| 1 | \section{Políticas de Seguridad de La Información} |
|---|
| 2 | |
|---|
| 3 | \lettrine[lines=2]{L}a definición de las políticas de seguridad en una institución representa una herramienta para mostrar a sus miembros la importancia y sensibilidad de la seguridad de la información. Estas políticas deben brindar las características esenciales de la seguridad de la información. La seguridad de la información se define sobre tres conceptos: confidencialidad, integridad y disponibilidad; de esta manera, permitir la adaptación a nuevos paradigmas en seguridad de la información.\\ |
|---|
| 4 | |
|---|
| 5 | Sin embargo, es necesario dar una idea sólida respecto al concepto de \textit{Seguridad} \cite{Aceituno06}, en la cual puede mostrarse las siguientes características:\\ |
|---|
| 6 | \begin{itemize} |
|---|
| 7 | \item \textbf{Confidenciabilidad}, que consiste en dar acceso a la información sólo a los usuarios autorizados. |
|---|
| 8 | \item \textbf{Control de acceso}, que consiste en controlar el acceso a recursos de usuarios autorizados. |
|---|
| 9 | \item \textbf{Disponibilidad}, que consiste en la posibilidad de acceder a información o utilizar un servicio siempre que lo necesitemos. |
|---|
| 10 | \item \textbf{No repudio}, que consiste en garantizar que una información o mensaje no han sido manipulado. |
|---|
| 11 | \item \textbf{Integridad}, que consiste en garantizar que una información o mensaje no han sido manipulados. |
|---|
| 12 | \end{itemize} |
|---|
| 13 | |
|---|
| 14 | Las políticas de seguridad de la información deben seguir un proceso de reflexión y actualización periódica sujeta a cambios relevantes en la institución, tales como: contratación de personal, alta rotación del personal, cambio en la infraestructura, cambio o diversificación de las actividades y/o servicios de la institución, desarrollos de nuevos servicios, vulnerabilidades de algunos sistemas, nivel de confianza entre los miembros de la institución, numero de incidentes de seguridad, entre otras.\\ |
|---|
| 15 | |
|---|
| 16 | Las políticas de seguridad de la información no se deben convertir en una herramienta de restricciones ni de carga para los usuarios. Hay que tener en cuenta, desde el punto de vista de la seguridad informática, que todas las soluciones tecnológicas implementadas por una institución (cortafuego, sistemas de detección de intrusos, dispositivos biométricos, entre otros) pueden resultar inútiles ante el desconocimiento, falta de información, mal uso de los controles de seguridad de la información, el no cumplimiento de las políticas de seguridad, desinterés o animo de causar daño de algún miembro desleal de la institución.\\ |
|---|
| 17 | |
|---|
| 18 | Las personas representan el eslabón más débil de la seguridad de la información. Ellas pueden seguir o no las políticas de seguridad que fueron definidas y aprobadas en la institución, pueden realizar acciones que provoquen un agujero de seguridad en la red de la institución a través de instalación de software malicioso en las computadoras, revelación de información sensibles a terceros entre otros. Según especialistas de la materia, el mayor porcentaje de fraudes, sabotajes, accidentes relacionados con los sistemas informáticos son causados desde lo interno, ya que las personas que pertenecen a la institución pueden conocer perfectamente los sistemas, sus barreras y sus puntos débiles.\\ |
|---|
| 19 | |
|---|
| 20 | El objetivo de este documento es proponer lineamientos generales a considerar desde el momento de definir las directrices de seguridad de la información de una institución de acuerdo a las necesidades, requisitos, limitaciones y nivel de confianza que existe en ella, de manera de concretar las ideas en documentos que orienten las acciones de la institución.\\ |
|---|
| 21 | |
|---|
| 22 | |
|---|
