Análisis De Riesgos En La Oficina De Informatica

Análisis factores de riesgos en la Oficina de Informática, proceso Gestión Informática:

Los cambios de la configuración del sistema serán hechos únicamente por personal de la Oficina Asesora Informática. Ningún empleado de la empresa que no pertenezca a dicha área, sin excepción alguna, puede efectuar cambios en el sistema. Cualquiera de las faltas nombradas a continuación será tomada como atentado a la seguridad de la red, y del manejo de la información dentro de la organización o su correspondiente proceso estipulado dentro del MOP.

5. Política de seguridad:

5.1 Política de seguridad de la información

Objetivo: Proporcionar a la jefatura del proceso de Gestión Informática la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.

La gerencia y la jefatura de la oficina de informática, deberá establecer claramente la dirección de la política en línea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización, basados en la NTC-ISO 17799.

POLITICAS USUARIO:

• Únicamente el administrador de la red (Oficina Informática) otorgará un nombre de usuario nuevo y una contraseña al personal nuevo que ingrese a formar parte de la empresa. APLICA

• Para el ingreso de un usuario nuevo a la red de la empresa, se debe diligenciar un formulario en el cual se especifique el cargo a desempeñar, la fecha de ingreso y si estará por contrato la fecha de salida especificada para saber el momento que debe ser retirado del sistema. Esta norma aplica para contratistas, practicantes y personal de planta. (Formulario I). NO APLICA

• Después de diligenciar el formulario respectivo para el nuevo usuario de la red de la ILC, el personal encargado del área de informática estudiará la necesidad de incluirlo a la misma y los permisos que se le deben otorgar. APLICA PARCIALMENTE

POLITICAS EN EL CONTROL DE ACCESO:

• Cada uno de los Miembros de Gestión de Oficina Informática (GOI) debe respetar las decisiones tomadas por el jefe o encargado de suministrar los privilegios en la Oficina Informática en cuanto a permisos se refiere. APLICA

• Solamente el personal de la Oficina Asesora Informática tiene permiso para observar y manipular los Racks o gabinetes ubicados en los diferentes centros de cableado de la Industria Licorera de Caldas. APLICA

• Solo las personas encargadas del área de informática con previa autorización del jefe de la oficina, tienen acceso a los servidores de red ubicados en esta oficina, es totalmente indispensable colocar los avisos respectivos en la puerta para que las personas tengan en cuenta esta restricción. APLICA

• Únicamente los miembros de la oficina informática, con usuarios especificados, o los privilegios de administrador podrán acceder a las diferentes estaciones de trabajo que lleguen a la oficina con el propósito de reparar, o recuperar información personal de los usuarios. APLICA

• Cuando alguna persona ingrese al área de informática, podrá hacerlo solo hasta donde se encuentra la secretaria de la Oficina, dicha persona realizará el anuncio pertinente al Ingeniero que sea solicitado. APLICA PARCIALMENTE

• Es estrictamente necesario que el acceso a los cubículos donde se encuentran los Ingenieros o el personal de la Oficina, estén separados de la entrada. APLICA

• La puerta que separa la sala de servidores con la sala de estudios debe permanecer cerrada y con seguro. APLICA

• Es totalmente indispensable que solamente las personas del área de sistemas laboren en esta oficina, evitando daños o pérdida de información por parte de personas externas al área. APLICA

• Ninguna persona ni de la empresa ni fuera de la misma está autorizada para ingresar a los cubículos de los ingenieros, sala de estudio y sala de servidores. APLICA

• El manejo de copias de seguridad o Backups de los datos en los equipos que tenga en custodia GOI, estará debidamente documentada, y archivada en medio digital por el personal de la oficina. NO APLICA

• El manejo de la información para hacer Backups de los equipos del área, o los equipos que estén en custodia de la oficina informática, será y respaldada en los discos o unidades de almacenamiento destinadas para este propósito. APLICA PARCIALMENTE

POLITICAS DE USO ADECUADO:

• Para todos los empleados con excepción de los miembros de la Oficina Asesora Informática está restringido instalar o ejecutar programas que traten de descubrir el tipo de información confidencial que viaja por la red de la empresa, por ejemplo Sniffers y Scanner de puertos para propósitos de soporte. APLICA PARCIALMENTE

• Violar la privacidad de los datos de los demás usuarios y las leyes de protección de los mismos. APLICA

• Falsificar documentos o alterar la contabilidad del sistema de Información. APLICA

• Leer, robar, dañar o copiar la información de otros usuarios. APLICA

• Quitar o cambiar archivos datos del sistema a menos que sea previamente autorizado. APLICA

• Se documentarán y mantendrán actualizados los procedimientos operativos identificados en la oficina de informática, estas recomendaciones y sus cambios serán autorizados por el Responsable de Seguridad Informática o el jefe de la oficina.

• Los procedimientos especificarán instrucciones para la ejecución detallada de cada tarea, incluyendo:

a) Procesamiento y manejo de la información.

b) Instrucciones para el manejo de errores u otras condiciones excepcionales que puedan surgir durante la ejecución de tareas.

c) Personas de soporte a contactar en caso de dificultades operativas o técnicas imprevistas.

d) Reinicio del sistema y procedimientos de recuperación en caso de producirse fallas en el sistema.

• Documentación y gestión de la Instalación y mantenimiento de equipamiento para el procesamiento de información y comunicaciones dentro de la oficina informática.

• Monitoreo del procesamiento y las comunicaciones dentro de la oficina informática.

• Programación y ejecución del proceso Gestión Informática para el adecuado manejo de la información en la oficina

• Procedimientos de Resguardo de la información dentro de la oficina informática.

• Contemplar y definir todos los tipos probables de incidentes relativos al manejo de la seguridad de la información en la oficina informática, incluyendo:

1. Fallas operativas

2. Código malicioso

3. Intrusiones

4. Fraude informático

5. Error humano

6. Catástrofes naturales

• La instalación de paquetes y programas para soporte o mantenimiento de equipos u activos dentro de la oficina informática, estará limitada a paquetes u herramientas libres o licenciadas para la ILC, cualquier herramienta que no cumpla con el licenciamiento adecuado por parte de la ILC será considerada como vulneración a esta política. APLICA

• Intentar sobrepasar la seguridad del sistema o los sistemas de información de la oficina o de la empresa. APLICA

• Plagiar la identidad de una cuenta de usuario para utilizar información del mismo, o hacer creer que este usuario utilizo información de otra persona fuera de sus privilegios. APLICA

• El uso de memorias Flash o USB, está permitido siempre y cuando cada vez que se conecte en un equipo de la empresa, se le haga el correspondiente escaneo, igualmente aplica para unidades extraíbles de Disco Duro (Hard Drive ). NO APLICA

POLITICAS DE RESPALDO:

• Es completamente indispensable, sensibilizar a los usuarios de la oficina de la protección e in-transferencia en el manejo de las claves como en el acceso al sistema y la información que cada usuario opera. APLICA

• Es responsabilidad de cada usuario de la oficina de tener o solicitar una copia de seguridad actualizada (no mayor de 30 días) de los archivos personales en una unidad de red (si es posible), tanto de los usuarios como de los miembros de la oficina de informática. Esto con el fin de evitar la pérdida de información en caso de fallas o borrado accidental. APLICA PARCIALMENTE

• Es responsabilidad de la Oficina Informática mantener dos copias de seguridad de las aplicaciones y los archivos; una dentro de la Industria Licorera de Caldas y la otra en una entidad diferente que preste dicho servicio. APLICA PARCIALMENTE

• Las cintas, Unidades Flash (USB), CD-ROMs, etc, que contengan copias de seguridad (Backups), además de los diferentes instaladores de los programas manejados en el sistema de la empresa deben ser guardados en el gabinete que se encuentra destinado para dicho fin ubicado en la oficina de Informática en forma catalogada y segura. SUJETO A VERIFICACION

• En la Oficina Informática existe un servidor en el cual se encuentra una carpeta correspondiente a cada uno de los usuarios con el fin de que allí se depositen los documentos de los cuales requieren copia de seguridad. Si no se conoce el procedimiento que se debe seguir para dicho fin, es indispensable que los empleados se dirijan a la Oficina Informática y comuniquen el problema. APLICA

• El usuario deberá actualizar periódicamente cada una de las estaciones de las partes del equipo por dentro y por fuera. Se efectuará una revisión total del disco duro con el fin de inventariar el software que en éste

...