SEGURIDAD INFORMÁTICA.

-
SEMANA 2

Christian Alejandro Vásquez Lolli

23 de enero de 2022
Técnico Nivel Superior en Informática
DESARROLLO
1.

Podríamos considerar que la empresa deba contar con un almacén de datos que capture la información
que se va produciendo en sus sistemas de forma online. Designado previamente en una ubicación
adecuada y distante de la oficina central o dentro de esta de forma bien custodiada y de acceso
restringido considerando ocurrencias de desastres naturales para que no se vea afectado su uso. De igual
forma como elementos de protección de hardware podríamos considerar la implementación de políticas
de seguridad orientadas a la supervisión del acceso físico a sus instalaciones.

Ahora bien, como medidas de acceso físico enfocado al hardware tácitamente deberían considerar la
creación de guardias de seguridad y mejorar los controles de acceso a la empresa como los controles de
detección. Ejemplo contratar una empresa de guardias de seguridad y circuito cerrado de televigilancia
24/7, alarmas, vigías, analizadores biométricos o de retina, tarjetas personalizadas e intransferibles,
reconocimientos de huellas o voz mejorando con ello una implementación de controles de acceso y
controles de detección a fin de mantener un seguimiento estricto sobre la plataforma y actuar ante
cualquier anomalía o vulnerabilidad física (de acceso no autorizado) que se presente en la empresa.

También se deben realizar políticas de resguardo de la información a partir de copias de seguridad y

almacenamiento físico en diferentes dispositivos que la Organización estime conveniente respecto a su
política de “Uso y manejo seguro de la información”, prohibiendo de esta manera, el uso de dispositivos
personales o hacer uso de las Nubes personales de Internet a personal de la empresa que tenga acceso
físico al hardware en sí y la posibilidad de transmisión de datos en los softwares a utilizar.

2.

Se refiere a una política de Seguridad lógica y de protección de acceso al sistema de almacenamiento de

datos que incide en las políticas de seguridad informática de determinada empresa.

Esta Política, define los criterios y lineamientos esenciales, en cuanto al control de acceso a las
aplicaciones la cual debe tomar conocimiento la totalidad de la gerencia correspondiente de una
organización (jefaturas de cada departamento) expresamente tomados en consideración por los dueños
de la información y por el oficial de seguridad a cargo, a fin que se logre un apropiado balance de
funcionalidad y seguridad en el uso de la tecnología de información en la empresa.

Por su parte, El “Ciclo de vida completo de un usuario”, radica en la definición que expresa al lector la
política de control de acceso cuando refiere a la gestión de acceso de los usuarios. Con la finalidad de
impedir acceso no autorizados a los recursos informáticos o datos, por lo que deben establecerse
procedimientos formales para asignar autorizaciones y accesos a dichos sistemas. Por ende, refiere a
autorización o no de USUARIOS considerando desde el ingreso de contratación, mantenimiento y
terminación de la condición del empleado además de sus atributos como accesos o derechos a la
información, considerando la gestión de accesos privilegiados, gestión de contraseñas y la revisión
periódica de derechos de los usuarios.

3. Elabore una política a ser incorporada al documento, que detalle el procedimiento a seguir en caso que
un empleado de vaya de vacaciones y sea relevado temporalmente por un tercero (3 puntos).

______________________________________________________________________________________

INDICE

Con la presente política, se pretende trazar los lineamientos bajo la responsabilidad del área de
Tecnología de la Información, como de los usuarios del uso de la misma, que dice relación con el
procedimiento a seguir en caso que un empleado se vaya de vacaciones y sea relevado temporalmente
por un tercero en su puesto de trabajo. A fin de que toda administración en este contexto se realice de
una manera clara, precisa, transparente y lo más real posible.

Objetivos

Destinada a totalidad de departamentos incluyendo gerencia con conocimiento pleno a cada uno de sus
trabajadores.

Alcance

Dar a conocer los pasos correspondientes en cuanto a relevos de vacaciones de un usuario a otro
comprendiendo su debido reemplazo en el puesto de trabajo y computador asignado.

Realizada por Christian Vásquez – Técnico TI – ACME. Aprobada por Gerencia TI- ACME.
Destino totalidad de usuarios ACME

Control de Accesos:

Este grupo de políticas deben hacer referencia a todas aquellas directrices mediante las cuales la Entidad
determina los mecanismos de protección, los límites y procedimientos frente a la administración y
responsabilidad, relacionados con los accesos a la información, sin importar si estos accesos sean
electrónicos o físicos; las políticas relacionadas con el control de acceso deben contemplar como mínimo:

RESPONSABILIDADES DE LOS USUARIOS Los recursos informáticos asignados a los usuarios, deben usarse
adecuadamente, con responsabilidad acorde a los siguientes lineamientos: a) Solo podrán utilizar los
equipos asignados para ejecutar las actividades o tareas Institucionales. b) No podrán usar equipos
tecnológicos personales como: laptops, dispositivo informático, etc., en el área de trabajo.

RESPONSABILIDAD DE TI a) Llevará inventario del software (programas) instalados en la Institución. b)

Velará porque todo el software instalado en la DIGEIG, este legalmente licenciado. c) Tendrá la custodia y
almacenamiento de todos los programas informáticos de la Institución. d) Definirá los discos de Red de
todas las áreas, para poder fragmentar el acceso a la información y una mejor organización. e) Establecerá
configuraciones automatizadas para que los usuarios guarden toda su información en los discos de red y
se puedan facilitar las copias de seguridad (backup).

RESPONSABILIDADES Y/O PROHIBICIONES DE LOS USUARIOS El software existente en los equipos

asignados a los usuarios estará regido por los siguientes lineamientos: a) Está prohibido instalar
y/odescargar juegos, videos, música ni aplicaciones de ningún tipo de las páginas del Internet, que no
guarden relación con la DIGEIG. b) Está prohibidotener en los discos de Red archivos que no tengan o
guarden relación con la DIGEIG. Tales como:  MP3 (u otro formato de música)  EXE (archivos
ejecutables)  MSI (archivos de instalación)  JPG; JPEG, GIF, BMP, PNG, ETC (imágenes)  INI (Archivos de
configuración de instalación)  INF (Archivos de configuración de instalación)  DLL (librerías de archivos) 
ZIP (archivos comprimidos, por lo regular son archivos personales y aplicaciones)  RAR (archivos
comprimidos, por lo regular son archivos personales y aplicaciones)  Entre otros

SEGURIDAD DEL ÁREA DE INFORMÁTICA a) Todos los sistemas de informática deberán estar resguardados
dentro del área asignada a TI. b) Los Usuarios o visitantes externos no podrán acceder al área destinada a
TI, sin la previa autorización del Encargado o acompañados de un empleado de la misma. c) Solo podrán
acceder al área de infraestructura informática los empleados de TI.

RESPONSABILIDAD DE LOS USUARIOS Al ser asignado un activo a un usuario todo lo concerniente al

mismo será de su responsabilidad por lo cual: a) Será responsable de la custodia de los equipos
informáticos asignados (PC´s, monitores, teclados, impresoras, USB, etc.)
. ROBO OPÉRDIDA DE EQUIPO a) A partir de las políticas definidas, el Dpto. Administrativo y Financiero,
determinara los pasos a seguir para el inventario de los equipos que se reporten como sustraídos. b) El
usuario de un equipo asignado deberá reportar dentro de veinticuatro (24) horas cualquier pérdida o
sustracción del mismo, tanto al área Administrativa y Financiera como a la División de TI, y estos a la
Dirección Ejecutiva. c) El Dpto. Administrativo y Financiero se encargará de realizar los procesos
pertinentes para que se establezca responsabilidad ante dicha pérdida. d) Ante el caso de que se
determine responsabilidad por parte del usuario de dicha perdida, se empoderara a la Dirección Ejecutiva
como a la Sección de Recursos Humanos de la institución para que se proceda con la aplicación de las
medidas que se consideren correspondientes.

ASIGNACIÓN DE USUARIO

El objetivo de la asignación de usuarios corresponde a establecer el acceso a los equipos informáticos de

la institución, a aquellas personas que forman parte de la misma, otorgándole el derecho y el privilegio de
inicio de sesión en la red de la institución

RESPONSABILIDAD DE TI a) Recibirá las informaciones requeridas para evaluar las solicitudes de creación
o modificación de usuarios en los sistemas de información por parte de la Sección de Recursos Humanos.
b) Deberá crear el usuario de los nuevos empleados, con la finalidad de otorgarle el acceso al dominio de
la red de la Institución. c) Deberá informar a la Sección de Recursos Humanos la creación de nuevos
usuarios en el dominio de la red. d) Velará por que los datos de los usuarios en el dominio de la data serán
los siguientes: el primer nombre seguido del signo de punto y luego el primer apellido del empleado

Se asegurará de que las cuentas de usuarios creadas para el uso de personas externas a la Empresa
(consultores, asesores, auditores, entre otros) siempre serán de tipo temporal, por lo que RR. HH al
momento de solicitar la creación de la cuenta deberá indicar la fecha de caducidad de la misma. f) Deberá
en función de las licencias disponibles y de la información suministrada por Recursos Humanos, evaluar la
posibilidad de aprobar las solicitudes de creación o modificación de usuarios en los sistemas de
informática. g) Deberá monitorear toda anomalía detectada en la aprobación de creación o modificación
de usuarios en el sistema de información. h) Los empleados en disfrute de vacaciones o licencias médicas,
no serán deshabilitados de la data. i) Se deshabilitará los usuarios de los empleados que hayan finalizado
su contrato de trabajo, según información remitida, vía correo electrónico por parte de Recursos
Humanos. j) Suspenderá el permiso a la red a todo empleado que se encuentre bajo investigación interna
por haber cometido alguna infracción en el uso de la tecnología e informará al superior inmediato de
dicha suspensión.

Ningún usuario podrá solicitar directamente a TI, la creación de acceso a la red de la institución.

b) Deberá asegurarse del cierre de manera correcta de la sesión de usuario al momento de finalizar sus
labores. c) No permitirá a persona ajena a la institución el acceso a su Equipo informático asignado.

Se prevén medidas de seguridad a ser seguidas por todos los miembros que componen la institución con
el propósito de proteger la información y normar los niveles de acceso y confidencialidad, a ser
observadas y cumplidas por los involucrados en el uso y mantenimiento de los activos de informáticas de
la organización

Todo usuario, cada vez que deba solicitar vacaciones, deberá informar lo anterior por correo al
departamento de RR.HH. junto a su supervisor directo, debiendo hacer entrega de su computador al
relevo asignado mediante respectiva acta de entrega, incluyendo las herramientas y accesorios
tangibles de su puesto de trabajo, cualquiera sea la razón, debe activar el protector de pantalla de su
estación de trabajo, el cual además debe estar protegido por su contraseña de usuario de dominio
considerando que las claves de acceso son intransferibles.

En caso que el usuario designado como relevo no posea clave de acceso, deberá informar lo anterior
por correo electrónico al DEPARTAMENTO TI para su debida asignación.

Se debe considerar Establecer qué usuarios tienen acceso Permisos asociados a dicho acceso de puesto
informático por depto. TI y considerar además Fecha de expiración de contraseña Cambio de
contraseña al primer acceso Permisos de usuarios Robustez de la contraseña una vez que el usuario
titular vuelva de sus vacaciones se le asignará nueva clave de acceso de igual forma se asignará otra
clave de usuario al usuario de reemplazo asignándole nuevamente su puesto de trabajo y computador
designado de forma preliminar.

Este protocolo entrará en vigencia a partir de la aprobación del mismo por parte de GERENCIA y el
Oficial de Seguridad de Depto. TI, el presente protocolo permanecerá por tiempo indefinido
introduciéndosele las revisiones y las mejoras que amerite el mismo. Este documento ha sido revisado
en el mes de enero de 2022, en conformidad a lo dispuesto en protocolos de Control de Accesos a
Usuarios.

4.

Cualquier empresa que maneje datos para su actividad profesional, tiene la responsabilidad del
tratamiento de datos de los empleados y clientes; así como para las operaciones adecuadas en el negocio.

Es aquí dónde radica la importancia de asignar usuarios para proteger la información de la empresa.

El Conceder derechos de acceso a la información a usuarios específicos, para evitar riesgos de seguridad,
como, que personal no autorizado tenga acceso a información confidencial como registros de nómina.

Crear una política de uso de datos. Dicha política debe especificar los tipos de acceso y las condiciones de
acceso de datos según su clasificación como quién tiene acceso a los datos y cómo es el trato correcto de
los mismos.
Controlar el acceso a datos confidenciales. Los usuarios deben tener acceso únicamente a aquella
información que es esencial para realizar su trabajo. El control puede ser administrativo; es decir, todos
los procedimientos que los empleados deben seguir; pueden ser controles técnicos, como el copiado o
almacenamiento de datos confidenciales, otorgando permisos a los usuarios como control total, sólo leer,
escribir, modificar o leer y ejecutar; y, por último, controles físicos, para evitar que los datos almacenados
puedan ser borrados o verse comprometidos, una buena práctica es implementar el uso de contraseñas.

Estos derechos de acceso deben otorgarse en función de las necesidades de los departamentos de la
empresa a fin de evitar la pérdida o sustracción de la información pues tanto en el computador del
trabajo, como en el propio del hogar existe información y se realizan operaciones cuya repercusión
económica y personal es muy importante. Esto afecta a los sistemas de las empresas y equipos
informáticos, así como a la privacidad del usuario. A ninguno se nos ocurriría dejarle la llave de nuestro
hogar a cualquier desconocido que nos la pidiera, incluso al perderla se procede a cambiarla
inmediatamente pues no podemos confiar en otros usuarios lo que nos puede costar la perdida de trabajo
o vernos sometidos a un sumario por la mala manipulación de datos restringidos y asignados a cada
usuario, debemos cumplir cada protocolo de seguridad existente.
REFERENCIAS BIBLIOGRÁFICAS

 IACC (2020). Seguridad Informática. Parte II. Seguridad informática. Semana 2.