INTRODUCCIN

El descubrimiento ms importante del siglo XX ha sido sin duda la computadora, que esta
provocando cambios en nuestra sociedad cuya importancia hoy slo podemos intuir, y que los
provocar an ms en el futuro.

En la actualidad, nuestro entorno esta prcticamente controlado por las nuevas tecnologa,
que a medida que transcurre el tiempo, avanzan sin lmites y en ocasiones son utilizados
incorrectamente provocando daos en el mismo sistema en el que han sido creados.
Es indudable el crecimiento de la importancia que tiene el procesamiento de la informacin en
el funcionamiento de cualquier organizacin. La posibilidad de interconectarse a travs de
redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder
explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la
aparicin
de
nuevas
amenazas
para
los
sistemas
de
informacin.
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de
la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar
entre perder un negocio o arriesgarse a ser hackeadas. La cuestin es que, en algunas
organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms
negocios.

El trabajo que se presenta a continuacin, esta enfocado a las Polticas de Seguridad

Informtica (PSI), que surgen como una herramienta organizacional para concientizar a cada
uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin
y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de
negocios.

Polticas de Seguridad
Definiciones Generales
El trmino poltica de seguridad se suele definir como el conjunto de requisitos definidos por los
responsables directos o indirectos de un sistema que indica en trminos generales qu est y
qu no est permitido en el rea de seguridad durante la operacin general de dicho sistema.
Al tratarse de `trminos generales, aplicables a situaciones o recursos muy diversos, suele ser
necesario refinar los requisitos de la poltica para convertirlos en indicaciones precisas de qu
es lo permitido y qu lo denegado en cierta parte de la operacin del sistema, lo que se
denomina poltica de aplicacin especfica.
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que
las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos
y servicios informticos de la organizacin.
No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica
de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados,
es ms bien una descripcin de los que deseamos proteger y el por qu de ello, pues cada
poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin
como uno de sus principales activos as como, un motor de intercambio y desarrollo en el
mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una

posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios
informticos.
Surgen como una herramienta organizacional para concientizar a los colaboradores de la
organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que
permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o
identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza
tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.
Caractersticas
La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se
definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una
poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en
cuenta
que
la
seguridad
comienza
y
termina
con
personas,
y
debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma).

Adecuarse
a
las
necesidades
y
recursos.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde
se
conocen
las
alternativas
ante
circunstancias
repetidas.
Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin
clara
de
las
mismas,
claro
est
sin
sacrificar
su
precisin.
Deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales
relevantes, como son: el aumento de personal, cambios en la infraestructura computacional,
alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa,
cambio
o
diversificacin
del
rea
de
negocios,
etc.
Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya
mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad
y
Utilidad.
No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin
legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de
los
que
deseamos
proteger
y
el
porqu
de
ello.

Elementos

de

una

Poltica

de

Seguridad

Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la
seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una
visin
conjunta
de
lo
que
se
considera
importante.
Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes
elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.
Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los
niveles
de
la
organizacin.
Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el
alcance
de
la
poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas.
Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.
Es necesario garantizar que los recursos del sistema se encontrarn disponibles cuando se
necesitan,
especialmente
la
informacin
crtica.
Los recursos del sistema y la informacin manejada en el mismo ha de ser til para alguna
funcin.

 Integridad: la informacin del sistema ha de estar disponible tal y como se almacen por un
agente autorizado.
Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
Confidencialidad: la informacin slo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesin: los propietarios de un sistema han de ser capaces de controlarlo en todo momento;
perder este control en favor de un usuario malicioso compromete la seguridad del sistema
hacia el resto de usuarios.

Normativas
Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de
garantizar la seguridad corporativa, una poltica se suele dividir en puntos ms concretos a
veces llamados normativas. Ellas definen las siguientes lneas de actuacin:
Seguridad organizacional. Aspectos relativos a la gestin de la seguridad dentro de la
organizacin (cooperacin con elementos externos, outsourcing, estructura del rea de
seguridad).
Clasificacin y control de activos. Inventario de activos y definicin de sus mecanismos de
control, as como etiquetado y clasificacin de la informacin corporativa.
Seguridad del personal. Formacin en materias de seguridad, clusulas de confidencialidad,
reporte de incidentes, monitorizacin de personal.
Seguridad fsica y del entorno. Bajo este punto se engloban aspectos relativos a la seguridad
fsica de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos de la organizacin y de los sistemas en s, as como la definicin de controles genricos de
seguridad.
Gestin de comunicaciones y operaciones. Este es uno de los puntos ms interesantes desde
un punto de vista estrictamente tcnico, ya que engloba aspectos de la seguridad relativos a la
operacin de los sistemas y telecomunicaciones, como los controles de red, la proteccin frente
a malware, la gestin de copias de seguridad o el intercambio de software dentro de la
organizacin.
Controles de acceso. Definicin y gestin de puntos de control de acceso a los recursos
informticos de la organizacin: contraseas, seguridad perimetral, monitorizacin de acceso.
Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado
de datos, control de software.
Gestin de continuidad de negocio. Definicin de planes de continuidad, anlisis de impacto,
simulacros de catstrofes.
Requisitos legales. Evidentemente, una poltica ha de cumplir con la normativa vigente en el
pas donde se aplica; si una organizacin se extiende a lo largo de diferentes pases, su poltica
tiene que ser coherente con la normativa del ms restrictivo de ellos. En este apartado de la
poltica se establecen las relaciones con cada ley: derechos de propiedad intelectual,
tratamiento de datos de carcter personal, exportacin de cifrado junto a todos los aspectos
relacionados con registros de eventos en los recursos (logs) y su mantenimiento.

Parmetros

para

Establecer

Polticas

de

Seguridad

Es importante que al momento de formular las polticas de seguridad informtica, se consideren

por lo menos los siguientes aspectos:
Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas
a la realidad de la empresa.
Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y
son la principal fuente para establecer el alcance y definir las violaciones a las polticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los
beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Tambin es necesario identificar quin tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea.
Adems monitorear peridicamente los procedimientos y operaciones de la empresa, de forma
tal,
que
ante
cambios
las
polticas
puedan
actualizarse
oportunamente.
Como as tambin, detallar explcita y concretamente el alcance de las polticas con el
propsito de evitar situaciones de tensin al momento de establecer los mecanismos de
seguridad que respondan a las polticas trazadas.
Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica
A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir
directrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer
a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica.
Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de
mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad.
Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen informacin sensitiva y por ende su imagen corporativa.

La Informacin y el Delito
El delito informtico implica actividades criminales que los pases han tratado de encuadrar en
figuras tpicas de carcter tradicional, tales como robos, hurtos, fraudes, falsificaciones,
perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las tcnicas
informticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha
creado la necesidad de regulacin por parte del derecho.
Se considera que no existe una definicin formal y universal de delito informtico pero se han
formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fcil dar un
concepto sobre delitos informticos, en razn de que su misma denominacin alude a una
situacin muy especial, ya que para hablar de "delitos" en el sentido de acciones tpicas, es
decir tipificadas o contempladas en textos jurdicos penales, se requiere que la expresin
"delitos informticos" est consignada en los cdigos penales, lo cual en nuestro pas, al igual
que en otros muchos no han sido objeto de tipificacin an.
Tipos de Delitos Informticos
La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos
informticos:
1. Fraudes cometidos mediante manipulacin de computadoras

2. Manipulacin de los datos de entrada

3. Daos o modificaciones de programas o datos computarizados

Delincuente y Victima
1. Sujeto Activo
2. Sujeto Pasivo

CONCLUSIN
Al realizar este trabajo, he podido comprobar que cada vez es ms evidente la necesidad de
centralizar las polticas de seguridad informtica para cubrir virtualmente todo lo que sucede en
dicho campo.
Afortunadamente, se ha logrado que muchas organizaciones empiecen a entender la
importancia de las de este tipo de seguridad, porque a su alrededor existen proyectos que
dependen de manera crtica de un sistema con reglas claramente articuladas. Sin este tipo de
polticas informticas, no se puede garantizar que los sistemas informticos sean operados de
manera segura.
En muchsimos casos la mejor herramienta de seguridad somos nosotros y nuestro sentido
comn, ya que se ha podido comprobar que los descuidos o imprudencias son la principal
fuente de las brechas de seguridad, tanto desde el punto de vista del usuario personal como de
las empresas.
Tambin es evidente que se debe pensar en la forma de castigar dichos abusos en contra de la
seguridad de la informacin, y como as tambin, algo mucho ms importante como lograr
probar el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carcter
intangible de la informacin.