Política de seguridad: Red

Descripción de la política:
Las siguientes políticas de seguridad sobre red es para que la empresa este
conscientes de las vulnerabilidades y las situaciones de peligro a las que están
expuestas día a día, ya que los daños y la pérdida de datos asociados a cualquier
ataque son graves no solo por la información que se puede dañar sino, sobre todo,
por el coste económico para la empresa ya que puede paralizar su actividad hasta
resolver la incidencia.
Especificación:
Test de seguridad.
Diseñar la política de seguridad y analizar la situación de la empresa. De esta
forma, se podrá saber cuál es la situación y en qué áreas hay vulnerabilidades o
pueden surgir problemas y asi poder crear una política personalizada para la
empresa.
Análisis de riesgos
Con un análisis de riesgos se podrá saber cuál es el nivel de seguridad de la red.
Analizar cuáles son los puntos de entrada en la red y los diferentes puntos en los
que puede haber riesgos.
Definir tres niveles de riesgo en la información y en la red de la empresa:
– Riesgo bajo. Se consideran así los datos que en caso de pérdida no suponen un
problema para el desarrollo del negocio en la empresa. Son, por tanto, datos que
no suponen una pérdida económica importante ni acarrean repercusiones legales
graves.
– Riesgo medio. En este caso se trata de información y datos que, en caso de
perderse no supondrán un coste económico muy elevado y, aunque puedan
suponer la interrupción del servicio o de la actividad de la empresa, no lo será en
gran medida ni por mucho tiempo.
– Riesgo alto. Son datos que, en caso de pérdida, podrían suponer la interrupción
de la actividad de la empresa, pondrían en peligro la integridad de una persona y
supondrían un nivel alto de gasto o repercusiones legales importantes.
Revisión de contraseñas
En caso de que se haya llevado a cabo alguna actualización de software o algún
cambio en los sistemas de seguridad implementados en la empresa, habrá que
modificar las contraseñas.
Las contraseñas usadas por los trabajadores deben ser revisadas y cambiadas
con regularidad y evitar en todo momento emplear contraseñas que coincidan con
el nombre de la empresa, con números de teléfono o con direcciones.

Es preferible usar contraseñas de alta complejidad que combinen diferentes

caracteres con letras y números.
Establecer protocolos de seguridad
Hacer copias de seguridad de la documentación que usas en red y de cuanta
información sea de vital importancia para la empresa.
Esta información se maneja habitualmente y, en caso de pérdida, puede suponer
un problema grave para la organización.
Formar e informar
Es fundamental para que todo funcione correctamente es que el personal esté
formado e informado sobre las medidas de seguridad que se están implementando
en la empresa.
Protección antivirus
Proteger los equipos y ordenadores, implantando un sistema de actualización y
revisión constante de los ordenadores para que tengan las últimas versiones de
antivirus instaladas.
Es importante que se instalen cortafuegos y demás programas que eviten la
entrada de código malicioso en el ordenador.
Es recomendable documentar todo este proceso y, que los encargados de la
seguridad lleven un control constante de que estos programas estén siempre
vigentes y actualizados.
Excepción:
Contraseñas que no estén permitidas por la empresa.
Información que si es divulgada a personas no autorizadas, podría tener un
impacto en obligaciones legales.
Se prohíbe el uso de software que no haya sido evaluado y autorizado por la
empresa.
Violación de la seguridad, restauración y revisión.
Sanción:
El área responsable de aplicar las sanciones correspondientes derivadas del
incumplimiento de esta Política de Seguridad de la Información es la Dirección de
Administración, debiendo recibir la notificación y evidencia (en caso de que
aplique) por el Responsable de la Seguridad de la Información, siempre y sin
excepción copiando en esta notificación al Jefe inmediato de la persona que haya
incurrido en la violación de esta.
Una llamada de atención al usuario y hasta la suspensión del servicio, daños a la
infraestructura tecnológica, Interceptación ilegítima de sistema informático o red de
telecomunicación, Suplantación de sitios Web para capturar datos personales,
Acceso prohibido a un sistema informático se aplicara la ley 1273, incurriendo a
las sanciones que aplica.
Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado – denominado “De la Protección de la información y de los datos”-
y se preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones”.
La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos
informáticos y la protección de la información y de los datos con penas de prisión
de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales
vigente.