SW-11-Juan Vivas

Vista previa del material en texto

INSTITUTO TECNOLOGICO 
SUPERIOR PROGRESO 
SEGURIDAD EN LA WEB 
 
POLITICAS DE SEGURIDAD INFORMATICA 
 
DOCENTE 
EDGAR ALEJANDRO SAGUNDO DUARTE 
 
ALUMNO 
JUAN ALEJANDRO VIVAS CETZ 
ISC 
7º Semestre 
 
¿Qué son las políticas de Seguridad Informática? 
 
Contar con políticas de seguridad garantizar la integridad de los sistemas, 
garantizar la seguridad, establece un comportamiento y controles necesarios para 
aplicar las estrategias de la empresa. 
También ayuda a determinar cómo prevenir y responder a amenazas a la 
integridad, disponibilidad, confidencialidad de la información y activos críticos, 
identificando las responsabilidades, derechos y deberes de los trabajadores. 
Las políticas de seguridad informática (PSI) son un conjunto de reglas, 
procedimientos, padrones, normas y directrices a observar, seguidas por todas las 
personas que utilizan la infraestructura de la empresa. 
• Política de contraseñas y acceso a los dispositivos corporativos; 
• Normas sobre el uso de internet; 
• Reglas sobre la instalación de softwares; 
• Buenas prácticas de uso del correo electrónico corporativo; 
• Rutinas de backups. 
• Frecuencia de auditorías. 
Busca proteger y garantizar los 3 principios de la seguridad de la información, 
confidencialidad, integridad y disponibilidad. 
Las normas y prácticas descritas en las políticas de seguridad siempre se deben 
relacionar a uno o más de tales principios. 
Las PSI son implementadas en las organizaciones por medio de ciertos principios 
básicos, que garantizan que cada cambio importante reciba la debida atención y 
corrobore que la empresa esté logrando sus objetivos. 
 
Buenas prácticas 
El documento de buenas prácticas de Seguridad de la Información —puede ser un 
documento específico, cláusulas anexas a los contratos de los empleados, etc.— 
debería recoger, entre otras cosas, el uso aceptable de los sistemas y la 
información por parte del personal, las directrices para mantener el puesto de 
trabajo despejado, el bloqueo de equipo desatendido, la protección de 
contraseñas… 
Procedimiento de control de accesos 
Recoge las medidas técnicas y organizativas relacionadas con los permisos de 
acceso a las instalaciones y sistemas que albergan la información de la 
organización, así como el acceso a la propia información. Los controles de acceso 
pueden ser físicos o lógicos. 
Controles de acceso físico 
Mecanismos y sistemas implementados para controlar el acceso de personas a las 
instalaciones de la organización como, por ejemplo, tornos, barreras, cámaras, 
alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros 
ejemplos de controles de acceso físico son también: albergar la información en 
armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no 
permita el acceso no autorizado a la información. 
 
Controles de acceso lógico 
Sistemas implementados para controlar el acceso de los usuarios a los distintos 
sistemas que albergan la información o el acceso a la propia información. 
Ejemplos de controles de acceso lógico son la implementación de un NAC (control 
de acceso de equipos y usuarios a la red), la configuración de permisos de lectura 
y escritura sobre los propios archivos de información, sistemas de login en los 
distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a 
través de una VPN, etc. 
 
Procedimiento de gestión de usuarios 
Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de 
trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de 
información, así como para la concesión de los permisos de acceso tanto físicos 
como lógicos que deberían tener a las instalaciones, sistemas y a la propia 
información. 
Este procedimiento se debería basar y recoger una definición clara y concisa de 
los diferentes roles y responsabilidades de los usuarios, es decir, en función de los 
roles y responsabilidades del personal se le tendrían que conceder diferentes 
accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo. 
 
Procedimiento de clasificación y tratamiento de la información 
Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a su 
valor, requisitos legales, sensibilidad y criticidad para la organización y las 
medidas de protección y manipulación/tratamiento del mismo acorde a su 
clasificación. 
 
Procedimiento de gestión de incidentes de seguridad de la información 
Instrucciones para la notificación de incidentes, de respuesta a los mismos con las 
acciones a realizar al ser detectados, etc. 
 
Otros procedimientos 
Gestión de activos de información, copias de seguridad de la información, 
seguridad de la red, antimalware, registro y supervisión de eventos, actualización y 
parcheo de sistemas y equipo. 
Referencias 
Políticas de seguridad informática, ¿qué son? | UNIR 
Qué son las políticas de seguridad informática y por qué son importantes 
(gadae.com) 
Villanueva, A. (2021, julio 22). Políticas y procedimientos de seguridad de la 
información - OSTEC. OSTEC | Segurança digital de resultados; OSTEC 
Business Security. https://ostec.blog/es/seguridad-informacion/politicas-y-
procedimientos-de-seguridad-de-la-informacion/ 
Puesto, E., & de I, D. (s/f). DE LA UNIVERSIDAD TECNOLOGICA DE TABASCO. 
Edu.mx. Recuperado el 8 de septiembre de 2023, de 
https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamient
os_de_seguridad_para_los_sistemas_informaticos.pdf 
 
 
 
https://www.unir.net/ingenieria/revista/politicas-seguridad-informatica/
https://www.gadae.com/blog/politicas-de-seguridad-informatica/
https://www.gadae.com/blog/politicas-de-seguridad-informatica/
https://ostec.blog/es/seguridad-informacion/politicas-y-procedimientos-de-seguridad-de-la-informacion/
https://ostec.blog/es/seguridad-informacion/politicas-y-procedimientos-de-seguridad-de-la-informacion/
https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamientos_de_seguridad_para_los_sistemas_informaticos.pdf
https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamientos_de_seguridad_para_los_sistemas_informaticos.pdf