UNIVERSIDAD INTERAMERICANA DE PANAMÁ

PROGRAMA DE MAESTRÍA

ESTRUCTURA INFORMATICA DE LA EMPRESA

PROFESOR ANTONIO PERNETT

POLÍTICAS PARA EL ÁREA DE TECNOLOGÍA

INTEGRANTE:
ZAMBRANO, FRANCISCO

JUNIO 22, 2019

POLÍTICAS PARA EL ÁREA DE TECNOLOGÍA

A continuación se detallan una serie reglas y políticas que el departamento de

seguridad debe tener en cuenta para asegurar la protección de la empresa

1) Registrar y controlar el alta de nuevos usuarios.

Para el alta de usuarios, se debe prestar atención a aspectos como el adecuado chequeo
de referencias e incorporación de cláusulas de confidencialidad en los contratos, sobre
todo a aquellas personas que manejaran datos sensibles.
2) Dar de baja a empleados que ya no pertenecen a la compañía.
Mediante un proceso definido, se debe proceder a la cancelación o bloqueo inmediato
de las cuentas de usuario y la revocación de todo permiso y privilegio que tenían
concedidos, así como devolución de todo equipo prestado.
3) Especial protección de acceso del local donde se ubiquen los ordenadores con
información sensible.
Personal no autorizado puede acceder donde se ubican los servidores y extraer la
información de estos, robándoselas, o guardando información no pertinente a la
empresa.
4) Disponer de salas especialmente acondicionadas para ubicar los servidores
centrales.
Protección frente a daños de fuego, inundación, explosiones, etcétera. También
elementos de construcción adecuada, puertas, paredes, suelos y techos falsos,
canalizaciones eléctricas estos elementos deben cumplir el máximo nivel de
protección exigido por la norma de construcción.
5) Bloqueos de puertos USB, lectores de DVD/CD, discos duros o cualquier unidad
e almacenamiento extraíble en los equipos de la empresa
Con esto se evita que los empleados o personas ajenas a la organización extraigan
información.
6) Revisión de la instalación eléctrica específica para el sistema informático
Es recomendable disponer de tomas protegidas y estabilizadas, aisladas del resto de
la instalación eléctrica de la organización.
7) Controlar y registrar todo equipo que sale de la organización
Los equipos no podrán ser sacados fuera la de sus instalaciones por los empleados sin
su debida autorización, además los portadores deberán hacerse cargo por daños físicos
y programas instalados sin autorización.
8) Elaboración de copias de seguridad de cualquier dato o información
perteneciente a la compañía.
Deben existir procedimientos de realización de copias de seguridad y recuperación
que en caso de un fallo del sistema informático, permitan recuperar y reconstruir los
datos y ficheros dañados.
9) Otorgar claves a los usuarios para la utilización de las impresoras.
Es importante llevar un control de la información que se imprime y la utilidad que le
están dando los colaboradores a las impresoras. Números de impresiones, que se está
imprimiendo y que tiene la impresión.
10) Inventariar todo tipo de soporte donde se guarde la información de la compañía.
Los soportes cuando tienen información sensible deberían estar almacenados en un
lugar con acceso restringido al personal autorizado, detallando que información
contiene, su fecha, tipo de información, tipo de soporte, etiqueta lógica.
11) Se debe garantizar el borrado seguro de todos los sistemas e almacenamientos
que vayan a ser vendidos, cedidos a terceros, destruidos o devueltos al fabricante
Para la reutilización de equipos se debe resetear o ejecutar un borrado completo de la
información que este contuvo anteriormente, en casos de los discos duros se debe
proceder a la destrucción total.
12) Definir el acceso lógico a los usuarios del sistema.
Se definen las restricciones de acceso en función de usuario, proceso, hora, de trabajo,
ubicación física del sujeto, así como limitaciones en la interfaz del sistema.
13) Clasificar los documentos según la información que contengan y su importancia
para la organización
Se podría clasificar de la siguiente manera, Información desclasificada (Para toda
persona), Información de uso interno (Para empleados), Información confidencial
(Para algunos empleados y directivos), Información Secreta (Para directivos y pocos
empleados de confianza).
14) Limitar los permisos de acceso por conexiones remotas a personas en específico
y registrar actividades sospechosas.
Se deben tener claros los permisos vigentes que están activos y llevar un control de
la fecha, hora y motivo de conexión.
15) Registro de incidencias y buzón de sugerencias disponibles para todos los
miembros de la organización.
El reporte de incidencias debe estar disponible para todo personal donde estos puedan
expresar de manera clara el incidente ocurrido con detalle, además debe estar
disponible un buzón de sugerencia para que estos puedan opinar respecto a los
procesos, informar irregularidades, etcétera.
16) Mantenimiento de la red y de los equipos periódicamente( bimensual)
Se debe actualizar el software de sistemas operativos, aplicaciones y servicios de la
red, así también el mantenimiento físico de los equipos, haciendo limpieza de polvos
adentro de los ordenadores, verificación de cableados y conectividad.
17) Cumplir con la ley vigente relacionada a las licencias y programas informáticos
Se deben tener todas las licencias de los programas instalados en los ordenadores,
inventariar en un sitio seguro, cumplir con certificaciones de profesionales que avalen
los programas que se utilizan, como por ejemplo. La certificación del contador
público para los Sistemas Contables.
18) Estar actualizado con las nuevas tendencias en seguridad que surgen día a día.
El departamento de IT y seguridad deben actualizar y estar pendiente de nuevas
tendencias que surgen, nuevos virus, nuevas formas de ataque a las empresas,
hackers, también nuevos modos de protección para estos ataques.
19) Realización de auditorías por el oficial de seguridad mensual
Con las auditorías por medio de una muestra se determina si se están cumpliendo
todas las políticas de seguridad de la empresa.
20) Se limitará el acceso solo para fines profesionales
Se prohíben actividades en internet ajenas a dicho fin, paginas ajenas a contenido
referente a la organización, redes sociales, pornografía, entre otras.
21) Ningún usuario puede cambiar la configuración del equipo asignado.
 En caso de mal funcionamiento el usuario deberá comunicarse con la perona
encargada de mantenimiento de equipos.
22) Antes de abandonar la estación de trabajo todos los usuarios deben cancelar
todas las sesiones activas en su equipo y conexiones con los servidores de la red
corporativa.
Es importante cerrar las sesiones debido a que una persona ajena podría tener acceso
a la información que manejan los colaboradores.
23) No se permite dar información, datos y equipos de la empresa a personas que no
se identifiquen o no demuestren que pertenezcan a la organización.
La ingeniería social es un conjunto de técnicas utilizada por hackers, y intrusos para
extraer información sensible de los usuarios del sistema informático.
24) Las contraseñas de los usuarios son intransferibles y se deben cambiar
periódicamente.
Cambiar las contraseñas de los usuarios periódicamente y estas no deben repetirse,
no se deben compartir con otros usuarios, no se debe anotar.
25) El departamento de informática y el departamento de seguridad deben ser
independientes.
No es correcto que el departamento de seguridad se encuentre dentro del
departamento de seguridad, debido a que el departamento de seguridad debe emitir
un veredicto objetivo ante una situación para que el departamento de tecnología tome
acciones pertinentes para corregirlas.