| 1 | \chapter{Pol\'iticas de Seguridad} |
|---|
| 2 | \chapterauthors{Víctor Bravo y Antonio Araujo |
|---|
| 3 | \chapteraffil{Fundación Centro Nacional de Desarrollo e Investigación en Tecnologías Libres} |
|---|
| 4 | } |
|---|
| 5 | |
|---|
| 6 | % Se crea un ambiente bibunit para el cual se creará la bibliografía del capítulo |
|---|
| 7 | \begin{bibunit}[unsrt] |
|---|
| 8 | |
|---|
| 9 | |
|---|
| 10 | \section{Introducción} |
|---|
| 11 | |
|---|
| 12 | Las políticas de seguridad de la información deben seguir un proceso de |
|---|
| 13 | actualización periódica sujeta a cambios en la organización y relacionados con |
|---|
| 14 | actividades tales como: la gestión de talento humano, la realización de cambios |
|---|
| 15 | en la infraestructura, la diversificación de las actividades, el desarrollo de |
|---|
| 16 | nuevos servicios, la detección de vulnerabilidades y el incremento o decremento |
|---|
| 17 | de los niveles de confianza. Ya que los empleados son los que llevan a cabo las |
|---|
| 18 | tareas dentro de las organizaciones, es importante que las políticas de |
|---|
| 19 | seguridad no se conviertan en una forma de restricción o carga para ellos. |
|---|
| 20 | |
|---|
| 21 | Hay que tener en cuenta que todas las soluciones tecnológicas implementadas por una organización tales como cortafuegos, sistemas de detección de intrusos, dispositivos biométricos, entre otros, pueden resultar inútiles si existen elementos recurrentes en los procesos como la falta de información, el mal uso de los controles de seguridad de la información, el no cumplimiento de las políticas de seguridad o el desinterés o ánimo de causar daño de algún miembro desleal de la organización. |
|---|
| 22 | |
|---|
| 23 | En este sentido se debe disponer de documentación sobre las reglas y normas |
|---|
| 24 | vinculadas a la seguridad de la información. El objetivo de un documento de |
|---|
| 25 | políticas de seguridad es proponer lineamientos generales a considerar desde el |
|---|
| 26 | momento de definir las directrices de seguridad de la información de una |
|---|
| 27 | organización de acuerdo a las necesidades o limitaciones que existan en ella, |
|---|
| 28 | con el fin de concretar las ideas en documentos que orienten las acciones de la |
|---|
| 29 | organización. |
|---|
| 30 | |
|---|
| 31 | Todo proceso de la organización debe documentarse y clasificarse para su rápido |
|---|
| 32 | y fácil acceso, de tal manera que no existan vacíos que se susciten en la |
|---|
| 33 | práctica y que den pie a la improvisación o la aparición de una o más |
|---|
| 34 | vulnerabilidades asociadas a sistemas informáticos. El establecimiento de un |
|---|
| 35 | archivo físico o virtual con una normativa estricta es recomendable para la |
|---|
| 36 | documentación de las políticas de seguridad. |
|---|
| 37 | |
|---|
| 38 | El seguimiento de las políticas de seguridad y su documentación son elementos claves cuando una organización desea obtener una certificación, por lo tanto corresponde a uno de los pasos básicos en el proceso de maduración (mejora constante) de las políticas de seguridad. |
|---|
| 39 | |
|---|
| 40 | En este capítulo se describen los elementos asociados a las políticas de seguridad de la información basados en el ciclo de los activos de información que está conformado por los siguientes conceptos: \textbf{amenaza}, \textbf{riesgo}, \textbf{vulnerabilidad}, \textbf{activos}, \textbf{valor activo}, \textbf{controles} y \textbf{Requisito de seguridad} (Ver fig. \ref{CicloSeguridadInformacion}). También se ofrece un conjunto de consejos sobre la gestión de la seguridad en una organización considerando aspectos tales como el uso de las tecnologías libres, la gestión de contraseñas y el funcionamiento de un grupo dedicado a la seguridad de la información adaptado a una visión dinámica de la organización. |
|---|
| 41 | |
|---|
| 42 | |
|---|
| 43 | \begin{figure}[ht!] |
|---|
| 44 | \begin{center} |
|---|
| 45 | \includegraphics[scale=0.3] |
|---|
| 46 | {imagenes/CicloSeguridadActivosInformacion.png} |
|---|
| 47 | \end{center} |
|---|
| 48 | \caption{Ciclo de la Seguridad de la Información \label{CicloSeguridadInformacion}} |
|---|
| 49 | \end{figure} |
|---|
| 50 | |
|---|
| 51 | \import{.}{politicasSeguridadInformacion} |
|---|
| 52 | \import{.}{ImportanciaSeguridadInformacion} |
|---|
| 53 | \import{.}{SIsoftwareLibre} |
|---|
| 54 | \import{.}{PricipiosDefensa} |
|---|
| 55 | \import{.}{responsabilidad} |
|---|
| 56 | \import{.}{ProcesoPercepcionSeguridad} |
|---|
| 57 | \import{.}{GrupoSeguridadInformacion} |
|---|
| 58 | \import{.}{gestionContrasenas} |
|---|
| 59 | \import{.}{puestosTrabajo} |
|---|
| 60 | \import{.}{seguridadLogica} |
|---|
| 61 | |
|---|
| 62 | \import{.}{cuentaUsuario} |
|---|
| 63 | \import{.}{vulnerabilidad} |
|---|
| 64 | \import{.}{herramientasSeguridad} |
|---|
| 65 | \import{.}{identificacionRiesgos} |
|---|
| 66 | \import{.}{seguridadLogicaPuestosTrabajo} |
|---|
| 67 | \import{.}{seguridadLogicaCentroDatos} |
|---|
| 68 | \import{.}{seguridadFisicaPuestosTrabajo} |
|---|
| 69 | \import{.}{seguridadFisicaCentroDatos} |
|---|
| 70 | \import{.}{politicasSeguridadCentroDatos} |
|---|
| 71 | \import{.}{politicasRespaldoRecuperacion} |
|---|
| 72 | \import{.}{gestionIncidenteSeguridad} |
|---|
| 73 | \import{.}{planRecuperacionDesastres} |
|---|
| 74 | % \import{.}{seguridadRedes} |
|---|
| 75 | |
|---|
| 76 | |
|---|
| 77 | % el siguiente comando establece la ubicación de las referencias |
|---|
| 78 | \putbib[bibliografia] |
|---|
| 79 | |
|---|
| 80 | % el siguiente comando cierra el ambiente bibunit para la cual se generan las |
|---|
| 81 | % referencias. |
|---|
| 82 | \end{bibunit} |
|---|
