Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Alcance
Las Políticas Generales establecidas en este manual regirán para todos los
miembros de la compañía y deberán ser acatadas por todas aquellas personas
que en el ejercicio de sus labores interactúen con los servicios y recursos de
Tecnología de Información y Comunicaciones de la compañía tanto en forma
directa (trabajadores) como indirecta (Proveedores, Consultores y Asesores,
usuarios externos u otros terceros).
Seguridad Física
Seguridad de red
Seguridad en aplicaciones
✓ El software contará con acceso controlado que permita al propietario del
recurso restringir el acceso al mismo. El software protegerá los objetos
para que los procesos y/o los usuarios no los puedan acceder sin los
debidos permisos. Cada usuario se identificará por medio de un único
código de identificación de usuario y clave, antes de que se le permita
el acceso al sistema.
✓ El área de desarrollos de sistemas no hará cambios al software de
producción sin las debidas autorizaciones por escrito y sin cumplir con
los procedimientos establecidos. A su vez, se contará con un
procedimiento de control de cambios que garantice que sólo se realicen
las modificaciones autorizadas.
✓ La documentación de todos los cambios hechos al software se
preparará simultáneamente con el proceso de cambio. Se deberá
considerar, además, que cuando un tercero efectúe ajuste al software,
éste deberá firmar un acuerdo de no divulgación y utilización no
autorizada del mismo.
✓ La información debe estar cifrada en el lugar de almacenamiento y debe
contar con backups diarios.
✓ Todas las aplicaciones se clasificarán en una de las siguientes
categorías: Misión Crítica, Prioritaria y Requerida. Para las de misión
crítica y prioritaria deberá permanecer una copia actualizada y su
documentación técnica respectiva, como mínimo en un sitio alterno y
seguro de custodia.
✓ Se debe hacer un mantenimiento de las aplicaciones y desarrollar
nuevas actualizaciones de seguridad conforme a cómo avanza la
tecnología y aparecen nuevas amenazas tecnológicas.
✓ Las aplicaciones deben con certificados de transmisión de datos que
permitan cifrar la información de cada petición realizada desde la
misma.
✓ Todas las contraseñas deben ser cifradas antes de ser registradas en
la base de datos de usuarios para que no se pueda vulnerar la seguridad
de la aplicación por personas no autorizadas.
✓ La aplicación debe contar con un log de registro de todos los usuarios
que ingresaron al sistema y de cada una transacción que sea definida
como critica.
Seguridad en SGBD
✓ Las personas que trabajen directamente sobre el SGBD deben de
contar con capacitación y experiencia que los califique como aptos para
el cargo.
✓ Se debe contar con un backup de la base antes que permita la
recuperación de la información en caso de perdida.
✓ Todos los usuarios que se utilicen para trabajar directamente sobre el
motor de bases de datos de contar con los privilegios de acuerdo a sus
funciones.
✓ Los únicos que pueden usuarios el perfil de administradores de la base
de datos son los DBA.
✓ La base de datos debe estar separada del servidor de aplicaciones para
mejorar el rendimiento de la aplicación.
✓ En el desarrollo de bases de datos se debe seguir el estándar elaborado
por la compañía a la hora de escribir código.
✓ Los bases de datos deben contar son su diagrama y documentación de
toda la funcionalidad en existe en ella.
✓ Solo está autorizado a utilizar bases de datos SQL SERVER que
cuenten con soporte del proveedor.
Sanciones
1. El usuario deberá utilizar los recursos de la red exclusivamente para las
actividades a las cuales ha sido autorizado y se compromete al cumplimiento
de las normas establecidas bajo el marco legal vigente de la compañía.
2. Se deberá seguir proceso disciplinario formal según esté contemplado en los
reglamentos, normas y procedimientos que rigen al personal y especialmente
a los que rigen a las TICs, cumpliendo con la legislación y normativa vigente
señalada en las Normas de seguridad de tecnologías de información para su
cumplimiento.