CONTROL DE LOS EQUIPOS

CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN

Como norma general, los equipos y medios informáticos de la organización no podrán ser sacados fuera de sus instalaciones por los empleados, sin la correspondiente autorización. Para los equipos que deban utilizarse fuera de los locales de la empresa, se establecerán medidas y procedimientos y controles de seguridad de manera que estén protegidos al igual de los equipos que se utilizan dentro de la institución.

Para el traslado de soportes informáticos empleamos unas maletas especiales, diseñadas exclusivamente para salvaguardar la integridad física de su interior bajo cualquier circunstancia adversa.

Dichas maletas están construidas con materiales de alta resistencia y han sido sometidas a las pruebas de calidad más exigentes, reuniendo los requisitos necesarios para la protección contra golpes, inmersión, resistencia a la humedad y temperaturas extremas, corrosión, apilamientos y caídas.

 La custodia se realiza en una sala especialmente diseñada para mantener en su interior un campo magnético neutro, de forma que cualquier perturbación electromagnética externa sólo afecta a la superficie de la sala, nunca al interior.

 A su vez, los niveles de humedad y temperatura están sometidos a un control estricto que garantiza la invariabilidad de las condiciones para la perfecta conservación de los soportes informáticos.

La sala de custodia de soportes informáticos cuentas además con las máximas medidas de seguridad anti-intrusión, anti-incendios, así como un estricto control de acceso, que está restringido únicamente al personal autorizado.

La organización también puede establecer restricciones en sus políticas de seguridad con respecto al tipo de datos que se pueda guardar en los discos duros y en las memorias de estos equipos.

COPIAS DE SEGURIDAD

Es necesario salvaguardar la confidencialidad, integridad y disponibilidad de los datos y de los ficheros. Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procedimientos de realización de copias de seguridad y de recuperación que, en caso de fallo del sistema informático, permitan recuperar  y su caso reconstruir los datos y los ficheros dañados o eliminados.

Se entiende por copia de respaldo o de seguridad a una copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Las copias de seguridad de los datos y ficheros de los servidores deberían ser realizadas y supervisadas por personal debidamente autorizado, pero si existen datos o ficheros ubicados en equipos de usuarios sin conexión a red, podría ser el propio usuario el responsable de realizar las copias de seguridad en los soportes correspondientes.

Es preciso establecer cómo se van a inventar y etiquetar las cintas y otros soportes utilizados para las copias de seguridad, registrando las copias de seguridad realizadas, así como las posibles restauraciones de datos que se tengan que llevar a cabo.

La pérdida o destrucción, parcial o total, de los datos de un fichero debería anotarse en un registro de incidencias. Las restauraciones de datos deberían llevarse a cabo con la correspondiente autorización de un responsable del sistema informático, siendo detalladas en el propio registro.

CONTROL DE LA SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS PERIFÉRICOS

Las impresoras y otros dispositivos también pueden manejar información sensible de la organización, por lo que su seguridad debería ser contemplada a la hora de definir e implantar las políticas de seguridad.

Para la protección física de las impresoras y otros periféricos, éstas no deberían estar situadas en áreas públicas. Además, a la hora de controlar las salidas impresas, la organización debería insistir en la necesidad de que sea el propio usuario del sistema informático que envía un documento pueda caer en manos de personas no autorizadas.

GESTIÓN DE SOPORTES INFORMÁTICOS

La organización debe disponer de un inventario actualizado de los soportes donde se guarden datos y documentos sensibles: disquetes, CDs, DVDs, pendrives…

Estos soportes, cuando contienen datos o ficheros especialmente sensibles, deberían estar almacenados en un lugar con acceso restringido al personal autorizado, para evitar que otras personas pudieran obtener información.

“Esta medida es obligatoria en España para todos los ficheros que contengan datos de carácter personal, independientemente de su nivel de seguridad”

Auditoria informática:

 CONCLUSIÓN 

La institución debe mantener informados a los empleados de las politicas de seguridad tanto para el correcto uso y mantenimiento de los equipos como de los datos y ficheros, el control de cumplimiento de las politicas de seguridad debe ser permanente para que la institución funcione eficazmente. 

LINKOGRAFIA

http://www.docout.es/gestion-y-custodia-de-soportes-informaticos/

Plan, Políticas y Procedimiento de Seguridad

¿Qué es un Plan de Seguridad?
Un plan de Seguridad es una recopilación de ideas a realizar en un tiempo determinado, así como la recopilación de los recursos que se emplearán para cumplirlo

¿Qué son las políticas de Seguridad?
Son declaraciones de intenciones de alto nivel que cubre la seguridad de los sistemas informaticos y que proporcionan las bases para determinar responsabilidades tecnicas y organizativas que sean requeridas.

¿Qué es un Procedimiento de Seguridad?

Es la descripción detallada  de los pasos a realizar para cumplir la tarea trazada, éstos permiten implantar políticas de seguridad que por supuesto son aprobadas por la organización.

En la cúspide de la pirámide se situan los objetivos fundamentales de la gestión de la seguridad de la información, resumidos mediante el acrónimo CIA (Confidencialidad, Integridad y Disponibilidad de la información)

Características deseables de las políticas de seguridad

Las políticas de seguridad deberían poder ser implementadas a través de determinados procedimientos administrativos y la publicación de unas guías de uso aceptable del sistema por parte del personal, así como mediante la instalación, configuración y mantenimiento de determinados dispositivos y herramientas de hardware que implanten servicios de seguridad.

Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos,
analistas y programadores, usuarios finales, directivos, personal externo a la organización.

Debe cumplir con las exigencias del entorno legal.

Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de la
organización y del entorno tecnológico y legal.

Aplicación del principio de "Defensa en profundidad": definición e implantación de varios niveles o capasde seguridad.

Asignación de los mínimos privilegios: los servicios, las aplicaciones y usuarios del sistema deberían tener asignados los mínimos privilegios necesarios para que puedan realizar sus tareas. La política por defectodebe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estará prohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberían ser eliminados de los sistemas informáticos.

Configuración robusta ante fallos: los sistemas deberían ser diseñados e implementados para que, en
caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.

Las Políticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros, sino que deberían estar adaptadas a las necesidades reales de cada
organización.

CONCLUSIÓN
Las políticas, los planes y los procedimientos de la seguridad son tres componentes de importancia en el buen trato de la información y toda institución debe aplicar estos principios para que no existan inconvenientes en el resguardo de la información y lograr una estructura organizacional sólida, sin deficit de ninguna índole.