1 | \chapter{Pol\'iticas de Seguridad} |
---|
2 | \chapterauthors{Víctor Bravo y Antonio Araujo |
---|
3 | \chapteraffil{Fundación Centro Nacional de Desarrollo e Investigación en Tecnologías Libres} |
---|
4 | } |
---|
5 | |
---|
6 | % Se crea un ambiente bibunit para el cual se creará la bibliografía del capítulo |
---|
7 | \begin{bibunit}[unsrt] |
---|
8 | |
---|
9 | |
---|
10 | \section{Introducción} |
---|
11 | |
---|
12 | Las políticas de seguridad de la información deben seguir un proceso de |
---|
13 | actualización periódica sujeta a cambios en la organización y relacionados con |
---|
14 | actividades tales como: la gestión de talento humano, la realización de cambios |
---|
15 | en la infraestructura, la diversificación de las actividades, el desarrollo de |
---|
16 | nuevos servicios, la detección de vulnerabilidades y el incremento o decremento |
---|
17 | de los niveles de confianza. Ya que los empleados son los que llevan a cabo las |
---|
18 | tareas dentro de las organizaciones, es importante que las políticas de |
---|
19 | seguridad no se conviertan en una forma de restricción o carga para ellos. |
---|
20 | |
---|
21 | Hay que tener en cuenta que todas las herramientas tecnológicas implementadas |
---|
22 | por una organización tales como cortafuegos, sistemas de detección de |
---|
23 | intrusos, dispositivos biométricos, entre otros, pueden resultar inútiles |
---|
24 | si existen elementos recurrentes en los procesos como la falta de |
---|
25 | información, el mal uso de los controles de seguridad de la información, |
---|
26 | el no cumplimiento de las políticas de seguridad o el desinterés o |
---|
27 | ánimo de causar daño de algún miembro desleal de la organización. |
---|
28 | |
---|
29 | En este sentido se debe disponer de documentación sobre las reglas y normas |
---|
30 | vinculadas a la seguridad de la información. El objetivo de un documento de |
---|
31 | políticas de seguridad es proponer lineamientos generales a considerar desde el |
---|
32 | momento de definir las directrices de seguridad de la información de una |
---|
33 | organización de acuerdo a las necesidades o limitaciones que existan en ella, |
---|
34 | con el fin de concretar las ideas en documentos que orienten las acciones de la |
---|
35 | organización. |
---|
36 | |
---|
37 | Todo proceso de la organización debe documentarse y clasificarse para su rápido |
---|
38 | y fácil acceso, de tal manera que no existan vacíos que se susciten en la |
---|
39 | práctica y que den pie a la improvisación o la aparición de una o más |
---|
40 | vulnerabilidades asociadas a sistemas informáticos. El establecimiento de un |
---|
41 | archivo físico o virtual con una normativa estricta es recomendable para la |
---|
42 | documentación de las políticas de seguridad. |
---|
43 | |
---|
44 | El seguimiento de las políticas de seguridad y su documentación |
---|
45 | son elementos claves cuando una organización desea obtener una |
---|
46 | certificación, por lo tanto corresponde a uno de los pasos |
---|
47 | básicos en el proceso de maduración (mejora constante) de las |
---|
48 | políticas de seguridad. |
---|
49 | |
---|
50 | En este capítulo se describen los elementos asociados a las políticas |
---|
51 | de seguridad de la información basados en el ciclo de los activos de |
---|
52 | información que está conformado por los siguientes conceptos: |
---|
53 | \textbf{amenaza}, \textbf{riesgo}, \textbf{vulnerabilidad}, |
---|
54 | \textbf{activos}, \textbf{valor activo}, \textbf{controles} |
---|
55 | y \textbf{Requisito de seguridad} |
---|
56 | (Ver fig. \ref{CicloSeguridadInformacion}). También se ofrece |
---|
57 | un conjunto de consejos sobre la gestión de la seguridad en una |
---|
58 | organización considerando aspectos tales como el uso de las |
---|
59 | tecnologías libres, la gestión de contraseñas y el funcionamiento |
---|
60 | de un grupo dedicado a la seguridad de la información adaptado |
---|
61 | a una visión dinámica de la organización. |
---|
62 | |
---|
63 | |
---|
64 | \begin{figure}[ht!] |
---|
65 | \begin{center} |
---|
66 | \includegraphics[scale=0.3] |
---|
67 | {imagenes/CicloSeguridadActivosInformacion.png} |
---|
68 | \end{center} |
---|
69 | \caption{Ciclo de la Seguridad de la Información \label{CicloSeguridadInformacion}} |
---|
70 | \end{figure} |
---|
71 | |
---|
72 | \import{.}{politicasSeguridadInformacion} |
---|
73 | \import{.}{ImportanciaSeguridadInformacion} |
---|
74 | \import{.}{SIsoftwareLibre} |
---|
75 | \import{.}{PricipiosDefensa} |
---|
76 | \import{.}{responsabilidad} |
---|
77 | \import{.}{ProcesoPercepcionSeguridad} |
---|
78 | \import{.}{GrupoSeguridadInformacion} |
---|
79 | \import{.}{gestionContrasenas} |
---|
80 | \import{.}{puestosTrabajo} |
---|
81 | \import{.}{seguridadLogica} |
---|
82 | |
---|
83 | \import{.}{cuentaUsuario} |
---|
84 | \import{.}{vulnerabilidad} |
---|
85 | \import{.}{herramientasSeguridad} |
---|
86 | \import{.}{identificacionRiesgos} |
---|
87 | \import{.}{seguridadLogicaPuestosTrabajo} |
---|
88 | \import{.}{seguridadLogicaCentroDatos} |
---|
89 | \import{.}{seguridadFisicaPuestosTrabajo} |
---|
90 | \import{.}{seguridadFisicaCentroDatos} |
---|
91 | \import{.}{politicasSeguridadCentroDatos} |
---|
92 | \import{.}{politicasRespaldoRecuperacion} |
---|
93 | \import{.}{gestionIncidenteSeguridad} |
---|
94 | \import{.}{planRecuperacionDesastres} |
---|
95 | % \import{.}{seguridadRedes} |
---|
96 | |
---|
97 | |
---|
98 | % el siguiente comando establece la ubicación de las referencias |
---|
99 | \putbib[bibliografia] |
---|
100 | |
---|
101 | % el siguiente comando cierra el ambiente bibunit para la cual se generan las |
---|
102 | % referencias. |
---|
103 | \end{bibunit} |
---|