Políticas de Seguridad Informática. COMP 4410: Computer Security Profa. M. Gisela Rivera

1. Políticas de Seguridad
Roberto J. Rodriguez Diaz
29 de abril de 2016
Profa. Ma. Gisela Rivera
COMP 4410: Computer Security

2. ¿Qué son políticas de seguridad?
 Las políticas de seguridad (PSI), son un
conjunto de requisitos declarados por los
responsables de un sistema. Indican en
términos generales lo permitido o no
respecto a la seguridad durante la
operación de un sistema.
 Se enfocan en la protección de la
infraestructura de un sistema o red, para
llegar a este fin existen una serie de
estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para
reducir los posibles riesgos a la
infraestructura o a la data.

3. Servicios de PSI
 Confidencialidad: Garantiza que cada mensaje transmitido o almacenado en un
sistema informático sólo podrá ser leído por su legítimo destinatario.
 Autenticación: Asegura que la identidad del creador de un mensaje o documento
es autentica.
 Integridad: Se refiere a garantizar que un mensaje o archivo no ha sido modificado
desde su creación o durante su transmisión.
 Disponibilidad: Su propósito es corroborar que la data pueda estar
permanentemente a disposición de los usuarios que deseen acceder a sus servicios.

4. Conceptos de PSI
 Decisión: Selección de un curso de acción al evaluar las entre varios posibles.
 Plan: Conjunto de decisiones que definen cursos de acción futuros y los medios
para conseguirlos.
 Estrategia: Plan desarrollado para determinar políticas, metas y programas.
 Meta: Objetivo cuantificado a valores predeterminados.
 Procedimiento: Serie de pasos a ejecutar para ejecutar una actividad determinada.

5. Conceptos de PSI
 Norma: Manera en la cual se realiza un procedimiento o proceso.
 Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo con
la función de coordinar y controlar operaciones.
 Proyección: Expectativas de comportamiento futuro basado en sucesos del pasado.
 Pronóstico: predicción del comportamiento futuro, con el agregado de hechos
concretos y conocidos que se prevé influirán en los acontecimientos futuros.
 Control: Acción tomada para hacer un hecho conforme a un plan.
 Riesgo: Posibilidad de un daño o peligro.

6. ¿Como desarrollar una política de
seguridad?
La seguridad de los sistemas informáticos posee un enfoque en garantizar la
capacidad de acceder datos y recursos del sistema al configurar los medios de
verificación y control. Estos aseguran que los usuarios reciban el nivel de acceso que
se la haya otorgado. Los mecanismos de seguridad pueden sin embargo, causar
inconvenientes a los usuarios. Un elemento a tener en mente es la eventual
complejidad de el sistema simultáneamente con el crecimiento de una red, ya que con
esto se necesita crear un sistema de seguridad más elaborado.

7. Identificar Amenazas
Se debe preguntarse que tipo de problema ha sido presentado. Considerar todas las
opciones para lograr descubrir esta información para así trabajar en encontrar una
solución. Las amenazas pueden pertenecer a una de las siguientes categorías:
 Amenazas internas: Aquellas que se encuentran en el interior de la empresa o
institución. Esta puede resultar en mayor esfuerzo y gastos ya que el culpable se
encuentra con acceso a la red y se encuentra familiarizado con la misma.
 Amenazas externas: Riesgos fuera de la organización, tales como: virus, gusanos,
caballos de troya. Cualquier tipo de ataque de una partida tercera con el propósito
de extraer bienes o causar daño.

8. Evaluar Riesgos
Durante esta fase se debe tomar en
consideración las consecuencias de
las acciones consiguientes, ya que
podrían ser tanto beneficiosas como
más dañinas aún. Por lo tanto, con
pensamiento racional es necesario
determinar los pros y contras
presentados; dependiendo si los
riesgos afrentados son la perdida de
datos o privacidad o mútiples otras
complicaciones.
Gráfica obtenida de:
https://www.microsoft.com/spain/technet/recursos/articulos/srsgch04.msp
x

9. Asignar Responsabilidades
Durante este paso se selecciona un equipo
con el propósito de dividir las tareas respecto
a la amenaza. Lo esencial sería asignar un
miembro de cada departamento a este
grupo, sea el administrador de redes, asesor
jurídico, ejecutivo superior y representantes
de departamentos de Recursos Humanos y
Relaciones Públicas.

10. Cuatro Principios PSI
 1. Evaluación de riesgos: Evaluar los riesgos de seguridad de la información y
determinar niveles de riesgos aceptables. .
 2. Diseño e implementación de la seguridad: La incorporación de políticas, normas,
procedimientos y la tecnología de la seguridad como elementos esenciales de
todos los sistemas y redes de información.
 3. Manejo de la seguridad: El completo enfoque respecto a la seguridad del
sistema, preferiblemente con un equipo asignado.
 4. Re-evaluación: Estudiar el sistema y la seguridad del mismo para así poder
modificar elementos que necesiten ser actualizados. la seguridad de los sistemas y
redes de información y si es pertinente, modificar las políticas, normas,
procedimientos y tecnología

11. Diagrama obtenido de: http://www.taringa.net/posts/info/16381314/PSI-Politicas-de-
Seguridad-Informatica-Parte-1.html

12. Importancia de PSI
Se debe crear un área seguro respecto
a la data pertinente a cualquier usuario,
empresa o institución en nuesta actual
sociedad ya que nos enfrentamos a
numerosos riesgos de perder la misma
o que esta sea duplicada sin nuestra
autorización; individuos tales como
“piratas” o “hackers”.