en el mundo digital se ha integrado en las empresas implementen plataformas

tecnol�gicas que soporten la nueva forma de hacer negocios.

El uso de internet conlleva a desarrollar proyectos de seguridad inform�tica para

garantizar los negocios de la empresa.

La creaci�n de las pol�ticas de seguridad inform�tica es una labor fundamental que

involucra a las personas, procesos y los recursos de las compa��as.

El mundo digital se ha integrado en toda la sociedad y se ha vuelto parte de la

vida de las personas para utilizar sus servicios y realizar sus actividades como
enviar correos, descargar m�sica, hacer publicidad, etc.

El mundo de los negocios empresariales aun es m�s complejo en donde se tienen las
�las transacciones� que nos permiten ahorrar tiempo y recursos, pegar los servicios
p�blicos, transferir de una cuenta a otra cuenta bancaria, etc. En donde el
elemento en com�n es el dinero y por lo tanto para eso necesitamos implementar las
pol�ticas de seguridad inform�tica.

Las empresas han implementado un modelo de acceso a la informaci�n m�s abierto y a

la vez m�s distribuido, lo cual redunda en beneficios tales como:

� Mayor productividad por empleado: Los empleados agilizan su trabajo, toman

mejores decisiones y responden con rapidez a las cambiantes demandas del mercado en
el que se mueven, al tener un acceso seguro a la informaci�n que necesitan desde
cualquier lugar y en cualquier momento.

� Reducci�n de costos: Reduce los costos e incrementa la efectividad a trav�s de

las herramientas de colaboraci�n y de la conectividad de red

� Integraci�n de los procesos de negocios: Incrementa las ventas al permitir una

relaci�n m�s estrecha con los clientes y los socios de negocios, a trav�s de
comunicaciones seguras y procesos colaborativos.

Para esto las empresas necesitan una infraestructura de inform�tica segura, que
minimice los riesgos de la empresa.

Con los beneficios que nos brindan las posibilidades de conectividad, tambi�n con
ello viene una serie de riesgos y graves problemas. Cada vez las redes est�n
expuestas a virus inform�ticos, spam, c�digo malicioso, etc. Que penetran los
sistemas de seguridad.

Los elementos que la seguridad de la informaci�n busca proteger son:

� La informaci�n.

� Los equipos que lo soportan.

� Las personas que la utilizan.

En la informaci�n se encuentran

documentos, informes, manuales, correspondencias, patentes, informaci�n de mercado,

c�digos de programaci�n, l�neas de comando, archivos de configuraci�n, base de
datos, n�minas, plan de negocios, entre otros.

Dentro de los equipos que la soportan est�n

� El Software: Las aplicaciones comerciales, los programas institucionales, los

sistemas operativos y otros.

� El Hardware: toda la infraestructura tecnol�gica que brinda soporte a la

informaci�n durante su uso, tr�nsito y almacenamiento: las computadoras, los
servidores, los equipos port�tiles, los medios de almacenamiento, los equipos de
conectividad, enrutadores, y cualquier otro elemento de la red de computadoras por
donde transita la informaci�n.

� La Empresa: incluye los aspectos que componen la estructura f�sica y

organizativa: la distribuci�n de funciones y los flujos de informaci�n de la
Empresa, En lo que se refiere al ambiente: salas y armarios donde est�n localizados
los computadores, fototeca, sala de servidores de archivos.

Dentro de las personas que la utilizan est�n

� Usuarios: se refiere a los individuos que utilizan la estructura tecnol�gica y de

comunicaci�n de la empresa y que manejan la informaci�n: Empleados de las
diferentes �reas y directivos de la empresa.

El primero de los tres principios de la seguridad de la informaci�n es la

integridad, la cual nos permite garantizar que la informaci�n no ha sido alterada.

El principio de la confidencialidad de la informaci�n tiene como prop�sito asegurar

que solo la persona indicada puede acceder a la informaci�n.

Adem�s los empleados no deben facilitar su usuario y contrase�a a personas ajenas a

la compa��a.

Las pol�ticas de seguridad son como un instrumento gerencial que traza una
direcci�n predeterminada de alto nivel que transmiten a los colaboradores de la
empresa para que tengan una orientaci�n para tomar decisiones. Las pol�ticas deben
escritos en papel y deben ser comunicados a todas las personas de la empresa.

TIPOS DE AMENAZAS EJEMPLOS

Suplantaci�n

Falsificar mensajes de correo electr�nico

Reproducir paquetes de autentificaci�n

Alteraci�n

Alterar datos durante la transmisi�n

Cambiar datos en archivos

Repudio

Eliminar un archivo esencial y denegar este hecho

Adquirir un producto y negar posteriormente que se ha adquirido

Divulgaci�n de informaci�n

Exponer la informaci�n en mensajes de error

Exponer el c�digo de los sitios Web

Denegaci�n de servicio

Inundar una red con paquetes de sincronizaci�n

Inundar una red con paquetes ICMP falsificados
Elevaci�n de privilegios

Explotar la saturaci�n de un b�fer para obtener privilegios en el sistema

Obtener privilegios de administrador de forma ileg�tima

Tabla 1: amenazas al sistema de informaci�n de las empresas

Una pol�tica de seguridad son un conjunto de directrices, normas que gu�an las
instrucciones de trabajo.

�REAS DE NORMALIZACI�N DE LAS POL�TICAS DE SEGURIDAD

Tecnol�gica: Se refiere a los esfuerzos que se deben realizar para el buen

funcionamiento de la plataforma de hardware, software y telecomunicaciones.
Servidores, sistemas operativos, base de datos, etc. Y las personas relacionadas a
la seguridad deben de tener �tica profesional.

Humana: En definitiva todos se convierten en usuarios los proveedores, clientes,

empleados etc. Y para ellos se enfocan los recursos y esfuerzos. Este aspecto va
muy ligado a la cultura organizacional y c�mo se integran en sus actividades
diarias aspectos como la �tica, la responsabilidad, capacitaci�n y mejoramiento
continuo.

ELABORACI�N DE LA POL�TICA

� Exigencias de la Pol�tica: La pol�tica es elaborada tomando como base la cultura

de la organizaci�n y el conocimiento especializado en seguridad de los
profesionales involucrados con su aplicaci�n y comprometimiento. Es importante
considerar que para la elaboraci�n de una pol�tica de seguridad institucional se
debe:

a. Integrar el comit� de seguridad responsable de definir la pol�tica (equipo

multidisciplinario)

b. Elaborar el documento final (preocupaciones de la administraci�n, atribuci�n de

las responsabilidades de las personas involucradas, legislaci�n y cl�usulas
contractuales, prevenci�n contra amenazas, educaci�n y formaci�n en seguridad de la
informaci�n.)

c. Hacer oficial la pol�tica una vez que se tenga definida (aprobaci�n por parte de
la administraci�n, mecanismos de comunicaci�n efectiva a socios, empleados,
proveedores y clientes de la empresa).

� Etapas de producci�n de la pol�tica: Elaborar una pol�tica es un proceso que

exige tiempo e informaci�n. Es necesario saber c�mo se estructura la organizaci�n y
c�mo son dirigidos en la actualidad sus procesos.

DOCUMENTOS DE UNA POLITICA DE SEGURIDAD

Un modelo propuesto seg�n la norma ISO 17799 la recomienda y platea tres grandes
secciones:

� Las directrices son un conjunto de reglas generales de nivel estrat�gico donde se

expresan los valores de la seguridad de la organizaci�n. Es propuesta por el l�der
empresarial de la organizaci�n y tiene como su base la misi�n y visi�n para abarcar
toda la filosof�a de la seguridad de la informaci�n
� Las normas son un conjunto de reglas generales y espec�ficas de la seguridad de
la informaci�n que deben ser usadas por todos los segmentos involucrados en todos
los procesos de negocio de la instituci�n, y que deben ser elaboradas por activo,
�rea, tecnolog�a, proceso de negocio, p�blico a que se destina, etc. Las normas de
seguridad para usuarios son dirigidas para el uso de ambientes informatizados,
basadas en aspectos gen�ricos como el cuidado con las claves de acceso, manejo de
equipos o estaciones de trabajo, inclusi�n y exclusi�n de usuarios, administraci�n
de sistemas operativos.

� Los procedimientos e instrucciones de trabajo son un conjunto de orientaciones

para realizar las actividades operativas, que representa las relaciones
interpersonales e �nter departamental y sus respectivas etapas de trabajo para su
implementaci�n y mantenimiento de la seguridad de la informaci�n.

ACOMPA�AMIENTO DE LA POL�TICA

Una pol�tica de seguridad para que sea efectiva, necesita contar con elementos
indispensables que apoyen este proceso.

Las organizaciones pueden definir unos �mbitos b�sicos o esenciales en donde

empezar a implementar pol�ticas de seguridad de los cuales tenemos:

� Seguridad f�sica: acceso f�sico, estructura del edificio, centro de datos.

� Seguridad de la red corporativa: configuraci�n de los sistemas operativos, acceso

l�gico y remoto, autenticaci�n, Internet, disciplina operativa, gesti�n de cambios,
desarrollo de aplicaciones.

� Seguridad de usuarios: composici�n de claves, seguridad en estaciones de trabajo,

formaci�n y creaci�n de conciencia.

� Seguridad de datos: criptograf�a, clasificaci�n, privilegios, copias de seguridad

y recuperaci�n, antivirus, plan de contingencia.

� Auditoria de seguridad: an�lisis de riesgo, revisiones peri�dicas, visitas

t�cnicas, monitoreo y auditoria.

� Aspectos legales: pr�cticas personales, contratos y acuerdos comerciales, leyes y

reglamentaci�n gubernamental.

CONCLUSI�N

Por lo tanto, la seguridad deben ser claras, concisas cuyo prop�sito es:

� Proteger a los activos contra accesos no autorizados.

� Evitar alteraciones indebidas que pongan en peligro su integridad.

� Garantizar la disponibilidad de la informaci�n.

Y es instrumentada por medio de pol�ticas y procedimientos de seguridad que

permiten:

La identificaci�n y control de amenazas y puntos d�biles, teniendo en mira la

preservaci�n de la confidencialidad, integridad y disponibilidad de la informaci�n.