TEMA II:

POLTICAS DE SEGURIDAD

POLTICA DE SEGURIDAD Segn la IETF (Grupo de Trabajo de Ingeniera de Internet) define una poltica de seguridad como: Una serie de sentencias formales (normas) que deben cumplir todas las personas que tengan acceso a cualquier informacin y/o tecnologa de una organizacin. El propsito principal de una poltica de seguridad es informar a los usuarios, trabajadores y personal de direccin, de los requisitos obligatorios para proteger los valores tecnolgicos e informacin de la organizacin. La poltica debera especificar los mecanismos a travs de los cuales estos requisitos puedan ser conocidos. Otro propsito es proporcionar una base para adquirir, configurar y auditar los sistemas de computadoras y las redes. Por tanto, emplear un conjunto de herramientas de seguridad, sin una poltica de seguridad implcita, no tendra mucho sentido.

TEMA II:

POLTICAS DE SEGURIDAD

Una poltica de seguridad de la informacin es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los recursos y servicios informticos, importantes de la organizacin. Es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema. Una politica de seguridad es una forma de comunicarse con los usuarios Siempre hay que tener en cuenta que la seguridad comienza y termina con personas. Y debe ser:

TEMA II:

POLTICAS DE SEGURIDAD

Holstica ( cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindad si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene caso adquirir una caja fuerte para proteger un lpiz.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

TEMA II:

POLTICAS DE SEGURIDAD

Recoge las directrices u objetivos de una organizacin con respecto a la seguridad De la informacin. Forma parte de su poltica general y, por tanto, ha de ser aprobada por la direccin. El objetivo principal de la redaccin de una poltica de seguridad es la de concienciar a todo el personal de una organizacin, y en particular al involucrado directamente con el sistema de informacin, en la necesidad de conocer qu principios rigen la seguridad de la entidad y cules son las normas para conseguir los objetivos de seguridad planificados. Por tanto, la poltica de seguridad deber redactarse de forma que pueda ser comprendida por todo el personal de una organizacin.

POLTICA DE SEGURIDAD No todas las polticas de seguridad son iguales. El contenido depende de la realidad y de las necesidades de la organizacin para la que se elabora. Existen algunos estndares y polticas de seguridad por pases y por reas (gobierno, medicina, militar,), pero los mas internacionales son los definidos por la ISO (Internacional Organization for Standardization). Una poltica de seguridad contendr los objetivos de la empresa en materia de seguridad del sistema de informacin, generalmente englobados en cuatro grupos:

POLTICA DE SEGURIDAD Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de informacin, as como evaluar los impactos ante un eventual ataque. Relacionar todas las medidas de seguridad que deben implementarse para afrontar los riesgos de cada activo o grupo de activos. Proporcionar una perspectiva general de las reglas y los procedimientos que deben aplicarse para afrontar los riesgos identificados en los diferentes departamentos de la organizacin.

Detectar todas las vulnerabilidades del sistema de informacin y controlar los fallos que se producen en los activos, incluidas las aplicaciones instaladas y definir un plan de contingencias.

POLTICAS DE SEGURIDAD GENRICAS La poltica genrica de autorizacin descrita en el ISO-7498-2 puede formularse de la siguiente forma: la informacin no puede darse, ni puede permitirse el acceso a ella, ni se puede permitir que sea inferida, ni se puede utilizar ningn recurso por parte de personas o entidades que no estn autorizadas de forma apropiada.

Constituye una base posible para polticas mas detalladas. No cubre la disponibilidad, por ejemplo, en cuestiones de negacin de servicios. La ISO-7498-2 distingue dos tipos de polticas de seguridad:
1. Polticas basadas en identidad, donde el acceso y utilizacin de recursos se determina en base a las identidades de usuarios y recursos. 2. Polticas basadas en reglas, donde el acceso a los recursos se controla a travs de reglas globales impuestas a todos los usuarios, por ejemplo, utilizando etiquetas de seguridad.

CARACTERISTICAS DE LAS POLTICAS DE SEGURIDAD: Algunas de las caractersticas mas relevantes son: Define el comportamiento apropiado para cada caso. Establece que herramientas son necesarias y qu procedimientos. Sirve para comunicar un consenso del uso de datos y aplicaciones dentro de la organizacin. Proporciona una base para la demostracin del uso inapropiado de recursos, por parte de empleados o de externos.

Seguridad de la informacin: redes, informtica y sistemas de informacin Javier Areitio Bertoln. Paraninfo.

Seguridad informtica Purificacin Aguilera Lpez. Editex.

Seguridad en las comunicaciones y en la informacin Escrito por DAZ ORUETA Gabriel,Gabriel DAZ ORUETA,Francisco MUR PREZ,MUR PREZ Francisco,Elio SANCRISTBAL RUIZ,SANCRISTBAL RUIZ Elio,CASTRO GIL Manuel Alonso,Manuel Alonso CASTRO GIL,Juan PEIRE ARROBA,PEIRE ARROBA Juan. Universidad Nacional de Educacin a Distancia.