domingo, 28 de mayo de 2017

4.3 POLÍTICAS DE SEGURIDAD.



4.3 POLÍTICAS DE SEGURIDAD.
La elaboración de las Políticas de Seguridad están fundamentadas bajo la norma ISO/IEC 17799, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las garantías básicas de los usuarios, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar los sistemas con seguridad, respetando en todo momento estatutos y reglamentos internos de las Empresas.
  • Control de acceso (aplicaciones, base de datos, área del Centro de Cómputo, sedes de Las Empresas filiales).
  • Resguardo de la Información.
  • Clasificación y control de activos.
  • Gestión de las redes.
  • Gestión de la continuidad del negocio.
  • Seguridad de la Información en los puestos de trabajo.
  • Controles de Cambios.
  • Protección contra intrusión en software en los sistemas de información.
  • Monitoreo de la seguridad.
  • Identificación y autenticación.
  • Utilización de recursos de seguridad.
  • Comunicaciones.
  • Privacidad.

El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan  ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.

Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.

No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos:
  •  Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
  • Definición de violaciones y de las consecuencias del no cumplimiento de la política.
  • Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
  • Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.

Políticas de seguridad lógica (Red)
  • Las redes tienen como propósito principal servir en la transformación e intercambio de información dentro de Las Empresa entre usuarios, departamentos, oficinas y hacia afuera a través de conexiones con otras redes o con las empresas del Grupo.
  • El Área de Tecnología no es responsable por el contenido de datos ni por el tráfico que en ella circule, la responsabilidad recae directamente sobre el usuario que los genere o solicite.
  • Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos sin el consentimiento explícito del responsable del equipo.
  • No se permite el uso de los servicios de la red cuando no cumplan con las labores propias de Las Empresas.
  • Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de Las Empresas y se usarán exclusivamente para actividades relacionadas con la labor asignada.
  • Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de información son personales e intransferibles. Se permite su uso única y exclusivamente durante la vigencia de derechos del usuario.
  • El uso de analizadores de red es permitido única y exclusivamente por los ATI para monitorear la funcionalidad de las redes, contribuyendo a la consolidación del sistema de seguridad bajo las Políticas de Seguridad.
  • No se permitirá el uso de analizadores de monitorear o censar redes ajenas a Las Empresas y no se deberán realizar análisis de la Red desde equipos externos a la entidad.
  • Cuando se detecte un uso no aceptable, se cancelará la cuenta o se desconectará temporal o permanentemente al usuario o red involucrada dependiendo de las políticas. La reconexión se hará en cuanto se considere que el uso no aceptable se ha suspendido.

Publicado por en