Políticas de Seguridad Físicas
- El área en donde se encuentran los equipos de red únicamente deben tener acceso el personal autorizado.
- Impedir el acceso de personas no autorizadas para evitar daño en los equipos, en la red y que la información no sea divulgada.
- La protección física de los equipos debe contemplar la posibilidad de daños por incendios, inundación, explosión y otros desastres naturales o provocados por errores humanos.
- Estas áreas deberán estar aisladas de las instalaciones de procesamiento de información para evitar el acceso no autorizado.
- La instalación y protección de equipos debe ser considerado al momento de montarlo ya que se debe tomar en cuenta la ubicación y protección del mismo.
- Se debe contemplar futuros problemas que pueden afectar el régimen de funcionamiento de las computadoras o servidores como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
- Protección contra la electricidad estática.
- El lugar donde se encuentra los equipos no es para el consumo de alimentos y bebidas.
- La seguridad del cableado de telecomunicaciones debe estar protegido contra algún tipo de daño sea animal, humano o natural.
- Se deberá realizar respaldos o copias de seguridad de los servidores.
- Todo equipo debe recibir un mantenimiento adecuado y periódico para asegurar su disponibilidad e integridad de acuerdo a las especificaciones de su proveedor
Políticas de Seguridad Lógicas
- Seguridad de software
Tiene como propósito proteger la integridad de los sistemas informáticos y telecomunicaciones, por lo tanto es imprescindibles que todos y cada uno de los equipos involucrados disponga de software de seguridad tales como:
a) Política de seguridad lógica para el uso de antivirus en la institución.
- Todos los equipos de computación de la institución deben tener instalado un antivirus.
- Periódicamente se harán análisis y rastreo en las computadoras en la siguiente forma:
- Actualización automática de antivirus en los equipos conectados a red.
- Actualización manual de antivirus en los equipos no conectado en red.
- Los usuarios de la institución no deben instalar o desinstalar los antivirus, si lo hacen deben estar autorizado por el administrador del sistema, siguiendo la respectiva instrucción del mismo.
- Si el usuario hace uso de medio de almacenamiento, por ejemplo conectar un pendrive, el usuario deben ante todo examinar dicho pendrive a través del antivirus.
- Los antivirus deben ser ejecutado en la red institucional diariamente en una hora donde no exista demanda de información.
- El usuario no debe instalar un software proporcionado por una persona que no sea conocido ni confiable, o a través de internet en el equipo, de cualquier forma se debe analizar el archivo o software con el antivirus, para así proteger el equipo de virus. Además el usuario tiene el deber de informar a sus compañeros de trabajo y el administrador que se abstenga de bajar este software infectado.
2. Sistema de Control de acceso
El sistema de control acceso al sistema permite garantizar que no sea modificada, eliminada, descubierta por ente no autorizado en el software.
a) Política de seguridad lógica para el Sistema de control de acceso en la institución.
- Ningún usuario de la institución puede visualizar, copiar, alterar, eliminar, modificar información que reside en los equipos de computación sin el consentimiento del responsable del equipo.
- Solamente el administrador de red debe otorgar permiso para obtener varios tipos de información.
- Los datos de la base de datos y la información generada por el personal encargado en la institución deben tener un respaldo diario de la información.
- Si un usuario deja de laboral en la institución, inmediatamente el administrador del sistema debe desactivarlo y conservarlo en un histórico el nombre de usuario y la contraseña del mismo o en su defecto eliminarlo, para así garantizar la seguridad de la información.
- Cada usuario debe tener un nivel de acceso en el sistema, autorizado por el administrador.
- El administrador del sistema, no puede mover del sistema ninguna información de cuentas individuales de cada usuario, al menos que el administrador tenga alguna sospecha en que la información ponga en peligro el funcionamiento del sistema, o que exista algún intruso que este utilizando la cuenta del usuario.
3. Administración de contraseña
La administración de contraseña, permite prevenir el acceso no autorizado a los datos en las estaciones de trabajo.
a) Política de seguridad lógica para la administración de contraseña en la institución.
- El administrador del sistema es el encargado de asignar la cuenta a cada usuario de la institución.
- Cada usuario de la institución debe colocar una longitud de la contraseña de al menos 8 caracteres, debe tener letras mayúsculas, minúsculas y números.
- En caso de que el usuario haya olvidado su contraseña, debe dirigirse al administrador del sistema para reasignarle una nueva contraseña.
b) Política de seguridad lógica para el uso de servicio de red en la institución.
- Cada usuario de la institución debe monitorear los servicios de red, proporcionado por los servidores a su cargo.
- Los administradores debe hacer periódicamente mantenimiento preventivo y correctivo de los servidores.
- El usuario de la institución debe informar a los administradores si observan alguna situación anormal en el servidor tales como: mensajes extraños, lentitud en el servicio o alguna situación inusual.
- Inclusión de software cortafuegos.
Cada computadora debe tener una contraseña de red, esto permite que cada máquina tenga un bloque de acceso.
No hay comentarios:
Publicar un comentario