UNIVERSIDAD AUTÓNOMA DE NUEVO LEÓN

FACULTAD DE DERECHO Y CRIMINOLOGÍA

LICENCIATURA EN CRIMINOLOGÍA

2025
POLÍTICA DE SEGURIDAD

ALUMNO:
2087229 OVIEDO GONZALEZ ALONDRA
MONSERRAT
SEGURIDAD EN TECNOLOGIAS DE LA
INFORMACIÓN | LIC. RAFAEL CANTU
MARTINEZ
4-5-2025
 CONTENIDO.

1. Introducción.......................................................................................................................................... 3
2. Objetivo ................................................................................................................................................ 3
3. Alcance ................................................................................................................................................. 3
4. Vigencia ................................................................................................................................................ 3
5. Roles y Responsabilidades ................................................................................................................ 3
6. Gestión de activos ............................................................................................................................... 4
7. Clasificación de la información. .......................................................................................................... 4
8. Gestión de dispositivos personales. .................................................................................................. 4
9. Gestión del ciclo de vida de la información. ...................................................................................... 5
10. Clasificación de la información ........................................................................................................... 5
11. Tipos de información ........................................................................................................................... 5
12. Niveles de clasificación ....................................................................................................................... 5
13. Gestión de información privilegiada ................................................................................................... 6
14. Acceso a la información ...................................................................................................................... 6
15. Privacidad de la información .............................................................................................................. 6
16. Control de acceso lógico..................................................................................................................... 6
17. Control de acceso físico...................................................................................................................... 6
18. Copias de seguridad y recuperación de datos ................................................................................. 6
19. Monitoreo y auditoria ........................................................................................................................... 7
20. Cumplimiento de normativas y regulaciones .................................................................................... 7
21. Formación y concienciación ............................................................................................................... 7
BIBLIOGRAFIA. ......................................................................................................................................... 0
 1. Introducción
La siguiente política de seguridad de la información describe las medidas y acciones
necesarias para proteger los activos de información de la organización, incluyendo
la confidencialidad, integridad y disponibilidad de la información.

2. Objetivo
La presente política tiene como objetivo establecer las normas y procedimientos
necesarios para proteger la información de nuestra empresa y garantizar su
confidencialidad, integridad y disponibilidad.

3. Alcance
Esta política es de consideración por parte de todos los miembros de la
organización. La política se utilizará a todos los empleados, contratistas, socios y
terceros que interactúen con la información de nuestra organización.

4. Vigencia
La vigencia de la presente política es a partir de 07 de mayo del 2023.

5. Roles y Responsabilidades
La seguridad de la información es responsabilidad de todos los empleados de la
organización. Se designará un encargado de seguridad de la información que
supervisará la aplicación de la política de seguridad de la información y asegurará
que se cumplan los requisitos legales y reglamentarios.

• La Organización se compromete a velar por la Seguridad de todos los activos

bajo su responsabilidad mediante las medidas que sean necesarias.
• El director CEO es el responsable de asegurar que la seguridad de la
información se gestiona adecuadamente en toda la organización.
• Cada gerente es responsable de garantizar que las personas que trabajan
bajo su control protegen la información de acuerdo con las normas
establecidas por la organización.
• El responsable de seguridad asesora al equipo directivo, proporciona apoyo
especializado al personal de la organización y garantiza que los informes
sobre la situación de la seguridad de la información están disponibles.
 • Cada miembro del personal tiene la responsabilidad de mantener la
seguridad de información dentro de las actividades relacionadas con su
trabajo.

6. Gestión de activos
Se deberán tener identificados e inventariados los activos de información
necesarios para la prestación de los procesos. Se deben tener actualizados los
inventarios de activos y debe realizarse una clasificación de dichos activos.

7. Clasificación de la información.
Se deberá asignar un responsable encargado de realizar la gestión propia de los
activos de información durante todo el ciclo de vida. El responsable deberá
mantener un registro formal de los usuarios con acceso autorizado a dicho activo.
Se deberán actualizar de manera periódica las configuraciones de los activos.

8. Gestión de dispositivos personales.

La organización permitirá a los empleados utilizar sus recursos o dispositivos
móviles personales para acceder a recursos o información. Considerando lo
siguiente:

• Se deberán aplicar las mismas medidas y configuraciones de seguridad a los

dispositivos móviles que tratan información igual que al resto de dispositivos
de la organización.
• El usuario será responsable de los equipos.
• Deberán tener instaladas aplicaciones de seguridad mediante software
proporcionadas por el departamento de IT para evitar brechas de seguridad
en esos dispositivos.
• Los empleados deberán recibir autorización de su responsable de área para
utilizar dispositivos móviles.
• Cualquier incidencia que pueda afectar a la confidencialidad, integridad o
disponibilidad de estos dispositivos debe ser reportada al responsable de
seguridad.
 9. Gestión del ciclo de vida de la información.
La organización deberá gestionar adecuadamente el ciclo de vida de la información,
de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.

El ciclo de vida de un activo de información consta de las siguientes fases:

• Creación o recolección
• Distribución
• Uso o acceso
• Almacenamiento
• Destrucción

10. Clasificación de la información

Se debe definir un modelo de clasificación de la información que permita conocer e
implantar las medidas técnicas y organizativas necesarias para mantener su
disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá tener
un responsable encargado de su actualización de manera bimestral.

11. Tipos de información

Se deberá clasificar la información en función del soporte en el que está siendo
utilizado:

• Soportes lógicos: información que esté siendo utilizada mediante medios

ofimáticos, correo electrónico o sistemas de información desarrollados a
medida o adquiridos a un tercero.
• Soportes físicos: información que esté en papel, soportes magnéticos como
USB, DVD, etcétera.

12. Niveles de clasificación

Se cataloga la información en cinco niveles, que son:

• Uso público
• Difusión limitada
• Información confidencial
• Información reservada
 • Información secreta

13. Gestión de información privilegiada

La información que se considere reservada, confidencial o secreta se deberá tratar
con especial cuidado. Se deberán definir medidas de seguridad extraordinarias o
adicionales para el adecuado tratado de la información privilegiada. Este tipo de
información se deberá enviar cifrada y mediante protocolos seguros.

14. Acceso a la información

El acceso a la información se dirigirá a las personas que necesiten tener acceso
para desempeñar sus funciones laborales. Se establecerán procedimientos para la
concesión de permisos de acceso a la información, y se revisarán periódicamente
los permisos concedidos para asegurarse de que siguen siendo necesarios

15. Privacidad de la información

Se deberá asegurar la privacidad de los datos de carácter personal con el objetivo
de proteger los derechos fundamentales de las personas físicas, especialmente su
derecho al honor, intimidad personal y familiar y a la propia imagen, mediante el
establecimiento de medidas para regular el tratamiento de los datos.

16. Control de acceso lógico

Se implementarán medidas de seguridad para garantizar que solo las personas
autorizadas tengan acceso a los sistemas de información y los datos. Se
establecerán procedimientos para la creación y gestión de contraseñas, y se
revisarán periódicamente para asegurarse de que siguen siendo seguras.

17. Control de acceso físico

Se implementarán medidas de seguridad para garantizar que los lugares donde se
guarda la información estén protegidos contra el acceso no autorizado. Se
establecerán procedimientos para la gestión de las llaves y las tarjetas de acceso,
y se revisarán periódicamente para asegurarse de que siguen siendo seguras.

18. Copias de seguridad y recuperación de datos

Se establecerán procedimientos para realizar copias de seguridad periódicas de los
datos críticos, y se almacenarán en un lugar seguro y protegido. Se
establecerán procedimientos de recuperación de datos para garantizar la
continuidad de los servicios en caso de desastres naturales o fallas en los sistemas.

19. Monitoreo y auditoria

Se implementarán medidas de seguridad para supervisar y registrar el acceso a la
información y los sistemas de información. Se revisarán periódicamente los
registros de auditoría para detectar actividades inusuales o sospechosas.

20. Cumplimiento de normativas y regulaciones

La organización cumplirá con todas las normativas y regulaciones aplicables
relacionadas con la seguridad de la información. La política de seguridad de la
información se revisará periódicamente para asegurarse de que sigue siendo
adecuada y cumple con los requisitos legales y reglamentarios.

21. Formación y concienciación

Se sepa formación y concienciación a todos los empleados de la organización para
garantizar que entiendan su responsabilidad en la protección de la información. Se
establecerán procedimientos para informar de incidentes de seguridad y se
obtendrá formación específica para los empleados que necesiten tratar información
confidencial.
BIBLIOGRAFIA.

Araujo, A., & Araujo, A. (2022, 7 abril). Cómo hacer tu política de

seguridad de la información. Hackmetrix Blog.
https://blog.hackmetrix.com/politica-de- seguridad-de-la-
informacion/
Cómo escribir una Política de Seguridad de la Información. (2014,
14 enero). IDG Communications S.A.U.
https://cso.computerworld.es/actualidad/como- escribir-una-
politica-de-seguridad-de-la-informacion