Seguridad en Aplicaciones EJE 2

POLITICA DE SEGURIDAD INFORMATICA
MATERIA:
Seguridad en aplicaciones
DOCENTE:
JORGE OSPINA BELTRAN
Edgar Ivan Hilarion Sánchez

Diego Eduardo Benitez Estupiñan
Marzo 2022
Fundación Universitaria del Área Andina
Ingeniería de Sistemas
INTRODUCCIÓN
¿qué es ISO 17799?
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de
la seguridad en la cual basaremos la investigación y la creación de una nueva política de
seguridad informática para una organización.

OBJETIVOS DE LA POLITICA
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los
servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
seguridad de la información, y que están preparados para sostener la política de seguridad
de la organización en el curso normal de su trabajo.
Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento,
controlándolos y aprendiendo de ellos.

PUNTO A DESARROLLAR EN EL EJE 2
 En grupos de tres estudiantes, investigar y crear una política de seguridad
informática
para una organización, según la norma ISO/IEC 17799.
POLÍTICA DE SEGURIDAD INFORMÁTICA LIGADA AL PERSONAL
Hemos leído he investigado sobre la norma ISO/IEC 17799 y concluimos que la política
debía ir enfocada en el personal de la organización ya que son los errores humanos los que
ocasionan perdidas masivas de información y robos en grandes cantidades de dinero.
Norma que decidimos crear desde lo investigado: Generar huellas aleatorias a todas las
personas que tienen acceso a la información de la organización.
Antes de validar cualquier acceso el administrador y un segundo encargado en caso de que
el administrador no se encuentre, hará la verificación dando el acceso para su
funcionamiento normal.
1. Identificación
Para proteger a tu organización, lo primero que debes hacer es saber lo que tienes en ella
que vale la pena proteger. Este paso inicial implica averiguar el conjunto de los activos de
la organización, incluido el personal, el hardware, software, sistemas y datos que componen
tu sistema informático. Pueden incluir programas informáticos, servidores y servicios
externos como alojamiento web.
2. Evaluación de riesgos
Ahora necesitas establecer qué es lo que podría poner en peligro los activos anteriores.
Por ejemplo, los virus informáticos, hackers, daños físicos o errores de los empleados.
Considera el tipo y el alcance del daño que podría ser causado en cada caso. Por ejemplo, si
el servidor se pone fuera de línea, ¿tu empresa podría seguir funcionando? Anota todo esto
en tu plan de seguridad informática.
3. Prioriza tu protección IT
Una vez que hayas evaluado el daño potencial de cada amenaza y la probabilidad de
que se produzca, puedes decidir qué amenazas son las más importante e interesantes para
empezar a proteger. Por ejemplo, podrías determinar que la protección de tu servidor es
más importante que la protección de los equipos individuales.
4. Toma las precauciones adecuadas
Decide cuáles son los pasos que debes tomar para protegerte contra los riesgos que has
identificado en toda la parte anterior de este plan de seguridad informática, y asegura que tu
negocio va a seguir siendo capaz de operar si algo va mal. Por ejemplo, deberías restringir
el acceso a tu servidor o instalar un firewall de hardware. Tu plan de recuperación de
desastres debe explicar qué hacer si ocurre una crisis.
¿Qué hacemos una vez tenemos el plan?
Una vez tengamos este plan de seguridad informática por escrito, debes poner en
práctica las siguientes recomendaciones:
Comunica el plan a todo el personal: Haz que algunos empleados concretos sean
responsables de áreas específicas. Asegúrate de que tengan tiempo y recursos para hacer los
cambios recomendados a sus sistemas de IT.
Crea políticas de IT y forma a la gente: Modifica las políticas de IT para que estén en línea
con el plan de seguridad. Si es necesario, forma a la gente para que todo el personal
entienda cómo minimizar las vulnerabilidades de seguridad.
Establece un calendario para poner en marcha las medidas del plan: Recuerda que puede
tomar tiempo hacer grandes cambios en los sistemas.
Mantenimiento del plan de seguridad informática
Los riesgos de seguridad cambian constantemente, por lo que deberás revisar
periódicamente tu plan de seguridad informática. Mantente al día de las vulnerabilidades de
seguridad emergentes suscribiéndote a boletines de empresas de seguridad. Asegúrate de
que actualizas regularmente tus protecciones. Si se realizan cambios en tu sistema
informático o inviertes en nuevo hardware o software, revise tu plan de seguridad
informática. Tratar de identificar nuevas vulnerabilidades de seguridad y revisa también las

políticas y procedimientos al menos cada 12 meses. Por último, pon a alguien a cargo del
plan de seguridad informática, para que no haya ninguna posibilidad de que quede
descuidado.
Políticas de seguridad
Seguridad física.
• Utilizar correctamente los espacios de trabajo sin alterar ni modificar los equipos de
comunicación o cómputo, por ende, el área del trabajador debe cumplir los estándares
recomendados para evitar daños ocasionados por: humedad, presiones, o temperaturas
(calor, frio externo).
Seguridad de red
• Se tienen controles sobre la navegación y los permisos que se le deban asignar
de acuerdo con el perfil del trabajador, evitando la excesiva navegación con fines
extralaborales, o no justificados por la tarea.
Seguridad Humana
• El usuario debe informar de casos en los que le aparezcan enlaces en los correos los
cuales no son comunes en la información que se maneja a diario en la compañía, los cuales
deben ser analizados por el departamento encargado, esto ayuda al buen manejo de la
información de la empresa y evitar que pueda caer en las manos equivocadas.
Seguridad en sistemas operativos.
• Se debe tener un plan de trabajo para la actualización de los sistemas que tenga la
empresa ya que estos van saliendo del mercado y con esto el soporte del fabricante que
está
trabajando para actualizar y mitigar los constantes ataques que pueden recibir las empresas,
con esto se brinda un mejor rendimiento y seguridad.
Seguridad en aplicaciones
• cada servicio que proporcionamos a nuestros usuarios conlleva unos riesgos de
seguridad, que a veces superan a los beneficios del servicio, lo que pueden llevarnos a la
decisión de suprimirlo, y analizar nuevas propuestas que tengan una estructura mas robusta
y que cumpla con los requisitos.
Seguridad en SGBD
• Se debe implementar la encriptación de datos, tokenización y prácticas de gestión de
claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una
organización, también la redundancia en servidores para tener un respaldo que nos
garantice la seguridad de esta.

CONCLUSIÓN
Es un hecho que el área de sistemas es un departamento de servicios y sus primeros clientes
son los propios empleados y áreas de la empresa, que son los que ocupan sus servicios, los
cuales, son importantes, como los que se le ofrecen a los clientes externos; porque aunque
erróneamente se crea que un departamento de servicios solo ocasiona gastos y no genera
ingresos, estos últimos están implícitos en los ahorros que promueve y que logra a través de
un adecuado manejo de la información por eso las políticas de seguridad para el área de
tecnología no solo se protegen a sí mismos si no a la organización en general.

REFERENCIAS
 Departamento de Tecnología Organización Inca. (S.F). POLITICAS DE
SEGURIDAD INFORMÁTICA (PSI) recuperado de:
http://www.centroinca.com/centro_inca/documentos/politica_seguridad_informatica.pdf
 Villalon A. (2004) Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799
recuperado de: http://www.shutdown.es/ISO17799.pdf
 https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-aplicacion-en-la-
empresa/
 https://prezi.com/whxiuynnlfy5/ejemplos-de-politicas-de-seguridad-informatica-en-
una-organizacion/

Seguridad en Aplicaciones EJE 2

Cargado por

Copyright:

Formatos disponibles

Seguridad en Aplicaciones EJE 2

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en Aplicaciones EJE 2

Cargado por

Copyright:

Formatos disponibles

POLITICA DE SEGURIDAD INFORMATICA

Edgar Ivan Hilarion Sánchez

¿qué es ISO 17799?

la seguridad en la cual basaremos la investigación y la creación de una nueva política de

seguridad informática para una organización.

seguridad de la información, y que están preparados para sostener la política de seguridad

de la organización en el curso normal de su trabajo.

controlándolos y aprendiendo de ellos.

 En grupos de tres estudiantes, investigar y crear una política de seguridad

para una organización, según la norma ISO/IEC 17799.

POLÍTICA DE SEGURIDAD INFORMÁTICA LIGADA AL PERSONAL

ocasionan perdidas masivas de información y robos en grandes cantidades de dinero.

personas que tienen acceso a la información de la organización.

Antes de validar cualquier acceso el administrador y un segundo encargado en caso de que

el administrador no se encuentre, hará la verificación dando el acceso para su

la organización, incluido el personal, el hardware, software, sistemas y datos que componen

tu sistema informático. Pueden incluir programas informáticos, servidores y servicios

externos como alojamiento web.

en tu plan de seguridad informática.

empezar a proteger. Por ejemplo, podrías determinar que la protección de tu servidor es

más importante que la protección de los equipos individuales.

4. Toma las precauciones adecuadas

desastres debe explicar qué hacer si ocurre una crisis.

¿Qué hacemos una vez tenemos el plan?

práctica las siguientes recomendaciones:

cambios recomendados a sus sistemas de IT.

entienda cómo minimizar las vulnerabilidades de seguridad.

tomar tiempo hacer grandes cambios en los sistemas.

Mantenimiento del plan de seguridad informática

Los riesgos de seguridad cambian constantemente, por lo que deberás revisar

periódicamente tu plan de seguridad informática. Mantente al día de las vulnerabilidades de

seguridad emergentes suscribiéndote a boletines de empresas de seguridad. Asegúrate de

que actualizas regularmente tus protecciones. Si se realizan cambios en tu sistema

informático o inviertes en nuevo hardware o software, revise tu plan de seguridad

informática. Tratar de identificar nuevas vulnerabilidades de seguridad y revisa también las

recomendados para evitar daños ocasionados por: humedad, presiones, o temperaturas

(calor, frio externo).

• Se tienen controles sobre la navegación y los permisos que se le deban asignar

extralaborales, o no justificados por la tarea.

información de la empresa y evitar que pueda caer en las manos equivocadas.

Seguridad en sistemas operativos.

con esto se brinda un mejor rendimiento y seguridad.

• cada servicio que proporcionamos a nuestros usuarios conlleva unos riesgos de

y que cumpla con los requisitos.

• Se debe implementar la encriptación de datos, tokenización y prácticas de gestión de

organización, también la redundancia en servidores para tener un respaldo que nos

garantice la seguridad de esta.

Es un hecho que el área de sistemas es un departamento de servicios y sus primeros clientes

erróneamente se crea que un departamento de servicios solo ocasiona gastos y no genera

tecnología no solo se protegen a sí mismos si no a la organización en general.

 Departamento de Tecnología Organización Inca. (S.F). POLITICAS DE

SEGURIDAD INFORMÁTICA (PSI) recuperado de:

 Villalon A. (2004) Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799

recuperado de: http://www.shutdown.es/ISO17799.pdf

También podría gustarte