CAPITULO 4

DISEO DE LAS POLTICAS DE SEGURIDAD

119

4.1 POLTICAS DE SEGURIDAD

Mediante el diseo y la elaboracin de las Polticas de Seguridad se pretende asegurar que los bienes y recursos de una organizacin sean utilizados de una manera correcta, as como tambin que la informacin sea protegida, por lo tanto se debe informar a los empleados y gerentes de los mecanismo que se han definido y que debern cumplir para proteger todos estos bienes.

Definicin

Las polticas de seguridad consisten en conjunto de reglas y procedimientos definidos por personas responsables de una empresa o un sistema en particular, con el fin de prevenir, proteger y manejar ciertos daos a los que una organizacin se expone.

4.1.1 Objetivos

Los objetivos de la elaboracin de las polticas de seguridad son los siguientes: x x

Proteger los activos de la organizacin.

Creacin de un documento formal de alto nivel, de redaccin clara y concisa.

x x

Proporcionar un conjunto de estndares, procedimientos.

Deben estar destinadas a todas las personas relacionadas a la organizacin (personal administrativo, empleados fijos,

empleados outsourcing, clientes, proveedores, etc.). x

Definir los comportamientos a seguir para todo el personal, penalizando el incumplimiento de los mismos.

120

4.1.2 Cundo escribir polticas de seguridad?

Las polticas de seguridad deberan ser diseadas y elaboradas dentro de la organizacin en cualquier momento, siendo necesaria que estas sean documentadas formalmente. x x x x x

Antes de que se produzcan ataques. Luego de que ha ocurrido un ataque. Para evitar problemas legales Antes de una auditoria Al iniciar una organizacin

4.1.3 Cundo modificar las polticas de seguridad?

Las polticas de seguridad diseadas e implementadas en una empresa cumplen un ciclo de vida dentro de esta, es por ello que estn propensas a cambios, mejoras o eliminacin.

Las causas por las que se llega a la modificacin de las polticas de seguridad son las siguientes: x x x x x

Cambios en la tecnologa empleada en la organizacin. Implementacin de nuevos proyectos de software. Necesidades de regulaciones vigentes. Requerimientos especiales de clientes o proveedores. Cambios del negocio.

121

4.1.4 Aspectos a tomar en cuenta

Para iniciar el proceso de diseo de polticas de seguridad se deben tomar en cuenta algunos aspectos de importancia, los cuales ayudarn a que se desarrolle con xito todo este proceso.

Los aspectos a tomar en cuenta son los siguientes:

Elegir el equipo que intervendr en el desarrollo de polticas Se deber elegir el personal necesario y adecuado para que colabore en el desarrollo de las polticas, estas personas sern: un directivo de la empresa, alguien a cargo de la seguridad informtica, alguien del departamento de sistemas, alguien del rea legal y una persona que desempear el papel de secretario, el cual debe poseer habilidades de escritura.

Designar un portavoz de la organizacin Se debe elegir una persona del equipo de desarrollo o de liderazgo en la empresa, que actu como intrprete oficial de las polticas.

Alcance y objetivos de las polticas El equipo conformado para el diseo de polticas de seguridad ser el encargado de definir y decidir sobre el alcance y los objetivos de las polticas.

Opiniones Se debe pedir opinin a todos los usuarios que se vean afectados directamente por la poltica de seguridad a disear.

Tambin es importante considerar la opinin de a los administradores, jefes o gerentes de los distintos departamentos de la organizacin, ya que estos estarn a cargo de exigir el cumplimiento de las polticas.

Capacitacin de empleados Se debe realizar un entrenamiento y concienciacin a todos los miembros de la organizacin sobre el significado de las polticas, la importancia de su acatamiento, 122

las sanciones respectivas en caso de incumplimiento y tambin comunicar oportunamente la entrada en vigencia de las polticas.

4.1.5 Requerimientos de las polticas de seguridad

Toda poltica que se disee e implemente para una organizacin debe cumplir con los siguientes requerimientos: x x x x x x

Ser factible de implementar y controlar. Ser concisa y fcil de leer. Equilibrar los niveles de proteccin con la productividad. Claridad al especificar los motivos de las restricciones impuestas. Definir responsables. Definir sanciones por incumplimiento.

4.1.6 Responsables de las polticas de seguridad

Responsabilidades de la direccin. x x Apoyar al comit de la organizacin encargado de la elaboracin de polticas, estndares y procedimientos. Inspeccionar el proceso de asignacin de responsables y propietarios a los distintos activos de la organizacin.

Responsabilidades del rea de seguridad informtica. x Concientizar a todas las personas que se vinculan a la empresa sobre la importancia del cumplimiento de las polticas. x

Se deber establecer mediante polticas las responsabilidades de seguridad informtica en la elaboracin y mantenimiento mismas. de las

123

Responsabilidades del rea legal. x x

Asegurar que el reglamento vigente este creado en base a las polticas establecidas. Aplicar sanciones por incumplimiento.

4.1.7 Etapas en el desarrollo de una poltica de seguridad

El proceso de desarrollo de polticas de seguridad comprende once etapas, las cuales se encuentran siguiente grfico: agrupadas en 4 fases principales como se muestra en el

Figura 5 Etapas en el desarrollo de una poltica Fuente: UNIVERSIDAD NACIONAL DE COLOMBIA, Gua para elaboracin de polticas de seguridad, 2003, http://www.unc.edu.

De las etapas y fases mostradas en el grfico anterior nuestro trabajo se enfocar nicamente a la etapa de creacin, en la fase de desarrollo, debido a que para el avance de las siguientes etapas se requerir de la conformacin de un equipo de personas propiamente de la empresa que tomen en cuenta todas las

124

consideraciones y convenios con la direccin necesarios, lo cual esta fuera de nuestro alcance.

4.2 DISEO DE LAS POLTICAS DE SEGURIDAD SUGERIDAS A LA EMPRESA

Las polticas que se desarrollarn a continuacin sern sugerencias propuestas por nosotros, estas estarn basadas en el anlisis realizado en el captulo anterior, en el cual identificamos las principales vulnerabilidades y amenazas que podran comprometer la seguridad informtica de la empresa.

La creacin de las polticas se realizar manteniendo el modelo de dominios ya definido.

4.2.1 Polticas para el dominio de redes y telecomunicaciones

Las polticas detalladas en este dominio sern responsabilidad del personal del rea de Tecnologa de Informacin del Departamento de Sistemas de la empresa, el cul estar a cargo de difundir el reglamento para el uso de la red y de sus componentes, as como tambin de verificar su cumplimiento.

1. El departamento de Sistemas deber emitir las normas y los requerimientos para la instalacin de servidores de pginas locales, de bases de datos, del uso de la Intranet institucional, as como las especificaciones para que el acceso a estos sea seguro. De esta forma se administrar de manera correcta todos los servicios que se brindan en la red.

2. Se debe evitar todo tipo de publicacin de informacin como: nombre de sucursales, ubicaciones, nombre de dispositivos, marcas y dems, mediante etiquetas o en la configuracin de los equipos de red tales como: routers, servidores, clientes, etc. De esta forma se evitar que 125

terceras personas conozcan informacin sobre la red de la empresa, lo cual dificultar su acceso.

3. Las contraseas usadas para la configuracin de equipos de redes y telecomunicaciones debern estar basadas en un estndar que defina aspectos como: estructura, tiempo de validez, reusabilidad, etc. As daremos mayor seguridad a todos los dispositivos informticos de la empresa, evitando posibles accesos de terceras personas.

4. Borrar todos los usuarios y contraseas que vienen por defecto en los equipos informticos usados en la red. De esta forma se dar mayor seguridad a la red evitando el fcil acceso de terceros a la red de la empresa, a travs de los equipos de red.

5. Todos los puertos y protocolos de los dispositivos utilizados en la red, que no estn en uso debern ser bloqueados adecuadamente. As se le dar mayor proteccin a la red, evitando ataques ya sean internos o externos, y al mismo tiempo se facilitar la administracin de la red.

6. Se deber llevar un documento que registre todas las configuraciones que se realicen sobre los dispositivos de red. De esta forma se facilitar y agilitar el proceso de reparacin o mantenimiento de los dispositivos de red, mas aun cuando los responsables de estos equipos no estn.

7. Al momento de disear la red se deber considerar todas las seguridades y ventajas que los equipos de red estn en capacidad de proveer. De esta manera se obtendr el mximo desempeo de los recursos de red utilizados, mejorando considerablemente la seguridad, la administracin, y facilidad de mantenimiento.

8. Todos

los

dispositivos

de

red

debern

estar

correctamente

salvaguardados, tomando en cuenta aspectos como ubicacin, proteccin fsica y suministro elctrico (de ser necesario). De esta forma

126

se pretende proteger los dispositivos en lo que a riesgos de tipo fsico se refiere, evitando as su deterioro o daos irreparables

9. La ubicacin de todos los dispositivos de red debern seguir en lo posible estndares de medidas y ubicacin lo cual facilitar su disponibilidad para mantenimiento o reparacin. De esta forma se evitar la prdida de tiempo o complicaciones al momento de dar mantenimiento a los dispositivos de red.

10. El personal que realiza las configuraciones de los dispositivos de red deber poseer una certificacin o ttulo que avale sus capacidades y conocimientos. De esta forma se garantizar el trabajo realizado, evitando posibles fallas que comprometan a la red de la empresa.

11. Todos los enlaces de red sean estos fijos o redundantes, a travs de medios guiados o no, debern ser probados rigurosamente con el fin de garantizar su servicio. De esta forma se garantiza la conexin entre los dispositivos de red y que la transmisin de datos sea confiable, evitando as la interrupcin de servicios.

12. Se debe definir un proceso de reemplazo de equipos, ya sea manteniendo acuerdos con proveedores (precios, tiempo de reposicin, disponibilidad) o de ser posible tener uno de respaldo en bodega. As el tiempo de suspensin de los servicios que el equipo provee ser corto y se mantendr la continuidad del negocio.

13. Se debe implementar enlaces redundantes de las conexiones ms importantes para la organizacin ya sea para la red interna o para la red externa (Internet). De esta forma se mantendrn disponibles los servicios de la red, evitando la prdida de datos y demoras en transmisin que puedan afectar la continuidad del negocio.

14. Todo el cableado y los puntos de acceso a la red debern ser protegidos adecuadamente, y aquellos puntos que no estn en uso tendrn que ser 127

bloqueados o restringidos apropiadamente. As se evitar el acceso de terceros o personal no autorizado a la red de la empresa.

15. El acceso a la Internet ser restringido solamente para el personal de la empresa que necesite del servicio para realizar labores propias de la empresa. Con esta poltica se pretende optimizar el uso del servicio de Internet, aprovechando el ancho de banda al mximo, tambin se evitar que el personal de la empresa realice actividades distintas a las laborales.

16. Durante el uso de la Internet se prohbe la navegacin en pginas web peligrosas y obscenas, as como tambin la descarga de archivos multimedia, archivos maliciosos y software pirata. Con esta poltica se pretende optimizar el uso del servicio de Internet evitando el desperdicio del ancho de banda y evitando la descarga de software malicioso que ponga en peligro los bienes de la empresa a travs de la red.

17. El servicio de correo electrnico, tanto interno como externo deber ser usado nica y exclusivamente para intercambio de informacin de inters empresarial, quedando prohibida la suscripcin a cualquier sitio web con el mail corporativo. De esta forma se optimizar el uso del correo electrnico y al mismo tiempo se crea una medida de proteccin contra mail basura y malicioso.

18. Se debe llevar una correcta organizacin de los cables que interconectan los equipos informticos y dispositivos de red. As se pretende mantener un orden con los dispositivos de red que faciliten su administracin y mantenimiento.

19. Todo tipo de etiqueta o sealizacin que muestre informacin de los dispositivos deber ser ubicada en lugares estratgicos que impida su visualizacin por terceros. As se evitar que terceras personas

identifiquen fcilmente servicios y dispositivos para atacarlos.

128

20. De ser posible, la empresa deber contar con una instalacin auxiliar acondicionada adecuadamente para albergar sus equipos informticos. Con esta poltica se pretende darle continuidad al negocio en el caso de que las instalaciones informticas de la empresa colapsen o no se pueda acceder a las instalaciones.

21. El rea de tecnologas de informacin del departamento de sistemas ser el nico responsable de proporcionar a los usuarios el acceso a los servicios de red y recursos informticos. De esta forma se facilitar la administracin de usuarios y de los servicios de red, al mismo tiempo se crea una medida de proteccin ante ataques malintencionados o no.

22. El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de cmputo centralizado y distribuido, etc.) conectado a la red ser administrado por el departamento de Sistemas de la empresa. De esta forma se facilitar la administracin y control de acceso usuarios y de los servicios de red, ya que el departamento de sistemas tiene los conocimientos necesarios para llevar estas actividades a cabo.

23. Los accesos a las pginas de web a travs de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la red de la empresa. De esta manera se evitar accesos no autorizados a pginas o sitios que comprometan la seguridad de la red de la empresa.

24. A los responsables de los servidores de Web corresponde la verificacin de respaldo y proteccin adecuada. De esta forma se pretende proteger la red de la empresa de posibles ataques externos y mantener la informacin bien salvaguardada.

25. El material que aparezca en la pgina de Internet de la empresa deber ser previamente aprobado por la directiva de la empresa y personal del departamento de sistemas, respetando la ley de propiedad intelectual 129

(derechos de autor, crditos, permisos y proteccin, como los que se aplican a cualquier material impreso). De esta manera se lograr que los contenidos del sitio web no muestre informacin que comprometa la seguridad de la empresa, adems que la informacin sea la que la empresa quiere mostrar.

26. El departamento de sistema es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informticos disponibles. Evitando as el acceso no autorizado a los recursos de la organizacin, esta medida de seguridad es preventiva.

27. Todo software que maneje autenticacin debe cifrar la informacin que circule a travs de la red. Esto evitara que terceras personas puedan leer fcilmente la informacin confidencial que circula en la red.

4.2.2 Polticas para el dominio de hardware

Las polticas detalladas en este dominio sern responsabilidad del personal del rea de Tecnologa de Informacin del Departamento de Sistemas de la empresa, el cul estar a cargo de difundir el reglamento para el uso de los dispositivos de hardware, as como tambin de verificar su cumplimiento.

28. Al rea de tecnologa de informacin, del departamento de Sistemas le corresponde la realizacin del mantenimiento peridico preventivo y correctivo de los equipos, la conservacin de su instalacin, la verificacin de la seguridad fsica, y su acondicionamiento especfico. Para lo cual se debera crear un procedimiento formal (fechas, responsables, informe escrito) que especifique la forma en la que se realizar este mantenimiento. De esta forma se evitar la prdida de tiempo o complicaciones al momento de dar mantenimiento a los dispositivos, prolongando su vida til, evitando que personal que no tenga conocimiento tcnico manipule los equipos.

130

29. Todos los equipos y dispositivos que estn o no en uso tanto de redes y telecomunicaciones, como de hardware en general, debern estar almacenados en un lugar seguro frente a robos, accesos no autorizados y eventualidades que puedan averiarlos. De esta manera se pretende proteger fsicamente a todos los dispositivos de la organizacin.

30. Se deber llevar un inventario de todos los equipos y dispositivos que formen parte del sistema informtico, estn o no en uso, este inventario deber ser actualizado peridicamente, debe incluir parmetros como: fecha de adquisicin, proveedor, modelo, manual tcnico y de usuario, responsable, garanta, y dems aspectos que el departamento crea conveniente. De esta forma se podr administrar con facilidad los activos de la empresa, conocer su estado actual y disponibilidad en bodega.

31. Todo el hardware que posee la empresa, est en uso o no, debe estar acompaado de un documento que describa la configuracin y estado actual del equipo, as como de posibles advertencias sobre el buen uso del mismo. De esta forma se pretende lograr la manipulacin adecuada de los equipos, y rapidez en su mantenimiento.

32. Cerca de todos los equipos se deber ubicar un extintor adecuado, y de no ser posible, al menos cerca de los equipos ms importantes, se debe tomar en cuenta que los extintores sean para uso de equipos elctricos. De esta manera se proteger la seguridad de los equipos en caso de un incendio.

33. Los lugares en los que se ubiquen dispositivos de hardware deben poseer todas las advertencias necesarias que informen sobre uso, manipulacin y prohibiciones. De esta forma se pretende salvaguardar los recursos de la empresa ante posibles daos ocasionados por accesos no autorizados, o mal uso de equipos.

34. Todos los dispositivos y perifricos ubicados en la zona industrial debern ser en lo posible completamente protegidos ante posibles 131

daos fsicos y manipulacin de personal no autorizado. De esta manera se pretende proteger adecuadamente a todos los equipos utilizados en el rea de produccin para evitar la suspensin de sus procesos y al mismo tiempo alargar la vida til de los equipos.

35. Le corresponde al departamento de Sistemas dar a conocer las listas de las personas, que puedan tener acceso a los equipos y a las reas de acceso no autorizado. As se evitar confusiones pues los empleados de la empresa conocern las reas a las que pueden ingresar y a las que no, incrementando la seguridad en los departamentos y reas de la empresa.

36. Se deber establecer un control en las reas principales donde se ubican los dispositivos de gran importancia como: cuartos de servidores o telecomunicaciones, el cul deber registrar todas las todas las actividades realizadas por el personal que accede a estas. De esta manera se llevar un control y se conocer factores como: quin?, para qu? y a qu hora?, ingreso a estas reas a manipular los dispositivos.

37. Las puertas y ventanas de los lugares que albergan equipos informticos debern ser protegidos y revisados constantemente (vidrios rotos, chapas en mal estado, protecciones, etc.). De esta forma se asegurar la proteccin de los equipos ubicados en estos lugares y se evitar el acceso no autorizado.

38. La reubicacin del equipo de cmputo se realizar satisfaciendo las normas y procedimientos del departamento de Sistemas, se har

nicamente bajo la autorizacin de dicho departamento o los responsables designados, se deber documentar dicho proceso con aspectos como: razones de reubicacin, nombre de responsable, equipos reubicados, etc. Este punto facilitara la administracin del

hardware que el departamento de sistemas maneja.

132

39. Todos y cada uno de los equipos sern asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. De esta se mejorar la administracin de los recursos y se facilitar su mantenimiento.

40. Queda estrictamente prohibido dar mantenimiento a equipo de cmputo que no es propiedad de la institucin. De esta forma se evitar problemas con los empleados ya que estos nicamente realizarn las labores que les corresponde dentro de la empresa.

4.2.3 Polticas para el dominio de software

Las polticas detalladas en este dominio sern responsabilidad del personal del rea de Tecnologa de Informacin y Sistemas de Informacin del Departamento de Sistemas de la empresa, el cul estar a cargo de difundir el reglamento para el uso y mantenimiento del software, as como tambin de verificar su cumplimiento.

41. Toda computador utilizado en la empresa debe tener configura la opcin de cierre de sesin despus de un lapso (determinado por el departamento de sistemas) de inactividad. De esta manera se evitar el acceso de usuarios no autorizados a estos computadores, previniendo la prdida de informacin.

42. Debe haber una correcta administracin de todos los usuarios que tienen acceso a un dispositivo o equipo y los privilegios sobre el sistema operativo y las aplicaciones que opera. As se llevar una correcta administracin de los usuarios y de los equipos, previniendo el mal uso de los mismos.

43. Corresponde al departamento de Sistemas emitir las normas y procedimientos para la instalacin y supervisin del software bsico para cualquier tipo de equipo. De esta manera se proteger a todos los dispositivos de la empresa, se evitara que los usuarios instalen software 133

malicioso que perjudique a la empresa y se mejorar el control ya que se conocer que software esta permitido y cual no.

44. En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo, nicamente se permitir la instalacin de software con licenciamiento apropiado y de acorde a la propiedad intelectual. As se evitar el uso de aplicaciones o software intil que provoque el mal uso de los recursos o perdida de informacin.

45. Con el propsito de proteger la integridad de los sistemas informticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). De esta manera se pretende brindar mayor proteccin a la empresa, evitando la proliferacin de virus que puedan suspender los servicios de red u ocasionen prdida o fugas de informacin.

46. Todo software nuevo antes de ponerlo en uso debe ser probado y evaluado correctamente antes de ponerlo en funcionamiento. De esta forma se evitar el uso de software defectuoso que pueda poner en peligro la integridad o perdida de la informacin.

47. Se debe realizar peridicamente revisiones del funcionamiento del software e instalacin de actualizaciones en caso de que existan. As se pretende aprovechar al mximo el rendimiento de los equipos y prolongar su tiempo de vida til.

48. El software desarrollado por la empresa deber presentar mensajes de error claros que puedan ser interpretados fcilmente por sus usuarios. De esta manera se pretende evitar la prdida de tiempo al solucionar los errores que presente el programa, y que ste sea utilizado de una forma adecuada.

134

49. Todo software utilizado en la empresa deber en lo posible tener un manual tcnico y de usuario que facilite su uso y mantenimiento. En caso de compra se deber exigir a sus proveedores, en el caso que esto no sea posible se lo disear, y, si el software es creado por la empresa los desarrolladores debern realizar el manual correspondiente. De esta manera se pretende que el software empleado en la organizacin sea utilizado correctamente, y que cualquier manteniendo o reparacin se lo realice en el menor tiempo posible.

50. El departamento de Sistemas es el responsable de realizar revisiones peridicas para asegurar que slo programacin con licencia o programas permitidos estn instalada en las computadoras de la institucin. De esta forma se verificara el correcto uso de los

computadores y de los recursos informticos brindados a los usuarios, evitando que programas con cdigo malicioso pongan en peligro los servicios de red.

51. Todos los sistemas programados (programas, bases de datos, sistemas operativos, interfases) o desarrollados con o a travs de los recursos de la empresa y el departamento de sistemas se mantendrn como propiedad de la institucin. De esta manera se evitar que los recursos de la empresa sean mal utilizados..

4.2.4 Polticas para el dominio de datos

Las polticas detalladas en este dominio sern responsabilidad del personal del rea de Tecnologa de Informacin y Sistemas de Informacin del Departamento de Sistemas de la empresa, el cul estar a cargo de promover y difundir el

reglamento para el buen uso, respaldo y salvaguarda de los datos digitales o impresos, as como tambin de verificar su cumplimiento.

135

52. Todos los datos de gran importancia para la empresa debern ser respaldados. De esta manera se proteger la informacin y en caso de desastre se pueda continuar con el negocio.

53. Todos los respaldos realizados deben estar almacenados en un lugar seguro. De esta manera se pretende proteger fsicamente todos los respaldos de la organizacin que apoyarn la continuidad del negocio.

54.

Todo el personal de la empresa o externo a ella, que manipule informacin sensible, o respaldos deber comprometerse a protegerla o firmar un acuerdo de no divulgacin. De esta manera se evitar la perdida, robo, dao y mal uso de la informacin y tambin se concientizar al personal de la empresa sobre la importancia del manejo adecuado de esta.

55. Todos los datos, tanto originales como de respaldo debern ser revisados peridicamente. As se pretende mantener la informacin segura, integra y disponible para cuando se la necesite.

56. Se debe implementar un mecanismo de seguridad que controle el acceso del personal de la empresa o terceras personas a datos digitales, impresos, licencias, y dems activos a cargo del departamento de sistemas. Con esto protegeremos los activos de robos, copias, destruccin y mal uso de los mismos.

57. Se debe incorporar a la base de datos un proceso que registre todos los accesos y las actividades realizadas. As se podr conocer todo lo que pase dentro de la base de datos, y detectar fcilmente posibles agresores.

58. Se debe implementar un mecanismo formal que administre y controle la eliminacin de informacin lgica y fsica. De esta forma evitaremos el mal uso de la informacin que la empresa descarte.

136

59. Toda la informacin que se maneja dentro del departamento de sistemas deber estar clasificada segn los parmetros que el departamento de sistemas crea conveniente. De esta manera se facilita su administracin y manipulacin.

60. Los datos, las bases de datos, la informacin generada por el personal y los recursos informticos de la institucin deben estar resguardados. De esta manera se protegern adecuadamente los datos manejados en los distintos procesos de la empresa.

61. Cualquier software que requiera ser instalado para trabajos dentro de la empresa deber ser evaluado por el personal a cargo del departamento de Sistemas. De esta manera se mantendr un control adecuado sobre el software que debe o no ser utilizado, y se garantizar a los usuarios que las aplicaciones funciones adecuadamente.

62. Todo el software propiedad de la institucin deber ser usado exclusivamente para asuntos relacionados con las actividades de la empresa. As se evitar que el software de la empresa sea mal utilizado.

4.2.5 Polticas para el dominio de sistema elctrico

Las polticas detalladas en este dominio sern responsabilidad del personal del rea de Tecnologa de Informacin y Sistemas de Informacin del Departamento de Sistemas de la empresa, el cul estar a cargo de difundir el reglamento para el buen uso y mantenimiento de los componentes relacionados al sistema elctrico, as como tambin de verificar su cumplimiento.

63. El acceso al generador elctrico deber ser controlado y restringido solo a personal autorizado. As se garantizar que este dispositivo no sea manipulado produccin. o averiado por terceras personas y pongan en peligro la

137

64. La ubicacin del generador elctrico ser lo ms segura posible, de tal forma que lo proteja de desastres naturales menores y descuidos humanos. De esta manera se dar una ptima proteccin fsica, alargando la vida til del generador y evitando posibles daos.

65. El generador elctrico deber ser revisado peridicamente, igual que cualquier otro equipo de hardware. De esta manera se dar un mantenimiento peridico, alargando la vida til de este dispositivo y evitando su avera.

66. Todas las tomas elctricas y equipos de alimentacin auxiliar deben estar protegidos adecuadamente. As se evitar que estos sean desconectados por descuido o intencionalmente, evitando que los equipos a los cuales suministra energa dejen de funcionar.

67. Todo cable o toma elctrica que no est en uso debe ser aislada correctamente. De esta forma evitamos posibles cortocircuitos, o dems peligros relacionados con la energa elctrica que comprometan la continuidad del negocio.

4.2.6 Polticas para el dominio de talento humano

Las polticas detalladas en este dominio sern responsabilidad del personal del Departamento de Sistemas debido a que son polticas de seguridad informtica, aunque se puede interactuar con otros departamentos que se crean convenientes, los cuales estar a cargo de difundir el reglamento para el buen uso y mantenimiento de los componentes relacionados al sistema elctrico, as como tambin de verificar su cumplimiento.

Debido al carcter confidencial de la informacin, el personal de la organizacin deber de conducirse de acuerdo a los cdigos de tica profesional y normas y procedimientos establecidos.

138

68. Todo el personal de la empresa sin importar el cargo que desempee dentro de ella, deber ser informado de la importancia de la seguridad informtica y de la seguridad en general para la organizacin. De esta forma se har conciencia de la importancia de su participacin y colaboracin en todo el proceso de desarrollo.

69. Los usuarios del servicio de correo electrnico deben conocer la importancia del buen uso del mismo y los peligros que la empresa se expone por su mal uso. Esta poltica ayudara a que los empleados tomen consciencia del buen uso de los recursos y servicios informticos, tambin es importante que los empleados sepan los riesgos a los que la empresa esta expuesta y como pueden colaborar.

70. Es necesario que todos los empleados tengan conocimiento de los bienes mas importantes de le empresa. De esta forma los empleados pueden ayudar a salvaguardar dichos activos.

71. Se debe concientizar a los empleados de la empresa sobre la importancia y las responsabilidades de la informacin que manipulan. As cada empleado tendr los cuidados adecuados de la informacin que utilizan.

72. Toda persona, empleado fijo u outsourcing que manipule informacin de la empresa deber firmar un contrato de no divulgacin. Con esto se pretende proteger la informacin, de tal forma que esta no sea utilizada en contra de la integridad de la empresa.

73. Todos los privilegios, claves y permisos otorgados a los empleados outsourcing deben ser bloqueados o eliminados luego de que estos terminen sus actividades de forma definitiva. En caso de terminar el contrato en malos trminos se impedir que el personal despedido acceda y dae la informacin de la empresa o que otras personas accedan a los datos de estos usuarios.

139

74. Los empleados de la empresa deben estar concientes de la correcta manipulacin de alimentos dentro y fuera de las reas permitidas. As se evitarn posibles daos a los equipos o a la informacin con la que los empleados trabajan.

75. Queda terminantemente prohibido cualquier tipo de actividad o celebracin dentro de las reas en las cuales existen equipos, dispositivos o informacin de la empresa. Ya que estos equipos pueden resultar daados y provocar suspensin de servicios u ocasionar la para de la produccin.

76. El documento que contiene las polticas de seguridad deber ser difundido a todo el personal involucrado en la definicin de estas polticas. De esta manera se mantendr informado al personal de la empresa de lo que puede o no puede hacer, lo cual facilitar la implementacin del proceso de seguridad informtica.

Todas las polticas de seguridad debern seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros.

140

IV.RECOMENDACIONES
De acuerdo a la informacin real de la empresa en estudio, al anlisis de los resultados obtenidos y a la experiencia que hemos obtenido durante el estudio y desarrollo del presente trabajo, nos permitimos sugerir las siguientes

recomendaciones acerca de los aspectos ms notables de los dominios definidos, los cuales la empresa estudiada estar en libertad de aplicarlos o no.

DOMINIO DE REDES Y TELECOMUNICACIONES

Para este dominio recomendamos incorporar en la configuracin de los equipos de red lo siguiente:

En los Routers Incorporar listas de control de acceso (ACLs), lo cual es una medida de seguridad econmica, ya que se las puede realizar sobre los dispositivos que la empresa posee. De esta manera se incrementar notablemente la seguridad de la empresa.

En los Switches Crear VLANs es otra alternativa econmica ya que se la puede realizar sobre los dispositivos que la empresa posee, de esta forma la seguridad de la red incrementar considerablemente, y tambin se facilitar la administracin de la red ya que estar segmentada pudiendo asignar a cada departamento su propia subred.

Estas configuraciones que hemos recomendado en estos dispositivos de red, requerirn de un anlisis previo y diseo de red correcto.

141

DOMINIO DE SOFTWARE

En este dominio

recomendamos tres aspectos principales que pueden ser

mejorados sin necesidad de inversiones econmicas:

Uso de Sesiones Creemos conveniente que para incrementar la seguridad de la empresa, todos los computadores de usuario deberan cerrar su sesin despus de un tiempo mximo de inactividad (de 3 a 5 minutos), lo cul impedir que terceros accedan informacin o aplicaciones que no les pertenece. a

Cuentas de Usuario Consideramos que no todos los usuarios de la empresa deben manejar la cuenta de administrador de sus computadores, sus privilegios de cuenta debern ser restringidas por el departamento de sistemas dependiendo de las actividades que desempee, este mecanismo de seguridad ayudara a que el personal no acceda a informacin y a aplicaciones no autorizadas.

Uso de Contraseas Consideramos importante que el departamento de sistemas cree un procedimiento que normalice y administre el uso de contraseas, e informe a los empleados sobre la importancia de seguir esta normalizacin, para evitar el acceso de personal no autorizado a servicios y equipos restringidos.

DOMINIO DE SISTEMA ELECTRICO

Creemos que sera importante que en este dominio se considere la adquisicin de un generador elctrico independiente para el sistema informtico y administrativo de la empresa, de esta forma evitaremos que de fallar el generador principal, toda la empresa paralice sus actividades.

142

DOMINIO DE DATOS

Nuestra primera recomendacin para este domino es, que todo el personal de la empresa este consciente de la importancia de la informacin en todos los procesos organizacionales, por lo tanto, debe ser salvaguardada como un activo valioso.

Manejo de respaldos Estos deben ser tratados de mejor forma, revisarlos peridicamente, guardarlos en lugares apropiados, transportados de manera segura y que siempre estn disponibles ya que son vitales para procesos de continuidad del negocio.

DOMINIO DE TALENTO HUMANO

Se recomienda realizar una capacitacin a todos los empleados de la organizacin para comunicarles sobre las polticas que deben seguir y concientizarlos acerca de la importancia que tiene para la organizacin implementar un Sistema de seguridad, tomando en cuenta los siguientes puntos: x

Hacerles sentir que ellos son importantes en el proceso de seguridad

para la organizacin y que de ellos depender la correcta implementacin de las polticas de seguridad. x

Explicarles que las polticas de seguridad son sencillas y que seguirlas e

implementarlas de forma correcta no es difcil ni complicado. x

Convencerles que la implementacin de las polticas de seguridad no

sern trabas ni medidas para controlar su comportamiento sino ms bien son para asegurar que los recursos y bienes de la organizacin sean utilizados de una manera correcta.

Como se observo, no han sido mencionados todos los dominios, la razn es que hemos consideramos los descritos como los mas urgentes de resolver. 143

Es importante recordar que un riesgo no se puede eliminar pero la manera mas fcil de tratarlos es evitando o administrando correctamente las actividades que lo genera.

144