Mejores prácticas en la política de seguridad de acceso a los sistemas de cómputo

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones.

Las políticas de seguridad de la información son lineamientos a nivel general a seguir por la empresa para asegurar su información valiosa, así como los programas, hardware  y áreas físicas relacionadas. Es imprescindible contar con políticas informáticas encaminadas al aseguramiento de la información. Como bien se sabe, la información es el activo intangible más valioso de una empresa y generalmente el más descuidado. En muchos casos, la pérdida de información puede ser considerada inaceptable y peor aún la fuga o mal uso de la misma.

Es por esto que cada día se fomenta más la práctica de Políticas de seguridad de acceso a los sistemas de cómputo a todas las empresas, para cuidar y proteger celosamente sus datos y evitar una pérdida total de estos.

A continuación se describe un ejemplo de Políticas de seguridad en los sistemas de cómputo que formaron parte de la implementación de un Sistema de Gestión de Seguridad de la Información, que podría fomentarse en todas las empresas que se apoyan de sistemas informáticos para el archivo y respaldo de sus datos e información empresarial:

 

Asignación y uso de los recursos

  • Cada empleado tiene asignado un equipo de cómputo al cual debe ingresar con un usuario y contraseña.
  • El personal debe hacer uso adecuado de los recursos informáticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas debe asegurar que se cumpla esta política. Además, todo el personal deberá informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su adecuado seguimiento.
  • Todo el personal tendrán una cuenta de correo electrónico interno, que les permite recibir y enviar información indispensable para sus actividades. Estas cuentas de correo, sólo son para uso interno, no tienen la capacidad de enviar correos públicos.
  • El uso de internet queda reservado solo para las actividades de trabajo que así lo requieran. En general se restringe el acceso mediante el uso de contraseña en el administrador de contenidos de Internet Explorer.

 

Seguridad de la información

  • Diariamente se realizan backups automáticos a la base de datos según los mecanismos establecidos y se realizan a cada hora.
  • Los equipos deberán contar con salvapantallas protegido por contraseña con un tiempo de espera de 1 minuto para evitar accesos no autorizados.
  • Todos los accesos a los programas principales estarán protegidos mediante un mecanismo de usuario y contraseña así como permisos de acceso. De igual forma, las sesiones de Windows personales estarán protegidas con contraseña.
  • Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas y sesiones de Windows.
  • Coordinación o sistemas designarán periódicamente nuevas contraseñas tanto para el acceso a las sesiones Windows como para el acceso a los programas.
  • Todos los archivos que viajen por correo y que contengan información sensible deberán estar comprimidos con contraseña de uso interno como medida de seguridad de información.
  • Todos los equipos asignados a los conectores/gestores tendrán deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida tiene 3 objetivos:
  • Evitar ataques de virus en los equipos y el servidor.
  • Evitar extracciones no autorizadas.
  • Evitar la carga de archivos ajenos a la labor de gestión.
  • Los equipos autorizados para el uso de dispositivos de almacenamiento externos están supervisados por coordinación y por el área de sistemas, para la entrada y salida de información.
  • A todos los equipos se les realizará una revisión de virus por lo menos cada mes, que incluye las siguientes actividades.
  • Actualizar su base de firmas de virus (actualización de la lista de amenazas).
  • Búsqueda de virus (análisis del equipo).
  • Eliminación de  virus si fue detectado.
  • En caso autorizado de memorias USB y discos, es responsabilidad del usuario hacer uso del antivirus antes de copiar o ejecutar archivos para que los equipos no sean infectados. Además los usuarios pueden pedir apoyo al departamento de sistemas para el uso de antivirus.

 

Mantenimiento y buen uso de la infraestructura

  • Todos los equipos deberán presentar las últimas actualizaciones de Windows, parches de seguridad y antivirus instalado.
  • Los equipos de toda la agencia deberán de estar conectados a un regulador de corriente, como medida de prevención de variaciones de electricidad.
  • Si se presentara una suspensión de servicio eléctrico y el servidor solo se sostuviera con el no-break, se tendrán que apagar primero todos los equipos de la agencia y posteriormente el servidor.
  • El servidor y la máquina principal del área administrativa deberán conectarse a un equipo no-break para evitar la pérdida de información en los equipos por variaciones o fallas de energías.
  • Una vez al año se realizará una revisión en la red para detectar desperfectos y dar así mantenimiento a la agencia.
  • Periódicamente, por espacio de 4 meses, se realizará una limpieza física a toda la infraestructura de equipo de cómputo por parte del personal de sistemas.
  • Toda actividad elaborada por el equipo de sistemas deberá de estar debidamente documentada para darle seguimiento y que sirva como evidencia en los procesos de auditoría interna.

 

Es importante que cada empresa que utilice sistemas de cómputo, tome en cuenta establecer una Política de seguridad informática, que le garantice seguridad en sus datos y prevenir de esta manera posibles problemas de pérdidas de información o hackers.



¿QUIERES SABER MÁS?
Suscríbete a nuestro boletín para recibir más información útil sobre el sector financiero.
Mantenemos tus datos en privado. Aquí puedes conocer nuestro AVISO DE PRIVACIDAD