source: libros/maquetacion/capitulo2/politicasSeguridadInformacion.tex @ bf4d830

\section{Políticas de Seguridad de las Tecnologías de Información y Comunicación}


\lettrine[lines=2]{L}as políticas de seguridad en una institución representa una herramienta para 
mostrar a sus miembros la importancia y sensibilidad de la seguridad de la información. Estas políticas 
deben describir las características clásicas de la seguridad de la información, que se definen sobre 
conceptos como confidencialidad, integridad, disponibilidad, autenticación, responsabilidad (no repudio); 
de esta manera, permitir la adaptación a nuevos paradigmas.\\

Sin embargo, es necesario dar un concepto, definición o contexto sólido respecto al concepto de \textit{Seguridad} 
\cite{Aceituno06}, en la cual pueden mostrarse las siguientes características:\\

Vicente Aceituno C., Seguridad de la información, Limusa, 2006.


\begin{itemize}
\item \textbf{Confidenciabilidad}, condición en la que sólo los usuarios autorizados tienen acceso al contenido de los datos.

\item \textbf{Control de acceso}, se controla el acceso a recursos de usuarios autorizados.     

\item \textbf{Disponibilidad}, condición en la que se puede acceder a información o utilizar un servicio siempre que se necesite.

\item \textbf{No repudio}, condición en la que se previene que una entidad involucrada en una
comunicación niegue luego su participación en la misma.

\item \textbf{Integridad}, condición en la que se garantiza que la información o mensaje no han sido alterado.

\end{itemize}


Las políticas de seguridad de la información deben seguir un proceso de actualización periódica sujeta 
a cambios pertinentes en la institución y relacionados a la contratación de personal, alta rotación del personal, 
cambio en la infraestructura, cambio o diversificación de las actividades y/o servicios de la 
institución, desarrollos de nuevos servicios, vulnerabilidades de algunos sistemas, nivel 
de confianza entre los miembros de la institución, numero de incidentes de seguridad, 
entre otras.\\

Ya que los seres humanos son los que realizan las actividades dentro de las instituciones, 
es importante que las poltíticas de seguridad no se conviertan en una forma de restricción 
o carga para ellos. Hay que tener en cuenta, que todas las soluciones tecnológicas 
implementadas por una institución (cortafuego, sistemas de detección de intrusos, 
dispositivos biométricos, entre otros) pueden resultar inútiles ante el desconocimiento, 
falta de información, mal  uso de los controles de seguridad de la información, el no 
cumplimiento de las políticas de seguridad, desinterés o animo de causar daño de 
algún miembro desleal de la institución.\\


Las personas representan el eslabón más débil de la seguridad de la información \textbf{AGREGAR REFERENCIA}.
Ellas pueden seguir o no las políticas de seguridad que fueron definidas y 
aprobadas en la institución, pueden realizar acciones que provoquen un agujero 
de seguridad en la red de la institución a través de instalación de software 
malicioso en las computadoras, revelación de información sensible a terceros 
entre otros. Según especialistas de la materia, el mayor porcentaje de fraudes, 
sabotajes, accidentes relacionados con los sistemas informáticos son causados desde 
lo interno \textbf{AGREGAR REFERENCIA}, ya que las personas que pertenecen a la institución pueden conocer 
perfectamente los sistemas, sus barreras y sus puntos débiles.\\


El objetivo de este documento es proponer lineamientos generales a considerar desde 
el momento de definir las directrices de seguridad de la información de una institución 
de acuerdo a las necesidades, limitaciones que existe en ella, de manera de concretar 
las ideas en documentos que orienten las cciones de la institución.\\