Diseo de una propuesta de poltica

de ciberseguridad
Introduccin
Se puede considerar que la base para cualquier empresa pueda
operar de una forma ms confiable en cuanto a seguridad informtica,
se comienza con la definicin de polticas y normas apropiadas.
La seguridad de la empresa es una funcin que deber evaluar
riesgos, basndose en polticas y normas que cubran en su totalidad
las necesidades de la empresa en materia de seguridad.

Justificacin
La seguridad de la informacin es la prioridad de la empresa para un
buen manejo y confiabilidad.

Definicin de la poltica de ciberseguridad

es un conjunto de requisitos definidos por los responsables de un
sistema, que indica en trminos generales que est y que no est
permitido en el rea de seguridad durante la operacin general del
sistema.

Definicin de ciberseguridad
Consiste en la aplicacin de procesos de anlisis y gestin de riesgos
relacionados con el uso de procesamiento, almacenamiento y

transmisin de informacin o datos.

Alcance:
Las polticas cubren todos los aspectos de gestin que realizan los
encargados de cada rea de la empresa, para obtener un apropiado
nivel de proteccin de los datos.

Objetivo:
Es implantar polticas de ciberseguridad para la proteccin de datos,
con el fin de reglamentar la gestin de informacin al interior de la
empresa.

Aplicacin de la poltica (cmo se va a hacer efectiva la

ejecucin de la poltica)
La asamblea de la empresa concede su autorizacin para el
establecimiento de la poltica de seguridad de la informacin, este fallo
es una prueba ms del compromiso que tiene la directiva al velar por
la seguridad la empresa.
La directiva como parte de su compromiso garantiza:

1. El estudio y certificacin de las polticas aqu incluidas.

2. Impulsar la concientizacin sobre la seguridad informtica.
3. Darle la difusin requerida para que todo el personal tenga
acceso a las polticas establecidas.
4. Obtener los controles adecuados para la proteccin de recursos
y conservar las polticas de seguridad.
5. Realizar inspecciones de cumplimiento de las polticas
implantadas.

Con la implementacin de estas polticas se busca concientizar a todo

el que forme parte del personal y terceros la importancia de la
seguridad. El incumplimiento de las polticas de seguridad acarreara
correctivos para disminuir daos contra la seguridad. Dichas
correcciones pueden ser desde administrativas, disciplinarias a
penales, segn sea el caso.

Acceso de usuarios a las computadoras

Los usuarios realizaran un uso adecuado y responsable de los
sistemas protegiendo la informacin a la cual se le permite el acceso.
Normas
Los usuarios deben hacerse responsables de las acciones realizadas
en los sistemas, as como del usuario y contrasea asignados para su
acceso.
Los titulares no deben compartir sus cuentas de usuario y contraseas
con ninguna persona.
El personal asignado por terceras partes que posean acceso al
sistema, deben adaptarse a los lineamientos implantados por la
empresa.

Perfiles de seguridad
La empresa deber asignar los perfiles de seguridad para establecer
restricciones o permisos a que tiene derecho cada usuario cuando
ingresa al sistema.
Normas
El administrador del sistema determinara que acciones, reportes,
registro, etc. del sistema estarn disponibles para cada usuario.

A cada usuario se le debe asignar un perfil.

Los perfiles sern creados de acuerdo al cargo del usuario.
De ser necesario varios usuarios pueden tener el mismo perfil para
facilitar los permisos o restricciones.

Contraseas
Todas las contraseas de cuentas que den acceso a recursos del
sistema de la empresa debern seguir las siguientes normas.

Normas
Toda contrasea deber ser cambiada por lo menos una vez cada 6
meses.
Las contraseas no deben ser adjuntadas en mensajes de correos, ni
ningn otro tipo de comunicacin.
Las contraseas deben contener nmeros y letras, alternando
maysculas y minsculas para aumentar la seguridad.
Se debe evitar utilizar datos personales como contrasea.
La asignacin de contraseas debe ser de manera individual y queda
estrictamente prohibido hacer uso compartido de las mismas.
Los usuarios no deben guardar las contraseas en el sistema.

Correo electrnico

Debido a lo significativo que resulta el uso del correo para facilitar la

comunicacin entre administrativos y terceras personas, se ofrecer
un servicio seguro para el cumplimiento de actividades, acatando
siempre los principios de confidencialidad, y autenticidad de quien
efecta la comunicacin por este recurso.

Normas
La direccin debe crear y difundir un procedimiento para la
administracin de cuentas de correo electrnico.
La direccin debe establecer procedimientos e implantar controles
para detectar y proteger el sistema contra cdigo malicioso.
La cuenta de correo asignada es de carcter individual por lo tanto
ningn otra persona de la empresa o tercero, bajo ninguna
circunstancia deber utilizar una cuenta que no le pertenezca.
La informacin contenida en el correo debe ser en relacin a las
labores del usuario de la empresa. Este no debe ser utilizado para
ocupaciones personales.
La informacin contenida en los buzones de correo es nica y
exclusivamente de la empresa y cada usuario es responsable de su
buzn de correo.

Uso de internet
Consciente de la importancia de internet como herramienta laboral, se
proporcionara los recursos necesarios para asegurar su disponibilidad
a los usuarios que lo requieran para la realizacin de actividades
diarias en la empresa.
Normas

La direccin deber proporcionar recursos necesarios para la

implementacin, administracin y mantenimiento requeridos para la
prestacin del servicio de internet.
La direccin debe implementar controles para impedir la descarga de
software no autorizado y evitar acceso a sitios restringidos.
Deber crear campaas para concientizar al personal, respecto a los
cuidados que deben tener en cuenta al utilizar internet.
El uso del servicio de internet tiene que ser relacionado a actividades
laborales.
Los usuarios tienen prohibido el acceso a servicios interactivos como
Facebook, Yahoo, skype y similares.
Queda prohibido el uso y descarga de juegos, msica, pelculas y
fondos de pantalla, etc.
No est permitido el intercambio no autorizado de informacin
propiedad de la empresa, clientes y administrativos, con terceros.

Antivirus
La empresa debe proporcionar mecanismos para garantizar la
proteccin de informacin y sistemas en donde se procesa y
almacena. Implantando controles para evitar la difusin, modificacin o
dao permanente ocasionado por software malicioso.
Normas
La direccin debe proveer herramientas como antivirus, para reducir
el riesgo de propagacion de software malicioso.
La direccin debe asegurar que el antivirus cuente con las licencias
de uso, certificando su autenticidad y la posibilidad de actualizacin
peridica.

Tiene que certificar que el antivirus tenga las ltimas actualizaciones

para mitigar vulnerabilidades.
Los usuarios no debern cambiar la configuracin del antivirus
definida por la direccin, solo deber realizar el escaneo de virus.
Los usuarios que detecten alguna infeccin por software malicioso
debern notificarlo, para que la direccin tome las medidas de control
necesarias.
Los usuarios deben asegurarse de que los archivos adjuntos por
correo, o descargados de cualquier medio de almacenamiento
provengan de fuentes conocidas para evitar la propagacion de virus
informticos.

Respaldo y recuperacin
La empresa certificara la generacin de copias de seguridad y
almacenamiento de informacin critica, ofreciendo los recursos
necesarios y estableciendo los procedimientos para la realizacin de
estas actividades.

Normas
Debern generar los procedimientos para la generacin, restauracin
y almacenamiento para las copias de respaldo de la informacin.
Debe definir las condiciones de transporte de copias de seguridad que
son almacenadas externamente.
Es responsabilidad de cada usuario del sistema de la empresa
identificar la informacin crtica que debe ser respaldada y
almacenarla de acuerdo a su nivel de clasificacin.

Deteccin de intrusos
La empresa proporcionara los controles para detectar actividades
inapropiadas, incorrectas, o anormales desde el exterior o interior de
un sistema informtico.
Normas
El usuario que sospeche de un suceso de un incidente de seguridad
deber reportarlo de inmediato a la direccin, sealando porque
considera que es un incidente.
Cuando exista el conocimiento de que informacin confidencial ha sido
modificada, alterada o borrada sin aprobacin de administrativos
competentes, se deber notificar lo antes posible a la direccin.

Acceso remoto
La empresa dispondr las condiciones y requisitos para el
establecimiento de conexiones remotas al sistema de la empresa,
tambin proveer las herramientas y controles necesarios para que las
conexiones se efecten de manera segura.
Normas
Debern analizar y aprobar los procedimientos de conexin remota al
sistema de la empresa.
Las conexiones remotas son permitidas nicamente a personal
autorizado y por periodos de tiempo dispuestos con anterioridad de
acuerdo con las labores ejercidas.
Deber revisar la seguridad de los controles utilizados sobre las
conexiones remotas a los recursos de la plataforma tecnolgica de la
empresa.
Los usuarios que realizan conexin remota debern contar con
autorizacin requerida y deben acatar las condiciones de uso.

Las conexiones tendrn que ser en computadoras previamente

identificadas y no en computadoras pblicas.

Auditora
Se definirn las bases para un adecuado control y seguimiento de
operaciones tcnicas y administrativas, para prevenir la correcta
administracin de recursos y el cumplimiento de normas establecidas
por parte de la empresa.
Normas
El rea de auditoria es responsable de la vigilancia, control y
seguimiento de las operaciones tcnicas y administrativas.
Auditoria tambin podr realizar auditoras o exmenes especiales a
solicitud de la direccin.
Auditoria deber realizar revisiones y evaluaciones de vulnerabilidades
detectadas.
Realizara la verificacin del cumplimiento de las normas en el mbito
de seguridad.
Crearan propuestas de medidas preventivas y de correccin.

Entrenamiento de concientizacin (security awareness

training)
La empresa se encargara del entrenamiento de concientizar al
personal de la misma sobre los aspectos de seguridad de la
informacin. El personal debe involucrarse y asumir las
responsabilidades como parte del sistema integral de seguridad.

Normas
Se deben entender los riesgos de seguridad de los recursos
informticos.
Se deber tener buenas prcticas en el manejo de los soportes
informticos.
Se debe clasificar y manejar adecuadamente la informacin.
Tener presente que cualquier incumplimiento a las normas
establecidas podra generar graves consecuencias para la empresa.
Se proporcionaran guas de acceso a internet y uso del correo
electrnico.

Conclusiones
Establecer polticas de seguridad es realmente necesario ya que son
muy importantes para lograr que los sistemas informticos se operen
de una manera ms segura.
El acceso no autorizado o ataques perpetrados a los sistemas de una
empresa pueden ocasionar en su mayora graves problemas.
Esto indica que la clave para desarrollar con xito un programa
efectivo de seguridad de la informacin es implantar las polticas de
ciberseguridad