Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sección: 18:00
Nombre #Cuenta
Este Manual quiere dar a conocer el acceso razonable los diferentes recursos que ofrece
el internet, que debe tener propósito educativo o empresarial y que debemos dar un uso
responsable y apropiado.
Objetivo General
Autorización
Propósito
Se reconoce el uso de internet como una herramienta de trabajo que nos ayuda a
facilitar las comunicaciones y permite realizar diferentes gestiones con clientes,
proveedores por medio de uso y de herramientas que requieren de uso como,
correo electrónico, páginas webs necesarias para que los usuarios realicen sus
labores al igual que permite que la empresa sea más competitiva
El propósito de esta política es establecer normas que garanticen el uso seguro y
apropiado del acceso a internet, lo cual garantiza el buen funcionamiento del
mismo.
Normas y controles
Prohibiciones
Procedimientos
Todo usuario que por su función requiera hacer uso del internet su supervisor
deberá haber sometido con anticipación la solicitud de este justificando dicho
acceso al departamento de IT quien es el encargado de procesarla y velar por que
la seguridad del sistema para evitar fallas este debe tener y cumplir lo siguiente.
El equipo de computación deberá contar con software antivirus.
El firewall debe estar activo.
Todo equipo conectado a la red deberá estar actualizado tanto su sistema
operativo como su software de antivirus.
Todo esto para asegurar que la conexión del usuario sea segura.
Copias de respaldo
Propósito
Normas y controles
Procedimientos
Contraseñas
Propósito
Prohibiciones
Procedimientos
Correo Electrónico
Propósito
Normas y controles
Prohibiciones
Separación de Ambientes
Propósito
Tiene como objetivo reducir el riesgo de cambios o accesos no autorizados en el
ambiente de producción. Los ambientes de desarrollo, prueba y operación
estarán separados preferentemente en forma física y se definirá y documentará
las reglas para la transferencia de software desde el estado de desarrollo hacia el
estado operativo. Cada ambiente tiene su propia base de datos y su copia de los
binarios de la aplicación de forma que no haya interferencias en los ambientes y
entre los diferentes participantes en la construcción del software.
Normas y controles
La introducción de nuevos sistemas y los principales cambios a los sistemas
existentes deben seguir un proceso formal de documentación, especificaciones,
pruebas, control de calidad e implementación administrada.
Para sistemas relevantes, se debe incluir una evaluación de riesgos, análisis de
los impactos de los cambios a introducir y la especificación de los controles de
seguridad necesarios.
Se debe cautelar que los controles de Seguridad de la Información existentes no
se vean comprometidos.
Se debe obtener acuerdo formal de aprobación y vuelta atrás de cualquier
cambio significativo.
Prohibiciones
A no ser que sea bajo circunstancias excepcionales y con la autorización
escrita del usuario responsable, no se deberían realizar pruebas en los
sistemas productivos.
Los compiladores, editores y otras herramientas de desarrollo o utilidades del
sistema no deberán estar accesibles desde los sistemas operacionales
cuando no sea necesario.
Los usuarios deben utilizar distintos perfiles de usuario para los sistemas
operacionales y de prueba y se deberán mostrar menús para mostrar
mensajes de identificación adecuados para reducir el riesgo de errores.
Toda modificación de software crítico por parches o módulos adicionales debe
ser analizado previamente en los ambientes de desarrollo y prueba.
Se debe planificar detalladamente las etapas de paso a producción,
incluyendo respaldos, recursos, conjunto de pruebas pre y post-instalación,
criterio de aceptación del cambio y un plan de vuelta atrás.
Procedimientos
Separación de equipos y sistemas operativos
Los niveles de pruebas asignados y los datos para ellas.
Los controles de acceso deben diferenciar cada entorno para su autorización.
Se deben configurar perfiles distintos e identificar el entorno accesado.
Plan De Continuidad
Propósito
Normas y controles
La gestión de la Continuidad del Negocio forma parte del listado de Controles incluidos en
el Anexo A de la norma ISO 27001 2017. Como su nombre lo indica, trata de asegurar
que la organización pueda sobrevivir a un evento que podría poner en riesgo su
negocio. futuro. Es un control costoso de implementar, ya que debemos definir planes de
contingencia, implementarlos en la organización y probar periódicamente su correcto
funcionamiento.
Los mismos hechos no afectan del mismo modo a unas u otras empresas, ya que su
actividad y los requerimientos de sus clientes hacen que las consecuencias de un mismo
hecho sean anecdóticas o muy críticas. Por ejemplo, un incendio de CPD en una
empresa de desarrollo informático puede significar la ruina, mientras que en un bufete de
abogados puede significar perder algunas horas de trabajo.
Prohibiciones
Procedimientos
Tanto los procedimientos de contingencia como de continuidad del negocio deben ser
aprobados por la dirección de la empresa.
En cada trámite hay que insertar:
La persona encargada de iniciar el proceso.
Escalar accidentes.
Organizar a los trabajadores.
Gestionar el incidente.
Mantener actividades.
Implementar prioridades de recuperación.
Redes Y Equipos De Comunicaciones
Propósito
El enfoque principal de las redes y equipos de información es garantizar las buenas
prácticas de seguridad de la red, dando continuidad a la información que pasa por estos
medios tecnológicos, tratando de evitar la mayor vulnerabilidad que puede ocurrir en
diferentes circunstancias. Esta norma aporta mejoras, permitiendo una visión general de
cómo hacerlo.
Normas y Controles