Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tottus
aaaaa
Proyecto Final 2
Proyecto Final
Políticas de seguridad - Supermercado Tottus
Introduccion
Con los avances en Internet y los desarrollos de la informática y las telecomunicaciones, la
Seguridad Informática, se ha convertido en figura necesaria para la protección,
mantenimiento, control de acceso, confidencialidad, integridad y disponibilidad de la
información, tanto para su seguridad como para la seguridad en el soporte de las
operaciones de las organizaciones.
Las Políticas de Seguridad Informática son las directrices de índole técnica y de organización
que se llevan adelante respecto de un determinado sistema de computación a fin de
proteger y resguardar su funcionamiento y la información en él contenida. El principio y final
de toda red es el usuario, esto hace que las políticas de seguridad deban, principalmente,
enfocarse a los usuarios, indican a las personas cómo actuar frente a los recursos
informáticos de la Entidad. Actualmente la empresa cuenta con una plataforma tecnológica
que almacena, procesa y transmite la información empresarial, incluye equipos de cómputo
de usuario y un servidor que se interconectan por medio de una red de datos, así como
servicio de internet y correo electrónico corporativo. Siendo la información empresarial un
activo valioso para la Entidad, se hace necesario no solo la implementación de herramientas
de hardware y software de seguridad, sino involucrar al personal para proteger su integridad
y confidencialidad.
Este compendio tiene como finalidad dar a conocer las PSI - Políticas de Seguridad
Informática, que deben aplicar y acatar los empleados, contratistas y terceros de la
Supermercado Tottus, entendiendo como premisa que la responsabilidad por la seguridad
de la información es de todos y cada uno.
Aaaaa
Objetivo
Definir e implementar las políticas de seguridad informática que dan las pautas y rigen para
la gestión, el uso adecuado y la seguridad de la información de los sistemas informáticos y en
general, sobre el ambiente tecnológico de la empresa, para su interiorización, aplicación y
verificación permanente.
Alcance
Las políticas de seguridad informática están orientadas a toda la información almacenada,
procesada y transmitida en medios electrónicos, estas políticas deben ser conocidas y
cumplidas tanto por colaboradores de planta como por los trabajadores que apoyan la
gestión y por los terceros o grupos de interés que utilicen la información generada y
custodiada por la empresa, y por quienes hagan uso de los servicios tecnológicos de la
Entidad.
Actualizaciones y revisiones
Vigencia de esta política y procedimiento de seguridad Debido a la evolución de la
tecnología, las amenazas de seguridad y las nuevas tendencias, las políticas y los
procedimientos incluidas en este documento se revisarán cada 2 años o según las
necesidades, para realizar actualizaciones y modificaciones necesarias. Esta política estará
vigente a partir de su divulgación y hasta que la autoridad nominadora o el oficial principal
de informática así lo determine. Cambios a este procedimiento deben tener la aprobación
del gerente corporativo y la recomendación del área especializada de informática. Los
cambios realizados en esta política se divulgarán a todos los usuarios.
Definiciones
Active Directory - Servicio de directorio en la red distribuida de computadoras.
Access points - centro de comunicación para los usuarios, de un dispositivo inalámbrico,
para conectarse a una cableada LAN. Son importantes para ofrecer mejor seguridad
inalámbrica y para ampliar la cobertura de servicio del usuario.
Antivirus - programa que tiene el propósito de detectar y eliminar virus y otros programas
perjudiciales antes o después de que ingresen al sistema para evitar robo y pérdida de
información, alteración del funcionamiento, disrupción del sistema y propagación hacia
otras computadoras.
3
Proyecto Final - Autor: Anibal Gutierrez 4
Autenticación - Es el proceso por el cual una persona presenta información que lo identifica
ante un sistema de información con el propósito obtener acceso; el sistema compara la
información contra su base de datos para validar que es un usuario autorizado.
Autorización - Es el proceso por el cual se adjudican privilegios específicos a una persona
para el uso de recursos en los sistemas de información.
Confidencialidad - Es la característica que se le da a una información para que pueda ser
vista solamente por personas autorizadas.
Continuidad del negocio - Es un concepto que abarca tanto la Planeación para Recuperación
de Desastres (DRP) como la Planeación para el Restablecimiento del Negocio.
Datos sensitivos - Datos que contienen información financiera, de los ciudadanos, de los
recursos humanos u otra información crítica para la operación de la agencia.
Disposición de equipo - Proceso de eliminar equipo perteneciente a la agencia. El proceso
de eliminar puede implicar el transferir el equipo a otra oficina u agencia, donarlo a una
entidad sin fines de lucro o decomisarlo.
Empleado terminado – empleado que ya no trabaja para la empresa.
Encripción - Proceso por el cual unos datos se transforman en información no entendible por
aquellos que no están autorizados a verlos.
Equipo - Incluye, pero no se limita a: computadoras, impresoras, cables, hubs, routers,
switches, servidores, access points, baterías (UPS), escáneres y demás accesorios.
Firewall (equipo de seguridad de computadoras y redes) - Aplicación, equipo o conjunto de
ambos, que protege los recursos de la red de accesos no autorizados.
Supermercado Tottus, los Jefes de Oficina, el área de TIC´S y los supervisores de contrato,
son responsables de conocer y asegurar la implementación de las políticas de seguridad
informática, dentro de sus áreas de responsabilidad, así como del cumplimiento de las
políticas por parte de su equipo de trabajo.
Las disposiciones aquí enmarcadas, entrarán en vigor a partir del día de su difusión.
Las normas y políticas objeto de este documento podrán ser modificadas o
adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo
del Comité; una vez aprobadas dichas modificaciones o adecuaciones, se establecerá
su vigencia.
4
Proyecto Final - Autor: Anibal Gutierrez 5
La falta de conocimiento de las normas aquí descritas por parte de los usuarios no los
libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las
mismas.
Para los contratos o acuerdos existentes o que se efectúen con terceros, se deben
determinar si aplican los siguientes controles:
1. Cumplimiento de la Política de Seguridad de la empresa.
2. Protección de los activos de la empresa, que incluyen:
a. Procedimientos para proteger los bienes de la empresa, incluidos los activos
físicos, la información y el software.
b. Procedimientos para determinar si ha ocurrido algún evento que comprometa
los bienes, por ejemplo, debido a pérdida o modificación de datos.
c. Controles para garantizar la recuperación o destrucción de la información y
los activos al finalizar el contrato o acuerdo, o en el momento convenido
durante la vigencia de este.
d. Restricciones para copiar y divulgar la información.
3. Descripción de los servicios disponibles.
4. Nivel de servicio esperado y niveles de servicio aceptables
5. Permiso para la transferencia de conocimiento al personal, cuando sea necesario.
6. Obligaciones de las partes de acuerdo con el contrato y las responsabilidades legales.
7. Existencia de derechos de propiedad intelectual.
8. Definiciones relacionadas a la protección de datos.
9. Acuerdos de control de accesos que incluyan:
a. Métodos de acceso permitidos, y el control y uso de método de autenticación
tal como la cuenta del usuario y las contraseñas de usuarios.
b. Proceso de autorización de accesos y privilegios de usuarios.
c. Requerimiento para mantener actualizada una lista de individuos autorizados
a utilizar los servicios que van a implementar y los derechos y privilegios.
10. Definición de criterios de desempeño medibles, de monitoreo y de presentación de
informes.
11. Derecho a auditar las responsabilidades contractuales o establecidas en el acuerdo.
5
Proyecto Final - Autor: Anibal Gutierrez 6
Queda prohibido
Instalar copias ilegales de cualquier programa, incluidos los estandarizados.
Instalar cualquier dispositivo que altere la configuración actual de la red,
entiéndase la instalación de: routers, access points, switch, hubs, impresoras,
dispositivos alternos para conexión a Internet, entre otros.
Destruir, alterar, inutilizar o dañar de cualquier otra forma los datos, programas o
documentos electrónicos.
Albergar datos de carácter personal en las unidades locales de disco de las
computadoras de trabajo.
Intentar obtener otros derechos o accesos distintos a aquellos que les han sido
asignados.
Intentar acceder a áreas restringidas de los sistemas de información o de la red,
software o hardware, cuartos de telecomunicaciones, gabinetes de
telecomunicaciones (caja negra) y centro de cómputos, entre otros.
Intentar distorsionar o falsear los registros (log) de los sistemas de información.
Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo
de otros usuarios, ni dañar o alterar los recursos informáticos.
7
Proyecto Final - Autor: Anibal Gutierrez 8
Todo empleado tiene que tener la identificación oficial de la empresa. Para solicitud
de la misma, el supervisor seguirá el procedimiento establecido por la Secretaría
Auxiliar de Recursos Humanos para emitir tarjetas oficiales de identificación.
Para obtener la tarjeta de acceso electrónico o el código de seguridad, el personal
deberá solicitar la misma al director del Centro de Cómputos.
9
Proyecto Final - Autor: Anibal Gutierrez 10
De contraseñas
La empresa utiliza la técnica de autenticación para proteger los accesos directo y remoto a la
red local. La autenticación en el sistema de seguridad está compuesta de una cuenta de
usuario y de una contraseña, la cual no impedirá que se audite el sistema en caso que sea
necesario.
10
Proyecto Final - Autor: Anibal Gutierrez 11
incluye, pero no está limitado a, sniffing, ping floods, packet spoofing, denial of service,
forget routing o cualquier otra técnica de intercepción, manipulación, phishing, hacking,
cracking u otras manipulaciones maliciosas de información.
Las pruebas de tipo Port Scanning (escaneo de puertos), System Scanning (escaneo
de sistemas) o cualquier monitoreo de la red están terminantemente prohibidas y
sólo podrá ser ejecutadas por el personal autorizado de la empresa.
Evadir la autenticación de usuario o la seguridad de cualquier equipo, red o cuenta.
Interferir o denegar el servicio de cualquier equipo.
Usar cualquier programa/script/comando, o enviar mensajes de cualquier tipo, con la
intención de interferir con, o deshabilitar, una conexión de usuario, por cualquier
medio local o por vía de Internet/Intranet/Extranet.
Proveer información confidencial acerca de empleados de la empresa, a cualquier
area ya sea interna o externa a la empresa de manera no autorizada.
De escritorio limpio.
Toda vez que un trabajador se ausenta de su lugar de trabajo, junto con bloquear
su estación de trabajo, debe guardar en lugar seguro cualquier documento, medio
magnético u óptico removible que contenga información confidencial.
SI el trabajador está ubicado cerca de zonas de atención de público, al
ausentarse de su lugar de trabajo debe guardar también los documentos y
medios que contengan información de uso interno.
Al finalizar la jornada de trabajo, el funcionario debe guardar en un lugar
seguro los documentos y medios que contengan información confidencial o
de uso interno.
Se deben establecer las medidas de control que permitan comprobar el
correcto cumplimiento de estas disposiciones.
La información clasificada o sensible, cuando se imprima se debería retirar
inmediatamente de las impresoras.
Un Plan de Contingencias se basa en el análisis de los posibles riesgos a los cuales se está
expuesto, tanto el equipo de tecnología, como la información contenida en los diversos
medios de almacenamiento electrónico. El objetivo principal del plan es la restauración del
servicio de forma rápida, eficiente y con el menor costo y pérdidas posibles.
12
Proyecto Final - Autor: Anibal Gutierrez 13
Análisis de riesgos
Para realizar el análisis de riesgo, es necesario un inventario de los activos de los sistemas de
información que incluya el equipo, los programas y los datos. Todos los activos se clasifican
de acuerdo con el nivel de importancia para la continuidad de las operaciones. Los datos se
clasifican de acuerdo con su nivel de confidencialidad. Con esto se establecen los activos, la
información que se protegerá y las prioridades. Es necesario identificar las posibles
amenazas contra los sistemas de información, el análisis del impacto en las operaciones y la
probabilidad de que ocurran las mismas. A continuación la lista de las amenazas más
comunes:
Catástrofes
Fuego
Fallas de energía
Ataques terroristas
Interrupciones organizadas o deliberadas
Sistema o fallas de equipo
Error humano
Virus informáticos
Cuestiones legales
Huelgas de empleados
Eventos de la naturaleza
Prevención ante los desastres
14
Proyecto Final - Autor: Anibal Gutierrez 15
tensión. Este debe incluir: lugar para descanso, alimentos, relevo de personal,
medicamentos básicos y facilidad de comunicación con familiares, entre otros.
Procedimiento de resguardo - Es necesario contar con un procedimiento para llevar a
cabo
y mantener una copia de resguardo (backup) recurrente de la información y de los
programas de aplicación y de los sistemas esenciales e importantes para la
continuidad de las operaciones.
Centro de Cómputos - Las instalaciones donde residen los sistemas de información
deberán estar localizadas en un área donde sea menor la probabilidad de daños por
fuego, inundaciones, explosiones, disturbios civiles y otros desastres.
Conclusión
La implementación de políticas de seguridad informática en una organización es una
solución integral que no sólo busca proteger, preservar, administrar de una manera eficiente
todo tipo de recursos con los que cuenta una organización, sino que también busca dar
solución, prevenir, evitar, controlar y minimizar los daños de incidentes que afectan a la
organización, por esto, preparar y capacitar al personal en temas asociados a la seguridad
informática y cómo hacer frente a incidentes que se llegarán a presentar con el fin de
responder de una manera adecuada es una de las principales metas de esta estrategia.
Fuentes Bibliográficas
https://www.segurode.com/noticias/ciberriesgos/valor-politicas-seguridad-informatica
https://www.obs-edu.com/int/blog-investigacion/sistemas/politicas-de-seguridad-
informatica-que-pueden-contemplar
https://revista.seguridad.unam.mx/numero27/politicas-de-seguridad-informatica-
necesidades-usuario-actual
https://www.redalyc.org/html/2654/265420388008/
https://www.segu-info.com.ar/politicas/
https://www.corpocesar.gov.co/files/POLITICA%20DE%20SEGURIDAD.pdf
15
Proyecto Final - Autor: Anibal Gutierrez 16
Tabla de contenido
Introduccion ............................................................................................................................... 2
Objetivo .................................................................................................................................. 3
Alcance.................................................................................................................................... 3
Actualizaciones y revisiones ................................................................................................... 3
Definiciones ............................................................................................................................ 3
Política para el control de acceso de terceros. Sobre el manejo de activos, de la
adquisición. ............................................................................................................................. 5
Política de seguridad en el personal ....................................................................................... 6
Queda prohibido ................................................................................................................. 7
Política de acceso a lugares restringidos y el manejo de la infraestructura. ......................... 7
De eliminación de información y respaldo. ............................................................................ 8
De uso de internet, de los sistemas de la compañía. ............................................................. 8
Del uso del correo electrónico. .............................................................................................. 9
Políticas de uso aceptable de activos. .................................................................................... 9
Del uso de los equipos de cómputo ....................................................................................... 9
Uso General y Propiedad .................................................................................................... 9
Acceso a material clasificado ............................................................................................ 10
De contraseñas ..................................................................................................................... 10
Características para formato cuenta de usuario y contraseña ......................................... 11
De protección de las redes ................................................................................................... 11
De escritorio limpio. ............................................................................................................. 12
Políticas de administración de incidentes y problemas de seguridad de la información. ... 12
Análisis de riesgos ............................................................................................................. 13
Documentación de los incidentes ..................................................................................... 14
Políticas de continuidad del negocio, de accesos remotos. ................................................. 14
Conclusión ............................................................................................................................ 15
Fuentes Bibliográficas ........................................................................................................... 15
16
Proyecto Final - Autor: Anibal Gutierrez 17
17