Redes Y Seguridad

POLÍTICAS DE SEGURIDAD INFORMÁTICA

CONTENIDO

- Estudio previo

- Justificación

- Definición

- Programa de seguridad

1. Cuentas de Usuarios

2. Internet

3. Correo Electrónico

4. Red Interna

5. Políticas de uso de computadores, impresoras y periféricos

6. Otras Políticas

- Plan de acción

- Tabla de grupos de acceso

- Valoración de los elementos de la red

- Herramientas

- Glosario

Estudio Previo

Evaluación de riesgos en EL SERVIDOR:

* La falla continua por no tener las normas eléctricas bien aplicadas; cortes continuos del sistema.

* La información en ellos es alterada continuamente por los operarios.

* La información la pueden mirar todos sin restricción alguna.

Evaluación de riesgos en la RED:

* La información en la red se puede modificar y observar.

* Se suplanta con facilidad la identidad de la estación cliente i/o servidor

* Se puede suplantar con facilidad la identidad del usuario.

Evaluación de riesgos en ESTACIONES CLIENTE:

* Las estaciones clientes son el punto más débil en la seguridad.

* En las estaciones clientes la información está completamente abierta.

* No tienen Programas de Seguridad

Justificación

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón es un paso primordial el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación de la empresa.

En consecuencia, la información, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley

El sentar bases y normas de uso y seguridad informáticas dentro de la empresa respecto a la manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los procesos informáticos y elevará el nivel de seguridad de los mismos.

Definición

La seguridad informática aplica las técnicas fundamentales para preservar la información y los diferentes recursos informáticos con que cuenta la Empresa. La política de seguridad informática es el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservación y buen uso de los recursos informáticos con que cuenta la Empresa.

Políticas Adoptadas

Estamos en el proceso de implementación de las Políticas de Seguridad Informática, se propone Administrar, desarrollar y mantener en buen estado los Las tecnologías de la información y la comunicación (TICs) se adoptan las siguientes políticas de seguridad informáticas en la empresa:

1. Cuentas de Usuarios

2. Internet

3. Correo Electrónico

4. Red Interna

5. Políticas de uso de computadores, impresoras y periféricos

6. Otras Políticas

He realizado un listado de pautas que se deben tener en cuenta para dar un uso adecuado a los recursos informáticos (correo electrónico, red interna, internet. El área de sistemas auditará de manera periódica los equipos de cómputo y periféricos así como el software instalado.

El propósito de estas políticas es asegurar que los funcionarios utilicen correctamente los recursos tecnológicos que la empresa pone a su disposición para el desarrollo de las funciones institucionales. Dichas políticas son de obligatorio cumplimiento. El funcionario que incumpla las políticas de seguridad informática, responderá por sus acciones o por los daños causados a la infraestructura tecnológica de la empresa, de conformidad con las leyes penales, fiscales y disciplinarias.

1. Cuentas de Usuarios

* Es la cuenta que constituye la principal vía de acceso a los sistemas de información que posee la empresa; estas cuentas aíslan al usuario del entorno, impidiendo que pueda dañar al sistema o a otros usuarios, y permitiendo a su vez que pueda personalizar su entorno sin que esto afecte a otros.

* Cada persona que acceda al sistema debe tener una sola cuenta de usuario. Esto permite realizar seguimiento y control, evita que interfieran las configuraciones de distintos usuarios o acceder al buzón de correo de otro usuario.

* Una cuenta de usuario asigna permisos o privilegios al usuario para acceder a los sistemas de información y desarrollará actividades dentro de ellas.

* Los privilegios asignados delimitan las actividades que el usuario puede desarrollar sobre los sistemas de información y la red de datos.

* Procedimiento para la creación de cuentas nuevas: La solicitud de una nueva cuenta o el cambio de privilegios, deberá hacerse por escrito y ser debidamente autorizada por la Oficina de Sistemas.

* Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad informática y acepta sus responsabilidades con relación al uso de esa cuenta.

* No debe concederse una cuenta a personas que no sean funcionarios de la empresa, a menos que estén debidamente autorizados.

* Los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. Esto también incluye a los administradores del sistema.

* La Oficina de Personal debe reportar a la Oficina de Sistemas, a los funcionarios que cesan sus actividades y solicitar la desactivación de su cuenta.

* Los Privilegios especiales de borrar o depurar los archivos de otros usuarios, sólo se otorgan a los encargados de la administración en la oficina de Sistemas

* No se otorgará cuentas a técnicos de mantenimiento externos, ni permitir su acceso remoto, a menos que la Oficina de Sistemas determine que es necesario. En todo caso, esta facilidad solo debe habilitarse por el lapso requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto).

* No se crearán cuentas anónimas

...