Tecnologas de Informacin y

Comunicacin I
Semestre I - 2016

AVANCE
Unidades de Aprendizaje

Unidad 1
Introduccin a
la Seguridad
Informatica

Unidad 2
Anlisis y
Gestion de
Riesgos

Unidad 3
Poltica y Plan
de Seguridad

Hitos de la poltica de
Seguridad
Consideraciones en la
elaboracin de la Poltica de
Seguridad
Documentos generados por
la Poltica de Seguridad

Unidad 4
Control de
Acceso

Unidad 5
Mtodos y
modelos de
defensa

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad
"Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo
sucede, nos lamentamos de no haber invertido ms... Ms vale dedicar recursos a la
seguridad que convertirse en una estadstica.
Hoy es imposible hablar de un sistema 100% seguro, sencillamente porque el costo de la
seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar
entre perder un negocio o arriesgarse a ser hackeadas.
"Si un Hacker quiere gastar cien mil dlares en equipos para descifrar una encriptacin, lo
puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar
millones de dlares".

La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo que se

refiere a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo
un conjunto de vulnerabilidades, aunque no se logre la seguridad total.

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad

Algunas organizaciones gubernamentales y no gubernamentales internacionales han

desarrollado documentos, directrices y recomendaciones que orientan en el uso
adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso
indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y
servicios de las empresas.
En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos.
El proponer o identificar una poltica de seguridad requiere un alto compromiso con la
organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para
renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las
organizaciones modernas.

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad

La Seguridad Informtica no tiene una solucin definitiva aqu y ahora, sino que es y ser el
resultado de la innovacin tecnolgica, a la par del avance tecnolgico, por parte de aquellos
que son los responsables de nuestros sistemas.
Armar una poltica de procedimientos de seguridad en una empresa es muy costoso y el
resultado puede ser nulo. Ya que puede resultar en un manual que llevado a la
implementacin nunca se realiza.
Es muy difcil armar algo global, por lo que siempre se debe tranbajar en un plan de seguridad
real: las polticas y procedimientos por un lado y la parte fsica por otra.

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad
Algunos conceptos aplicados en la definicin de una PSI:
Decisin: Eleccin de un curso de accin determinado entre varios posibles.
Plan: Conjunto de decisiones que definen cursos de accin futuros y los medios para conseguirlos.
Consiste en disear un futuro deseado y la bsqueda del modo de conseguirlo.
Estrategia: Conjunto de decisiones que se toman para determinar polticas, metas y programas.
Poltica: Definiciones establecidas por la direccin, que determina criterios generales a adoptar en
distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.

Meta: Objetivo cuantificado a valores predeterminados.

Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una actividad determinada.

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad
Norma: Forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para
coordinar y controlar operaciones.
Proyeccin: Prediccin del comportamiento futuro, basndose en el pasado sin el agregado de
apreciaciones subjetivas.

Pronostico: Prediccin del comportamiento futuro, con el agregado de hechos concretos y conocidos
que se prev influirn en los acontecimientos futuros.
Control: Capacidad de ejercer o dirigir una influencia sobre una situacin dada o hecho. Es una accin
tomada para hacer un hecho conforme a un plan.
Riesgo: Proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos, hechos
desafortunados, etc., que puede tener un efecto adverso. Sinnimos: amenaza, contingencia,
emergencia, urgencia, apuro.

Unidad 3: Poltica y Plan de Seguridad

Poltica de Seguridad
Concepto
Una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un
sistema, que indica en trminos generales que est y que no est permitido en el rea de
seguridad durante la operacin general del sistema.

La Poltica de Seguridad es una declaracin de intenciones de alto nivel que cubre la seguridad de
los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades
para las diversas actuaciones tcnicas y organizativas que se requerirn.
Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad: la
Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

Unidad 3: Poltica y Plan de Seguridad

Estrategia o Plan de Seguridad
Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos
niveles que esta debe abarcar:
Fsica
Lgica
Humana
y la interaccin que existe entre estos factores
En cada caso se debe considerar que el plan de seguridad incluya una estrategia Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un conjunto de pasos que
ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad
y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar
esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de
contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a
conseguir que las funciones comerciales se normalicen lo antes posible.

Unidad 3: Poltica y Plan de Seguridad

Estrategia o Plan de Seguridad

Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona
una serie de servicios bien determinados y documentados, y cualquier otra cosa est
prohibida.
Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique
expresamente que cierto servicio no est disponible, todos los dems s lo estarn.
Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los
procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones
se toleran y cules no.

Unidad 3: Poltica y Plan de Seguridad

Estrategia o Plan de Seguridad
Proceso

Implementacin

Pruebas

Auditora y
Control

Plan de
Contingencia

Backups

Equipos de
Respuesta a
Incidentes