Protocolo seguridad TICs

Page 1

PROTOCOLO DE SEGURIDAD PARA TICs YMCA AMÉRICA LATINA Y EL CARIBE JUNIO 2017

INTRODUCCIÓN La seguridad de la información se ha convertido en uno de los principales objetivos de todas las empresas. El mundo globalizado, el comercio electrónico, el fácil acceso a la información entre otros aspectos, han permitido obtener la información que se desee de forma inmediata. Estas bondades tecnológicas también han traído consigo vulnerabilidades en los sistemas que ocasionan traumas por el robo de información, acceso indebido y malintencionado a todos los sistemas. Por estas razones es importante estar a la vanguardia en materia de seguridad informática con el fin de salvaguardar la información que se ha constituido como uno de los activos más valiosos de cualquier compañía. El cambio de personal, la implementación de nuevas herramientas, la pérdida y robo de equipos tecnológicos de trabajo conllevo a aumentar la seguridad en materia de información e implementar medidas de seguridad. El Protocolo de Seguridad TICs constituye el documento fundamental para el control y la seguridad en la explotación de las tecnologías informáticas de la organización. Las medidas que se establecen en el presente Protocolo de Seguridad TICs son de obligatorio cumplimiento para todo el personal que haga uso de las tecnologías informáticas utilizadas en la organización. La siguiente tabla mostrará los niveles de seguridad que se verán contemplados en el protocolo.

1. DATOS 2. APLICACIÓN 3. HOST 4. RED INTERNA 5. PERÍMETRO 6. SEGURIDAD FÍSICA 7. POLÍTICAS, PROCEDIMIENTOS Y CONCIENTIZACIÓN - Datos: Contraseñas fuertes, listado de control de acceso, encriptaciones, copias de seguridad (respaldo y restauración). - Aplicación: Refuerzo de las aplicaciones, antivirus, aplicaciones seguras. - Host: Fortalecer sistema operativo, actualizaciones, administración de revisiones. - Red interna: Proveedores de internet seguros, modem y red local seguras. - Perímetro: Espacio de trabajo adecuado y con conexiones seguras. - Seguridad física: Rastreo, seguros de equipos, bloqueos y más. Políticas, procedimientos y concientización: Capacitación a los usuarios. 02

USUARIOS

PUNTOS CLAVES DEL PROTOCOLO A SEGUIR

Los usuarios que hagan uso de las herramientas tecnológicas son responsables de la protección de la información que utilicen o creen en el transcurso del desarrollo de sus labores, lo cual incluye: protección de acceso a las cuentas y a sus computadoras, así como cumplir con lo establecido respecto al tratamiento de la información oficial que se procese, intercambie, reproduzca o conserve a través de las herramientas tecnologías, según su categoría y demás regulaciones. Se emplearán las herramientas tecnologías y los servicios asociados con fines estrictamente de trabajo. Todo software traído a la organización se le aplicará un período de prueba que permitan asegurar su funcionamiento seguro. El responsable de seguridad supervisará todo chequeo que se realice en aras de proteger la integridad de la información de que se dispone.

la seguridad o el Director General. Sólo podrá operar el servicio de correo electrónico el personal autorizado por el Director General. Los compañeros que no posean cuentas de correo y necesiten enviar y/o recibir mensajería electrónica deberán contar con la autorización del Director General. En caso de recibirse ficheros anexos a los mensajes se tendrá en cuenta la revisión antivirus y el proceso de cuarentena de ser necesario. Utilizar el correo electrónico y herramientas para uso exclusivo de la organización.

Es obligatorio la desinfección de los dispositivos externos (USB, discos externos, smartphone, etc.) antes de su uso en las herramientas tecnologías. Los usuarios que hagan uso de las herramientas tecnologías las protegerán contra posibles hurtos, así como del robo de la información que contengan. El movimiento del equipamiento tecnológico debe ser aprobado por el responsable de 03

SISTEMAS DE SEGURIDAD PUNTOS CLAVES DEL PROTOCOLO A SEGUIR

Habilitar y llevar los registros que se indican en el sistema de medidas mencionado anteriormente y aplicar los procedimientos que se incluyen como parte de este Protocolo de Seguridad TICs. Velar porque se apliquen los productos de protección de producción nacional u otros autorizados oficialmente para su uso en el país, debidamente actualizados. Cumplir las reglas establecidas para el empleo de las contraseñas. No introducir ni utilizar en las herramientas tecnologías ningún producto ni modificar la configuración de las mismas, sin la correspondiente autorización del responsable de seguridad. No transgredir ninguna de las medidas de seguridad establecidas.

04

EQUIPAMIENTO INFORMÁTICO PUNTOS CLAVES DEL PROTOCOLO A SEGUIR

Apagarlos completamente antes de conectarlos o desconectarlos de la red eléctrica Deberán quedar apagados al concluir la jornada laboral, salvo que por necesidades de explotación continua del sistema o de comunicaciones tengan que seguir funcionando. En caso de ocurrencia de tormentas eléctricas severas se apagarán y desconectarán todas las tecnologías informáticas y de comunicaciones, salvo aquellas que por necesidad imperiosa haya que dejar funcionando, en cuyo caso se crearán las condiciones necesarias para su protección. Mantener la limpieza de los equipos de trabajo y sus accesorios.

05

2 IDENTIFICACIÓN DE USUARIOS PUNTOS CLAVES DEL PROTOCOLO A SEGUIR

Se establece identificación de usuarios en todas las computadoras, así como para establecer la conexión a los servicios del correo electrónico e Internet. Cada Usuario habilitará el uso del protector de pantalla con contraseña y el bloqueo de cuentas lo que evitará que la información sea vista en momentos de inactividad y la entrada de intrusos. Se establecerá identificación de usuarios en las computadoras de cada área en correspondencia al personal que haga uso de las herramientas tecnologías.

06

CONTRASEÑAS REQUISITOS

Tendrán un período de vigencia con cuotas mínimas de 6 meses de duración, no obstante se permitirá cambiarlas fuera de estos términos de tiempo máximos y mínimos cuando las condiciones así lo exijan y lo cual será avalado por el Responsable de Seguridad. Estas serán de un rango mínimo de 8 caracteres de cualquier tipo (numeros, texto, etc.) Para una segunda línea de protección será de forma obligatoria implementar la verificación en dos pasos de la cuenta de Gmail. Para cuentas de correo electrónico Gmail será necesario instalar en el navegador la extensión Alerta de protección de Contraseña (Solo valido en Google Chrome) que evitará el ingreso de contraseñas relacionadas con la cuenta en sitios no deseados y el phising. No utilizar contraseñas que sean palabras del diccionario (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado). No usar contraseñas completamente numéricas con algún significado (teléfono, C.I., fecha de nacimiento, Chapa del automóvil, etc.).

No se compartirán entre usuarios que no sean del área. No contendrán patrones repetitivos como por ejemplo: Pazpazpepepepe. No contendrán secuencias de caracteres cercanos en el teclado, Ej. Asdfuio. Deben ser fáciles de recordar para no verse obligado a escribirlas. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar. No teclear la contraseña si hay alguien mirando. Es una norma táctica de buen usuario no mirar el teclado mientras alguien teclea su contraseña. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...". En todos los casos los cambios de contraseñas deben informarse al Responsable de Seguridad. 07

CONTRASEÑAS PROHIBICIONES

Combinar información personal con la del trabajo, mantener cuentas diferentes para cada función. Utilizar las herramientas tecnológicas para beneficio propio o fuera de las funciones de trabajo. Introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para: comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres.

08

DOCUMENTOS DRIVE

UTILIZACIÓN DE GOOGLE DRIVE PARA RESPALDOS EN LÍNEA

La seguridad es la misma con la cuenta de correo Gmail Tratar en lo mínimo de descargar documentos de la misma, trabajar en línea desde la plataforma. La App de Drive en Iphone cuenta con la función de bloquear con contraseña de 4 códigos, para los otros servicios la seguridad se aumenta con la verificación en dos pasos. Los archivos del Drive que necesitan de protección con contraseña será necesario implementar el complemento Password Protect.

09

SEGURIDAD ROBOS Y SEGUROS

En caso de Pérdida o Robo: Informar inmediatamente a las Autoridades competentes, al Secretario General y/o al webmaster y así poner en marcha las fases de cierre de sesión y activar el bloqueo de cuentas. Si es posible, activar el rastreo de equipos. Cerrar de forma inmediata cuentas abiertas en el equipo robado y/o perdido (Cambio de claves). Implementar el correspondiente denuncio a las Autoridades.

Seguros de Equipos: Cada personal dentro de la organización es responsable de asegurar los equipos en su respectiva zona habitada.

10

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.