Aquí dejo un pequeño conjunto de políticas de seguridad informática básicas diseñadas por el área de sistemas de una PYME y que el personal está pendiente a cumplir en todo momento.
Las políticas de seguridad de la información son lineamientos a nivel general a seguir por la empresa para asegurar su información valiosa, así como los programas, hardware y áreas físicas relacionadas.
Que tu empresa cuente con estos lineamientos aportará una serie de ventajas a considerar:
– La infraestructura de sistemas representa una inversión considerable en los activos de la organización, los lineamientos sobre el uso adecuado del equipo de cómputo sugieren un tiempo de vida útil más extendido, minimizando reparaciones e inversión por actualización.
– Tener reglas sobre el uso adecuado del equipo de cómputo incrementa la productividad de los empleados. Muchas empresas incluyen dentro de sus políticas las restricciones sobre programas de ocio y el uso de internet en actividades ajenas al entorno laboral.
– Como tercer punto y no menos importante, es imprescindible contar con políticas informáticas encaminadas al aseguramiento de la información.Como bien se sabe, la información es el activo intangible más valioso de una empresa y generalmente el más descuidado. En muchos casos, la pérdida de información puede ser considerada inaceptable y peor aún la fuga o mal uso de la misma.
(Update, Junio 2016). Las políticas descritas aquí se denominaron políticas informáticas y no políticas de la información, la diferencia la puedes encontrar en 5 puntos para entender la seguridad de la información
Dato técnico:
Una política de seguridad define el 'QUE': qué necesita ser protegido, qué es más importante, cuales son las prioridades y cual debería ser el enfoque general al manejar los problemas de seguridad informática que se presenten. La política de seguridad por si misma no dice COMO se deben proteger las cosas. Este es el rol de los procedimientos de seguridad. La política de seguridad es un documento de alto nivel que provee una estrategia general. Los procedimientos de seguridad deben ser establecidos, a detalle, con los pasos precisos de seguridad. El documento RFC1244 contiene las definiciones e información técnica más avanzada sobre políticas de seguridad.
Dicho de otra forma, el conjunto de políticas de seguridad es una “declaración de principios” sobre la que se cimentará la Seguridad de la Información de nuestras organizaciones. A partir estas políticas, es necesario desarrollar los procedimientos específicos que detallen lo establecido en nuestra política.
Tus políticas informáticas deben ser concisas y claras. El rigor debe estar en función de poderlas cumplir sin perder de vista la actividad de nuestro negocio.
Lo más importante es que no pierdan sentido y que en todos los casos la actuación del personal esté guiada hacia el cumplimiento de dichas políticas.
Políticas informáticas
Alcance
El presente documento es aplicable a todos los empleados, consultores, contratistas, colaboradores, practicantes o residentes, incluyendo a todo el personal externo que en algún momento cuente con acceso a los recursos informáticos o información de la empresa.
Sobre la asignación y el uso de los recursos
1. Cada empleado tiene asignado un equipo de cómputo al cual debe ingresar con un usuario y contraseña.
2. El personal debe hacer uso adecuado de los recursos informáticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas debe asegurar que se cumpla esta política. Además, todo el personal deberá informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su adecuado seguimiento.
3. Todo el personal tendrán una cuenta de correo electrónico interno, que les permite recibir y enviar información indispensable para sus actividades. Estas cuentas de correo, sólo son para uso interno, no tienen la capacidad de enviar correos públicos.
4. El uso de internet queda reservado solo para las actividades de trabajo que así lo requieran. En general se restringe el acceso mediante el uso de contraseña en el administrador de contenidos de Internet Explorer.
Sobre la seguridad de la información
5. Diariamente se realizan backups automáticos a la base de datos según los mecanismos establecidos y se realizan a cada hora.
6. Los equipos deberán contar con salvapantallas protegido por contraseña con un tiempo de espera de 1 minuto para evitar accesos no autorizados.
7. Todos los accesos a los programas principales estarán protegidos mediante un mecanismo de usuario y contraseña así como permisos de acceso. De igual forma, las sesiones de Windows personales estarán protegidas con contraseña.
8. Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas y sesiones de Windows.
9. Coordinación o sistemas designarán periódicamente nuevas contraseñas tanto para el acceso a las sesiones Windows como para el acceso a los programas.
10. Todos los archivos que viajen por correo y que contengan información sensible deberán estar comprimidos con contraseña de uso interno como medida de seguridad de información.
11. Todos los equipos asignados a los conectores/gestores tendrán deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida tiene 3 objetivos:
- Evitar ataques de virus en los equipos y el servidor.
- Evitar extracciones no autorizadas.
- Evitar la carga de archivos ajenos a la labor de gestión.
12. Los equipos autorizados para el uso de dispositivos de almacenamiento externos están supervisados por coordinación y por el área de sistemas, para la entrada y salida de información.
13. A todos los equipos se les realizará una revisión de virus por lo menos cada mes, que incluye las siguientes actividades.
- Actualizar su base de firmas de virus (actualización de la lista de amenazas)
- Búsqueda de virus (análisis del equipo)
- Eliminación de virus si fue detectado.
14. En caso autorizado de memorias USB y discos, es responsabilidad del usuario hacer uso del antivirus antes de copiar o ejecutar archivos para que los equipos no sean infectados. Además los usuarios pueden pedir apoyo al departamento de sistemas para el uso de antivirus.
Sobre el mantenimiento y buen uso de la infraestructura
15. Todos los equipos deberán presentar las últimas actualizaciones de Windows, parches de seguridad y antivirus instalado.
16. Los equipos de toda la agencia deberán de estar conectados a un regulador de corriente, como medida de prevención de variaciones de electricidad.
17. Si se presentara una suspensión de servicio eléctrico y el servidor solo se sostuviera con el no-break, se tendrán que apagar primero todos los equipos de la agencia y posteriormente el servidor.
18. El servidor y la máquina principal del área administrativa deberán conectarse a un equipo no-break para evitar la pérdida de información en los equipos por variaciones o fallas de energías.
19. Una vez al año se realizara una revisión en la red para detectar desperfectos y dar así mantenimiento a la agencia.
20. Periódicamente, por espacio de 4 meses, se realizará una limpieza física a toda la infraestructura de equipo de cómputo por parte del personal de sistemas.
21. Toda actividad elaborada por el equipo de sistemas deberá de estar debidamente documentada para darle seguimiento y que sirva como evidencia en los procesos de auditoria interna.
Update:
Estas políticas formaron parte de la implementación de un Sistema de Gestión de Seguridad de la Información. Comienza a aplicar la Seguridad de la Información -Sin reinventar la rueda
Hablemos de informática 
Gracias, me has ahorrado muchisimo tiempo!
Buenos días:
Antes que nada gracias por la información, solo una pregunta como puedo proteger a la empresa cuando empleados ingresan sus laptops de uso personal y pode evitar responsabilidades a la empresa ante una posible auditoria de SW
Hola Juan Jose,
Muchas gracias por tu pregunta.
Supongo que haces referencia a las revisiones externas que realizan a las empresas con el fin de detectar software pirata
y la posibilidad de que los empleados utilicen sus equipos personales para el trabajo con software sin licencia.
Tu pregunta se basa en el esquema donde los empleados tienen permitido el uso de computadoras personales para actividades de trabajo, conocido bajo los términos: Bring your own PC (BYOPC), Bring your own device (BYOD) y similares. Los pros de estos esquemas incluyen reducción de costos para la empresa, mejorar el inventario de cómputo, proveer al usuario de un nivel de satisfacción mayor con movilidad y personalización de sus herramientas de cómputo, entre otros. En cuanto a los contras, tenemos el aumento en brechas de seguridad en la información como entrada de virus y malware, pérdida de equipo con información sensible, etc).
Si tu empresa ya permite el uso de computadoras personales para el trabajo, sería conveniente primero establecer un listado del software requerido para el trabajo. Luego realiza un inventario de todo el software instalado en los equipos de cómputo (de la empresa y los personales). Incluye información sobre cuales requieren licencia, cuales sí la tienen y en cuales no aplica.
Posteriormente, utiliza la información para establecer a la brevedad políticas o lineamientos regulatorios. Estas políticas establecerán su alcance: personal sujeto, características y condiciones del equipo de cómputo, uso del mismo, restricciones, software autorizado, normas de seguridad de información mínima, etc.
En tu caso, es conveniente incluir explícitamente los lineamientos sobre el uso de software, indicando que es imperativo el uso de software legal para actividades relacionadas con la empresa. También establezcan algún alcance de las responsabilidades (por ejemplo, la empresa proporciona las licencias necesarias para la actividad laboral y el usuario debe utilizar solo este software autorizado. El uso de cualquier otro software no relacionado con la actividad de la empresa es responsabilidad del usuario).
Es conveniente dejar registro que el usuario está enterado de la política establecida (esta y cualquier otra) y la empresa deberá promover su divulgación y sobre todo el cumplimiento. Podría ser necesario establecer los mecanismos para las faltas a estas normas.
Finalmente, esto es un trabajo progresivo y en conjunto con el personal. Intenten integrar la mayor cantidad de software con licencia o en su defecto promuevan el uso de software open source en la empresa, sobre todo en software altamente auditable como sistemas operativos, paquetería de oficina, antivirus, etc.
Te dejo algunos links sobre Inventario de software y TYOD:
http://www.microsoft.com/sam/latam/latam/msia.aspx
http://www.microsoft.com/sam/latam/latam/inventory.aspx
http://www.cio.com/article/2395944/consumer-technology/7-tips-for-establishing-a-successful-byod-policy.html
https://www.fraudadvisorypanel.org/pdf_show.php?id=239
Saludos!
Muchas Gracias David por tu pronta respuesta me sirvió de mucho tu información estoy implementando la documentación (políticas y lineamientos, DRP, bitácoras etc.) de los procesos del área de TI, disculpa una ultima pregunta estoy trabajando como responsable del área de sistemas en ocasiones no cuento con los programas para cubrir las necesidades del trabajo del usuario y con tal de cuidar mi trabajo y no tener problemas recurro a la instalación de SW sin licencia e visto comentarios que como responsable de instalación de SW también puedo salir afectado ante una auditoria externa, en este caso como puedo hacer para protegerme y no salir afectado?
En corto: toma acciones y deja evidencias. Una forma es dejar evidencia de todos los problemas de software que vayas detectando, que presentas informes a tus superiores o dueños sobre estas anomalías y presentas distintas soluciones para que ellos autoricen la más adecuada. Incluye consultas de opciones de licenciamiento, propón algún programa interno para adquirir software o al menos establece un programa permanente de conscientización contra software pirata.
Si no realizas estas acciones, podría tomarse como una omisión deliberada del problema o en el peor de los casos como el responsable directo de instalar software pirata. Solo evita ser evidente, no evadas ni asignes responsabilidades, el punto es hacer notar que desde tu ámbito estás trabajando en pro del software lícito en tu empresa.
Como ejemplo, hace algunos años trabajé en una empresa donde un buen número de PC tenían software sin licencia. Hicimos algunas investigaciones y contactamos un partner Microsoft que nos presentó varias opciones de licenciamiento. Hicimos cotizaciones y establecimos un plan a mediano plazo para la regularización de la situación. Reemplazamos la paquetería de oficina y antivirus por soluciones open source. Después de un tiempo contamos con una activo de Software muy sólido y sin preocupaciones por problemas de licenciamiento.
Cuentame en un tiempo cómo te va al respecto.
David buenos días:
Muchas gracias por la información y tu tiempo empleado para responder mis preguntas se aclararon muchas dudas que tenia, en un tiempo te comparto la experiencia y las soluciones que aplique dentro de la empresa.
Saludos
Buenas,
Que tipo de documento tendría que emplear cuando yo, como empresa, proporciono hardware al empleado y este tiene permitido usarlo fuera de la oficina. Es decir, un documento donde quede constancia que ese hardware en concreto es propiedad de la empresa, y que se le pueda reclamar dicho hardware en caso que el empleado dejara la empresa o cambiaran las tareas asignadas y su el uso de dicho hardware no fuera necesario.
Hola Andreu
Lo que buscas es una Responsiva de resguardo de equipo de cómputo.
En estos documentos se detallan las características del equipo de cómputo asignado así como el uso exclusivo para la actividades propias del trabajo asignado.
Ya existen plantillas al respecto, un ejemplo es:
Haz clic para acceder a f7edc0ec67d49a83d7eb9623e2f77a25.pdf
Lo importante es adaptarlo a tus necesidades.
Saludos!
Buenos días David,
Has creado alguna politica de cambio de equipo de computo, ya se para computadoras, e impresoras.
Adicional si tendras alguna politica de mantenimiento preventivo para estos equipos.
Muchas gracias.
Saludos.
Hola David. Excelente tu post. Me lo leí todo. Una pregunta… estaba leyendo libros como el Kendall, Pressman y Sommerville, pero no encuentro este tema en dichos libros y eso que son de Software… ¿tienes alguna idea de cómo puedo encontrarlos o donde? Saludos.
Hola Rodrigo! agradezco por tus comentarios.
Como bien observaste, estos libros se enfocan en el desarrollo de software y efectivamente no atienden a fondo temas de seguridad informática como es este caso.
Las políticas aquí publicadas son tan solo una pequeña parte del establecimiento de un Sistema de Gestión de la Seguridad de la Información que surgió de la necesidad de implementar la Norma ISO 27000 sobre gestión de seguridad de la información, específicamente la UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos.
Esta es la clave, para ahondar en el tema, busca sobre la ISO27001:2007.
Saludos!
unDERSTANDAble haᵥₑ ₐ ₙᵢcₑ daY
disculpe, me puede ayudar, necesito elaborar un Manual de Sistemas, para llevar el control de los equipos de computo y la seguridad de la información, esto incluye los mantenimientos (correctivo y preventivo) a los equipos de computo o dispositivos móviles, de igual manera realizar los diagramas de procesos y bitácoras para poder implementar eso en la empresa donde trabajo, como tal en la parte de la seguridad de la información este apartado me sirvió mucho para entender y fundamentar el manual, pero ahora necesito ayuda con respecto a lo relacionado a hardware, cosas a considerar o como elaborar el manual en ambos casos, me sería muy útil si ayuda.
Muchas felicidades David excelente blog! y gracias por compartir la información, soy Consultora estoy documentando todo de políticas y normas en la empresa que estoy laborando y me ha servido mucho para poder entender del tema yo que no estaba tan relacionada al área de TI.