Este documento habla sobre la política de seguridad de sistemas y redes de información. Explica que la política de seguridad recoge los objetivos y directrices de una organización sobre la seguridad de la información y debe ser aprobada por la dirección. También describe los componentes clave de una política de seguridad como la identificación de riesgos, medidas de seguridad y planes de contingencia. Finalmente, resalta la importancia de auditar periódicamente los sistemas para verificar el cumplimiento de la política de seguridad.

1. Seguridad de Sistemas y Redes
Universidad Centroamericana, Managua, Nicaragua

2.  Según la RAE:
12. f. Orientaciones o directrices que rigen la
actuación de una persona o entidad en un
asunto o campo determinado.

3.  Recoge las directrices u objetivos de una
organización con respecto a la seguridad de
la información.
 Forma parte de su política general y, por
tanto, ha de ser aprobada por la dirección.
(Aguilera López)

4.  El objetivo principal de este documento es
concienciar al personal de una organización
(y en especial a los involucrados en el sistema
de información) en la necesidad de conocer
los principios de seguridad y las normas que
ayudan a cumplir los objetivos de ésta.
 Se redacta de forma clara y precisa para que
sea entendida por todo el personal.

5.  No todas las políticas son iguales, dependen
siempre del giro de negocio de la
organización.

6.  Existen estándares por países y por áreas
(gobierno, medicina, militar, etc.).
 La ISO (International Organization for
Standardization) define algunas normas de
carácter internacional.
 ISO 7498-2:1989 Information processing
systems -- Open Systems Interconnection

7.  Contendrá los objetivos de la empresa en
materia de seguridad del sistema de
información.
 Estos objetivos se engloban en cuatro
grupos:

8. • Necesidades de seguridad.
• Riesgos que amenazan al sistema.
• Evaluar impactos ante un ataque.
Identificar
• Medidas de seguridad para afrontar riesgos de activos o grupo
de activos.Relacionar
• Perspectiva general de las reglas y procedimientos para
afrontar riesgos identificados en los diferentes departamentos.Proporcionar
• Vulnerabilidades del sistema de información.
• Controlar los fallos producidos.Detectar

9.  La definición del plan de contingencias es uno
de los resultados y parte de la política de
seguridad.

11.  Esta norma define una política de
autorización genérica, la cual puede
formularse de la siguiente forma:
 “La información no puede darse, ni puede
permitirse el acceso a ella, ni se puede
permitir que sea inferida, ni se puede utilizar
ningún recurso por parte de personas o
entidades que no están autorizadas de forma
apropiada.”

12.  Esta ISO constituye una base posible para
políticas mas detalladas. No cubre la
disponibilidad (Ejemplo, cuestiones de
DDOS)
 Distingue dos tipos de políticas de seguridad:

13.  Políticas basadas en identidad:
 Determinación del acceso y uso de los recursos en
base a las identidades de los usuarios y recursos.
 Políticas basadas en reglas:
 El acceso a los recursos se controla a través de
reglas globales impuestas a todos los usuarios,
por ejemplo, utilizando etiquetas de seguridad.

14.  Define cinco categorías principales de
servicios de seguridad:
 Autenticación, tanto de entidades como de
origen.
 Control de acceso.
 Confidencialidad de los datos.
 Integridad de los datos.
 No repudio

16.  Es una análisis pormenorizado de un sistema
de información que permite descubrir,
identificar y corregir vulnerabilidades.
 Su objetivo es verificar que se cumpla la
política de seguridad.
 Proporciona una imagen real y actual del
estado de seguridad del sistema de
información.

17.  Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
 Descripción y característica de los activos y
procesos analizados.
 Análisis de las relaciones y dependencias entre
activos o en el proceso de la información.
 Relación y evaluación de las vulnerabilidades
detectadas en cada activo o subconjunto de activo
y proceso.

18.  Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
 Verificación del cumplimiento de la normativa en
el ámbito de seguridad.
 Propuesta de medidas preventivas y de
corrección.

19.  Para evaluar la seguridad de un sistema se
necesitan de herramientas de análisis tales
como:
 Manuales (activos, procesos, mediciones,
entrevistas, cuestionarios, cálculos, pruebas).
 Software Específico para Auditorías (Computer
Assited AuditTechniques, CAAT).

20.  La auditoría puede ser total, en todo el SI, o
parcial, sobre determinados activos o
procesos.
 La auditoría de un sistema de información
puede realizarse:
 Por personal capacitado perteneciente a la propia
empresa.
 Por una empresa externa.

22.  Instrumento de gestión que contiene las
medidas (tecnológicas, humanas y de
organización) que garanticen la continuidad
del negocio protegiendo el sistema de
información de los peligros que amenazan o
recuperándolo tras un impacto.

23.  Consta de tres subplanes independientes:
 Plan de Respaldo: crear y conservar en un
lugar seguro copias de seguridad de la
información.
 Plan de Emergencia: qué medidas tomar
cuando se está materializando una amenaza
o cuando acaba de producirse.

24.  Consta de tres subplanes independientes:
 Plan de Recuperación: medidas que se
aplicaran cuando se ha producido un
desastre. El objetivo es evaluar el impacto y
regresar lo antes posible.

25.  La elaboración de este plan no puede dejar
por fuera a los miembros de la organización,
el cual debe estar informado y entrenado
para actuar en las funciones que le hayan sido
encomendadas en caso de producirse una
amenaza o impacto.

26.  Aguilera López, P. (s.f.). Seguridad
Informática. Madrid: Editex.
 Areitio Bertolín, J. (2008). Seguridad de la
Información. Madrid: Paraninfo.

27. Gracias por su atención.