Modelos de Políticas de Seguridad de la Información
En esta sección encontrarás modelos de políticas clave que toda organización puede adaptar para fortalecer su estrategia de ciberseguridad. Estos documentos establecen lineamientos claros sobre el uso adecuado de los recursos tecnológicos, la gestión de incidentes y la protección de los activos de información. Los modelos disponibles incluyen:
-
Política de Uso Aceptable
-
Política de Respuesta ante Incidentes de Seguridad
-
Política de Seguridad de Tecnología de la Información
🔹 Política de Uso Aceptable:
Establece las reglas y comportamientos permitidos al utilizar los sistemas, redes y recursos tecnológicos de una organización, con el objetivo de proteger la seguridad, integridad y disponibilidad de la información.
🔹 Política de Respuesta ante Incidentes de Seguridad:
Define el proceso que debe seguir una organización para identificar, reportar, contener, investigar y resolver incidentes de seguridad que puedan afectar la confidencialidad, integridad o disponibilidad de la información.
🔹 Política de Seguridad de Tecnología de la Información:
Establece los lineamientos generales para proteger los sistemas tecnológicos y la información que manejan, abarcando aspectos como el control de acceso, la gestión de riesgos, el uso de software y la protección contra amenazas.
Importancia de aplicar controles y mejores prácticas
La implementación de controles de seguridad basados en estándares internacionales como la ISO/IEC y el marco del NIST permite a las organizaciones bancarias fortalecer su postura frente al phishing. Estos marcos proporcionan lineamientos estructurados y efectivos para prevenir, detectar y responder ante intentos de suplantación de identidad, protegiendo tanto la información sensible como la confianza de los clientes.
A continuación, se presenta una tabla con controles recomendados aplicables a la protección contra ataques de phishing en el contexto empresarial:
Controles del NIST SP 800-53 Rev. 5 aplicables a la prevención del phishing
|
Código del Control |
Nombre del Control |
Aplicación práctica en prevención de phishing |
|
AT-2 |
Security Awareness Training |
Capacitación obligatoria y periódica sobre amenazas como phishing y suplantación de identidad. |
|
AT-2(1) |
Phishing Simulations |
Uso de simulacros de phishing para evaluar y mejorar la preparación del personal. |
|
IR-4 |
Incident Response |
Implementación de un plan de respuesta ante incidentes de seguridad, incluyendo phishing. |
|
IR-4(6) |
Automated Incident Handling |
Automatización de respuestas frente a eventos sospechosos relacionados con phishing. |
|
IR-5 |
Incident Monitoring |
Monitoreo continuo de incidentes para identificar patrones y mejorar la respuesta. |
|
SI-4 |
System Monitoring |
Supervisión activa de sistemas para detectar comportamiento anómalo que sugiera phishing. |
|
IA-2 |
Identification and Authentication (Organizational Users) |
Requiere autenticación fuerte para prevenir accesos no autorizados tras ataques de phishing. |
|
SC-7 |
Boundary Protection |
Protección perimetral para impedir que enlaces y sitios maliciosos accedan a la red interna. |
|
AU-6 |
Audit Record Review, Analysis, and Reporting |
Revisión de registros de auditoría para identificar intentos de phishing exitosos o sospechosos. |
Controles de la ISO/IEC 27001:2022 relevantes para la prevención del phishing
|
Código del Control |
Nombre del Control |
Aplicación práctica en prevención de phishing |
|
A.5.36 |
Protección contra código malicioso |
Evita que archivos maliciosos enviados por correo (phishing) infecten los sistemas de los usuarios. |
|
A.6.3 |
Educación y formación en seguridad |
Capacita a empleados para reconocer correos fraudulentos y otras formas de phishing. |
|
A.6.4 |
Pruebas de concienciación y simulacros |
Permite realizar simulacros de phishing para medir la preparación del personal. |
|
A.5.10 |
Políticas de uso aceptable |
Define el comportamiento esperado frente a correos sospechosos, enlaces y archivos adjuntos. |
|
A.8.7 |
Gestión de incidentes |
Establece procedimientos para reportar y responder a intentos de phishing. |
|
A.5.23 |
Gestión de accesos |
Limita el acceso a la información crítica, reduciendo el impacto si un usuario cae en phishing. |
|
A.5.15 |
Control de acceso físico y lógico |
Previene que atacantes usen credenciales obtenidas vía phishing para comprometer sistemas. |
|
A.8.16 |
Monitoreo y registro |
Permite detectar actividades sospechosas asociadas a ataques de phishing. |
|
A.8.28 |
Respuesta ante incidentes |
Proporciona lineamientos para actuar rápidamente tras un incidente de phishing exitoso. |
Plantillas descargables de políticas de seguridad de la información
Estas plantillas están diseñadas para servir como punto de partida y pueden ser personalizadas según las necesidades y el entorno de cada organización. Para descargar presiona el botón del archivo correspondiente. A continuación puedes descargar algunos ejemplos:
Nota legal y de responsabilidad:
Los modelos aquí presentados se ofrecen únicamente con fines educativos e informativos. No constituyen asesoría legal, técnica ni profesional. Cada organización es responsable de revisar, adaptar y validar estos documentos conforme a su realidad operativa, requisitos normativos aplicables y marco legal vigente.
¿NECESITAS AYUDA O SOSPECHAS DE UN INTENTO DE FRAUDE? ESTAMOS AQUÍ PARA AYUDARTE.
En RD Contra el Fraude trabajamos para proteger a la comunidad dominicana contra todo tipo de estafas y fraudes. Aquí encontrarás recursos, consejos y herramientas para prevenir y denunciar actividades fraudulentas de manera segura y efectiva.
