POLÍTICAS DE SEGURIDAD APLICADA A REDES.

CONTROLES LOGICOS
1. Nombre: Actualización de software en equipos
Procedimiento:
- Realizar un listado del software existente en la empresa para incluirlo en el plan de
actualizaciones.
- Revisar las características y los requisitos de las actualizaciones y parches antes de
instalarlos.
- Tener configurado un sistema de alertas para recibir avisos y notificaciones sobre
vulnerabilidades, actualizaciones y parches de seguridad.
- Registrar cada una de las actualizaciones y parches que se van a instalar.
- Utilizar herramientas de autodiagnóstico para detectar software no actualizado en los
equipos.
Sanciones:
- Determinar una sanción de tipo pedagógico.
- Determinar un llamado de atención para el equipo técnico.

2. Nombre: Almacenamiento en la red corporativa

Procedimiento:
- Informar a los empleados sobre los servidores de almacenamiento disponibles, la
información que se comparte, que datos deben almacenarse en ellos y las
responsabilidades que conlleva.
- Informar a los empleados sobre los criterios de almacenamiento corporativo (Que se
puede almacenar, quien tiene acceso y cuando se elimina la información).
- Informar a los empleados sobre la necesidad de cumplir con la política de clasificación de
la información a la hora de almacenar y eliminar la información en la red corporativa.
Sanción:
- Sanción de tipo pedagógico.
- Llamado de atención.

3. Nombre: Identificación de activos

Procedimiento:
- Realizar un inventario de los activos físicos de la Fábrica.
- Determinar claramente los criterios de conexión de cada uno de los activos.
- Realizar un modelo lógico, determinando los criterios de cada uno de los activos.
Sanción:
- Sanción de tipo pedagógico
- Llamado de atención
4. Nombre: Controles de acceso
Procedimiento:
- Definir los roles de usuarios y de grupos en función al tipo de información al que podrán
acceder.
- Asignar los permisos necesarios para que cada usuario o grupo de usuarios solo puedan
realizar las acciones oportunas sobre la información a la que tienen acceso.
- Definir y aplicar un procedimiento para dar de alta/baja o modificar cuentas de usuario.
- Gestionar las cuentas de administración de sistemas y aplicaciones teniendo en cuenta su
criticidad.
- Revisar cada cierto tiempo que los permisos concedidos a los usuarios son los adecuados.
- Desactivar los permisos de acceso y eliminar las cuentas de usuario una vez finalizada la
relación laboral.
Sanción:
- Llamado de atención
- En caso de suplantación de identidad, es causa justificable de despido.

5. Nombre: Uso de auditoria de sistemas

Procedimiento:
- Enfocar el proceso de mejora continua desde el punto de vista de mejora continua o de
consecución de niveles de madurez
- Tener identificados los activos más importantes y que deben ser auditados.
- Realizar auditorías específicas para verificar el cumplimiento de los requerimientos
legales.
- Realizar auditorías forenses para determinar lo ocurrido tras un incidente de seguridad.
- Tener definido los procedimientos detallados para auditar la seguridad de cada activo
clave de los sistemas de información.
- Realización de auditorías periódicas.
- Analizar los resultados de la auditoria en busca de debilidades a corregir.
Sanción:
- Llamado de atención.
- Despido

6. Nombre: Protección de página Web de la Fabrica

Procedimiento:
- Tener en cuenta los criterios de seguridad en los desarrollos llevados a cabo por terceros.
- Cumplir con los aspectos legales contemplados en la legislación nacional.
- Mantener un registro de la actividad de los administradores externos.
- Asegurar que las claves de acceso al panel de control sean fuertes y cumplan con los
criterios de seguridad.
- Eliminar los usuarios por defecto de las herramientas y software que soporta la web.
- Guardar un registro de cualquier interacción con la página durante un periodo de tiempo
conveniente.
- Realizar copias de seguridad periódicas de la web.
- Actualizar periódicamente el gestor de contenidos, sus complementos y el software del
servidor donde se aloja la página Web.
- Instalar antivirus en equipos y servidores.
Sanción:
- Sanción pedagógica
- Llamado de atención
- Despido

7. Nombre: Está prohibido realizar cualquier tipo de escaneos a otros nodos de la red, ya sea
interna o externa.
Procedimiento:
- No abrir más puertos de los necesarios.
- Realizar comprobaciones de puertos abiertos periódicamente.
- Implementar el uso de Cortafuegos
- Mantener los equipos de cómputo actualizados.
Sanción:
- Llamado de atención
- Despido

8. Nombre: Acceso a servidores con usuario y contraseña

Procedimiento:
- Establecer el directorio activo.
- Por medio del directorio activo realizar la configuración en servidores para que solo se
permita el acceso a los computadores registrados en el dominio.
- Solo permitir la conexión desde rangos de direcciones Ip con el fin de tener un control en
las conexiones al servidor.
- En caso de que sea necesaria la conexión fuera de la empresa, establecer una Vpn por
usuario que se conecte con el usuario de dominio.
Sanción:
- Llamado de atención
- Despido

9. Nombre: Acceso a correo electrónico con correo electrónico definido por la empresa
Procedimiento:
- Disponer una normativa referente al uso del correo electrónico que el empleado aceptará
al incorporarse a su puesto de trabajo.
- Instalar y activar aplicaciones antimalware y filtros anti spam tanto en el servidor como en
los clientes de correo.
- No publicar las direcciones de correo electrónico corporativas en páginas web ni en redes
sociales sin utilizar técnicas de ofuscación.
- Nunca usar el correo electrónico con fines personales y cumplir con el contenido de
acuerdo a las normas marcadas por la empresa.
- Usar una contraseña segura para acceder al correo electrónico.
- Identificación del remitente antes de abrir el correo electrónico.
- Analiza cuidadosamente los adjuntos de correo electrónico de remitentes desconocidos.
- Examinar atentamente los enlaces incluidos en los correos electrónicos antes de acceder a
ellos.
Sanción:
- Llamado de atención
- Despido
 CONTROLES FISICOS
10. Nombre: Acceso a Datacenter por Biometria
Procedimiento:
- Realizar la implementación de sistema Biometrico para el acceso al Datacenter.
- Realizar la implementación de contraseña como método segundario de identificación para
el acceso al Datacenter.
Sanción:
- Despido

11. Nombre: Implementación de tarjetas inteligentes

Procedimiento:
- Acceso a área encargada del datacenter por medio de tarjetas inteligentes.
Sanción:
- Despido

12. Nombre: Implementación de registro de ingreso al área encargada de Datacenter

Procedimiento:
- Acceso al área encargada del Datacenter por medio de registro de ingreso con firma, fecha
y actividad a realizar.
Sanción:
- Despido

13. Nombre: Concientización a los empleados sobre el ingreso al computador

Procedimiento:
- Campaña de concientización a los empleados sobre las políticas de seguridad de la
información.
- Indicar que al levantarse de su puesto de trabajo se debe bloquear el computador, para
evitar el acceso de otra persona y pueda realizar actividades en su nombre.
- Evitar consumir alimentos cerca y bebidas cerca a su puesto de trabajo, para garantizar la
integridad de la información contenida en el computador.
Sanción:
- Llamado de atención.
- Despido.