ELEMENTOS DE LAS POLÍTICAS DE SEGURIDAD
¿QUÉ SON POLÍTICAS DE SEGURIDAD?
Una política de seguridad es una forma de comunicarse con los usuarios, las políticas de seguridad establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos.
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Por lo cual se han creado políticas de seguridad y estas deben tener los siguientes elementos:
Seguridad frente al personal
Adquisición de productos
Relación con proveedores.
Seguridad física de las instalaciones
Seguridad frente al personal
Adquisición de productos
Relación con proveedores.
Seguridad física de las instalaciones
Seguridad frente al personal
La seguridad frente al personal debe contemplar los siguientes aspectos:
Alta de empleados
Alta de empleados
Baja de empleados
Funciones, obligaciones y derechos de los empleados
Formación y sensibilización de los usuarios
Alta de empleados
se debe tener en cuenta el chequeo de referencias y la incorporación de determinada cláusulas de confidencialidad en los contratos y sobre todo si la persona va ha tener acceso a datos sensible; no se debe descuidar la formación de los empleados argumentando cuáles son sus obligaciones y responsabilidades.
Baja de empleados
Dentro de la baja de empleados se debe que los responsable del sistema informático pueden cancelar o bloquear las cuentas de usuario y revocar los permisos y privilegios que tenían concedidos.
Alta de empleados
se debe tener en cuenta el chequeo de referencias y la incorporación de determinada cláusulas de confidencialidad en los contratos y sobre todo si la persona va ha tener acceso a datos sensible; no se debe descuidar la formación de los empleados argumentando cuáles son sus obligaciones y responsabilidades.
Baja de empleados
Dentro de la baja de empleados se debe que los responsable del sistema informático pueden cancelar o bloquear las cuentas de usuario y revocar los permisos y privilegios que tenían concedidos.
Funciones, obligaciones y derechos de los empleados
Aquí se define con claridad cuales son los distintos niveles de acceso a los servicios y recursos del sistema informático. De este modo se puede establecer quien está autorizado para realizar las distintas actividades y operaciones dentro del sistema informático. En relación con este aspecto la organización presta atención a la creación de cuentas de usuario y a la asignación de permisos de acceso para personal ajeno a esta.
Aquí se define con claridad cuales son los distintos niveles de acceso a los servicios y recursos del sistema informático. De este modo se puede establecer quien está autorizado para realizar las distintas actividades y operaciones dentro del sistema informático. En relación con este aspecto la organización presta atención a la creación de cuentas de usuario y a la asignación de permisos de acceso para personal ajeno a esta.
Formación y sensibilización de los usuarios
Se debe llevar a cabo formación periódica de los empleados para mejorar los conocimientos informáticos y en materia de seguridad de los empleados.
Las personas que se incorporen deben ser informadas y entrenadas de forma adecuadas.
Se debe exigir el cumplimiento de ciertas de cláusulas y exigencias en la firma de contrato con los proveedores para delimitar las responsabilidades y los requisitos del servicio contratado.Se debe llevar a cabo formación periódica de los empleados para mejorar los conocimientos informáticos y en materia de seguridad de los empleados.
Las personas que se incorporen deben ser informadas y entrenadas de forma adecuadas.
ADQUISICIÓN DE PRODUCTOS
La política de seguridad relacionada con la adquisición de productos debe contemplar las siguientes actividades:
Evaluar los productos de acuerdo a las necesidades y requerimientos del sistema informático .
Evaluación de los proveedores y de nivel de servicio que ofrecen.
Análisis comparativos de ofertas.
Definición de los términos y condiciones de la compra.
Instalación y configuración de los productos.
RELACIÓN CON PROVEEDORES
No hay comentarios:
Publicar un comentario