Las Políticas de
Seguridad del Sistema informático frente al personal de la organización requieren
contemplar los siguientes aspectos:
SEGURIDAD
FRENTE AL PERSONAL
Alta de empleados
Alta de empleados
El proceso de alta de
nuevos empleados requiere prestar
atención a aspectos como el adecuado chequeo de referencias y la incorporación
de determinadas cláusulas de confidencialidad
en los contratos, sobre todo si
la persona en cuestión va a tener acceso a datos sensibles y manejar
aplicaciones.
Para las nuevas cuentas
de usuario dentro del sistema, es necesario definir la creación de las mismas,
para la posterior asignación de permisos
en función de las atribuciones de responsabilidad de cada empleado.
La baja de un empleado también
quedará definida, de tal modo que los responsables del sistema informático puedan
proceder a la cancelación o bloqueo
inmediato de las cuentas de usuario y a la renovación de los permisos y privilegios que tenían
concedidos.
También deben
contemplar la devolución de los equipos,
tarjetas de acceso y otros dispositivos
en poder de los empleados que
causan baja en la organización.
FUNCIONES, OBLIGACIONES Y DERECHOS
DE LOS USUARIOS
La
organización debe definir con claridad cuáles son los distintos niveles de
acceso a los servicios y recursos de su sistema informático.
De
este modo repartiremos el tipo de actividades
o tareas que se darán en el tiempo que esté utilizando dicha
organización, es decir la distribución del tipo de funciones que se le designa
a cada uno de los usuarios, el horario establecido, la hora y los días en que
el puede acceder a la información requerida.
La
organización velará por la seguridad del usuario que tienen acceso a dicho tipo
de sistemas estableciendo que condiciones sus correos, ficheros u otro tipo de
documentos será intervenida por la organización.
FORMACIÓN Y SENSIBILIDAD DE LOS
USUARIOS
La
organización deberá informar a sus empleados con acceso al sistema de
información y sus obligaciones en materia de seguridad. Además de efectuar
acciones de forma periódica para mejorar los conocimientos informáticos de
seguridad de los empleados.
Los
nuevos trabajadores tendrán que ser informados de forma adecuada, en las áreas
de trabajo a datos sensibles para el funcionamiento de información.
ADQUISICIÓN DE PRODUCTOS
La adquisición de
productos tecnológicos necesarios para el desarrollo y mantenimiento del
sistema informático deberá de seguir con los siguientes pasos:
:
* Evaluación del producto de acuerdo con las necesidades y requisitos del sistema informático.
* Evaluación de proveedores y nivel de servicios
*Análisis comparativos de código
* definición y condiciones de compra
* Instalación y configuración de los productos
* Tareas de soporte y mantenimiento post venta
* Actualización de nuevos productos.
* Evaluación del producto de acuerdo con las necesidades y requisitos del sistema informático.
* Evaluación de proveedores y nivel de servicios
*Análisis comparativos de código
* definición y condiciones de compra
* Instalación y configuración de los productos
* Tareas de soporte y mantenimiento post venta
* Actualización de nuevos productos.
RELACIÓN CON PROVEEDORES
En este se estipula las cláusulas y exigencias habituales en la firma de
contrato con los proveedores, a fin de delimitar las responsabilidades y de los
requisitos contratados.
Como ventaja podríamos contratar a proveedores que se encuentren certificados en Gestión de la Seguridad Informática.
SEGURIDAD FÍSICAS DE LAS INSTALACIONES
Los ordenadores que puedan acceder a ficheros deberán ser protegidos de una manera más especial, para que garantizar confidencialidad, integridad y disponibilidad de los datos y aplicaciones más críticas.
Como ventaja podríamos contratar a proveedores que se encuentren certificados en Gestión de la Seguridad Informática.
SEGURIDAD FÍSICAS DE LAS INSTALACIONES
Los ordenadores que puedan acceder a ficheros deberán ser protegidos de una manera más especial, para que garantizar confidencialidad, integridad y disponibilidad de los datos y aplicaciones más críticas.
Las medidas
relacionadas con la seguridad física deberían contemplar, las
características de construcción de
edificios donde se vayan a ubicar los recursos informáticos, analizando los
siguientes aspectos:
Una de las cuales es:
Ø
Protección frente a daños de fuego
Protección frente a daños de fuego
Ø Selección de los
elementos constructivos internos más adecuados.
Ø
Definiciones de área en distintas partes de la empresa.
Definiciones de área en distintas partes de la empresa.
o
Áreas
internas – reservadas a los empleados
o
Área de
acceso restringido.- pueden acceder un grupo reducido de empleados.
Ø
Disponibilidad
de zonas destinadas a la carga y descarga de suministros.
Ø
Implantación
de sistemas de vigilancia basados en cámaras en circuito cerrado de televisión
y en alarmas detectoras de movimiento.
Ø Control de las condiciones
ambientales de las instalaciones , mediante sistema de ventilación, calefacción
aire acondicionado y humidificación durante todos los días del año.
