Escolar Documentos
Profissional Documentos
Cultura Documentos
de ciberseguridad
Introduccin
Se puede considerar que la base para cualquier empresa pueda
operar de una forma ms confiable en cuanto a seguridad informtica,
se comienza con la definicin de polticas y normas apropiadas.
La seguridad de la empresa es una funcin que deber evaluar
riesgos, basndose en polticas y normas que cubran en su totalidad
las necesidades de la empresa en materia de seguridad.
Justificacin
La seguridad de la informacin es la prioridad de la empresa para un
buen manejo y confiabilidad.
Definicin de ciberseguridad
Consiste en la aplicacin de procesos de anlisis y gestin de riesgos
relacionados con el uso de procesamiento, almacenamiento y
Alcance:
Las polticas cubren todos los aspectos de gestin que realizan los
encargados de cada rea de la empresa, para obtener un apropiado
nivel de proteccin de los datos.
Objetivo:
Es implantar polticas de ciberseguridad para la proteccin de datos,
con el fin de reglamentar la gestin de informacin al interior de la
empresa.
Perfiles de seguridad
La empresa deber asignar los perfiles de seguridad para establecer
restricciones o permisos a que tiene derecho cada usuario cuando
ingresa al sistema.
Normas
El administrador del sistema determinara que acciones, reportes,
registro, etc. del sistema estarn disponibles para cada usuario.
Contraseas
Todas las contraseas de cuentas que den acceso a recursos del
sistema de la empresa debern seguir las siguientes normas.
Normas
Toda contrasea deber ser cambiada por lo menos una vez cada 6
meses.
Las contraseas no deben ser adjuntadas en mensajes de correos, ni
ningn otro tipo de comunicacin.
Las contraseas deben contener nmeros y letras, alternando
maysculas y minsculas para aumentar la seguridad.
Se debe evitar utilizar datos personales como contrasea.
La asignacin de contraseas debe ser de manera individual y queda
estrictamente prohibido hacer uso compartido de las mismas.
Los usuarios no deben guardar las contraseas en el sistema.
Correo electrnico
Normas
La direccin debe crear y difundir un procedimiento para la
administracin de cuentas de correo electrnico.
La direccin debe establecer procedimientos e implantar controles
para detectar y proteger el sistema contra cdigo malicioso.
La cuenta de correo asignada es de carcter individual por lo tanto
ningn otra persona de la empresa o tercero, bajo ninguna
circunstancia deber utilizar una cuenta que no le pertenezca.
La informacin contenida en el correo debe ser en relacin a las
labores del usuario de la empresa. Este no debe ser utilizado para
ocupaciones personales.
La informacin contenida en los buzones de correo es nica y
exclusivamente de la empresa y cada usuario es responsable de su
buzn de correo.
Uso de internet
Consciente de la importancia de internet como herramienta laboral, se
proporcionara los recursos necesarios para asegurar su disponibilidad
a los usuarios que lo requieran para la realizacin de actividades
diarias en la empresa.
Normas
Antivirus
La empresa debe proporcionar mecanismos para garantizar la
proteccin de informacin y sistemas en donde se procesa y
almacena. Implantando controles para evitar la difusin, modificacin o
dao permanente ocasionado por software malicioso.
Normas
La direccin debe proveer herramientas como antivirus, para reducir
el riesgo de propagacion de software malicioso.
La direccin debe asegurar que el antivirus cuente con las licencias
de uso, certificando su autenticidad y la posibilidad de actualizacin
peridica.
Respaldo y recuperacin
La empresa certificara la generacin de copias de seguridad y
almacenamiento de informacin critica, ofreciendo los recursos
necesarios y estableciendo los procedimientos para la realizacin de
estas actividades.
Normas
Debern generar los procedimientos para la generacin, restauracin
y almacenamiento para las copias de respaldo de la informacin.
Debe definir las condiciones de transporte de copias de seguridad que
son almacenadas externamente.
Es responsabilidad de cada usuario del sistema de la empresa
identificar la informacin crtica que debe ser respaldada y
almacenarla de acuerdo a su nivel de clasificacin.
Deteccin de intrusos
La empresa proporcionara los controles para detectar actividades
inapropiadas, incorrectas, o anormales desde el exterior o interior de
un sistema informtico.
Normas
El usuario que sospeche de un suceso de un incidente de seguridad
deber reportarlo de inmediato a la direccin, sealando porque
considera que es un incidente.
Cuando exista el conocimiento de que informacin confidencial ha sido
modificada, alterada o borrada sin aprobacin de administrativos
competentes, se deber notificar lo antes posible a la direccin.
Acceso remoto
La empresa dispondr las condiciones y requisitos para el
establecimiento de conexiones remotas al sistema de la empresa,
tambin proveer las herramientas y controles necesarios para que las
conexiones se efecten de manera segura.
Normas
Debern analizar y aprobar los procedimientos de conexin remota al
sistema de la empresa.
Las conexiones remotas son permitidas nicamente a personal
autorizado y por periodos de tiempo dispuestos con anterioridad de
acuerdo con las labores ejercidas.
Deber revisar la seguridad de los controles utilizados sobre las
conexiones remotas a los recursos de la plataforma tecnolgica de la
empresa.
Los usuarios que realizan conexin remota debern contar con
autorizacin requerida y deben acatar las condiciones de uso.
Auditora
Se definirn las bases para un adecuado control y seguimiento de
operaciones tcnicas y administrativas, para prevenir la correcta
administracin de recursos y el cumplimiento de normas establecidas
por parte de la empresa.
Normas
El rea de auditoria es responsable de la vigilancia, control y
seguimiento de las operaciones tcnicas y administrativas.
Auditoria tambin podr realizar auditoras o exmenes especiales a
solicitud de la direccin.
Auditoria deber realizar revisiones y evaluaciones de vulnerabilidades
detectadas.
Realizara la verificacin del cumplimiento de las normas en el mbito
de seguridad.
Crearan propuestas de medidas preventivas y de correccin.
Normas
Se deben entender los riesgos de seguridad de los recursos
informticos.
Se deber tener buenas prcticas en el manejo de los soportes
informticos.
Se debe clasificar y manejar adecuadamente la informacin.
Tener presente que cualquier incumplimiento a las normas
establecidas podra generar graves consecuencias para la empresa.
Se proporcionaran guas de acceso a internet y uso del correo
electrnico.
Conclusiones
Establecer polticas de seguridad es realmente necesario ya que son
muy importantes para lograr que los sistemas informticos se operen
de una manera ms segura.
El acceso no autorizado o ataques perpetrados a los sistemas de una
empresa pueden ocasionar en su mayora graves problemas.
Esto indica que la clave para desarrollar con xito un programa
efectivo de seguridad de la informacin es implantar las polticas de
ciberseguridad