UNIVERSIDAD INSURGENTES

Plantel Tlhuac

POLITICAS DE
SEGURIDAD
INFORMATICA
Rogelio Malvaez Escamilla

SEGURIDAD INFORMATICA

POLITICAS DE SEGURIDAD.
Qu son las polticas de seguridad informtica (PSI)?
Una poltica de seguridad informtica es una forma de comunicarse con
los usuarios y los gerentes. Las PSI establecen el canal formal de
actuacin del personal, en relacin con los recursos y servicios
informticos, importantes de la organizacin. No se trata de una
descripcin tcnica de mecanismos de seguridad, ni de una expresin
legal que involucre sanciones a conductas de los empleados. Es ms
bien una descripcin de los que deseamos proteger y el porqu de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones
de los recursos y servicios informticos crticos de la compaa. Es un
conjunto de requisitos definidos por los responsables de un sistema, que
indica en trminos generales que est y que no est permitido en el rea
de seguridad durante la operacin general del sistema. Una declaracin
de intenciones de alto nivel que cubre la seguridad de los sistemas
informticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones tcnicas y organizativas
que se requerirn.
La poltica se refleja en una serie de normas, reglamentos y protocolos a
seguir, donde se definen las medidas a tomar para proteger la seguridad
del sistema; pero... ante todo, "una poltica de seguridad es una forma
de comunicarse con los usuarios... Siempre hay que tener en cuenta que
la seguridad comienza y termina con personas. Y debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma). No
tiene sentido proteger el acceso con una puerta blindada si a esta no se
la ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una
caja fuerte para proteger un lpiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su
eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones
y actividades, donde se conocen las alternativas ante circunstancias
repetidas.

Rogelio Malvaez Escamilla

Lic. Informtica

SEGURIDAD INFORMATICA

Cualquier poltica de seguridad ha de contemplar los elementos claves

de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad
y, adicionalmente, Control, Autenticidad y Utilidad.

Elementos de una poltica de seguridad informtica.

Como mencionbamos en el apartado anterior, una PSI debe orientar las
decisiones que se toman en relacin con la seguridad. Por tanto,
requiere de una disposicin por parte de cada uno de los miembros de la
empresa para lograr una visin conjunta de lo que se considera
importante.
Las PSI deben considerar entre otros, los siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y

personal sobre la cual aplica. Es una invitacin de la organizacin
a cada uno de sus miembros a reconocer la informacin como uno
de sus principales activos as como, un motor de intercambio y
desarrollo en el mbito de sus negocios. Invitacin que debe
concluir en una posicin.
Objetivos de la poltica y descripcin clara de los elementos
involucrados en su definicin.
Responsabilidades por cada uno de los servicios y recursos
informticos a todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de los
sistemas que cobija el alcance de la poltica.
Definicin de violaciones y de las consecuencias del no
cumplimiento de la poltica.
Responsabilidades de los usuarios con respecto a la informacin a
la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qu
deben tomarse ciertas decisiones, transmitir por qu son importantes
estos u otros recursos o servicios.

Parmetros para establecer polticas de seguridad.

Si bien las caractersticas de la PSI que hemos mencionado hasta el
momento, nos muestran una perspectiva de las implicaciones en la
formulacin de estas directrices, revisaremos a continuacin, algunos
aspectos generales recomendados para la formulacin de las mismas.

Rogelio Malvaez Escamilla

Lic. Informtica

SEGURIDAD INFORMATICA

Considere efectuar un ejercicio de anlisis de riesgos informtico,

a travs del cual valore sus activos, el cual le permitir afinar las
PSI de su organizacin.
Involucre a las reas propietarias de los recursos o servicios, pues
ellos poseen la experiencia y son fuente principal para establecer
el alcance y las definiciones de violaciones a la PSI.
Comunique a todo el personal involucrado en el desarrollo de las
PSI, los beneficios y riesgos relacionados con los recursos y bienes,
y sus elementos de seguridad.
Recuerde que es necesario identificar quin tiene la autoridad para
tomar decisiones, pues son ellos los responsables de salvaguardar
los activos crticos de la funcionalidad de su rea u organizacin.
Desarrolle un proceso de monitoreo peridico de las directrices en
el hacer de la organizacin, que permita una actualizacin
oportuna de las mismas.

Un ltimo consejo: no d por hecho algo que es obvio. Haga explcito y

concreto los alcances y propuestas de seguridad, con el propsito de
evitar sorpresas y malos entendidos en el momento de establecer los
mecanismos de seguridad que respondan a las PSI trazadas.

Rogelio Malvaez Escamilla

Lic. Informtica