http://www.monografias.com/trabajos/redesconcep/redesconcep.

shtml

http://es.slideshare.net/jmacostarendon/politicas-deseguridad

Que son Polticas de Seguridad Informtica?

Una Poltica de Seguridad es una forma de comunicarse con los usuarios y con los
gerentes. Indican a las personas como actuar frente a los recursos informticos de
la empresa, y sobre todo, no son un conjunto de sanciones, sino de una
descripcin de aquello valiosos q deseamos proteger y porque lo deseamos
proteger.
Si las decisiones tomadas en relacin a la seguridad, dependen de las PSI, cada
persona debe estar en disposicin de aportar lo necesario para poder llegar a una
conclusin correcta de las cosas que son importantes en la empresa y que deben
ser protegidas.
Elementos de una PSI
Rango de accin de las polticas. Esto se refiere a las personas sobre las
cuales se posa la ley, as como los sistemas a los que afecta.
Reconocimiento de la informacin como uno de los principales activos de la
empresa.
Objetivo principal de la poltica y objetivos secundarios de la misma. Si se
hace referencia a un elemento particular, hacer una descripcin de dicho
elemento.
Responsabilidades generales de los miembros y sistemas de la empresa.
Como la poltica cubre ciertos dispositivos y sistemas, estos deben tener un
mnimo nivel de seguridad. Se debe definir este umbral mnimo.
Explicacin de lo que se considera una violacin y sus repercusiones ante
el no cumplimiento de las leyes.
Responsabilidad que tienen los usuarios frente a la informacin a la que
tienen acceso.

Marco de referencia para establecer PSI

Modelo de SI Productor/Consumidor
Es un procedimiento o algoritmo muy conocido y usado para dirigir las estrategias
de seguridad de una organizacin. Este modelo permite observar las diversas
vulnerabilidades de un sistema (niveles de trabajo), y a partir de ellos, permite
hacer un anlisis de los posibles pasos a seguir.
Ahora, con este modelo, podemos definir 4 tipos de alteraciones principales a este
modelo, mostradas a continuacin.

1.
2.
3.
4.
5.
6.
7.

Procedimientos
Un procedimiento se define como una sucesin cronolgica de operaciones
concatenadas entre s, con el objetivo de obtener un fin o meta. Como nuestra
meta es mantener la seguridad de la organizacin, y mantener estable el algoritmo
P-C, debemos contar con una serie de procedimientos que nos permitan
responder de manera apropiada a las situaciones ms comunes. Todos estos
procedimientos se deben almacenar en un manual deprocedimientos que debe
ser seguido al pie de la letra. En muchos casos, la norma ISO se otorga a aquellas
organizaciones con un manual de procedimientos estructurado en cuanto a la
seguridad informtica
Normatividad
Ley 1273 de 2009
Se abarcan diferentes objetivos en las siguientes reas:
De los atentados contra la confidencialidad, la integridad y la disponibilidad
de los datos y de los sistemas informticos:
Acceso abusivo a un sistema informtico
Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin
Interceptacin de datos informticos
Dao Informtico
Uso de software malicioso
Violacin de datos personales
Suplantacin de sitios web para capturar datos personales.
De los atentados informticos y otras infracciones

1.

Hurto por medios informticos y semejantes

2.
3.

Transferencia no consentida de activos

Circunstancias de mayor punibilidad
En esta ley estn las acciones por parte del gobierno colombiano contra este
flagelo, los resultados informticos de la polica, sus procedimientos a si como la
puesta en marcha de la ley 1273 de 2009.
El poder de la tecnologa informtica puede causar mucho dao a usuarios
desprevenidos e ingenuos.
La ley 1273 del 2009 tipifica los delitos informticos con el fin de penalizar a los
infractores.
La ley 527 de 1999
Los asuntos regulados por la ley 527 son:
Aplicaciones de los requisitos jurdicos de los mensajes de datos
Comunicacin de los mensajes de datos
Comercio electrnico en materia de transporte de mercancas.
Firmas digitales
Entidades de certificacin
Suscriptores de firmas digitales
Funciones de la superintendencia de industria y comercio
Ley 1288 de marzo de 2009
Ley 1266 de diciembre de 2008
ISO 27000-27001 (Seguridad de la Informacin)
Ley 679 de 2001
Plan de Ejecucin
Elaborando el plan de ejecucin como una lista de chequeo o checklist no
enfocamos en una lista de tareas a llevar a cabo para chequear el funcionamiento
del sistema.
Asegurar el entorno. Qu es necesario proteger? Cules son los riesgos?
Determinar prioridades para la seguridad y el uso de los recursos.
Crear planes avanzados sobre qu hacer en una emergencia.
Trabajar para educar a los usuarios del sistema sobre las necesidades y las
ventajas de la buena seguridad
Estar atentos a los incidentes inusuales y comportamientos extraos.
Asegurarse de que cada persona utilice su propia cuenta.
Estn las copias de seguridad bien resguardadas?
No almacenar las copias de seguridad en el mismo sitio donde se las realiza
Los permisos bsicos son de slo lectura?
Si se realizan copias de seguridad de directorios/archivos crticos, usar chequeo
de comparacin para detectar modificaciones no autorizadas.
Peridicamente rever todo los archivos de booteo de los sistemas y los archivos
de configuracin para detectar modificaciones y/o cambios en ellos.
Tener sensores de humo y fuego en el cuarto de computadoras.
Tener medios de extincin de fuego adecuados en el cuarto de computadoras.
Entrenar a los usuarios sobre qu hacer cuando se disparan las alarmas.
Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras.
Instalar UPS, filtros de lnea, protectores gaseosos al menos en el cuarto de
computadoras.

 Tener planes de recuperacin de desastres.

Considerar usar fibras pticas como medio de transporte de informacin en la
red.
Nunca usar teclas de funcin programables en una terminal para almacenar
informacin de login o password.
Considerar realizar autolog de cuentas de usuario.
Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login
y su password, a fin de prevenir los Caballos de Troya.
Considerar la generacin automtica de password.
Asegurarse de que cada cuenta tenga un password.
No crear cuentas por defecto o guest para alguien que est temporariamente en
la organizacin.
No permitir que una sola cuenta est compartida por un grupo de gente.
Deshabilitar las cuentas de personas que se encuentren fuera de la organizacin
por largo tiempo.
Deshabilitar las cuentas dormidas por mucho tiempo.
Deshabilitar o resguardar fsicamente las bocas de conexin de red no usadas.
Limitar el acceso fsico a cables de red, routers, bocas, repetidores y
terminadores.
Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la
red.
Monitorear regularmente la actividad sobre los gateways.