Al plasmar las políticas de seguridad en un documento se respaldan las condiciones establecidas para el uso de los equipos o información, por si se presenta el caso en el que alguien realice algún uso indebido de éstos, se le pueda sancionar de acuerdo con lo ya establecido.

Al realizar políticas de seguridad se deben considerar los roles de las personas involucradas que son:

Autor: Redacta las políticas de seguridad.

Autorizador. Controla el documento y aprueba o no cada una de las políticas que se establezcan en él así como el acceso al mismo. Puede ser el mismo autor.

Custodio. Resguarda el documento y  autoriza si alguien puede acceder a él.

Usuario. Es quien lee el documento.

 

Es importante que al redactar las políticas de seguridad se consideren las reglas básicas para tener una correcta redacción de éstas. Ver reglas básicas

Es de suma importancia que se cuente con el apoyo de un experto en tecnologías de la información para la realización de las políticas de seguridad.

 

 

 

Ataques

 

Políticas de Seguridad

 

Son un conjunto de reglas o normas con base en las cuales se busca obtener la seguridad deseada. Es decir, es la definición de lo que se puede y lo que no se puede realizar dentro de una organización, lugar, asignación de tareas a los usuarios, permisos y restricciones de todo aquello que tenga acceso a los bienes. Son todas aquellas normas que permiten llevar a cabo los procedimientos necesarios para lograr el nivel de seguridad que se desea en una organización, edificio, equipo, o cualquier activo.

Las políticas de seguridad deben ser redactadas o por lo menos autorizadas por los responsables de los sistemas, ya que son éstos quienes poseen mayor conocimiento acerca de los requerimientos de los activos y lo que es mejor para la organización.

Los principios fundamentales son las bases en una política de seguridad, es decir, los objetivos que se buscan al implementar las políticas de seguridad.

Es de suma importancia que se tenga bien definido qué es lo que se quiere lograr al implementar una política de seguridad.

Los principios que se aplican en las políticas de seguridad en general son:

 

Autorización. Son las normas que asignan quién y de qué manera puede realizarse una acción.

 

Responsabilidad individual. Cuando una persona tiene autorización para llevar a cabo ciertas actividades, debe saber que con dicho privilegio lleva una responsabilidad, ya que se registrarán las actividades que realice y los problemas que surjan en el tiempo en que dicha entidad hace uso de la autorización brindada, caerán sobre la persona que está ejecutando las actividades.

 

Separación de actividades. Esto se realiza para tener un mejor control de las acciones que se llevan a cabo dentro de una organización, para que una persona no haga actividades no autorizadas sin que pueda ser detectada.

 

Mínimo privilegio. Se refiere a que únicamente se le brinde a cada persona la autorización necesaria para la correcta elaboración de su trabajo.

 

Auditoría. Llevar a cabo un control constante de las actividades que se están realizando, ayudan de manera importante a saber con tiempo cuándo existen irregularidades con el manejo de los activos. 

 

Redundancia. Se deben realizar copias de seguridad de la información de manera constante y resguardarlas en distintos lugares, para evitar la pérdida de dicha información. Sin embargo, los respaldos deben ser actualizados, de modo que se evite tener un gran número de copias no actualizadas y que no se sepa cuál es la correcta.

 

Reducción de riesgos. Como su nombre lo dice, se busca reducir al máximo los riesgos que se tengan, de manera que sea proporcional el costo de la aplicación al riesgo.

 

Se puede establecer la cantidad de políticas de seguridad que se desee de acuerdo con lo que se busca proteger y de qué se va a proteger. 

Con la implementación de las políticas de seguridad se logra un mejor control de quiénes hacen uso de los bienes y la manera en que los utilizan. Se establecen reglas que al respetarse garanticen la seguridad de los activos.

Existen 2 filosofías que pueden ser utilizadas para la redacción de las políticas de seguridad que son la prohibitiva y la permisiva.

 

Prohibitiva. Se refiere a que todo está prohibido a excepción de lo que se permite en las políticas.

Permisiva. En esta filosofía todo está permitido menos lo que se prohíbe en las políticas.

Para hacer una correcta selección de la filosofía, es necesario saber el nivel de seguridad que se desea y qué filosofía es más conveniente para los fines deseados. Si se busca un nivel de seguridad alto, en el cual sean demasiadas cosas las que se prohíban, lo adecuado es usar la filosofía prohibitiva, de lo contrario se tendrían que redactar demasiadas políticas y sería más complicado.

 

 

Diseñado por: María Fernanda Briseño Díaz

Mecanismos de seguridad