Esquemas de Seguridad Informática

Políticas de Seguridad Algunas políticas necesarias

De acuerdo a (Daltabuit Godás & Vázquez Gómez, 2007), hay que considerar las siguientes políticas necesarias:


  • Políticas de uso aceptable

Determina que se puede hacer con los recursos de cómputo (equipo y datos) de la organización. También determinan lo que no se puede hacer con esos recursos. Indica l responsabilidad de los usuarios en la protección de la información que manejan y en qué condiciones puede afectar o leer datos que no les pertenezca.


  • Políticas de cuentas de usuario

Determina el procedimiento que hay que seguir para adquirir privilegios de usuarios en uno o más sistemas de información y la vigencia de estos derechos.
Además quien tiene la autoridad de asignar estos privilegios y quienes no podrían recibir esos privilegios por causas legales. Debe exhibir explícitamente los deberes y derechos de los usuarios. Se explicara cómo y cuándo se deshabilitaran las cuentas de usuarios y  que se hará con la información que contenga. Debe especificar claramente los detalles de los procedimientos de identificación y autenticación.


  • Políticas de acceso remoto

Se definen y explican los métodos aceptables para conectarse a los sistemas de información de la organización desde el exterior de la misma. Son particularmente para organizaciones geográficamente extendidas o aquellas cuyos miembros pasa la mayor parte del tiempo viajando. Además de establecer quien tiene derecho a este tipo de conexión también establecen quienes pueden emplear módems para conectarse al exterior de la organización, sobre todo módems de alta velocidad.


  • Políticas de la protección de la información

El objetivo es evitar que la información sea modificada o difundida durante su proceso, almacenamiento o transmisión. Específica como deben establecerse jerarquías de confidencialidad e integridad, y como se implementan su protección. Debe ponerse especial atención a la divulgación y la destrucción de la información.


  • Políticas de configuración del cortafuego

Establece quien determina el establecimiento y los cambios de la configuración. También quién debe tener acceso a ser usuario del cortafuego y quién puede obtener información acerca de la configuración del mismo. Debe establecer los de administración de la configuración, para que responda a las necesidades de la organización.


  • Políticas de cuentas privilegiadas

Establece los requisitos que debe satisfacer quienes usen cuentas privilegiadas (root, bkup, admin) en cuanto a su biografía y trayectoria dentro de la organización. Contienen procedimientos de la auditoria del uso de este tipo de cuentas, particularmente sobre los procedimientos de identificación y autenticación, y su uso. Determina en qué condiciones se debe cancelar el acceso privilegiado.


  • Políticas de conexión a la red

Define los requisitos que deben cumplirse para que se conecten nuevos dispositivos a la red de la organización. Son particularmente importantes para organizaciones que tienen una diversidad de equipos de soporte técnico, y para aquellos que no están protegidos con un cortafuegos. Deben especificar quien puede instalar nuevos recursos en la red, cuál es la autorización requerida y como se documentan los cabios. Deben aclarar cómo se manejan los dispositivos inseguros.