| 1 | \chapter{Pol\'iticas de Seguridad} |
|---|
| 2 | \chapterauthors{Víctor Bravo y Antonio Araujo |
|---|
| 3 | \chapteraffil{Fundación Centro Nacional de Desarrollo e Investigación en Tecnologías Libres} |
|---|
| 4 | } |
|---|
| 5 | |
|---|
| 6 | % Se crea un ambiente bibunit para el cual se creará la bibliografía del capítulo |
|---|
| 7 | \begin{bibunit}[unsrt] |
|---|
| 8 | |
|---|
| 9 | |
|---|
| 10 | \section{Introducción} |
|---|
| 11 | |
|---|
| 12 | Las políticas de seguridad de la información deben seguir un proceso de |
|---|
| 13 | actualización periódica sujeta a cambios en la organización y relacionados con |
|---|
| 14 | actividades tales como: la gestión de talento humano, la realización de cambios |
|---|
| 15 | en la infraestructura, la diversificación de las actividades, el desarrollo de |
|---|
| 16 | nuevos servicios, la detección de vulnerabilidades y el incremento o decremento |
|---|
| 17 | de los niveles de confianza. Ya que los empleados son los que llevan a cabo las |
|---|
| 18 | tareas dentro de las organizaciones, es importante que las políticas de |
|---|
| 19 | seguridad no se conviertan en una forma de restricción o carga para ellos. |
|---|
| 20 | |
|---|
| 21 | Hay que tener en cuenta que todas las herramientas tecnológicas implementadas |
|---|
| 22 | por una organización tales como cortafuegos, sistemas de detección de |
|---|
| 23 | intrusos, dispositivos biométricos, entre otros, pueden resultar inútiles |
|---|
| 24 | si existen elementos recurrentes en los procesos como la falta de |
|---|
| 25 | información, el mal uso de los controles de seguridad de la información, |
|---|
| 26 | el no cumplimiento de las políticas de seguridad o el desinterés o |
|---|
| 27 | ánimo de causar daño de algún miembro desleal de la organización. |
|---|
| 28 | |
|---|
| 29 | En este sentido se debe disponer de documentación sobre las reglas y normas |
|---|
| 30 | vinculadas a la seguridad de la información. El objetivo de un documento de |
|---|
| 31 | políticas de seguridad es proponer lineamientos generales a considerar desde el |
|---|
| 32 | momento de definir las directrices de seguridad de la información de una |
|---|
| 33 | organización de acuerdo a las necesidades o limitaciones que existan en ella, |
|---|
| 34 | con el fin de concretar las ideas en documentos que orienten las acciones de la |
|---|
| 35 | organización. |
|---|
| 36 | |
|---|
| 37 | Todo proceso de la organización debe documentarse y clasificarse para su rápido |
|---|
| 38 | y fácil acceso, de tal manera que no existan vacíos que se susciten en la |
|---|
| 39 | práctica y que den pie a la improvisación o la aparición de una o más |
|---|
| 40 | vulnerabilidades asociadas a sistemas informáticos. El establecimiento de un |
|---|
| 41 | archivo físico o virtual con una normativa estricta es recomendable para la |
|---|
| 42 | documentación de las políticas de seguridad. |
|---|
| 43 | |
|---|
| 44 | El seguimiento de las políticas de seguridad y su documentación |
|---|
| 45 | son elementos claves cuando una organización desea obtener una |
|---|
| 46 | certificación, por lo tanto corresponde a uno de los pasos |
|---|
| 47 | básicos en el proceso de maduración (mejora constante) de las |
|---|
| 48 | políticas de seguridad. |
|---|
| 49 | |
|---|
| 50 | En este capítulo se describen los elementos asociados a las políticas |
|---|
| 51 | de seguridad de la información basados en el ciclo de los activos de |
|---|
| 52 | información que está conformado por los siguientes conceptos: |
|---|
| 53 | \textbf{amenaza}, \textbf{riesgo}, \textbf{vulnerabilidad}, |
|---|
| 54 | \textbf{activos}, \textbf{valor activo}, \textbf{controles} |
|---|
| 55 | y \textbf{Requisito de seguridad} |
|---|
| 56 | (Ver fig. \ref{CicloSeguridadInformacion}). También se ofrece |
|---|
| 57 | un conjunto de consejos sobre la gestión de la seguridad en una |
|---|
| 58 | organización considerando aspectos tales como el uso de las |
|---|
| 59 | tecnologías libres, la gestión de contraseñas y el funcionamiento |
|---|
| 60 | de un grupo dedicado a la seguridad de la información adaptado |
|---|
| 61 | a una visión dinámica de la organización. |
|---|
| 62 | |
|---|
| 63 | |
|---|
| 64 | \begin{figure}[ht!] |
|---|
| 65 | \begin{center} |
|---|
| 66 | \includegraphics[scale=0.25] |
|---|
| 67 | {imagenes/CicloSeguridadActivosInformacion.png} |
|---|
| 68 | \end{center} |
|---|
| 69 | \caption{Ciclo de la Seguridad de la Información \label{CicloSeguridadInformacion}} |
|---|
| 70 | \end{figure} |
|---|
| 71 | |
|---|
| 72 | \import{.}{politicasSeguridadInformacion} |
|---|
| 73 | \import{.}{ImportanciaSeguridadInformacion} |
|---|
| 74 | \import{.}{SIsoftwareLibre} |
|---|
| 75 | \import{.}{PricipiosDefensa} |
|---|
| 76 | \import{.}{responsabilidad} |
|---|
| 77 | \import{.}{ProcesoPercepcionSeguridad} |
|---|
| 78 | \import{.}{GrupoSeguridadInformacion} |
|---|
| 79 | \import{.}{gestionContrasenas} |
|---|
| 80 | \import{.}{puestosTrabajo} |
|---|
| 81 | \import{.}{seguridadLogica} |
|---|
| 82 | |
|---|
| 83 | \import{.}{cuentaUsuario} |
|---|
| 84 | \import{.}{vulnerabilidad} |
|---|
| 85 | \import{.}{herramientasSeguridad} |
|---|
| 86 | \import{.}{identificacionRiesgos} |
|---|
| 87 | \import{.}{seguridadLogicaPuestosTrabajo} |
|---|
| 88 | \import{.}{seguridadLogicaCentroDatos} |
|---|
| 89 | \import{.}{seguridadFisicaPuestosTrabajo} |
|---|
| 90 | \import{.}{seguridadFisicaCentroDatos} |
|---|
| 91 | \import{.}{politicasSeguridadCentroDatos} |
|---|
| 92 | \import{.}{politicasRespaldoRecuperacion} |
|---|
| 93 | \import{.}{gestionIncidenteSeguridad} |
|---|
| 94 | \import{.}{planRecuperacionDesastres} |
|---|
| 95 | % \import{.}{seguridadRedes} |
|---|
| 96 | |
|---|
| 97 | |
|---|
| 98 | % el siguiente comando establece la ubicación de las referencias |
|---|
| 99 | \putbib[bibliografia] |
|---|
| 100 | |
|---|
| 101 | % el siguiente comando cierra el ambiente bibunit para la cual se generan las |
|---|
| 102 | % referencias. |
|---|
| 103 | \end{bibunit} |
|---|
