{"id":37,"date":"2007-01-25T08:25:17","date_gmt":"2007-01-25T11:25:17","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?page_id=37"},"modified":"2007-01-25T08:25:17","modified_gmt":"2007-01-25T11:25:17","slug":"politicas-de-seguridad","status":"publish","type":"page","link":"https:\/\/www.talsoft.com.ar\/site\/es\/varios\/seguridad-informatica\/politicas-de-seguridad\/","title":{"rendered":"Pol\u00c3\u00adticas de seguridad"},"content":{"rendered":"<p>El t\u00c3\u00a9rmino <strong>pol\u00c3\u00adtica de seguridad<\/strong> se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en t\u00c3\u00a9rminos generales qu\u00c3\u00a9 est\u00c3\u00a1 y qu\u00c3\u00a9 no est\u00c3\u00a1 permitido en el \u00c3\u00a1rea de seguridad durante la operaci\u00c3\u00b3n general de dicho sistema ([<a href=\"http:\/\/talsoft.com.ar\/weblog\/node380.html#kn:iso88\">Org88<\/a>]). Al tratarse de `t\u00c3\u00a9rminos generales&#8217;, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la pol\u00c3\u00adtica para convertirlos en indicaciones precisas de qu\u00c3\u00a9 es lo permitido y lo denegado en cierta parte de la operaci\u00c3\u00b3n del sistema, lo que se denomina <strong>pol\u00c3\u00adtica de aplicaci\u00c3\u00b3n espec\u00c3\u00adfica<\/strong> ([<a href=\"http:\/\/talsoft.com.ar\/weblog\/node380.html#kn:muf93\">MPS<sup>+<\/sup>93<\/a>]).<\/p>\n<p>Una pol\u00c3\u00adtica de seguridad puede ser <strong>prohibitiva<\/strong>, si todo lo que no est\u00c3\u00a1 expresamente permitido est\u00c3\u00a1 denegado, o <strong>permisiva<\/strong>, si todo lo que no est\u00c3\u00a1 expresamente prohibido est\u00c3\u00a1 permitido. Evidentemente la primera aproximaci\u00c3\u00b3n es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la pol\u00c3\u00adtica contemplar\u00c3\u00ada todas las actividades que se pueden realizar en los sistemas, y el resto &#8211; las no contempladas &#8211; ser\u00c3\u00adan consideradas ilegales.<\/p>\n<p>Cualquier pol\u00c3\u00adtica ha de contemplar seis elementos claves en la seguridad de un sistema inform\u00c3\u00a1tico ([<a href=\"http:\/\/talsoft.com.ar\/weblog\/node380.html#kn:par94\">Par94<\/a>]):<\/p>\n<ul>\n<li>Disponibilidad<br \/>\nEs necesario garantizar que los recursos del sistema se encontrar\u00c3\u00a1n disponibles cuando se necesitan, especialmente la informaci\u00c3\u00b3n cr\u00c3\u00adtica.<\/li>\n<li>Utilidad<br \/>\nLos recursos del sistema y la informaci\u00c3\u00b3n manejada en el mismo ha de ser \u00c3\u00batil para alguna funci\u00c3\u00b3n.<\/li>\n<li>Integridad<br \/>\nLa informaci\u00c3\u00b3n del sistema ha de estar disponible tal y como se almacen\u00c3\u00b3 por un agente autorizado.<\/li>\n<li>Autenticidad<br \/>\nEl sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.<\/li>\n<li>Confidencialidad<br \/>\nLa informaci\u00c3\u00b3n s\u00c3\u00b3lo ha de estar disponible para agentes autorizados, especialmente su propietario.<\/li>\n<li>Posesi\u00c3\u00b3n<br \/>\nLos propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.<\/li>\n<\/ul>\n<p>Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una pol\u00c3\u00adtica se suele dividir en puntos m\u00c3\u00a1s concretos a veces llamados <strong>normativas<\/strong> (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra pol\u00c3\u00adtica de seguridad &#8211; pol\u00c3\u00adtica, normativa, est\u00c3\u00a1ndar, procedimiento operativo&#8230;- es algo en lo que ni los propios expertos se ponen de acuerdo). El est\u00c3\u00a1ndar ISO 17799 ([<a href=\"http:\/\/talsoft.com.ar\/weblog\/node380.html#kn:iso\">Sta00<\/a>]) define las siguientes l\u00c3\u00adneas de actuaci\u00c3\u00b3n:<\/p>\n<ul>\n<li>Seguridad organizacional.<br \/>\nAspectos relativos a la gesti\u00c3\u00b3n de la seguridad dentro de la organizaci\u00c3\u00b3n (cooperaci\u00c3\u00b3n con elementos externos, <em>outsourcing<\/em>, estructura del \u00c3\u00a1rea de seguridad&#8230;).<\/li>\n<li>Clasificaci\u00c3\u00b3n y control de activos.<br \/>\nInventario de activos y definici\u00c3\u00b3n de sus mecanismos de control, as\u00c3\u00ad como etiquetado y clasificaci\u00c3\u00b3n de la informaci\u00c3\u00b3n corporativa.<\/li>\n<li>Seguridad del personal.<br \/>\nFormaci\u00c3\u00b3n en materias de seguridad, clausulas de confidencialidad, reporte de incidentes, monitorizaci\u00c3\u00b3n de personal&#8230;<\/li>\n<li>Seguridad f\u00c3\u00adsica y del entorno.<br \/>\nBajo este punto se engloban aspectos relativos a la seguridad f\u00c3\u00adsica de los recintos donde se encuentran los diferentes recursos &#8211; incluyendo los humanos &#8211; de la organizaci\u00c3\u00b3n y de los sistemas en s\u00c3\u00ad, as\u00c3\u00ad como la definici\u00c3\u00b3n de controles gen\u00c3\u00a9ricos de seguridad.<\/li>\n<li>Gesti\u00c3\u00b3n de comunicaciones y operaciones.<br \/>\nEste es uno de los puntos m\u00c3\u00a1s interesantes desde un punto de vista estrictamente t\u00c3\u00a9cnico, ya que engloba aspectos de la seguridad relativos a la operaci\u00c3\u00b3n de los sistemas y telecomunicaciones, como los controles de red, la protecci\u00c3\u00b3n frente a <em>malware<\/em>, la gesti\u00c3\u00b3n de copias de seguridad o el intercambio de <em>software<\/em> dentro de la organizaci\u00c3\u00b3n.<\/li>\n<li>Controles de acceso.<br \/>\nDefinici\u00c3\u00b3n y gesti\u00c3\u00b3n de puntos de control de acceso a los recursos inform\u00c3\u00a1ticos de la organizaci\u00c3\u00b3n: contrase\u00c3\u00b1as, seguridad perimetral, monitorizaci\u00c3\u00b3n de accesos&#8230;<\/li>\n<li>Desarrollo y mantenimiento de sistemas.<br \/>\nSeguridad en el desarrollo y las aplicaciones, cifrado de datos, control de <em>software<\/em>&#8230;<\/li>\n<li>Gesti\u00c3\u00b3n de continuidad de negocio.<br \/>\nDefinici\u00c3\u00b3n de planes de continuidad, an\u00c3\u00a1lisis de impacto, simulacros de cat\u00c3\u00a1strofes&#8230;<\/li>\n<li>Requisitos legales.<br \/>\nEvidentemente, una pol\u00c3\u00adtica ha de cumplir con la normativa vigente en el pa\u00c3\u00ads donde se aplica; si una organizaci\u00c3\u00b3n se extiende a lo largo de diferentes paises, su pol\u00c3\u00adtica tiene que ser coherente con la normativa del m\u00c3\u00a1s restrictivo de ellos. En este apartado de la pol\u00c3\u00adica se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de car\u00c3\u00a1cter personal, exportaci\u00c3\u00b3n de cifrado&#8230; junto a todos los aspectos relacionados con registros de eventos en los recursos (<em>logs<\/em>) y su mantenimiento.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El t\u00c3\u00a9rmino pol\u00c3\u00adtica de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en t\u00c3\u00a9rminos generales qu\u00c3\u00a9 est\u00c3\u00a1 y qu\u00c3\u00a9 no est\u00c3\u00a1 permitido en el \u00c3\u00a1rea de seguridad durante la operaci\u00c3\u00b3n general de dicho sistema ([Org88]). Al tratarse de `t\u00c3\u00a9rminos generales&#8217;, aplicables a [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":13,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"class_list":["post-37","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/37","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=37"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/37\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/pages\/13"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=37"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}