6.

Evaluación de políticas de seguridad

GRUPO #6
JUAN MADRID
ALEJANDRO GUTIERREZ

Imagine que usted es el encargado de crear las políticas de seguridad de una organización.
Realice las políticas de seguridad necesarias y evalúe su efectividad en relación con la
protección de los activos de información de la organización.

El objetivo de la organización al crear las políticas de seguridad es: Establecer lineamientos y

políticas que aseguren la protección de los activos de información de la empresa y prevengan
riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de dichos activos.

Políticas de seguridad de la organización:

1. Acceso y autenticación:

● Para acceder a los recursos y sistemas de la organización, todos los usuarios

deben tener credenciales seguras y exclusivas.

● Para proteger las cuentas de usuario, se utilizarán mecanismos de

autenticación de dos factores (2FA).

● Se exigirán políticas de contraseñas robustas, que incluyan combinaciones de

símbolos, números y caracteres, y se cambiarán con regularidad.

2. Clasificación y etiquetado:

● La organización debe asignar un nivel de clasificación a todos sus activos de

información, según su grado de confidencialidad, integridad y disponibilidad.

● Se deben colocar marcas o etiquetas claras en los activos para señalar su nivel
de clasificación y el control de acceso que les corresponde.

3. Control de acceso:

● Se aplicarán controles de acceso basados en roles y privilegios, concediendo a

los usuarios solo los permisos y derechos necesarios para desempeñar sus
funciones.

● Se realizará una revisión periódica de los privilegios de acceso para verificar

que estén acordes con las responsabilidades actuales de los usuarios.
Evaluación de la efectividad de las políticas de seguridad:

Toda evaluación de las políticas de seguridad es comprobar su nivel de implementación y la

precisión con la que se ha llevado a cabo. Así como analizar la vigencia de la política de
seguridad de la compañía, teniendo en cuenta las mejores prácticas en el sector y la irrupción
de nuevas amenazas.

Para realizarla, las empresas e instituciones pueden contratar servicios de verificación del
cumplimiento de las políticas de seguridad, prestados por profesionales especializados en
ciberseguridad. Esta clase de servicio permite:

● La política de acceso y autenticación, que se implementará para evitar accesos no

autorizados y proteger las cuentas de usuario con autenticación de dos factores,
disminuirá el riesgo de intrusiones y compromisos de cuentas.

● La política de clasificación y etiquetado facilitará la identificación y el control

adecuado de los activos de información según su importancia, asegurando un enfoque
apropiado en la protección y el control de acceso a los mismos.

● La política de control de acceso asegurará que los usuarios solo tengan los
privilegios necesarios para cumplir sus funciones, disminuyendo el riesgo de abusos o
acceso indebido a los activos.

● Estudiar el cumplimiento técnico de las políticas de seguridad en todos y cada uno de

los sistemas de información que forman parte de la organización.

● Validar que todos los miembros de la organización cumplen con las directrices de
ciberseguridad, de cara a proteger a la compañía o institución frente a las amenazas.

● Emplear herramientas de verificación, capaces de identificar debilidades o brechas

de seguridad.

● Adaptar continuamente las políticas de seguridad y la protección de la

infraestructura, teniendo en cuenta la irrupción de nuevas tecnologías y la elaboración
de nuevas metodologías y técnicas de ciberataques.