A continuación se detallan una serie reglas y políticas que el departamento de
seguridad debe tener en cuenta para asegurar la protección de la empresa
1) Registrar y controlar el alta de nuevos usuarios.
Para el alta de usuarios, se debe prestar atención a aspectos como el adecuado chequeo de referencias e incorporación de cláusulas de confidencialidad en los contratos, sobre todo a aquellas personas que manejaran datos sensibles. 2) Dar de baja a empleados que ya no pertenecen a la compañía. Mediante un proceso definido, se debe proceder a la cancelación o bloqueo inmediato de las cuentas de usuario y la revocación de todo permiso y privilegio que tenían concedidos, así como devolución de todo equipo prestado. 3) Especial protección de acceso del local donde se ubiquen los ordenadores con información sensible. Personal no autorizado puede acceder donde se ubican los servidores y extraer la información de estos, robándoselas, o guardando información no pertinente a la empresa. 4) Disponer de salas especialmente acondicionadas para ubicar los servidores centrales. Protección frente a daños de fuego, inundación, explosiones, etcétera. También elementos de construcción adecuada, puertas, paredes, suelos y techos falsos, canalizaciones eléctricas estos elementos deben cumplir el máximo nivel de protección exigido por la norma de construcción. 5) Bloqueos de puertos USB, lectores de DVD/CD, discos duros o cualquier unidad e almacenamiento extraíble en los equipos de la empresa Con esto se evita que los empleados o personas ajenas a la organización extraigan información. 6) Revisión de la instalación eléctrica específica para el sistema informático Es recomendable disponer de tomas protegidas y estabilizadas, aisladas del resto de la instalación eléctrica de la organización. 7) Controlar y registrar todo equipo que sale de la organización Los equipos no podrán ser sacados fuera la de sus instalaciones por los empleados sin su debida autorización, además los portadores deberán hacerse cargo por daños físicos y programas instalados sin autorización. 8) Elaboración de copias de seguridad de cualquier dato o información perteneciente a la compañía. Deben existir procedimientos de realización de copias de seguridad y recuperación que en caso de un fallo del sistema informático, permitan recuperar y reconstruir los datos y ficheros dañados. 9) Otorgar claves a los usuarios para la utilización de las impresoras. Es importante llevar un control de la información que se imprime y la utilidad que le están dando los colaboradores a las impresoras. Números de impresiones, que se está imprimiendo y que tiene la impresión. 10) Inventariar todo tipo de soporte donde se guarde la información de la compañía. Los soportes cuando tienen información sensible deberían estar almacenados en un lugar con acceso restringido al personal autorizado, detallando que información contiene, su fecha, tipo de información, tipo de soporte, etiqueta lógica. 11) Se debe garantizar el borrado seguro de todos los sistemas e almacenamientos que vayan a ser vendidos, cedidos a terceros, destruidos o devueltos al fabricante Para la reutilización de equipos se debe resetear o ejecutar un borrado completo de la información que este contuvo anteriormente, en casos de los discos duros se debe proceder a la destrucción total. 12) Definir el acceso lógico a los usuarios del sistema. Se definen las restricciones de acceso en función de usuario, proceso, hora, de trabajo, ubicación física del sujeto, así como limitaciones en la interfaz del sistema. 13) Clasificar los documentos según la información que contengan y su importancia para la organización Se podría clasificar de la siguiente manera, Información desclasificada (Para toda persona), Información de uso interno (Para empleados), Información confidencial (Para algunos empleados y directivos), Información Secreta (Para directivos y pocos empleados de confianza). 14) Limitar los permisos de acceso por conexiones remotas a personas en específico y registrar actividades sospechosas. Se deben tener claros los permisos vigentes que están activos y llevar un control de la fecha, hora y motivo de conexión. 15) Registro de incidencias y buzón de sugerencias disponibles para todos los miembros de la organización. El reporte de incidencias debe estar disponible para todo personal donde estos puedan expresar de manera clara el incidente ocurrido con detalle, además debe estar disponible un buzón de sugerencia para que estos puedan opinar respecto a los procesos, informar irregularidades, etcétera. 16) Mantenimiento de la red y de los equipos periódicamente( bimensual) Se debe actualizar el software de sistemas operativos, aplicaciones y servicios de la red, así también el mantenimiento físico de los equipos, haciendo limpieza de polvos adentro de los ordenadores, verificación de cableados y conectividad. 17) Cumplir con la ley vigente relacionada a las licencias y programas informáticos Se deben tener todas las licencias de los programas instalados en los ordenadores, inventariar en un sitio seguro, cumplir con certificaciones de profesionales que avalen los programas que se utilizan, como por ejemplo. La certificación del contador público para los Sistemas Contables. 18) Estar actualizado con las nuevas tendencias en seguridad que surgen día a día. El departamento de IT y seguridad deben actualizar y estar pendiente de nuevas tendencias que surgen, nuevos virus, nuevas formas de ataque a las empresas, hackers, también nuevos modos de protección para estos ataques. 19) Realización de auditorías por el oficial de seguridad mensual Con las auditorías por medio de una muestra se determina si se están cumpliendo todas las políticas de seguridad de la empresa. 20) Se limitará el acceso solo para fines profesionales Se prohíben actividades en internet ajenas a dicho fin, paginas ajenas a contenido referente a la organización, redes sociales, pornografía, entre otras. 21) Ningún usuario puede cambiar la configuración del equipo asignado. En caso de mal funcionamiento el usuario deberá comunicarse con la perona encargada de mantenimiento de equipos. 22) Antes de abandonar la estación de trabajo todos los usuarios deben cancelar todas las sesiones activas en su equipo y conexiones con los servidores de la red corporativa. Es importante cerrar las sesiones debido a que una persona ajena podría tener acceso a la información que manejan los colaboradores. 23) No se permite dar información, datos y equipos de la empresa a personas que no se identifiquen o no demuestren que pertenezcan a la organización. La ingeniería social es un conjunto de técnicas utilizada por hackers, y intrusos para extraer información sensible de los usuarios del sistema informático. 24) Las contraseñas de los usuarios son intransferibles y se deben cambiar periódicamente. Cambiar las contraseñas de los usuarios periódicamente y estas no deben repetirse, no se deben compartir con otros usuarios, no se debe anotar. 25) El departamento de informática y el departamento de seguridad deben ser independientes. No es correcto que el departamento de seguridad se encuentre dentro del departamento de seguridad, debido a que el departamento de seguridad debe emitir un veredicto objetivo ante una situación para que el departamento de tecnología tome acciones pertinentes para corregirlas.