Asignatura:

Introducción a la Ciberseguridad
Tema:
políticas de seguridad:
Participante:
Edimyl Polanco
Matricula:
2023-0833
Profesor:
Gerald Silvania
 políticas de seguridad

El objetivo de las Políticas de Seguridad es fijar el marco de actuación necesario para proteger
los resultados de las investigaciones de los Equipos de Trabajo, así como los recursos de
información utilizados para su tratamiento y gestión, de amenazas internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de los principios de
confidencialidad, integridad y disponibilidad de la información.

La eficacia y aplicación del Sistema de Gestión de la Seguridad de la Información es

responsabilidad directa de la Gerencia, la cual es responsable de la aprobación, difusión y
cumplimiento de la presente Política de Seguridad. En su nombre y representación se ha
nombrado un responsable del Sistema de Gestión de la Seguridad de la Información, que posee la
suficiente autoridad para desempeñar un papel activo en el Sistema de Gestión de la Seguridad
de la Información, supervisando su implantación, desarrollo y mantenimiento.

La Gerencia procederá a desarrollar y aprobar la metodología de análisis de riesgos utilizada en

el Sistema de Gestión de la Seguridad de la Información.

Toda persona cuya actividad pueda, directa o indirectamente, verse afectada por los requisitos
del Sistema de Gestión de la Seguridad de la Información, está obligada al cumplimiento estricto
de las Políticas de Seguridad.

En FIDETIA se implantarán todas las medidas necesarias para cumplir la legislación vigente, así
como las normativas, licencias y cualquier otro condicionante en materia de seguridad de la
información que resulten de aplicación.

La aplicación de controles, procedimientos y buenas prácticas en seguridad deberán permitir

asegurar la confidencialidad, integridad, disponibilidad de la información, esenciales para:

 Cumplir con la legislación vigente en materia de los sistemas de información.

 Asegurar la confidencialidad de los datos gestionados por FIDETIA y sus equipos de
trabajo incluidos en el alcance del SGSI.
 Asegurar la disponibilidad de los sistemas de información, tanto en los servicios
ofrecidos a los clientes como en la gestión interna.
 Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el
funcionamiento de los servicios críticos en el menor tiempo posible.
 Evitar alteraciones indebidas en la información.
 Promover la concienciación y formación en seguridad de la información.
 Principales estándares de seguridad

En un mercado como el actual, las organizaciones buscan demostrar confianza a sus clientes y
compromiso con la seguridad de la información que manejan. Para ello, el hecho de poseer una
certificación de algún estándar o norma ISO referente a Seguridad supone una ventaja
competitiva, ya que es consecuencia de una correcta gestión de los requisitos de seguridad en
los procesos de tratamiento de la información.

La ciberseguridad y las normas ISO

La Ciberseguridad es algo que está muy en auge hoy en día, pero ¿a qué se debe? La creciente
cantidad de incidentes y ataques de seguridad relacionados con la información y sistemas
informáticos que sufren las organizaciones actualmente hace que la necesidad de tener controles
para garantizar la seguridad de dispositivos, redes de comunicación y activos de información sea
indiscutible. Es de esta necesidad de donde nace el concepto de ciberseguridad.
Este tipo de ataques tienen por objetivo acceder, modificar o destruir información sensible de las
compañías.

La implementación de medidas eficaces de ciberseguridad no es algo sencillo ya que, debido a

la gran cantidad de equipos y tecnologías utilizadas, los ciberdelincuentes siempre encuentran
nuevas opciones de llevar a cabo sus ataques. Sin embargo, existe una forma de implementar
medidas de protección de datos e información que hace que el procedimiento de implantación de
dichas medidas de seguridad informática sea algo más pautado y natural.

Se trata de los estándares y normas ISO relacionadas con la ciberseguridad y seguridad de

la información. Las normas ISO son estándares desarrollados y publicados por la Organización
Internacional de Normalización (ISO). Tanto ISO como IEC (la Comisión Electrotécnica
Internacional) son la referencia especializada para la normalización a nivel mundial. A través de
comités técnicos formados por los organismos miembros tanto de ISO como de IEC, se elaboran
normas internacionales redactadas con el objetivo de regularizar procesos específicos sobre
ámbitos tales como la seguridad de la Información.

Estas normas constituyen, hoy en día, un elemento indispensable en el sistema de cumplimiento

de las organizaciones, otorgando prestigio y reconocimiento internacional a las mismas. El valor
diferencial que aportan las implantaciones de las normas ISO a las organizaciones frente a sus
competidores se debe a que dichos estándares certificados son revisados y auditados
periódicamente para garantizar su cumplimiento, haciendo que la apreciación por parte de
partes interesadas tales como clientes o accionistas mejore considerablemente.
Las normas ISO se numeran de forma incremental en función de su propósito y se dividen en
familias para agrupar aquellas que traten aspectos de la misma índole. El objetivo de estos
estándares y normas es identificar técnicas, políticas, guías, capacitación, etc. en referencia a su
propósito (seguridad, continuidad, calidad, entre otros).
Familia ISO 27000

Entre las ya mencionadas normas ISO, destaca la familia ISO 27000. Ésta es una serie
compuesta por varias normas de seguridad de la información que detallan las pautas y requisitos
para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) con el objetivo
de gestionar la seguridad de la información de las organizaciones.

Dentro de este conjunto de normas, la principal es la ISO 27001, la referencia certificable de toda
la serie. Esta norma proporciona requisitos para el establecimiento, implantación, mantenimiento
y mejora continua de un SGSI. El proceso de mejora continua se basa en el conocido Ciclo
Deming o PDCA (de las siglas de las palabras en inglés Plan-Do-Check-Act) que consta de las 4
fases de Planificar, Hacer, Verificar y Actuar.

Las demás normas de la familia sirven de guía y ayuda para la implantación del SGSI. Otra
norma bastante reseñable es, por ejemplo, la ISO 27002. Se trata de una guía de buenas prácticas
que describe los objetivos de control y controles exigibles en lo referente a la seguridad de la
información.

De la misma familia y con un propósito más específico es la ISO 27031. Este es un estándar no
certificable que sirve de guía y proporciona un conjunto de métodos y procedimientos para
establecer aspectos que conlleven una mejora en la preparación de las TIC de una organización
para garantizar y consolidar la continuidad de negocio. Es decir, el objetivo principal de este
estándar es proporcionar la continuidad de los servicios y asegurar que la organización podrá
recuperarse ante una situación de desastre reestableciendo un estado de funcionamiento acordado
anteriormente.

Similar al caso anterior, podemos hablar de la norma ISO 27701, también de la familia ISO
27000. En ella se establecen requisitos para administrar, gestionar y proteger la privacidad de los
datos personales de la compañía en función de reglamentos y leyes tales como el RGPD
(Reglamento General de Protección de Datos). Basada en los requisitos, controles y objetivos de
la norma ISO 27001 de seguridad, incluye indicaciones para proteger la privacidad y
confidencialidad de los datos de carácter personal tratados en una compañía. Cabe destacar que
la certificación de esta nueva norma es alcanzable solamente de forma conjunta a la certificación
de la ISO 27001.
 Las 5 mejores certificaciones de ciberseguridad

 CISM (Certified Information Security Manager)

CISM (Certified Information Security Manager) es una certificación para el Gerenciamiento de

seguridad de la información respaldada por la ISACA (Information Systems Audit and Control
Association). Está enfocada en la gerencia y ha sido obtenida por siete mil personas desde su
introducción, en 2004.A diferencia de otras certificaciones de seguridad, CISM define los
principales estándares de competencias y desarrollo profesionales que un director de seguridad
de la información debe poseer, competencias necesarias para dirigir, diseñar, revisar y asesorar
un programa de seguridad de la información.

 CEH (Certified Ethical Hacker)

Su principal objetivo es formar profesionales de hacking ético. Es decir, capaces de identificar

debilidades y vulnerabilidades de Seguridad de la Información en los activos TIC haciendo uso
de las mismas técnicas y herramientas de los atacantes, pero de una manera legal y controlada,
esta certificación acredita que los profesionales disponen de unos conocimientos mínimos de
seguridad informática y hacker ético (estándar) y, además, refuerza la profesión del hacking ético
con un estándar globalmente aceptado.
Esta certificación está dirigida a los siguientes profesionales:
–Técnicos de seguridad de las organizaciones
–Administradores de Sistemas

–Administradores de Red

–Auditores de Seguridad Informática

–Personas que quieran desarrollar su carrera en el campo de la Seguridad de la Información

 CRISC (Certified in Risk and Information Security Control)

ISACA desarrolló la Certificación en Control de Sistemas de Información y Riesgos (CRISC)
para que los estudiantes pudieran mejorar su comprensión del impacto del riesgo de TI e
identificar cómo se relaciona con su organización. Esta capacitación CRISC brindará a los
estudiantes una revisión integral de los desafíos únicos que rodean la gestión de riesgos
empresariales y de TI. No hace falta decir que CRISC suele ser una excelente opción para
aquellos interesados en establecer una perspectiva y un lenguaje comunes sobre el riesgo de TI
que puedan establecer el estándar para su propia empresa.
Además, este curso ayudará a los estudiantes a refrescar sus conocimientos sobre seguridad de la
información y ayudará a identificar las áreas que necesitan estudiar para el examen de
certificación CRISC emitido por ISACA.

Los estudiantes que se inscriban a este seminario oficial de formación CRISC: Certificado en
Control de Riesgos y Sistemas de Información, cuentan con los siguientes recursos y
funcionalidades:

4 días de capacitación CRISC de un instructor autorizado de ISACA

Manual de previsión/material didáctico de capacitación CRISC emitido por ISACA
ISACA emitió preguntas, respuestas y explicaciones de revisión CRISC (QAE)
Objetivos de aprendizaje

 CISSP (Certified Information Systems Security Professional)

CISSP (Certified Information Systems Security Professional) es una certificacion de alto nivel profesional
otorgada por la (ISC)2 (International Information Systems Security Certification Consortium,
Inc), con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación en
el área de seguridad de la información. En enero del 2022, había registrados 152,632 CISSPs en
el mundo.1
CISSP es considerada como una de las credenciales de mayor representatividad en el ámbito de
la seguridad informática a nivel mundial. En junio de 2004 CISSP obtuvo la acreditación ANSI e
ISO/IEC Standard 17024:2003.23 La certificación también tiene aprobación del Departamento
de Defensa de Estados Unidos (DOD) en las categorías técnicas (Information Assurance
Technical (IAT)) y de dirección (Information Assurance Managerial (IAM)) para el
requerimiento de certificación DoDD 8570 Archivado el 13 de mayo de 2017 en Wayback
Machine.. La certificación CISSP ha sido adoptada como estándar para el programa ISSEP de la
Agencia Nacional de Seguridad de EE. UU..
  CCSP (Certified Cloud Security Professional)

Certified Cyber Security Professional (CCSP) es la certificación de ISMS Forum dirigida a los
profesionales de la ciberseguridad.

La certificación CCSP nace con el objetivo de ser la primera certificación española dirigida a los
profesionales del ejercicio del gobierno de la ciberseguridad. La obtención de la certificación
acredita un alto nivel de especialización en ciberseguridad, así como el reconocimiento del
ejercicio de la profesión.
 Conclusión

En conclusión, las políticas de seguridad son fundamentales para proteger los activos y la integridad de
una empresa en un mundo cada vez más interconectado y digitalizado. Estas políticas deben abarcar
múltiples aspectos, desde la protección de datos confidenciales hasta la prevención de amenazas
cibernéticas y la concienciación del personal. Al establecer políticas adecuadas y asegurar su
implementación efectiva, una empresa puede minimizar los riesgos, mejorar la resiliencia y mantener la
confianza de sus clientes y socios comerciales.

Es importante que las políticas de seguridad sean adaptables y estén en constante evolución para hacer
frente a las amenazas emergentes y los cambios en la tecnología. También se debe fomentar una cultura
de seguridad en toda la organización, donde cada empleado sea consciente de la importancia de seguir las
pautas de seguridad y proteger la información de la empresa.

Además, las políticas de seguridad deben estar alineadas con los estándares y regulaciones de la industria
para garantizar el cumplimiento normativo, lo que ayudará a evitar sanciones y problemas legales.

Bibliografía

 https://www.globalsuitesolutions.com/es/normas-iso-para-mejorar-la-ciberseguridad/
 https://www.fidetia.es/politica_seguridad.php#:~:text=El%20objetivo%20de%20las
%20Políticas,accidentales%2C%20con%20el%20fin%20de
 https://en.wikipedia.org/wiki/Main_Page