Instituto Tecnológico de Las Américas

Desarrollo de políticas
Asignatura

Sección
Eric Combes
Docente
Capítulo 9
Tema
Diego Jael Peña Castillo – 2023-0366

Estudiantes

31 de julio del 2024, Boca Chica

Tabla

Tabla de contenido
Introducción ............................................................................................................................................. 3
Política y Procedimiento Gestión de Cambios. ........................................................................... 4
Política y Procedimiento Gestión de Capacidades. ................................................................... 4
Política y Procedimiento de Antivirus. .......................................................................................... 9
Política de Antivirus ...................................................................................................................... 10
Componentes Clave: ...................................................................................................................... 10
Procedimiento de Antivirus ....................................................................................................... 10
Política gestión de Vulnerabilidades. .......................................................................................... 11
Gestión de vulnerabilidades definida .................................................................................. 11
¿Qué es la gestión de vulnerabilidades en el cloud? .................................................. 11
Tipos comunes de vulnerabilidades..................................................................................... 11
¿Por qué es importante la gestión de vulnerabilidades? ........................................... 12
Introducción

Las Políticas de Seguridad Operativa son un conjunto de directrices y

procedimientos diseñados para proteger los recursos tecnológicos y operativos
de una organización contra amenazas y vulnerabilidades. Estas políticas se
enfocan en la seguridad de las operaciones diarias, asegurando que los
sistemas, redes y datos estén protegidos contra accesos no autorizados, ataques
y malfuncionamientos. Incluyen normas sobre la gestión de riesgos, control de
acceso, protección de la información y la respuesta a incidentes. La
implementación efectiva de estas políticas es crucial para garantizar la
integridad, confidencialidad y disponibilidad de la información y para
asegurar la continuidad del negocio en un entorno cada vez más complejo y
amenazado.
Política y Procedimiento Gestión de Cambios.
El contar con un manejo de la gestión de cambios efectivo dará un mejor
control sobre el proceso de cambios, así como implementar los mismos con un
riesgo mínimo. Ello resulta de gran utilidad, ya que permite gestionar mejor la
infraestructura de las Tecnologías de Información (IT) con cambios bien
planificados y ejecutados. Tener el control durante todo el proceso permite
estar al tanto de todas las solicitudes de cambios. También facilita la
identificación y reducción de los cambios no autorizados. Además, contribuye
a mantenerse al día con las tendencias de la industria al garantizar que puedan
implementarse los cambios necesarios sin problemas y sin afectar las
operaciones de servicio actuales.

El propósito de la política de gestión de cambios es prevenir interrupciones

imprevistas y cambios de los resultados en los activos de la tecnología de
Información (IT.) Además, garantizará que las modificaciones de hardware,
software, procesos y herramientas se programen, cuando sea posible, se
comuniquen de manera efectiva y den como resultado uno predecible para
minimizar la interrupción, tanto en las operaciones como en los usuarios de
tecnología.

Esta política se aplica a todas las agenciasii que poseen o administran activos
de hardware y software que están sujetos a cambios o activos que pueden
verse afectados por cambios en activos que no están bajo el control o la
propiedad de ésta. Los cambios incluyen, entre otros, actualizaciones de
software, parches, intercambios de hardware, actualizaciones de firmware,
actualizaciones de configuración de red y cambios en el proceso.
Los expertos en ciberseguridad, propietario del servicio de
infraestructura/operaciones, aplicaciones, gestión de incidentes, desarrollo de
sistemas y manejo de redes deben aprobar primero un boleto de gestión de
cambios en el Sistema de Gestión de Servicios de IT antes de que el cambio
pueda ser revisado por el Comité Asesor de Cambios y el Gerente de Cambios
y recibir la aprobación final para proceder.

Política y Procedimiento Gestión de Capacidades.

La Gestión de la Capacidad es la encargada de que todos los servicios TI se
vean respaldados por una capacidad de proceso y almacenamiento suficiente y
correctamente dimensionada.
Sin una correcta Gestión de la Capacidad, los recursos no se aprovechan
adecuadamente y se realizan inversiones innecesarias que acarrean gastos
adicionales de mantenimiento y administración. O aún peor, los recursos son
insuficientes con la consecuente degradación de la calidad del servicio.
Entre las responsabilidades de la Gestión de la Capacidad se encuentran:
• Asegurar que se cubren las necesidades de capacidad TI tanto presentes
como futuras.
• Controlar el rendimiento de la infraestructura TI.
• Desarrollar planes de capacidad asociados a los niveles de servicio
acordados.
• Gestionar y racionalizar la demanda de servicios TI.

Entre las responsabilidades de la Gestión de la Capacidad se encuentran:

• Hay que asegurar que se cubren las necesidades de capacidad TI tanto
presentes como futuras.
• Controlar el rendimiento de la infraestructura TI.
• Desarrollar planes de capacidad asociados a los niveles de servicio
acordados.
• Gestionar y racionalizar la demanda de servicios TI.

La Gestión de la capacidad es la encargada de planificar la capacidad y

recursos necesarios para la prestación de los servicios TI: Elaborando un plan
de capacidad que recoja las necesidades actuales y futuras de capacidad,
modelando, simulando o reproduciendo diferentes posibles escenarios para
realizar previsiones realistas de capacidad.

La Gestión de la capacidad supervisa y es la responsable de: Medir el

rendimiento de la infraestructura informática y asegurar que la capacidad se
adecua a los requisitos establecidos en los SLAs.

La gestión de la demanda tiene como objetivo racionalizar el uso de la

infraestructura TI, redistribuir los recursos y planificar la demanda a medio y
largo plazo.

La Base de Datos de la Capacidad CDB, debe registrar toda la información

relativa a la capacidad (planes y auditorías de capacidad e informes de
rendimiento).
Ahora bien…Continuando con la explicación de los procesos que apoyan la
Gestión de la Capacidad. Como resultado de la monitorizacion y analisis, la
Gestión de la Capacidad puede solicitar cambios y para ello debe elevar una
solicitud de cambio RFC a la gestión de cambios, supervisar los resultados del
cambio y dar su aprobación a la gestión del cambio para proceder al cierre.

El objetivo primordial de la Gestión de la Capacidad es poner a disposición

de clientes, usuarios y del propio departamento TI los recursos informáticos
necesarios para desempeñar de una manera eficiente sus tareas y todo ello sin
incurrir en costos desproporcionados. Para ello, la Gestión de la Capacidad
debe:
• Conocer el estado actual de la tecnología y previsibles futuros
desarrollos.
• Conocer los planes de negocio y acuerdos de nivel de servicio para
prever la capacidad necesaria.
• Analizar el rendimiento de la infraestructura para monitorizar el uso de
la capacidad existente.
• Realizar modelos y simulaciones de capacidad para diferentes
escenarios futuros previsibles.
• Dimensionar adecuadamente los servicios y aplicaciones alineándolos a
los procesos de negocio y necesidades reales del cliente.
• Gestionar la demanda de servicios informáticos racionalizando su uso.

Ahora vamos a ver las Entradas, Subprocesos y Salidas del proceso de Gestión
de la capacidad:
La gestión de la capacidad necesita conocer las necesidades de los clientes, las
perspectivas de negocio, los Niveles de Servicios y avances tecnológicos. Para
de esta manera, entregar la capacidad necesaria que soporte los servicios y
brinde funcionalidad y garantía al procesos de negocio.
El proceso de Gestión de la Capacidad se subdivide en tres subprocesos que
estudian la capacidad desde el punto de vista del negocio, de los clientes y de
los recursos necesarios.

¿Cuáles son los principales beneficios de la Gestión de la Capacidad?

A continuación, se listan los beneficios más sobresalientes en el proceso:
• Se optimiza el rendimiento de los recursos informáticos.
• Se dispone de la capacidad necesaria en el momento oportuno, evitando
así que se pueda resentir la calidad del servicio.
• Se evitan gastos innecesarios producidos por compras de “última hora”.
 • Se planifica el crecimiento de la infraestructura adecuándolo a las
necesidades reales de negocio.
• Se reducen de los gastos de mantenimiento y administración asociados a
equipos y aplicaciones que han quedado obsoletos o son innecesarios.
• Se reducen posibles incompatibilidades y fallos en la infraestructura
informática.

En la implementación de una adecuada política de Gestión de la Capacidad,

nos podemos encontrar con algunas dificultades, las más comunes son:
• Información insuficiente para una planificación realista de la capacidad.
• Expectativas injustificadas sobre el ahorro de costes y mejoras del
rendimiento.
• Insuficiencia de recursos para la correcta monitorización del
rendimiento.
• Infraestructuras informáticas distribuidas y excesivamente complejas en
las que es difícil un correcto acceso a los datos.
• La rápida evolución de las tecnologías puede obligar a una revisión
permanente de los planes y escenarios contemplados.

Son tres las principales actividades de la Gestión de la Capacidad:

• Desarrollo del Plan de Capacidad y modelado de diferentes escenarios
de capacidad.
• Monitorización de los recursos de la infraestructura TI.
• Supervisión de la capacidad y administración de la Base de Datos de la
Capacidad (CDB) contenida en el Sistema de Información de Gestión
de la Capacidad (CMIS).

La elaboración del Plan de Capacidad es la tarea principal de la Gestión de

Capacidad.

El Plan de Capacidad recoge:

• Toda la información relativa a la capacidad de la infraestructura TI.
• Las previsiones sobre necesidades futuras basadas en tendencias,
previsiones de negocio y SLAs existentes.
• Los cambios necesarios para adaptar la capacidad TI a las novedades
tecnológicas y las necesidades emergentes de usuarios y clientes.

El Plan de Capacidad debe incluir información sobre los costes de la

capacidad actual y prevista. Esta información es indispensable para que la
Gestión Financiera pueda elaborar los presupuestos y previsiones financieras
de manera realista.
Un aspecto esencial de la Gestión de la Capacidad es el de asignar recursos
adecuados de hardware, software y personal a cada servicio y aplicación.
El correcto dimensionamiento requiere que la Gestión de la Capacidad
disponga de información fiable sobre:
• Los niveles de servicio acordados y/o previstos (SLAs).
• Niveles de rendimiento esperados.
• Impacto de la aplicación o servicio en los procesos de negocio del
cliente.
• Márgenes de seguridad y disponibilidad.
• Informes de monitorización de los niveles de servicio.
• Costes asociados a los equipos de hardware y otros recursos TI
necesarios.

En la fase de diseño de un servicio, la Gestión de la Capacidad asegura que se

dispondrá de la capacidad necesaria para llevar el proyecto a buen término.
Una vez se ha puesto en marcha el servicio, también es la encargada de
analizar las tendencias de uso y prever las necesidades futuras.
Es relativamente frecuente que se obvien aspectos relativos al correcto
dimensionamiento de una aplicación debido a expectativas injustificadas sobre
la tecnología. Se puede caer en el equívoco de que los costes asociados a la
capacidad se limitan a la compra de más servidores, o más espacio de
almacenamiento, etc… olvidando que sistemas más complejos implican unos
mayores gastos de mantenimiento y administración.
La Gestión de la Capacidad es un proceso continuo e iterativo que
monitoriza, analiza y evalúa el rendimiento y capacidad de la infraestructura
TI y con los datos obtenidos optimiza los servicios o eleva una solicitud de
cambio (RFC) a la Gestión de Cambios.
Tanto la información obtenida en estas actividades como la generada a partir
de ella por la Gestión de la Capacidad se almacena y registra en la Base de
Datos de la Capacidad (CDB).
En la actividad de supervisión de la capacidad. La Monitorización tiene como
objetivo principal asegurar que el rendimiento de la infraestructura
informática se adecua a los requisitos de los Acuerdos de Nivel de Servicios
(SLAs). La monitorización debe incluir, además de aspectos técnicos, todos
aquellos relativos a licencias y otras cuestiones de carácter administrativo.
En el análisis y supervisión, los datos recogidos deben ser analizados para
evaluar la conveniencia de adoptar acciones correctivas tales como petición de
aumento de la capacidad o una mejor Gestión de la Demanda.
En la actividad de supervisión de la capacidad. Optimización y Cambios, si…
hemos optado por solicitar un aumento de la capacidad, se elevará una
petición de cambio (RFC) a la Gestión de Cambios para que se desencadene
todo el proceso necesario. La Gestión de la Capacidad prestará su apoyo en
todo el proceso y será corresponsable, junto a la Gestión de Cambios, de
asegurar que el cambio solicitado cumpla los objetivos previstos.
La Base de Datos de la Capacidad (CDB) debe cubrir toda la información de
negocio, financiera, técnica y de servicio que reciba y genere la Gestión de la
Capacidad. Idealmente la CDB debe estar interrelacionada con la Base de
Datos de Gestión de la Configuración (CMDB) para que esta última ofrezca
una imagen integral de los sistemas y aplicaciones con información relativa a
su capacidad.
Es imprescindible elaborar informes que permitan evaluar el rendimiento de
la Gestión de la Capacidad. La documentación elaborada debe incluir
información sobre:
• El uso de recursos.
• Desviaciones de la capacidad real sobre la planificada.
• Análisis de tendencias en el uso de la capacidad.
• Métricas establecidas para el análisis de la capacidad y monitorización
del rendimiento.
• Impacto en la calidad del servicio, disponibilidad y otros procesos TI.

El éxito de la Gestión de la Capacidad depende de algunos indicadores clave,

entre los que se encuentran:
• Correcta previsión de las necesidades de capacidad.
• Reducción de los costes asociados a la capacidad.
• Más altos niveles de disponibilidad y seguridad.
• Mayor satisfacción de los usuarios y clientes.
• Cumplimiento de los Acuerdos de Nivel de Servicio, SLAs.

Política y Procedimiento de Antivirus.

La Política y Procedimiento de Antivirus son componentes esenciales en la estrategia de
ciberseguridad de una organización. Su propósito principal es proteger los sistemas
informáticos de virus, malware y otras amenazas. Aquí te explico qué son y en qué
consisten:
Política de Antivirus

Definición: Una política de antivirus es un documento que define las directrices y normas
que deben seguirse para proteger los sistemas informáticos contra amenazas de software
malicioso. Establece las expectativas y requisitos para la instalación, configuración y uso de
software antivirus dentro de la organización.

Componentes Clave:

1. Objetivo: Explica la importancia de la protección antivirus y los objetivos de la

política.
2. Alcance: Define a qué sistemas, dispositivos y usuarios se aplica la política.
3. Requisitos de Software: Especifica qué software antivirus debe usarse, sus
características y la frecuencia con la que debe actualizarse.
4. Responsabilidades: Detalla las responsabilidades de los usuarios y del personal de
TI en la implementación y mantenimiento del software antivirus.
5. Cumplimiento: Describe cómo se verificará que la política se esté cumpliendo,
incluyendo auditorías y revisiones.
6. Sanciones: Establece las consecuencias para quienes no sigan la política.

Procedimiento de Antivirus

Definición: Un procedimiento de antivirus es un conjunto detallado de pasos a seguir para

implementar y gestionar la política de antivirus. Incluye las acciones específicas que deben
tomarse para asegurar que los sistemas estén protegidos de manera efectiva.

Componentes Clave:

1. Instalación del Software Antivirus: Instrucciones sobre cómo instalar el software

en diferentes tipos de dispositivos.
2. Configuración: Guías para configurar el software antivirus correctamente,
incluyendo la configuración de análisis programados y actualizaciones automáticas.
3. Actualización de Firmas: Procedimientos para asegurar que las firmas y
definiciones de virus estén actualizadas regularmente.
4. Análisis y Escaneo: Directrices sobre cómo y cuándo realizar análisis completos y
parciales del sistema.
5. Respuesta a Incidentes: Pasos a seguir si se detecta una amenaza, incluyendo
cómo poner en cuarentena o eliminar malware y cómo informar sobre el incidente.
6. Mantenimiento y Soporte: Procedimientos para el mantenimiento continuo del
software antivirus y cómo solicitar soporte técnico si es necesario.

Importancia:

• Protección Proactiva: Asegura que todos los sistemas estén protegidos contra
amenazas conocidas y emergentes.
 • Cumplimiento Normativo: Ayuda a cumplir con las normativas y estándares de
seguridad.
• Mitigación de Riesgos: Reduce el riesgo de infecciones que pueden llevar a
pérdida de datos, interrupciones del servicio y daños a la reputación.

Política gestión de Vulnerabilidades.

Gestión de vulnerabilidades definida
La gestión de vulnerabilidades es el proceso proactivo y continuo de identificar,
evaluar, categorizar, reportar y mitigar las vulnerabilidades dentro de los sistemas y
los softwares de una organización. El enfoque sistemático permite a los equipos
de ciberseguridad priorizar amenazas potenciales mientras minimiza la exposición y
reduce la superficie de ataque.
Implementar una sólida gestión de vulnerabilidades implica adoptar herramientas y
estrategias que permitan a las organizaciones monitorear su entorno digital para obtener una
visión actualizada de su estado general de seguridad y de cualquier debilidad que represente
un riesgo.
¿Qué es la gestión de vulnerabilidades en el cloud?
La gestión de vulnerabilidades en el cloud es una gestión de vulnerabilidades específica de
entornos, plataformas y aplicaciones nativas del cloud. Es un proceso continuo de
identificación, reporte, gestión y remediación de vulnerabilidades de
seguridad exclusivas del ecosistema del cloud.
A medida que más organizaciones implementan tecnologías en el cloud, la gestión
adecuada de las vulnerabilidades en el cloud es fundamental. Representa la evolución de la
gestión de vulnerabilidades para hacer frente al panorama de amenazas en rápida expansión
introducido por las arquitecturas dinámicas del cloud. La estrategia requiere evaluar la
seguridad de los activos basados en el cloud, descubrir debilidades específicas de las
implementaciones del cloud, reforzar la seguridad de las cargas de trabajo (sin ejercer una
presión indebida sobre los recursos) e implementar contramedidas adecuadas para mitigar
esos riesgos.
Para proteger las cargas de trabajo de los servidores en entornos de centros de datos
híbridos y de clouds múltiples, las plataformas de protección de cargas de trabajo en el
cloud (CWPP) son una categoría emergente de soluciones de seguridad centradas en las
cargas de trabajo. Estas plataformas pueden incluso proteger entornos de infraestructura
como servicio (IaaS) de cloud público. Como una faceta de la gestión de vulnerabilidades
en el cloud, las CWPP brindan visibilidad y control consistentes para contenedores y cargas
de trabajo sin servidor, independientemente de su ubicación. Protegen las cargas de trabajo
con una combinación de protección de la integridad del sistema, control de aplicaciones,
monitoreo del comportamiento, prevención de intrusiones y protección antimalware.
También analizan de forma proactiva los riesgos de la carga de trabajo.
Tipos comunes de vulnerabilidades
Una vulnerabilidad de ciberseguridad es cualquier debilidad que pueda explotarse para
obtener acceso no autorizado a un sistema o red. Puede permitir a los atacantes instalar
malware, ejecutar código o robar y destruir datos, entre muchos otros resultados no
deseados. Las estrategias eficaces de gestión de vulnerabilidades dependen de detectar y
comprender estas vulnerabilidades.
Vulnerabilidades y exposiciones comunes (CVE) es una base de datos pública de
vulnerabilidades y exposiciones de ciberseguridad conocidas. Este recurso es mantenido
por el FFRDC (centro de investigación y desarrollo financiado por el Gobierno federal)
nacional de ciberseguridad. Cada número de CVE único corresponde a una amenaza
conocida, lo que brinda a las organizaciones una forma confiable de mantenerse al tanto de
la lista cada vez mayor de problemas de ciberseguridad que deben abordar. Hasta ahora, la
base de datos ha identificado más de 200 000 vulnerabilidades abiertas a la explotación por
parte de atacantes.
Los tipos comunes de vulnerabilidades de ciberseguridad incluyen:
• Contraseñas débiles
• Controles de acceso inadecuados, incluidas políticas de autenticación y autorización
insuficientes, como la falta de autorización de dos y múltiples factores
• Redes y comunicaciones no seguras
• Malware y virus
• Personas internas maliciosas que obtienen acceso no autorizado a los recursos
• Estafas
de phishing, ataques de desbordamiento de búfer, ataques de secuencias de
comandos entre sitios (XSS)
• Falta de visibilidad de la infraestructura del cloud
• Software, hardware y sistemas sin parches
• API vulnerables u obsoletas (que son objetivos más comunes a medida que aumenta
el uso de API)
• Gestión de acceso débil o inadecuada relacionada con los datos del cloud
• Malas configuraciones internas y externas (actualmente, las malas configuraciones
del cloud se encuentran entre las vulnerabilidades más comunes)

¿Por qué es importante la gestión de vulnerabilidades?

La gestión de vulnerabilidades es de vital importancia, como lo expresa Dan Courcy de
Elastic, "porque cada año los ciberdelincuentes encuentran y aprovechan las
vulnerabilidades del sistema. Se aprovechan de los protocolos de comunicación abiertos y
bases de datos expuestas que no muestran signos de mantenimiento de seguridad o técnicas
de prevención regulares".
Conclusión

Las Políticas de Seguridad Operativa son un componente fundamental para garantizar la

protección y la estabilidad de los sistemas y procesos dentro de una organización. Actúan
como el marco de referencia para la implementación y mantenimiento de medidas de
seguridad que aseguran la integridad, confidencialidad y disponibilidad de los recursos
tecnológicos.

Estas políticas no solo establecen directrices para proteger los activos de la empresa contra
amenazas y vulnerabilidades, sino que también proporcionan un enfoque estructurado para
la gestión de incidentes, la respuesta a emergencias y la prevención de riesgos. Implementar
políticas sólidas de seguridad operativa ayuda a minimizar las interrupciones, reducir la
exposición a ciber amenazas y garantizar la continuidad del negocio en un entorno cada vez
más complejo.

Además, la aplicación efectiva de estas políticas promueve una cultura organizacional que
valora la seguridad y el cumplimiento, facilitando la alineación de las prácticas de
seguridad con los objetivos estratégicos de la empresa. Esto no solo fortalece la postura de
seguridad de la organización, sino que también contribuye a la confianza de clientes, socios
y otras partes interesadas.
Bibliografía

[Link]
=rja&uact=8&ved=2ahUKEwi5pMXqgsuHAxUarYkEHXkKASkQFnoECBc
QAQ&url=https%3A%2F%[Link]%2Ffiles%2Fprits%2FPol%25C3%
25ADticas%2FPol%25C3%25ADtica%2520de%2520gestion%2520de%2520
cambios%2520TI%2520PRITS-
[Link]&usg=AOvVaw3h5a91T6MKmUhzsM77aBSb&opi=89978449

Gestión de la Capacidad – CertCampus. (s. f.).

[Link]

Inc, C. (2024, 16 julio). Tipos de políticas de seguridad.

[Link]
security-and-management/endpoint-protection/all/Using-policies-to-manage-
security/performing-the-tasks-that-are-common-to-all-polici-v15703889-
d55e6/the-types-of-security-policies-v39016304-
[Link]#:~:text=La%20Pol%C3%ADtica%20de%20protecci%C3%B3n
%20antivirus,para%20la%20seguridad%20mediante%20firmas.

¿Qué es la gestión de vulnerabilidades? | Una guía completa de gestión de

vulnerabilidades. (s. f.). Elastic. [Link]
is/vulnerability-management