ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

MANUAL DE PROCEDIMIENTOS PARA LA IMPLEMENTACION DE LAS POLITICAS DE SEGURIDAD INFORMATICA EN LA EMPRESA EN-CORE

carlitoss981Informe10 de Agosto de 2019

5.128 Palabras (21 Páginas)238 Visitas

Página 1 de 21

MANUAL DE PROCEDIMIENTOS PARA LA IMPLEMENTACION DE LAS POLITICAS DE SEGURIDAD INFORMATICA EN LA EMPRESA EN-CORE

MEDELLIN COLOMBIA

REDES Y SEGURIDAD

SENA 2019

INTRODUCCION

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.  Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa En-Core.

En este sentido, las políticas de seguridad informática definidas partiendo desde el análisis de los riesgos a los que se encuentra propensa la empresa En-Core, surgen como una herramienta organizacional para concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer nuestra política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea a la empresa En-Core.

El presente documento tiene como finalidad la implementación de políticas de Seguridad Informática (PSI) para la empresa En-Core de la ciudad de Medellín en Colombia.

Para la ejecución del proyecto, se ha tomado como base un estudio y análisis de los componentes informáticos, lógicos y físicos, que actualmente mantiene la empresa para su gestión y administración, así mismo se ha procedido a realizar el análisis de las condiciones del uso de dichos recursos por parte de los empleados, y determinar las posibles vulnerabilidades a que puede estar expuesta la información de la empresa.

En base al estudio y análisis requerido que determinan los posibles riesgos inherentes a los recursos informáticos, se ha procedido a distinguir las políticas de seguridad informática actual y/o establecer nuevos procedimientos y estrategias, tanto Gerenciales como Administrativas, que permitan el resguardo de la información de los recursos informáticos de la empresa.

Como resultado del presente proyecto hay la documentación y ejecución de un plan estratégico, con el cual se implementen las Políticas de Seguridad Informática para la Empresa En-Core de la ciudad de Medellín.

OBJETIVOS

OBJETIVO GENERAL:

Desarrollar un manual para la implementación de las políticas de seguridad informática (PSI) para la empresa En-Core de la ciudad de Medellín para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa.

OBJETIVOS ESPECIFICOS:

  • Desarrollar un sistema que permita proteger la información confidencial de una compañía, utilizando PSI adecuadas.
  • Orientar a los empleados, sobre el uso adecuado de los recursos del sistema y así evitar posibles fallas que comprometan la seguridad de los datos.
  • Interactuar con las políticas de seguridad, para que estas mismas tengan un buen manejo dentro de la organización.
  • Proponer estrategias que ayuden a proteger el sistema contra posibles ataques.
  • Compromiso de   todo el personal de la   empresa con el proceso de

seguridad, agilizando la aplicación de los controles con dinamismo y armonía.

  • Que la prestación del servicio de seguridad gane en calidad y que todos   los   empleados se convierten en interventores del sistema de seguridad.
  • Establecer y documentar el programa de seguridad, a través de un plan de acción, procedimientos y normativas necesarios para implementar un Sistema de Seguridad Informática.

JUSTIFICACION

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.

Estos riesgos que se enfrentan, han llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodeas las organizaciones modernas.

POLITICAS DE SEGURIDAD INFORMATICA Y SUS ELEMENTOS

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el porqué de ellos, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal.

Como una política de seguridad debe orientar las decisiones que se tomen en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considere importante.

Las políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

  • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos aplicados a todos los niveles de la organización.
  • Requerimientos mínimos para la configuración de la seguridad de los sistemas que abarca el alcance de la política.
  • Definición de violaciones y sanciones por no cumplir con las políticas.
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre porque deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismo, términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Por último, y no menos importante, el que las políticas de seguridad, deben seguir unos procesos de actualización periódica sujeto a los cambios organizacionales relevantes, como son: El aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionales de la empresa, cambio o diversificación del área de negocios, etc.

ANALISIS DE LOS RECURSOS INFORMATICOS

Para evaluar las posibles amenazas, causas y determinar las mejores políticas de seguridad de la información, es necesario realizar un estudio previo de todos y cada uno de los recursos tecnológicos y recursos humanos con que cuenta la empresa, de esta manera ejecutar el plan y los procedimientos para aplicar efectivamente las políticas de seguridad informática en la empresa.

AMENAZAS A LOS RECURSOS INFORMATICOS

  • Interceptación de las Comunicaciones: La comunicación puede ser interceptada y los datos copiados o modificados. La interceptación puede realizarse mediante el acceso físico a las líneas de las redes, por ejemplo, pinchado la línea, o controlando las transmisiones.
  • Acceso no autorizado a ordenadores y redes de ordenadores: El acceso no autorizado a ordenadores o redes de ordenadores se realiza habitualmente de forma malintencionada para copiar, modificar o destruir datos. Técnicamente, se conoce como intrusión y adopta varias modalidades: contraseñas previsibles, aprovechar la tendencia de la gente a desvelar información a personas en apariencia fiable e interceptación de contraseñas.
  • Ejecución de programas que modifican y destruyen los datos: los ordenadores funcionan con programas informáticos, pero lamentablemente los programas pueden usarse también para desactivar un ordenador y para borrar y modificar los datos. Cuando esto ocurre en un ordenador que forma parte de una red, los efectos de estas alteraciones pueden tener un alcance considerable. Por ejemplo, un virus en un programa informático malintencionado que reproduce su propio código que se adhiere, de modo que cuando se ejecuta el programa informático infectado se activa el código de virus.
  • Accidentes no provocados: Numerosos accidentes de seguridad se deben a accidentes imprevistos o no provocados como: Son tormentas, inundaciones, incendios, terremotos, interrupción del servicio, por obras de construcción, defectos de programa y errores humanos o deficiencias de la gestión del operador, proveedor de servicio o el usuario.
  • Perturbación de las redes: actualmente las redes se encuentran ampliamente digitalizadas por ordenadores, pero en el pasado la razón de perturbación de la red más frecuente era un fallo en el sistema que controla la red y los ataques a las redes estaban dirigidos principalmente a dichos ordenadores. En la actualidad, los ataques más peligrosos se concretan a los puntos débiles y más vulnerables de los componentes de las redes como son sistemas operativos, encaminadores, conmutadores, servidores de nombre de dominio, etc.
  • Declaración falsa: a la hora de efectuar una conexión a la red o recibir datos, el usuario formula hipótesis sobre la identidad de su interlocutor en función de contexto de la comunicación. Para la red, el mayor riesgo de ataque procede de la gente que conoce el contexto. Por tal razón, las declaraciones falsas de personas físicas o jurídicas pueden causar daños de diversos tipos. Como pueden ser, trasmitir datos confidenciales a personas no autorizadas, rechazo de un contrato, etc.

Estas amenazas han hecho que las empresas creen documentos y normativas para regular el nivel de seguridad de su estructura interna, protegiéndolas así de ataques externos o de negligencia por parte de los propios empleados.

...

Descargar como (para miembros actualizados) txt (34 Kb) pdf (188 Kb) docx (29 Kb)
Leer 20 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com