Este documento describe las políticas de seguridad informática y sus elementos clave. Explica que una política de seguridad es una declaración de intenciones que establece las responsabilidades para proteger los sistemas informáticos. Detalla los elementos que debe incluir una política como su alcance, objetivos, responsabilidades de los usuarios y consecuencias por violaciones. Además, proporciona recomendaciones para establecer políticas de seguridad como realizar análisis de riesgos, involucrar a las áreas afectadas y comunicar los beneficios y

1. Universidad Tecnológica del Sur de Sonora
Políticas de Seguridad
José Manuel Acosta Rendón
Marzo 2010

2. ¿Qué son las políticas de seguridad
informática (PSI)?
Una política de seguridad informática es una forma de comunicarse con los
usuarios y los gerentes. Las PSI establecen el canal formal de actuación del
personal, en relación con los recursos y servicios informáticos, importantes de la
organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión
legal que involucre sanciones a conductas de los empleados. Es más bien una
descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informáticos críticos de la compañía.
Es un conjunto de requisitos definidos por los responsables de un sistema, que
indica en términos generales que está y que no está permitido en el área de
seguridad durante la operación general del sistema.
Una declaración de intenciones de alto nivel que cubre la seguridad
de los sistemas informáticos y que proporciona las bases para
definir y delimitar responsabilidades para las diversas actuaciones
técnicas y organizativas que se requerirán.

3. ¿Qué son las políticas de seguridad
informática (PSI)?
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se
definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...)
una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay
que tener en cuenta que la seguridad comienza y termina con personas.“ y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido
proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para
proteger un lápiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y
eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades,
donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya
mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,
Autenticidad y Utilidad.

4. Elementos de una política de seguridad
informática
Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que
se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de
cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se
considera importante.
Las PSI deben considerar entre otros, los siguientes elementos:
· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual
aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la
información como uno de sus principales activos así como, un motor de intercambio y
desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
· Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
· Responsabilidades por cada uno de los servicios y recursos informáticos a todos los
niveles de la organización.

5. Elementos de una política de seguridad
informática
- Requerimientos mínimos para configuración de la seguridad de los sistemas que
cobija el alcance de la política.
· Definición de violaciones y de las consecuencias del no cumplimiento de la política.
· Responsabilidades de los usuarios con respecto a la información a la que ella tiene
acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse
ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.

6. Algunos parámetros para establecer
políticas de seguridad
Si bien las características de la PSI que hemos mencionado hasta el momento, nos
muestran una perspectiva de las implicaciones en la formulación de estas directrices,
revisaremos a continuación, algunos aspectos generales recomendados para la
formulación de las mismas.
· Considere efectuar un ejercicio de análisis de riesgos informático, a través del cual
valore sus activos, el cual le permitirá afinar las PSI de su organización.
· Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.
· Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y
riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

7. Algunos parámetros para establecer
políticas de seguridad
· Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones,
pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de
su área u organización.
· Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la
organización, que permita una actualización oportuna de las mismas.
Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los
alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos de seguridad que respondan a
las PSI trazadas.

8. Proposición de una forma de realizar el análisis
para llevar a cabo un sistema de seguridad
informática

9. ¿ Dudas ?

10. ¡¡ Gracias ¡¡
José Manuel Acosta R.
Septiembre 2010