Políticas de seguridad básicas en una empresa

Cuando manejamos una empresa es importante fijarnos en todos los tipos de seguridad, sin embargo a veces se deja de lado la seguridad informática y en algunos casos no es necesario contar con muchos recursos para mejorar el nivel de seguridad.

Cada empresa es diferente y por lo tanto para generar un grupo de políticas de seguridad es necesario realizar un análisis de riesgos utilizando una de las metodologías para tal fin, sin embargo a continuación les comparto un conjunto de políticas de seguridad en tres niveles que aplican para casi todas las empresas y les serán útiles al momento de necesitar guiarse en la formulación de las mismas.

Nivel de seguridad físico

  1. El cableado de red se deberá instalar por medio de canaleta plástica la cual proteja el mismo de roedores, humedades y deterioro del medio ambiente
  2. Es necesario contar con respaldo ante fallas eléctricas como una UPS (Sistema de alimentación ininterrumpida) el cual de respaldo y evite perdidas de información.
  3. Todos los puntos eléctricos deben contar conexión al polo a tierra que soporte sobre cargas o rayos que se presenten durante tormentas eléctricas
  4. Los tomas para equipos de cómputo deben estar regulados por medio de la UPS
  5. Se debe contar con dos líneas eléctricas, una regulada para equipos de cómputo y otra no regulada para otros equipos como neveras, hornos microondas, impresoras, entre otros.
  6. El cuarto de cableado o backbone deberá contar con una sola llave de acceso, la cual estará en custodia del gerente o coordinador de soporte
  7. En ningún momento se debe dejar a la mano información sensible de robo o que pueda ser hurtada fácilmente por medio de dispositivos de almacenamiento
  8. Las oficinas deberán estar cerradas en caso que el funcionario no se encuentre en ella
  9. Los equipos deberán contar con acceso a los diferentes periféricos como impresoras y escáner para garantizar un correcto desempeño de las labores del funcionario
  10. Los equipos de cómputo deberán con los requerimientos mínimos para el correcto desempeño de las funciones del trabajador tanto en hardware como en software
  11. Realizar jornadas de mantenimiento cada 12 meses del sistema eléctrico como circuitos, toma eléctrica, UPS, cableado y canaletas

Nivel de seguridad lógico

Seguridad de acceso al equipo

  1. Cada usuario y funcionario son responsables de los mecanismos de control de acceso que le sean proporcionado; esto es, de su “ID” login de usuario y contraseña necesarios para acceder a la red interna, aplicativos y correos institucionales y a la infraestructura tecnológica
  2. Se deberá llevar un control de acceso de los usuario a los diferentes recursos internos como intranet, correo, aplicaciones entre otros por medio del usuario y contraseña asignados
  3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro
  4. En caso de contar con red inalámbrica esta deberá estar segmentada para que no se permita el acceso a los recursos utilizados por los funcionarios
  5. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la información almacenada en él, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contraseña
  6. El equipo deberá activar el bloqueo temporal (protector de pantalla) tras pasar un (1) minuto de inactividad y solo se podrá acceder al equipo por medio de la contraseña del usuario
  7. Las contraseñas de los usuarios deberán contar con un mínimo de 8 caracteres, iniciar con una letra mayúscula, contar con signos de puntuación y dos (2) números.
  8. Evitar dejar encendido el equipo al terminar una sesión de trabajo en las estaciones.

Seguridad de acceso a la red 

  1. El acceso a la red inalámbrica por parte de terceros debe ser realizado por medio de un túnel, o portal cautivo, donde se registre el usuario que accede al servicio o a un router que pertenezca a una red segmentada
  2. Se debe implementar un Firewall que impida ataques de entes externo, para lo cual la mejor opción es una distribución en Linux, como Fedora
  3. Se debe implementar un servidor proxy que controle el tráfico de red e impida el acceso a páginas no permitidas por parte de los funcionarios de la institución
  4. El Administrador de la red corporativa, se reservará el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red institucional.
  5. El acceso a Internet puede ser Gestionado, limitado y Personalizado por el Área de Sistemas siempre y cuando la situación lo amerite.
  6. El acceso a Internet solo se realizará desde los equipos de los funcionarios solo se realizará por medio de Ethernet.

Control de acceso al sistema operativo 

  1. Los usuarios no contaran con permisos de modificación de archivos de sistema, instalación de software o configuración de tarjetas de red
  2. Se configurará un Servidor con el servicio de active directory (MS Windows 2000 Server R2) con el cual se controle el acceso a los recursos y se permita programar actualizaciones de sistema operativo y antivirus
  3. El sistema operativo y los programas deberán ser entregados al usuario con todas las actualizaciones para que el mismo pueda realizar sus labores sin inconvenientes

Control de acceso a las aplicaciones

  1. Toda solicitud de instalación de software deberá ser registrado por los canales de comunicación estandarizados para que solamente el equipo de soporte realice el proceso.
  2. Todo el software que se instale en el equipo de cómputo deberá contar con licencia o contar con licencia GNU.
  3. Solo el equipo de soporte podrá realizar la instalación de software y será responsable de identificar el tipo de licencia del mismo.
  4. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador.
  5. Se implementará una cuenta con permisos limitados para los usuarios la cual se controlará por el servicio de Active Directory para evitar daños por mal manejo.

Sistema de respaldo de información 

  1. Se debe contar con un respaldo del canal de red, sea esta satelital, telefónico o cualquier otro que garantice el correcto servicio de internet en caso de fallas del canal principal
  2. Se implementará una Sistema de Respaldo y Almacenamiento Masivo (SAM) para que cada usuario almacene la información importante y cuente con un respaldo de la misma en caso de daño en el equipo de computo
  3. Solo se podrá acceder a la SAM desde los equipos que cuenten con los permisos adecuados y que se encuentren dentro de las instalaciones
  4. No se permite el respaldo de aplicaciones en la SAM o cualquier archivo .BAT, .EXE, que contenga comandos que puedan ser perjudiciales para el servidor
  5. Es responsabilidad de cada usuario respaldar la información que considere importante en el Sistema de Respaldo y Almacenamiento Masivo (SAM) como mínimo una vez cada día

Nivel de Seguridad organizativo

  1. Se realizará acta de entrega de los equipos de cómputo donde se identifique los recursos de hardware y software utilizados
  2. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro de la red institucional.
  3. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de informática.
  4. Se llevará un control de la IP asignada al equipo, en caso de manejarse un servidor DHCP este deberá restringir el uso de la IP por un tiempo de 72 horas con el fin de no asignarla durante días no hábiles
  5. Al momento de entregar el equipo se asignara una contraseña por parte del usuario y solo en la conocerá
  6. El usuario contará con un usuario con pocos privilegios con el fin de evitar daño en el hardware o software
  7. Se realizará asignación de los equipos de cómputo al usuario quien se responsabilizara del buen estado del hardware del mismo
  8. Los administradores de los sistemas son los responsables de la seguridad de la información almacenada en esos recursos.
  9. El funcionario deberá realizar un acta de entrega de los equipos de cómputo tan pronto finalice su contrato y se responsabilizará de cualquier daño de hardware o software que cuente el equipo de cómputo.
  10. Se realizará capacitación de seguridad informática básica para evitar ser víctima de ataques cibernéticos
  11. Cada mes se remitirán píldoras informativas donde se le indicará a los usuarios como prevenirse de ataques informáticos y recordando las políticas de seguridad
  12. Se realizará capacitación de inducción a los nuevos funcionarios donde se darán a conocer las normas de seguridad informática al igual que los demás elementos organizativos de la institución

Bien eso es todo por el momento, espero que les sea de utilidad

No olvides calificar este artículo para mejorar la calidad del blog…
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (Ninguna valoración todavía)

Cargando…

¡Comparte tu punto de vista con todos!