para su implementacin y mantenimiento de la
seguridad de la informacin.
Seguridad fsica: acceso fsico, estructura del edificio, centro de datos.
Seguridad de la red corporativa: configuracin de los sistemas operativos,
acceso lgico y remoto, autenticacin, Internet, disciplina operativa,
gestin de cambios, desarrollo de aplicaciones.
Seguridad de usuarios: composicin de claves, seguridad en estaciones
de trabajo, formacin y creacin de conciencia.
Seguridad de datos: criptografa, clasificacin, privilegios, copias de
seguridad y recuperacin, antivirus, plan de contingencia.
Auditoria de seguridad: anlisis de riesgo, revisiones peridicas, visitas
tcnicas, monitoreo y auditoria.
Aspectos legales: prcticas personales, contratos y acuerdos comerciales,
leyes y reglamentacin gubernamental.
Una poltica de seguridad para que sea efectiva, necesita contar con elementos
indispensables que apoyen este proceso: La cultura organizacional, las
herramientas y el monitoreo. Esto involucra la participacin directa y
comprometida de las personas, el diseo de planes de capacitacin constante a
los usuarios. La disponibilidad de recursos financieros, tcnicos y tecnolgicos es
fundamental y sobre todo actividades de control y retroalimentacin que
diagnostiquen e identifiquen puntos dbiles para fortalecerlos siguiendo las
mejores prcticas.
4

RESULTADOS

Cada vez encontramos ms gerentes interesados en entender las reglas del

negocio, entre ellas las referentes a las polticas de seguridad informtica. El
ofrecer productos o servicios a travs de Internet sin tomar en cuenta la
seguridad informtica no slo denota negligencia, sino que constituye una
invitacin para que ocurran incidentes de seguridad que podran daar
severamente la reputacin y afectar los ciclos del negocio.
Las empresas necesitan tener una infraestructura de informtica segura, que
minimice los riesgos asociados con la seguridad y los costos de administracin y
operaciones.
El secreto del xito, tanto individual como de un negocio, de una empresa
estatal, etc., depende cada vez ms de la habilidad para poder comunicarse con
cualquiera, en tiempo real y con los niveles de seguridad necesarios.

Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 6 / 7

UNI-FIIS
La aparicin de la conectividad generalizada a travs de Internet, as como de
dispositivos cada vez ms potentes y omnipresentes, ha causado una revolucin
en el terreno de las comunicaciones y la informtica.
5

APRECIACIN CRTICA

Considero entendible puesto que pone nfasis en que Las polticas de seguridad
deben ser claras, concisas, contextualizadas a una realidad, enfocadas a las
forma de hacer negocios de la empresa. Nos ilustra de una manera clara la
relacin entre el mundo de los negocios y las transacciones electrnicas y la
seguridad que se debe dar en ellas

BIBLIOGRAFA
BS7799:1 Information Security Management- Part 1: Code of practice for
information security management.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Estndares
de Seguridad, ISACA, IEC/ISO.http://www.isaca..org.
http://www.crt.org
WOOD,Charles Cresson. Polticas de Seguridad Informtica, CISA CISSP.

Proyecto de Tesis en Ingeniera de Sistemas I (ST214-U)

Pgina. 7 / 7