Universidad Tecnológica de Aguascalientes.

ITIC 10-B

Seguridad de la Información.

“Políticas de seguridad”

Pedroza Moreno Edgar Alfonso 130608

Carranza Casillas Luis Antonio 160016
Chery Benjino 160035
Díaz de León Sierra Gemma Kassandra 140895
Lacroze Sam Ludjy 160036

Seguridad de la información
Luis Saldivar
Objetivo

Que el alumno identifique las características de una política de

seguridad y en base a lo aprendido elabore por equipo 10 políticas de
seguridad en base a una empresa ficticia que se adecuen a la misma.

“ROSAMEL-CACHOTEC”
políticas de seguridad/privacidad.

Seguridad de la información
Luis Saldivar
Política 1: Sistema de gestión de la seguridad de la información.
En la empresa se cuenta con un SGSI (Sistema de gestión de la seguridad de la información.) el
cual sin excepción debe ser mantenido y actualizado de manera constante
considerando:

● Cumpla con los requisitos que se adecuen a las

necesidades de la empresa.
● Revisiones periódicas a las políticas de seguridad de la
información.
● Actualización de forma anual.
● Mantenimiento de forma mensual.

Política 2: Sistema de respaldo y recuperación de la información.

La empresa debe tener un sistema de respaldo y de igual manera un
procedimiento de recuperación de la información, además de la protección de los
sistemas de respaldo de todos y cada uno de los medios de trabajo (móviles o
locales), así mismo los medios de trabajo que están en desuso se les debe de eliminar
totalmente la información contenida sin opción de recuperación de la información.
a) Tanto las bases de datos, como los medios de
almacenamiento deben de tener respaldos de forma
periódica.
b) Los respaldos deben de estar programados semanales,
mensuales y anuales.

Política 3: Gestión de los incidentes.

La empresa debe de contar con planes de contingencia para la prevención,
detección, tratamiento y acción de respuesta para los incidentes que se puedan
presentar.
a) Todos los incidentes deben de estar monitoreados hasta
su solución.
b) Todos los incidentes deben de estar registrados hasta su
solución.

Política 4: Documentación de la información.

Toda documentación, información y/o registro que se genere en la empresa
deben de protegerse en base a un estándar de prioridad y confidencialidad de la
información.

Seguridad de la información
Luis Saldivar
 a) Se debe de implementar un estándar de clasificación de la
información que es almacenada.
b) Todos los documentos que se elaboren o presenten deben
de tener control de cambios y versiones si es necesario o
en caso de que se requiera.

Política 5: Planes de recuperación ante desastres.

La empresa debe de estar preparada ante cualquier desastre, ya sea colapso
de la red, fallos en las BD, sistemas operativos o software que se esté empleando
para el trabajo diario de los empleados, así mismo estos planes deben de estar
documentados, revisados y aprobados para que todos los empleados estén
informados de los procesos (planes de contingencia.) que se llevarán a cabo.

Política 6: Control de acceso a la información.

La empresa otorgará o denegará permisos para la visualización de la
información tanto públicamente (si es necesaria) como internamente entre el personal
de la misma, así mismo en el uso del software, aplicaciones o plataformas
tecnológicas que sean implementadas para el desarrollo del trabajo diario.

a) Cada usuario sin excepción tendrá un único e irrepetible

ID y contraseña que será adecuado a las necesidades del
perfil de trabajo.

Política 7: Gestión de redes y sistemas informáticos.

Todas las redes de comunicación o conexión entre las computadoras, sistemas
informáticos o dispositivos móviles deben de contar con protección adecuada contra
SPAM, ataques, fuga de información y accesos a la información de usuarios no
autorizados.

a) Se debe de contar con sistemas de antivirus, antispam y

anti-espías en todos los sistemas.
b) Se deben de tener ambientes de procesos como testing,
desarrollo, etc.

Política 8: Sistemas de aplicación o comercialización web.

Para todos los sistemas de venta electrónicos o de caracter web ya sean
logísticos, aplicaciones, expansiones de servidores, redes o aplicaciones se deben
de contar con una autentificación, autorización o identificación para acreditar que las
credenciales ingresadas son correctas y no se haga desvío o pérdida de información.

Seguridad de la información
Luis Saldivar
 a) Las firmas digitales y certificados deben estar
resguardados de manera óptima, así como las llaves de
cifrado.
b) Los datos en las bases de datos acorde a su nivel de
criticidad deben estar cifrados.

Política 9: Capacitación y entrenamiento.

Se deben tener planes de capacitación anual para los empleados de todos los
rangos y roles dentro de la empresa que sean directa o indirectamente cercanos a la
información privada con su respectiva autorización del manejo de la información, de
modo que se eleven los niveles de comprensión de la importancia de un buen
resguardo de la información clasificada de la empresa.

Política 10: Seguridad sobre el reclutamiento del capital humano

para la empresa.
La empresa tiene procedimientos para el reclutamiento, selección y despido
del personal, para lo cual:
a) Se deben definir y mantener los roles y responsabilidades
de forma seria por cada uno de los elementos de las áreas
y se deben respetar de forma seria.
b) Definir claramente las condiciones del contrato de trabajo
y de seguridad, incluyendo los acuerdos de
confidencialidad de la información que se maneja, así
mismo de la información del empleado.
c) Entregar la debida identificación para el ingreso a los
sistemas de información y revocar éstos cuando ya no se
usen o la persona esté por fuera de la empresa.
d) Se tengan procesos o un control disciplinario y/o
administrativo que evalúen las faltas y se levanten
sanciones siempre y cuando se ameriten y comprueben o
despido en caso que llegase a ser necesario.

Seguridad de la información
Luis Saldivar
 CONTROL DE VERSIONES DEL DOCUMENTO

FECHA VERSIÓN OBSERVACIONES

8/01/2019 V1 N/A

Seguridad de la información
Luis Saldivar