SEGURIDAD DE LA

INFORMACION
Polticas de seguridad
Yessica Gmez G.
Porqu hablar de la Seguridad
de la Informacin?
Porque el negocio se sustenta a partir de la
informacin que maneja.....
Entorno
Sistemas de
Informacin
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Planificacin de
Objetivos
Diseo y ejecucin de
acciones para conseguir
objetivo
Control (de resultados de
acciones contra objetivos)
Registro de
transacciones
Transacciones
ORGANIZACION
Porque no slo es un tema Tecnolgico.
Porque la institucin no cuenta con Polticas
de Seguridad de la Informacin
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigacin permanente
Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
Ninguna medicina es til a menos que
el paciente la tome




Entonces, por donde partir?........
Reconocer los activos de
informacin importantes para la
institucin..

Informacin propiamente tal : bases de datos,
archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas,
pagars, solicitudes de crditos.
Software: aplicaciones, sistemas operativos,
utilitarios.
Fsicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantencin.
Reconocer las Amenazas a que
estn expuestos...
Amenaza: evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Informacin.
Ejemplos:
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
Reconocer las Vulnerabilidades
Vulnerabilidad: una debilidad que facilita
la materializacin de una amenaza
Ejemplos:
Inexistencia de procedimientos de trabajo
Concentracin de funciones en una sola persona
Infraestructura insuficiente
Identificacin de Riesgos
Riesgo: La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo
Que debe analizarse?
El impacto (leve ,moderado,grave)
La probabilidad (baja, media, alta)

Contexto general de seguridad
Propietarios
valoran
Quieren minimizar
Salvaguardas
definen
Pueden tener
conciencia de
Amenazas
explotan
Vulnerabili
dades
Permiten o
facilitan
Dao
RECURSOS
Que pueden
tener
Reducen
RIESGO
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el anlisis con una nocin preconcebida
de que el costo de los controles ser excesivo o
que la seguridad tecnolgica no existe.
Se cree que la solucin de seguridad interferir
con el rendimiento o apariencia del producto o
servicio del negocio.
Estndares de Seguridad
Normas Internacionales de seguridad
Proporcionan un conjunto de buenas prcticas en
gestin de seguridad de la informacin:
Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777
la ISO 17799 que tiene la bondad de ser
transversal a las organizaciones , abarcando la
seguridad como un problema integral y no
meramente tcnico.
Ley 19.233 sobre delitos informticos.
Ley 19.628 sobre proteccin de los datos
personales.
Ley 19.799 sobre firma electrnica
Qu es una Poltica?

Conjunto de orientaciones o directrices que
rigen la actuacin de una persona o entidad
en un asunto o campo determinado.

Qu es una Poltica de
Seguridad?

Conjunto de directrices que permiten
resguardar los activos de informacin .
Cmo debe ser la poltica de
seguridad?
Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
informacin corporativa.
Rayar la cancha con respecto al uso de los
recursos de informacin.
Definir la base para la estructura de seguridad de
la organizacin.
Ser un documento de apoyo a la gestin de
seguridad informtica.
Tener larga vigencia , mantenindose sin grandes
cambios en el tiempo.
Ser general , sin comprometerse con tecnologas
especficas.
Debe abarcar toda la organizacin
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la informacin en
confidencial, uso interno o pblica.
Debe identificar claramente funciones especficas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la informacin.
Qu debe contener una poltica
de seguridad de la informacin?
Polticas especficas
Procedimientos
Estndares o prcticas
Estructura organizacional

Polticas Especficas
Definen en detalle aspectos especficos que
regulan el uso de los recursos de informacin y
estn ms afectas a cambios en el tiempo que la
poltica general.
Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo
electrnico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deber
limitarse al mnimo posible
Prohibiciones expresas: Se prohbe el envo de mensajes
ofensivos. Deber evitarse el envo de archivos peligrosos
Declaracin de intencin de monitorear su uso: La empresa
podr monitorear el uso de los correos en caso que se sospeche
del mal uso

Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creacin de cuenta, identificando claramente los
sistemas a los cuales tendr accesos y tipos de privilegios.
2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, seccin o unidad a la que pertenece.
3.- El Administrador de privilegios crear la cuenta del usuario
a travs del Sistema de Administracin de privilegios y
asignar una clave inicial para que el usuario acceda
inicialmente.
4.- El Administrados de privilegios formalizar la creacin de
la cuenta al usuario e instruir sobre su uso.
Estndar
En muchos casos depende de la tecnologa
Se debe actualizar peridicamente
Ejemplo:
Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix
Para otras plataformas debe utilizarse mquinas Compaq o HP.
Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB
Registro:
Cada mquina instalada debe ser registrada en catastro
computacional identificando los nmeros de serie de componente
y llenar formulario de traslado de activo fijo
Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
Objetivo: qu se desea lograr
Alcance: qu es lo que proteger y qu reas sern
afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qu debe y no debe hacer cada
persona
Revisin: cmo ser monitoreado el cumplimiento
Aplicabilidad: En qu casos ser aplicable
Referencias: documentos complementarios
Sanciones e incentivos
Ciclo de vida del Proyecto
Creacin
Colaboracin
Publicacin
Educacin
Cumplimiento
Enfoque
Metodolgico
Polticas de seguridad y
Controles
Los controles son mecanismos que ayudan a
cumplir con lo definido en las polticas
Si no se tienen polticas claras , no se sabr qu
controlar.
Orientacin de los controles:
PREVENIR la ocurrencia de una amenaza
DETECTAR la ocurrencia de una amenaza
RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
Ejemplo:Modelo Seguridad
Informtica (MSI) a partir de
polticas de seguridad de la
informacin institucionales
Estructura del modelo adoptado:
Gestin IT (Tecnologas de Informacin)
Operaciones IT
Para cada estructura incorpora
documentacin asociada como polticas
especficas, procedimientos y estndares.
Gestin IT

Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeacin y desarrollo
del plan informtico.
Contiene:
Objetivo y estrategia institucional
Plan Informtico y comit informtica
Metodologa de Desarrollo y Mantencin
Operaciones IT
Objetivo: Contar conprocedimientos formales para
asegurar la operacin normal de los Sistemas de
Informacin y uso de recursos tecnolgicos que
sustentan la operacin del negocio.
Contiene:
Seguridad Fsica sala servidores
Control de acceso a la sala
Alarmas y extincin de incendios
Aire acondicionado y control de temperaturas
UPS
Piso y red electrica
Contratos de mantencin
Contratos proveedores de servicios
Respaldos y recuperacin de informacin:
Ficha de servidores
Poltica Respaldos: diarios,semanales,mensuales,
histricos
Bases de datos, correo electrnico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
Administracin Cintoteca:
Rotulacin
Custodia
Requerimientos, rotacin y caduciddad de cintas.
Administracin de licencias de software y
programas
Seguridad de Networking:
Caractersticas y topologa de la Red
Estandarizacin de componentes de red
Seguridad fsica de sites de comunicaciones
Seguridad y respaldo de enlaces
Seguridad y control de accesos de equipos de comunicaciones
Plan de direcciones IP
Control de seguridad WEB
Control y polticas de adminsitracin de Antivirus
Configuracin
Actualizacin
Reportes
Traspaso de aplicaciones al ambiente de explotacin
Definicin de ambientes
Definicin de datos de prueba
Adminsitracin de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilacin de programas
Testing:
Responsables y encargados de pruebas
Pruebas de funcionalidad
Pruebas de integridad
Instalacin de aplicaciones
Asignacin de responsabilidades de harware y software para
usuarios
Creacin y eliminacin de usuarios :
Internet, Correo electrnico
Administracin de privilegios de acceso a sistemas
Administracin y rotacin de password:
Caducidad de password
Definicin de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios
Controles de uso de espacio en disco en serviodres
Adquisicin y administracin equipamiento usuarios:
Poltica de adquisiciones
Catastro computacional
Contrato proveedores equipamiento
Conclusiones
La Informacin es uno de los activos mas valiosos
de la organizacin
Las Polticas de seguridad permiten disminuir los
riesgos
Las polticas de seguridad no abordan slo aspectos
tecnolgicos
El compromiso e involucramiento de todos es la
premisa bsica para que sea real.
La seguridad es una inversin y no un gasto.
No existe nada 100% seguro
Exige evaluacin permanente.

La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.