MANUAL DE SEGURIDAD INFORMATICA

¿Cuál es la importancia que tiene la creación de un manual de seguridad informática en una empresa?

El manual de seguridad informática debe definir los riesgos al que los usuarios se exponen al trabajar dentro de una red
corporativa, estos riesgos se identifican dependiendo del tipo de información que tiene cada usuario, sabemos que cada
usuario debe proteger su información, por ende los normas del manual son universales, aunque establecen
procedimientos para una empresa específica, se pueden aplicar a otros negocios, también se establece como parámetro
inicial la tecnología actual del sistema, esto define el nivel de riesgo al que los usuarios están expuestos, por ende se deben
divulgar de manera sencilla y certera las buenas prácticas sobre el uso de equipos de cómputo. Es de suma importancia
que todos los usuarios conozcan estas buenas prácticas y desde el ingreso de los nuevos empleados sean concientizados
de las normas que rigen nuestro sistema.

Identificar los conceptos básicos para elaborar un manual de seguridad informática.

1. Protección de la información: este concepto define que debemos conservar los pilares fundamentales de la
información, tales como la confidencialidad, la integridad y la disponibilidad, ya que al mantener la información
de esta manera nos permite acceder a ella cuando sea necesario, que no haya tenido cambios desde la última vez
que la usamos, y que solo tengamos acceso los que requieren la información.
2. Clasificación de la información: este concepto define la jerarquización de la información según su grado de acceso
o la contundencia de la misma, se define en confidencial, interna y publica. La información confidencial
corresponde a los datos sensibles dentro de la unidad de negocio, el acceso suelen tenerlo los directivos de la
compañía y altos cargos. La información interna corresponde a los datos que son concernientes a los empleados
de la compañía. La información pública corresponde a los datos emitidos por nuestra unidad de negocio que va
para la comunidad interesada en nuestra empresa.
3. Control de acceso a la información: Por defecto, toda organización debe seguir el principio del mínimo privilegio.
Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria
para desempeñar sus funciones diarias. Para poder implementarlo debemos clasificar los tipos de ingreso a los
datos según las necesidades de cada puesto de trabajo. De allí vienen los perfiles y los roles en la información.
4. Copias de seguridad: cada usuario debe de hacer sus propias copias de seguridad, pero las empresas deben poder
controlar toda la información correspondiente a sus empleados, por ende, se usan copias de seguridad
automáticas, sobre todo en los usuarios con perfiles más altos, y los que manejan la información más importante
en sus unidades de negocio.
5. La seguridad de datos, también conocida como seguridad de la información o seguridad informática, es un aspecto
esencial de TI en organizaciones de cualquier tamaño y tipo. Se trata de un aspecto que tiene que ver con la
protección de datos contra accesos no autorizados y para protegerlos de una posible corrupción durante todo su
ciclo de vida. Seguridad de datos incluye conceptos como encriptación de datos, tokenización y prácticas de
gestión de claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una organización.
Hoy en día, organizaciones de todo el mundo invierten fuertemente en la tecnología de información relacionada
con la ciberdefensa con el fin de proteger sus activos críticos: su marca, capital intelectual y la información de sus
clientes. En todos los temas de seguridad de datos existen elementos comunes que todas las organizaciones deben
tener en cuenta a la hora de aplicar sus medidas: las personas, los procesos y la tecnología.
6. Encriptación: Si la ingeniería de seguridad de datos protege la red y otros activos físicos como servidores,
computadoras y bases de datos, la encriptación protege los datos y archivos reales almacenados en ellos o que
viajan entre ellos a través de Internet. Las estrategias de encriptación son cruciales para cualquier empresa que
utilice la nube y son una excelente manera de proteger los discos duros, los datos y los archivos que se encuentran
en tránsito a través de correo electrónico, en navegadores o en camino hacia la nube. En el caso de que los datos
sean interceptados, la encriptación dificulta que los hackers hagan algo con ellos. Esto se debe a que los datos
encriptados son ilegibles para usuarios no autorizados sin la clave de encriptación. La encriptación no se debe
dejar para el final, y debe ser cuidadosamente integrada en la red y el flujo de trabajo existente para que sea más
exitosa.

MANUAL DE SEGURIDAD
INFORMATICA

HOJA DE PRESENTACION SEGURIDAD INVENTARIO

LINEAMIENTOS DE IMPLEMENTACION
DE POLITICAS. En este sitio indicar los
Se deben definir los activos de la
perfiles de seguridad, tambien
CONTROL DE CAMBIOS (VERSIONES). empresa, por ende se da referencia
pueden ser los roles de los usuarios,
de lo que se puede hacer y lo que no.
se muestran desde el mas general al
mas especializado.

Definir las TIC, TECNOLOGIAS DE

METODO DE ELBORACION Tambien define procedimientos de
INFORMACION Y COMUNICACIONES
(METODOLOGIA). salida y entrada de equipos.
para los diferentes tipos de usuarios.

Definir linemientos utilizados en la

planta fisica, accesos de personal, Define tambien responsables en las
INTRODUCCION.
seguridad en los procedimientos, y en areas por equipos.
las comunicaciones.

Tambien debemos considerar los

OBJETIVOS, GENERALES Y
accesos a programas, equipos y
ESPECIFICOS.
demas recurso tecnologico.

Deberia tener un capitulo sobre

ALCANCE. administracion de equipos, seguridad
y cambios.

SANCIONES POR INCUMPLIMIENTOS.

POLITICAS DE TECNOLOGIA DE LA
INFORMACION.