Sei sulla pagina 1di 19

UNIVERSIDAD METROPOLITANA DEL ECUADOR

TEMA:
Políticas y Normas de Seguridad

ESTUDIANTE:
JUAN FERNANDO MAIGUA CHICAIZA

CARRERA:
SISTEMAS DE INFORMACIÓN

ASIGNATURA:
SEGURIDAD INFORMÁTICA

DOCENTE
Ing. William Carlos Chumi Sarmiento

QUITO-ECUADOR
2019
TAREA No. – 2
Realizar el siguiente trabajo:
Consultar o investigar acerca de las políticas y las normas vigentes que se
están aplicando para la seguridad informática

La seguridad informática ha tomado gran auge, debido a las cambiantes


condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar más allá de las fronteras
nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas
amenazas para los sistemas de información. Estos riesgos que se enfrentan han
llevado a que se desarrolle un documento de directrices que orientan en el uso
adecuado de estas destrezas tecnológicas y recomendaciones para obtener el
mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual
puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa Sudamericana de Software S.A.
En este sentido, las políticas de seguridad informática definidas partiendo desde
el análisis de los riesgos a los que se encuentra propensa, surgen como una
herramienta organizacional para concienciar a los colaboradores de la
organización sobre la importancia y sensibilidad de la información y servicios
críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta
situación, el proponer nuestra política de seguridad requiere un alto compromiso
con la organización, agudeza técnica para establecer fallas y debilidades en su
aplicación, y constancia para renovar y actualizar dicha política en función del
dinámico ambiente que rodea.

POLÍTICAS DE SEGURIDAD INFORMÁTICA

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para


definir directrices de seguridad y concretarlas en documentos que orienten las
acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera
que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios
de buenas políticas de seguridad informática.
 Los mecanismos de acceso que les sean otorgados a los funcionarios son
responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados
a ninguna persona, a menos que exista un requerimiento legal o medie un
procedimiento de custodia de llaves. De acuerdo con lo anterior, los
usuarios no deben obtener las claves u otros mecanismos de acceso de
otros usuarios que pueda permitirles un acceso indebido.
 Los usuarios son responsables de todas las actividades llevadas a cabo
con su código de usuario y clave personal.
 Los usuarios deben informar inmediatamente al área que corresponda
dentro de la universidad toda vulnerabilidad encontrada en los sistemas,
aparición de virus o programas sospechosos e intentos de intromisión y
no deben distribuir este tipo de información interna o externamente.
 Los usuarios no deben instalar software en sus computadores o en
servidores sin las debidas autorizaciones.
 Los usuarios no deben intentar sobrepasar los controles de los sistemas,
examinar los computadores y redes de la universidad en busca de
archivos de otros sin su autorización o introducir intencionalmente
software diseñado para causar daño o impedir el normal funcionamiento
de los sistemas.
 Los funcionarios no deben suministrar cualquier información de la entidad
a ningún ente externo sin las autorizaciones respectivas. Esto incluye los
controles del sistema de información y su respectiva implementación.
 Los funcionarios no deben destruir, copiar o distribuir los archivos de la
universidad sin los permisos respectivos.
 Todo funcionario que utilice los recursos de los sistemas tiene la
responsabilidad de velar por la integridad, confidencialidad, disponibilidad
y confiabilidad de la información que maneje, especialmente si dicha
información ha sido clasificada como crítica
 El enfoque del control en TI (Tecnología de información) se lleva a cabo
visualizando la información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con la tecnología de
información que deben ser administrados por procesos de TI.
Las normas ISO son normas o estándares de seguridad establecidas por la
Organización Internacional para la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC) que se encargan de establecer estándares y
guías relacionados con sistemas de gestión y aplicables a cualquier tipo de
organización internacionales y mundiales, con el propósito de facilitar el
comercio, facilitar el intercambio de información y contribuir a la transferencia de
tecnologías.

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares


de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco
para la gestión de la seguridad.

Contiene las mejores prácticas recomendadas en Seguridad de la información


para desarrollar, implementar y mantener especificaciones para los Sistemas de
Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.

La seguridad de la información, según la ISO 27001, se basa en la preservación


de su confidencialidad, integridad y disponibilidad, así como la de los sistemas
aplicados para su tratamiento.

 Confidencialidad: la información no se pone a disposición ni se revela a


individuos, entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información
y sus métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos o procesos
autorizados cuando lo requieran.

Dentro de este conjunto están:

Norma Descripción
ISO/IEC Vocabulario estándar para el SGSI para todas las normas de la familia.. Se encuentra en
27000 desarrollo actualmente.
Certificación que deben obtener las organizaciones. Norma que especifica los requisitos para
ISO/IEC la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de
27001 gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como
estándar internacional en octubre de 2005.
Information technology - Security techniques - Code of practice for information security
ISO/IEC
management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de
27002
buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de
2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de
2007.
ISO/IEC Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001.
27003 Publicada el 1 de febrero del 2010, No está certificada actualmente.
Métricas para la gestión de seguridad de la información. Es la que proporciona
ISO/IEC recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la
27004 información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español
actualmente.
Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información.
Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos
ISO/IEC
de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma
27005
ISO/IEC 27001. Es la más relacionada a la actual British Standar BS 7799 parte 3. Publicada
en junio de 2008.
Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los
ISO/IEC sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos para
27006 la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de
acreditación.
ISO/IEC
Guía para auditar al SGSI. Se encuentra en preparación.
27007
ISO/IEC
Guía para implementar ISO/IEC 27002 en la industria de la salud.
27799:2008

Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro


de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación
e implementación de ISO/IEC 27001, que es la norma principal y única
certificable dentro de la serie.

Esta serie está clasificada de la siguiente manera:

ISO/IEC 27000:

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de


Diciembre de 2012, una tercera edición de 14 de Enero de 2014 y una cuarta en
Febrero de 2016. Esta norma proporciona una visión general de las normas que
componen la serie 27000, indicando para cada una de ellas su alcance de
actuación y el propósito de su publicación. Recoge todas las definiciones para la
serie de normas 27000 y aporta las bases de por qué es importante la
implantación de un SGSI, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción de los pasos para el
establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última
edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el
único marco de referencia para la mejora continua).
ISO/IEC 27001:

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es


la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya
quedó anulada) y es la norma con arreglo a la cual se certifican por auditores
externos los SGSIs de las organizaciones. Actualmente, la última edición de
2013 este estándar se encuentra en inglés y en francés tras su acuerdo de
publicación el 25 de Septiembre de 2013. Desde el 12 de Noviembre de 2014,
esta norma está publicada en España como UNE-ISO/IEC 27001:2014 y puede
adquirirse online en AENOR. En 2015, se publicó un documento adicional de
modificaciones (UNE-ISO/IEC 27001:2014/Cor 1:2015) y en Diciembre de 2015
una segunda modificación (ISO/IEC 27001:2013/Cor.2:2015) esta última
matizando especificaciones en la declaración de aplicabilidad. Otros países
donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-
IEC 27001), Chile (NCh-ISO27001) o Uruguay(UNIT-ISO/IEC 27001). El original
en inglés y la traducción al francés pueden adquirirse en iso.org.

ISO/IEC 27002:

Publicada desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,


manteniendo 2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control
y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume
los controles de ISO 27002:2005.

ISO/IEC 27003:

Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de 2017. No


certificable. Es una guía que se centra en los aspectos críticos necesarios para
el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001.
Describe el proceso de especificación y diseño desde la concepción hasta la
puesta en marcha de planes de implementación, así como el proceso de
obtención de aprobación por la dirección para implementar un SGSI. Tiene su
origen en el anexo B de la norma BS 7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.

ISO/IEC 27004:

Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de 2016. No


certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de
medida aplicables para determinar la eficacia de un SGSI y de los controles o
grupos de controles implementados según ISO/IEC 27001.

ISO/IEC 27005:

Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de


Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo
en la seguridad de la información. Apoya los conceptos generales especificados
en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación
satisfactoria de la seguridad de la información basada en un enfoque de gestión
de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-
3:1998 e ISO/IEC TR 13335-4:2000.

ISO/IEC 27006:

Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1


de Marzo de 2007) y revisada el 30 de Septiembre de 2015. Especifica los
requisitos para la acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información. Es una versión revisada de
EA-7/03 (Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las
entidades de auditoría y certificación de sistemas de gestión) los requisitos
específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación
por sí misma.

ISO/IEC 27007:

Publicada el 14 de Noviembre de 2011 y revisada el 09 de Octubre de 2017. No


certificable. Es una guía de auditoría de un SGSI, como complemento a lo
especificado en ISO 19011.
ISO/IEC TR 27008:

Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de


los controles seleccionados en el marco de implantación de un SGSI. En España,
esta norma no está traducida.

ISO/IEC 27009:

Publicada el 15 de Junio de 2016. No certificable. Define los requisitos para el


uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de
aplicación o sector industrial). El documento explica cómo refinar e incluir
requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles
o conjuntos de control adicionales a los del Anexo A.

ISO/IEC 27010:

Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015.


Consiste en una guía para la gestión de la seguridad de la información cuando
se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable
a todas las formas de intercambio y difusión de información sensibles, tanto
públicas como privadas, a nivel nacional e internacional, dentro de la misma
industria o sector de mercado o entre sectores. En particular, puede ser aplicable
a los intercambios de información y participación en relación con el suministro,
mantenimiento y protección de una organización o de la infraestructura crítica de
los estados y naciones. Actualmente en proceso de revisión para su
actualización.

ISO/IEC 27011:

Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de 2016. Es una


guía de interpretación de la implementación y gestión de la seguridad de la
información en organizaciones del sector de telecomunicaciones basada en
ISO/IEC 27002. Está publicada también como norma ITU-T X.1051

ISO/IEC 27013:

Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015.


Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de
seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
Actualmente finalizando el proceso de revisión para su actualización.

ISO/IEC 27014:

Publicada el 23 de Abril de 2013. Consiste en una guía de gobierno corporativo


de la seguridad de la información.

ISO/IEC TR 27015:

Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a


organizaciones del sector financiero y de seguros y como complemento a
ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será
actualizada en relación a las novedades de la norma ISO/IEC 27002:2013
aunque sigue disponible para su adquisición por parte de los interesados.

ISO/IEC TR 27016:

Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos


financieros de la seguridad de la información.

ISO/IEC 27017:

Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud


Computing alineada con ISO/IEC 27002 y con controles adicionales específicos
de estos entornos de nube.

ISO/IEC 27018:

Publicada el 29 de Julio de 2014. Es un código de buenas prácticas en controles


de protección de datos para servicios de computación en cloud computing.

ISO/IEC TR 27019:

Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005


para el proceso de sistemas de control específicos relacionados con el sector de
la industria de la energía. Actualizada como ISO/IEC 27019:2017 en Octubre de
2017 para su alineación con ISO/IEC 27002:2013, además de la aplicación a los
sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la
energía para controlar y monitorear la producción o generación, transmisión,
almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para
el control de los procesos de soporte asociados, también incluye un requisito
para adaptar los procesos de evaluación y tratamiento de riesgos descritos en
ISO/IEC 27001:2013 a la orientación específica del sector de servicios de
energía.

ISO/IEC 27021:

En desarrollo, el desarrolla los requisitos de las competencias requeridas para


los profesionales dedicados a los sistemas de gestión para la seguridad de la
información.

ISO/IEC TR 27023:

Publicada el 02 de Julio de 2015. No certificable. Es una guía de


correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y
ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005.
En España, esta norma no está traducida. El original en inglés puede adquirirse
en iso.org

ISO/IEC 27031:

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la


adecuación de las tecnologías de información y comunicación (TIC) de una
organización para la continuidad del negocio. El documento toma como
referencia el estándar BS 25777. En España, esta norma no está traducida. El
original en inglés puede adquirirse en iso.org

ISO/IEC 27032:

Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del


estado de seguridad cibernética, extrayendo los aspectos únicos de esa
actividad y de sus dependencias en otros dominios de seguridad,
concretamente: Información de seguridad, seguridad de las redes, seguridad en
Internet e información de protección de infraestructuras críticas (CIIP). Cubre las
prácticas de seguridad a nivel básico para los interesados en el ciberespacio.
Esta norma establece una descripción general de Seguridad Cibernética, una
explicación de la relación entre la ciberseguridad y otros tipos de garantías, una
definición de las partes interesadas y una descripción de su papel en la seguridad
cibernética, una orientación para abordar problemas comunes de Seguridad
Cibernética y un marco que permite a las partes interesadas a que colaboren en
la solución de problemas en la ciberseguridad.

ISO/IEC 27033:

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente


en 6 partes: 27033-1, conceptos generales (Publicada el 15 de Diciembre de
2009 y revisada el 10 de Octubre de 2015); 27033-2, directrices de diseño e
implementación de seguridad en redes (Publicada el 27 de Julio de 2012);
27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre de
2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante
gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5,
aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de
2013); 27033-6, securización de redes IP wireless (Publicada en Junio de 2016).

ISO/IEC 27034:

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones


informáticas, consistente en 7 partes: 27034-1, conceptos generales (Publicada
el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización
(Publicadael 15 de Agosto de 2015); 27034-3, proceso de gestión de seguridad
en aplicaciones (En desarrollo); 27034-4, validación de la seguridad en
aplicaciones (en fase de desarrollo); 27034-5, estructura de datos y protocolos y
controles de seguridad de aplicaciones (Publicada el 09 de Octubre de 2017);
27034-6, guía de seguridad para aplicaciones de uso específico (Publicada en
Octubre de 2016); 27034-7, marco predictivo de en la seguridad (En desarrollo).

ISO/IEC 27035:

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de


incidentes de seguridad en la información. Consta de 3 partes: 27035-1,
Principios en la gestión de incidentes (Publicada en Noviembre de 2016); 27035-
2, guías para la elaboración de un plan de respuesta a incidentes (Publicada en
Noviembre de 2016); 27035-3, guía de operaciones en la respuesta a incidentes
(que el momento está parado sus desarrollos).
ISO/IEC 27036:

Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-


1, visión general y conceptos (Publicada el 24 de Marzo de 2014); 27036-2,
requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3, seguridad
en la cadena de suministro TIC (Publicada el 08 de Noviembre de 2013); 27036-
4, guía de seguridad para entornos de servicios Cloud (Publicada en Octubre de
2016).

ISO/IEC 27037:

Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices


para las actividades relacionadas con la identificación, recopilación,
consolidación y preservación de evidencias digitales potenciales localizadas en
teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales,
sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre
otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el
intercambio entre las diferentes jurisdicciones.

ISO/IEC 27038:

Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad


en la redacción digital.

ISO/IEC 27039:

Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliege y


operativa de sistemas de detección y prevención de intrusión (IDS/IPS). Existe
una (corrección al contenido inicial de 28 de Abril de 2016).

ISO/IEC 27040:

Publicada el 05 de Enero de 2015. Es una guía para la seguridad en medios de


almacenamiento.

ISO/IEC 27041:

Publicada el 19 de Junio de 2015. Es una guía para la garantizar la la idoneidad


y adecuación de los métodos de investigación.
ISO/IEC 27042:

Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e


interpretación de las evidencias digitales.

ISO/IEC 27043:

Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de


investigación para la recopilación de evidencias digitales.

ISO/IEC 27050:

Norma desarrollada en tres partes sobre la información almacenada en


dispositivos electrónicos en relación a su identificación, preservación,
recolección, procesamiento, revisión, análisis y producción: 27050-1, conceptos
generales (Publicada en Noviembre de 2016); 27050-2, Guía para el gobierno y
gestión (En desarrollo); 27050-3, código de buenas prácticas (En desarrollo).

ISO/IEC TR 27103:2018:

Publicada el 22 de Febrero de 2018. Norma desarrollada Primera edición para


proporcionar orientación sobre cómo aprovechar las normas existentes en un
marco de ciberseguridad.

ISO 27799:

Publicada el 12 de Junio de 2008 dispone de una segunda revisión actualizada


desde Julio 2016. Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a
la seguridad de la información sobre los datos de salud de los pacientes. Esta
norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27,
sino el comité técnico TC 215.
• Según lo investigado en el punto anterior, proponer un plan de políticas y
normas de seguridad informática para una organización tecnológica (ficticia) o a
un sistema informático.

La corporación que voy a implementar un plan de políticas y normas de


seguridad informática se llama Servy@stec (Servicio y Asistencia Técnica
Computarizada). Como objetivo se va a dotar de la información necesaria en el
más amplio nivel de detalle a los usuarios, empleados y gerentes de la
Corporación Servy@stec, de las normas y mecanismos que deben cumplir y
utilizar para proteger el hardware y software de la red institucional de la
Corporación, así como la información que es procesada y almacenada en estos.

EVALUACION DE LA POLITICA

Las políticas y estándares de seguridad informática establecidas son la base


fundamental para la protección de los activos informáticos y de toda la
información de las Tecnologías de Información y Comunicaciones (TIC´s) en la
Corporación Servy@stec.

POLÍTICAS DE SEGURIDAD

Los usuarios deben guardar la información en las carpetas asignadas y de


acuerdo a las tablas de retención documental, en el proceso que corresponda y
de acuerdo a la política de archivo, para garantizar que dicha información sea
respaldada.

• Diariamente se realizan respaldos automáticos a la información almacenada en


las carpetas (CAD, OFICINA) según los mecanismos establecidos en el
procedimiento “seguridad de la información”.

• Los equipos deberán contar con salvapantallas protegido por contraseña con
un tiempo de espera de 10 minutos para evitar accesos no autorizados.

• Todos los accesos a los programas principales (CRM, SharePoint) estarán


protegidos mediante un mecanismo de usuario y contraseña, así como permisos
de acceso. De igual forma, las sesiones de Windows personales estarán
protegidas con contraseña.
• Para la carpeta compartida (CAD, OFICINA) se accederá de acuerdo a la matriz
de seguridad.

• Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso


a los programas y sesiones de Windows.

• No es responsabilidad del área de TI la perdida de información personal que se


encuentre en cada equipo, la información corporativa debe ser trabajada desde
las carpetas compartidas (Cad, Oficina, Usuarios) para cada área previamente
configurada en el servidor y/o desde los documentos de cada proceso en la nube.
(OneDrive).

• Todo acceso a la información de la Corporación deberá tener las respectivas


autorizaciones y accesos, que garanticen su respectiva seguridad, integridad y
confidencialidad de la información almacenada.

• Los funcionarios deben realizar revisiones periódicas de su información


almacenada con el fin de no mantener información innecesaria.

• Las copias de seguridad o respaldos se deben realizar de acuerdo al plan


definido.

Nuestro proceso de control o mantenimiento de la seguridad informática


comienza con la identificación de equipos y activos informáticos, las amenazas
y vulnerabilidad a las que se exponen y el impacto que puede suponer para la
empresa cualquier fallo o ataque. El objetivo es disminuir o evitar el riesgo que
puedan llevar a pérdidas económicas o recursos de la empresa.

Política de Seguridad y de Protección de Datos

Se establecen cambios a la hora de proteger la información, teniendo en cuenta


la transformación digital de las empresas y los cambios digitales.

La seguridad física de los equipos y activos que almacenan la información

Por ejemplo, mediante el control, mantenimiento y limpieza de los centros de


procesos de datos; protección eléctrica ante falta de suministro, apagones o
sobretensiones o sistemas anti incendios o inundaciones.
Instalar un software certificado por el fabricante

Ya que está libre de virus. Además, es importante mantener los sistemas y las
soluciones actualizadas.

Protección antivirus y análisis periódico.

El objetivo además de evitar el ataque inicial es evitar el contagio masivo. Para


evitar sorpresas es importante mantenerlos actualizados y vigilar los equipos y
el modo de acceso a ellos, principalmente por la red.

Uso de firewalls, cortafuegos o barreas

Que protejan el acceso a los datos por personas ajenas o que no disponen de
autorización para hacerlo; detección de intrusos, antivirus, anti phising,
antispyware, protección de software.

La Información también es importante

 Encriptar, codificar, cifrar y utilizar certificados

De seguridad y digitales en toda la información que circula y en los servidores.


Además se debe establecer un plan de contingencia ante imprevistos y
catástrofes para poder recuperar la información.

 Controles de Acceso

A la información, a los programas, archivos, sistemas o aplicaciones por medio


de permisos, contraseñas, claves de acceso o perfiles de usuarios, así como
restricciones. También es importante controlar los accesos a Internet y la
descarga de archivos. Además, es conveniente llevar un control sobre el uso de
datos y programas con el procedimiento que se establezca en la empresa.

 Copias de seguridad o backups

Un buen sistema de copia de seguridad deberá ser automático, continuo y


realizarse sin afectar en el trabajo del usuario. Los datos quedarán almacenados
en estancias independientes a la empresa y deberá haber mecanismos que
permitan la recuperación de datos o versiones.
 Uso de contraseñas

Distintas y variadas. Que no sean deducibles a partir de datos personales o a


través de programas informáticos. Deben ser renovadas con periodicidad o
incluso se aconseja el uso de gestores de identidad.

 Vigilar y proteger la red, incluyendo las redes inalámbricas

A través de las redes de datos y de voz circula toda la información, por lo que
suele ser un medio de acceso de ciberdelincuentes. Pueden tener acceso a
ficheros informáticos, correos electrónicos, mensajería, páginas webs,
conversaciones telefónicas, bases de datos y ordenadores.

En cuanto a las redes inalámbricas es importante tener especial cuidado en las


conexiones que se realicen en lugares sospechosos y navegar con cifrado WPA,
con el protocolo HTTPS activado o contraseñas compartidas.

Uso de contraseñas en la empresa

Usar contraseñas fuertes es una norma de seguridad informática

 Evitar a toda costa las contraseñas basadas en datos personales, como


fechas de nacimiento o nombres.

 Cada servicio y cada usuario deben tener su propia contraseña.

 No usar palabras que puedan encontrarse en el diccionario.

 Las contraseñas deben tener al menos 8 caracteres y combinar letras


mayúsculas y minúsculas, números y símbolos.

 No repetir dos veces el mismo carácter en la contraseña.

 No copiar las contraseñas ni enviarlas por correo electrónico.

 Procurar que sean fáciles de recordar siguiendo un proceso lógico para


su elaboración, aunque el resultado debe parecer aleatorio.

 La contraseña del wifi es fundamental para evitar que puedan robarnos la


conexión y acceder a los datos de la empresa. Por eso debemos cambiar
siempre la que viene por defecto y procurar que sea lo más segura
posible.

Además en la Corporación Servy@astec debemos tomar muy en cuenta la


estructura de la norma ISO 27001 que es una norma internacional que permite
el aseguramiento, la confidencialidad e integridad de los datos y de la
información, así como de los sistemas que la procesan.

1. Objeto y campo de aplicación: La norma comienza aportando unas


orientaciones sobre el uso, finalidad y modo de aplicación de este
estándar.

2. Referencias Normativas: Recomienda la consulta de ciertos documentos


indispensables para la aplicación de ISO27001.

3. Términos y Definiciones: Describe la terminología aplicable a este


estándar.

4. Contexto de la Organización: Este es el primer requisito de la norma, el


cual recoge indicaciones sobre el conocimiento de la organización y su
contexto, la comprensión de las necesidades y expectativas de las partes
interesadas y la determinación del alcance del SGSI.

5. Liderazgo: Este apartado destaca la necesidad de que todos los


empleados de la organización han de contribuir al establecimiento de la
norma. Para ello la alta dirección ha de demostrar su liderazgo y
compromiso, ha de elaborar una política de seguridad que conozca toda
la organización y ha de asignar roles, responsabilidades y autoridades
dentro de la misma.

6. Planificación: Esta es una sección que pone de manifiesto la importancia


de la determinación de riesgos y oportunidades a la hora de planificar
un Sistema de Gestión de Seguridad de la Información, así como de
establecer objetivos de Seguridad de la Información y el modo de
lograrlos.

7. Soporte: En esta cláusula la norma señala que para el buen


funcionamiento del SGSI la organización debe contar con los recursos,
competencias, conciencia, comunicación e información documentada
pertinente en cada caso.

8. Operación: Para cumplir con los requisitos de Seguridad de la


Información, esta parte de la norma indica que se debe planificar,
implementar y controlar los procesos de la organización, hacer una
valoración de los riesgos de la Seguridad de la Información y un
tratamiento de ellos.

9. Evaluación del Desempeño: En este punto se establece la necesidad y


forma de llevar a cabo el seguimiento, la medición, el análisis, la
evaluación, la auditoría interna y la revisión por la dirección del Sistema
de Gestión de Seguridad de la Información, para asegurar que funciona
según lo planificado.

10. Mejora: Por último, en la sección décima vamos a encontrar las


obligaciones que tendrá una organización cuando encuentre una no
conformidad y la importancia de mejorar continuamente la conveniencia,
adecuación y eficacia del SGSI.

Bibliografía
Alemán, R. (Febrero de 2019). Política de Gestión Informática. Recuperado el 17 de Mayo de 2019, de
file:///C:/Users/JUANFER/Downloads/POLITICA_DE_GESTION_INFORMATICA_2019.pdf:
file:///C:/Users/JUANFER/Downloads/POLITICA_DE_GESTION_INFORMATICA_2019.pdf

Información, T. d. (10 de Junio de 2015). Seguridad informática básica para la empresa. Recuperado el
17 de Mayo de 2019, de https://blog.apser.es/2015/06/10/seguridad-informatica-basica-para-la-
empresa: https://blog.apser.es/2015/06/10/seguridad-informatica-basica-para-la-empresa

Jorge, C. A. (2014). POLÍTICAS Y NORMAS DE SEGURIDAD. Recuperado el 17 de Mayo de 2019, de


https://cvs.gov.co/jupgrade/images/stories/docs/varios/Politicas_de_Seguridad_Act.pdf:
https://cvs.gov.co/jupgrade/images/stories/docs/varios/Politicas_de_Seguridad_Act.pdf

Pérez, J. G. (2017). POLITICAS Y NORMAS GENERALES DE TECNOLOGÍA INFORMÁTICA.


Recuperado el 17 de Mayo de 2019, de
https://es.investinbogota.org/sites/default/files/Poli%CC%81ticas%20Tecnologi%CC%81a%20I
nforma%CC%81tica%20.pdf:
https://es.investinbogota.org/sites/default/files/Poli%CC%81ticas%20Tecnologi%CC%81a%20I
nforma%CC%81tica%20.pdf

Potrebbero piacerti anche