Guia para profesores y educadores de alumnos con autismo

[pic 2]

PROCESO DE SEGURIDAD DE LA INFORMACION

1. OBJETIVO

Desarrollar un proceso de seguridad el cual permita “planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa”.

Los objetivos de implantar el proceso de seguridad son los siguientes:

[pic 3]

Confidencialidad

Permitir a los usuarios acceder únicamente a la información que le pertenece, resguardando la información de otros usuarios y tengan acceso únicamente los jefes de área o personas asignadas y previamente autorizadas para así poder confidencialidad en los datos.

Disponibilidad

Permitir tener acceso a la información de manera oportuna, misma se podrá acceder en línea, los datos estarán almacenados tanto dentro de los sistemas y computadores como respaldados en la nube con claves que dispondrá el departamento de sistemas.

Integridad

Los datos almacenados no podrán ser alterados o dañados, es decir que se tenga registro de las modificaciones hechas (datos históricos), para así siempre tener información real.

Seguridad de la Información

La seguridad de la información se la manejara con la verificación de la identidad de los usuarios (contraseñas asignadas), mismas identificaciones serán confidenciales y de totalidad responsabilidad de los usuarios, para lo cual se tomara las acciones siguientes:

• Establecer    un     esquema    de     seguridad   con   perfecta claridad y transparencia en la administración del riesgo.
• Compromiso de   todo el personal de Multiapoyo con el proceso de seguridad, agilizando la aplicación de los controles con dinamismo y armonía.
• Ganar calidad con la prestación del servicio de seguridad
• Convertir a los   empleados en interventores del sistema de seguridad.

1. ALCANCE

Este proceso de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de vulnerabilidades que se encuentra sujeto Multiapoyo, debido al manejo de información de clientes muy importantes para la empresa.

1. RESPONSABLE

Es responsabilidad del Departamento de sistemas e IT (Tecnología e Información), desarrollar, someter a revisión y divulgar por los diferentes medios de comunicación (intranet, email, etc.), de los procedimientos de seguridad, así también verificar el cumplimiento de las mismas.

Asimismo, es responsabilidad del encargado de seguridad el capacitar en los procesos de seguridad al nuevo personal.

1. DEFINICIONES

Identificación de Amenazas y Riesgos

Las amenazas que se presentan son tanto internas como externas y a nivel lógico así como de manera física. Mismas que pueden ser naturales, accidentales o provocadas y pueden afectar a nuestra información, algunas de estas son:

• Desastres, naturales o domésticos (incendios, inundaciones, cortocircuitos, terremotos, etc.).
• Averías en los equipos informáticos por variación de energía o falta de mantenimiento.
• Error en la manipulación de datos, como borrado indebido o modificaciones no autorizadas en los archivos.
• Errores en las aplicaciones, daño de software.
• Sabotajes o robos de los equipos.
• Difusión mal intencionada de información de la empresa.
• Virus informáticos.

Para manejar el riesgo de los problemas identificados y su futuro impacto en la empresa se delimitara de la siguiente manera:

• Probabilidad de ocurrencia de cada evento.
• Gravedad de la situación generada.
• Costo de la medida de prevención.

1. CONTENIDO

Seguridad Física y lógica

Para resguardar la información de manera física y lógica se implementara las siguientes políticas:

Políticas de Seguridad Informática para Usuarios que hacen uso de los equipos informáticos.

[pic 4]

Estos mecanismos de seguridad serán:

Prevención:

Evitar desviaciones de la información.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.

Detección:

Detectan las desviaciones de información o envío de mails a terceros si se producen, violaciones o intentos de violación de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

Recuperación:

Se aplicara cuando se haya detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos los siguientes:

• Los usuarios que hagan uso de las equipos informáticas son responsables de la protección de la información que utilicen o creen en el transcurso del desarrollo de sus labores, lo cual incluye: protección de acceso a los archivos compartidos y a sus computadoras, así como cumplir con lo establecido respecto al tratamiento de la información que se procese, intercambie, reproduzca o conserve a través de los equipos o mails.

• Los usuarios tendrán acceso sólo a los recursos que necesitan en el cumplimiento de su labor diaria, implementándose mediante la definición del equipamiento, aplicaciones a utilizar mediante los privilegios y derechos de acceso a las carpetas de información que se le otorgue.

• Se emplearán los equipos informáticas y los servicios asociados con fines estrictamente de trabajo.

• Todo software traído a la empresa, y de ser requerido su instalación en los equipos se le aplicará un escaneo por antivirus con lo cual permitirá asegurar el funcionamiento. El Responsable de Seguridad Informática revisará todo chequeo que se realice para proteger la integridad de la información que se dispone.

• Es obligatorio la desinfección de los dispositivos externos (usb, discos externos, tarjetas, etc.), antes de su uso en los equipos.

• Los jefes de áreas y usuarios que hagan uso de los equipos informáticos deberán proteger contra terceros de posibles hurtos o robo de la información que contengan.

• El movimiento del equipamiento informático debe ser aprobado por los jefes de áreas, siguiendo normas de seguridad para evitar robos o catástrofes de los mismos.

Mails (Correo Electrónicos)

• El correo electrónico empresarial será utilizado con fines laborables y no con fines personales.

• El sistema Gmail instalará una aplicación de seguridad en el dispositivo a configurar el correo, mediante el cual se podrá eliminar o formatear la cuenta o teléfono de forma remota.

• Para el trabajo con los servicios de Correo electrónico e Internet de manera externa se tendrá en cuenta que no se deberán almacenar las claves en el equipo utilizado.

Sistema de Broker

• Los usuarios que manejan el sistema del bróker, podrán hacer uso de la misma sin difundir ni usarla para necesidades de terceros ya que es propiedad de Multiapoyo.

• Mantendrán absoluta reserva de todos los documentos (pólizas, facturas, reclamos, diagnósticos, fotos, etc), tanto de clientes como de la empresa.

• No introducir ni utilizar en las tecnologías ningún producto ni modificar la configuración de las mismas, sin la correspondiente autorización del departamento de sistemas.

• No se deberá utilizar el mail corporativo en suscripciones de páginas o sitios Web desde entidades extranjeras o en servidores extranjeros que ofrezcan publicidad de manera gratuita u otro tipo de servicio.

Para operación de equipos informáticos y su preservación se debe:

• Apagarlos completamente antes de conectarlos o desconectarlos de la red eléctrica.

• Deberán quedar apagados al concluir la jornada laboral, salvo que por necesidades de explotación continua del sistema o de comunicaciones tengan que seguir funcionando.

• En caso de ocurrencia de tormentas eléctricas severas se apagarán y desconectarán todas las tecnologías informáticas y de comunicaciones, salvo aquellas que por necesidad imperiosa haya que dejar funcionando, en cuyo caso se crearán las condiciones necesarias para su protección.

• Se procederá a desconectar los equipos de la red eléctrica en caso de reparación o instalación eléctrica en la empresa

• Mantener la limpieza de las partes de las computadoras y sus accesorios; no limpiar con paños húmedos.

• Evitar derramar líquidos sobre las partes de los equipos de computación para evitar daños a los mismos.

• Cuando se traslada un equipo evitar lanzar, golpear, aplastar los equipos informáticos ya que pueden producir daños irreparables.

• Antes de trasladar un equipo en un bolso, verificar que se encuentre totalmente apagada, ya que puede sufrir un daño severo.

Control de Acceso a las Tecnologías Informáticas (internet, equipos)

• El Jefe de cada área determinará la manera en que utilizará el personal a él asistente, las tecnologías informáticas, de forma tal que se logre un uso racional de las mismas.

• Para que una persona externa tenga acceso a las tecnologías informáticas y de comunicaciones será necesario la autorización previa del responsable de sistemas y no se hará sin la presencia de un encargado del área.

• Se establece identificación de usuarios en todos los equipos, así como para establecer la conexión a los servicios del correo electrónico e Internet.

• Se habilitará el uso del protector de pantalla con contraseña y el bloqueo de cuentas lo que evitará que la información sea vista en momentos de inactividad y la entrada de intrusos.

• Se establecerá identificación de usuarios en las computadoras de cada área en correspondencia al personal que haga uso de las tecnologías informáticas y comunicación. Las contraseñas cumplirán los siguientes requisitos:

• Tendrán un período de vigencia con cuotas mínimas de 1 día y máximas de 180 días de duración, no obstante se permitirá cambiarlas fuera de estos términos de tiempo máximos y mínimos cuando las condiciones así lo exijan y lo cual será avalado por el Gerente del Área.

• Estas poseerán de permitirlo el equipo y/o sistema operativo, de 6 a 8 caracteres alfanuméricos como mínimo, no obvios, con al menos 1 de ellos de caracteres especiales y no se permitirá la duplicidad de las mismas.

• La contraseña cambiada con la periodicidad adecuada no se podrá repetir antes de que haya transcurrido un año como mínimo, desde que hubiera dejado de utilizarse.

• No utilizar contraseñas que sean palabras del diccionario (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).

• No usar contraseñas completamente numéricas con algún significado (teléfono, C.I., fecha de nacimiento, Placa del automóvil, etc.).

• No se compartirán entre usuarios que no sean del área.

• No contendrán patrones repetitivos como por ejemplo: Pazpazpepepepe.

• No contendrán secuencias de caracteres cercanos en el teclado, Ej. Asdfuio.

• Deben ser fáciles de recordar para no verse obligado a escribirlas.

• Se procederá a eliminar la presencia de carpetas personales que contengan: programas de instalación, fotos, música, videos, películas, seriales y documentos que no estén en correspondencia con la actividad fundamental de la entidad así como música por más de 1GB de capacidad ya que afectan el rendimiento del equipo.

• Introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para: comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres.

• Cualquier problema que sea detectado por los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas y comunicaciones deberán informar al responsable de seguridad informática de la empresa, quien tratará de solucionar lo ocurrido e informará a al jefe superior.

CCTV

Se mantendrá con video vigilancia constante dentro y fuera de la empresa para precautelar los bienes de la empresa así como la información de la misma, este sistema será administrado directamente por el personal de la empresa y con fines netamente laborales.

...