2. DESARROLLO DEL PROYECTO
2.3 EMPRESA 3 1 Historia
2.4.1 Aplicación de la Norma IS0 17799 De acuerdo con las diez (10) áreas de control de la norma y el tipo de empresa a la cual está dirigido los estudios, los
aspectos principales que la empresa debe tener en cuenta son:
2.4.1.1 Políticas de seguridad. Entre las políticas de seguridad se recomienda que la empresa Mipymes tenga en cuenta:
La selección del personal capacitado. Es importante que por lo menos dos usuarios estén en la capacidad de manejar y controlar el uso de la herramienta Google Drive, estos usuarios deben ser previamente seleccionados por la Gerencia y preferiblemente debe existir una Administrador junto con un suplente teniendo en cuenta los siguientes roles:
Personal de confianza
Deben conocer los procesos de cada una de las áreas de la empresa esto con el fin de que tengan la capacidad de detectar la información relevante de cada proceso y de esta manera proteger la misma.
Por lo menos uno de los usuarios debe ser el propietario o la persona encargada de la información financiera de la empresa, ya que este será el que tiene total acceso a la actualización, verificación o eliminación de la información de la empresa.
El usuario suplente debe tener la capacidad de realizar cada uno de los procesos del Plan DRP tal como los hace el usuario administrador.
Ejecución del DRP. La configuración de la carpeta de sincronización de la información a través de la herramienta google drive únicamente se debe realizar en el equipo donde se encuentre la información relevante a proteger. Ver información de instalación y configuración de la herramienta Google Drive en manual (Anexo C).
Administración de correo electrónico: la administración de correo debe estar delegada al administrador y al suplente del DRP.
Permiso de acceso a la información: el administrador es la persona encargada de compartir la información con el suplente permitiendo los permisos requeridos dentro del aplicativo, ver indicaciones en el manual (Anexo C).
Claves de acceso: Se debe crear clave de acceso alfanumérica para el administrador y suplente tanto para equipo computo en el que se encuentra la herramienta, correo electrónico de la herramienta Google Drive, es importante tener en cuenta que las claves de acceso se deben cambiar periódicamente por lo menos una vez al mes.
2.4.1.2 Organización de Seguridad.
El administrador del DRP será la persona encargada de la instalación y configuración de la carpeta local de sincronización de Google Drive en el equipo que se encuentra la información a proteger. Ver manual (véase el Anexo C)
El administrador del DRP es la persona que dará los permisos respectivos para compartir la información al suplente ver manual (véase el Anexo C)
El administrador es la persona encargada del cambio de contraseñas tanto de la herramienta Google Drive y correo electrónico.
El administrador y suplente serán el personal encargado de almacenar, editar o crear información en la herramienta Google Drive. Ver manual (véase el Anexo C)
2.4.1.3 Clasificación y Control de Activos.
Se debe calificar los activos tangibles e intangibles y sobre estos determinar cuáles son los que permitirían la continuidad del negocio.
Para este caso el equipo de cómputo de cada empresa es un activo tangible que permite el procesamiento de la información de los diferentes procesos de la empresa, por tal razón es importante prevenir cualquier riesgo natural o humano que afecte este activo.
La información de vital importancia de los diferentes procesos de la empresa se considera quizás como el activo intangible más importante de la empresa, es por esta razón que se deben tomar precauciones sobre la misma para mitigar cualquier riesgo que le afecte.
2.4.1.4 Seguridad del Personal.
Únicamente el personal autorizado debe tener acceso al equipo de cómputo e información que pertenecen al DRP.
El personal autorizado debe realizar el cambio de contraseña una vez al mes como mínimo y por ninguna circunstancia compartir información confidencial con personal no autorizado.
2.4.1.5 Seguridad Física y Ambiental
El equipo computo deberá estar conectado a la corriente e mediante una Ups que le permita guardar cambios en el momento de una suspensión de energía. El equipo computo es de uso exclusivo de los empleados, no debe utilizarlo nadie de afuera de la empresa.
No deben introducirle ni diskettes, ni Cd´s, ni Usb que no sean de propiedad de la EMPRESA y de uso exclusivo de la misma, ya que pueden adquirir virus.
No se debe entrar a páginas de OCIO, ni programas como Messenger, Facebook, YouTube, ares, etc., juegos (solitario, busca minas, etc.); quemar música, quemar videos, bajarlos, escuchar música, o emisoras por Internet, pornografía, casino, etc.
No se deben utilizar correos que no sean de uso exclusivo de la empresa.
No conecte celulares, IPODS, ya que éstos operan igual que las USB y los diskettes; también traen virus.
Mantenga su computador apagado si se va a alejar de su sitio de trabajo por más de una hora, ahorre energía, cierre su oficina para que nadie le de un uso inadecuado.
Mantenga el Computador aseado. No obstaculice las entradas de aire (ventiladores) colocando libros y / o papeles encima. No obstruya el sitio por donde sale calor, por ejemplo encima del monitor, ya que genera recalentamiento y quema los equipos. Cerciórese que la fuente de energía de donde se conecta el computador es suficiente y regular para evitar los bajones de luz, y por ende daño en el disco duro y otras partes del equipo.
Si observa algún ruido raro, o se apaga muchas veces la UPS, el estabilizador o la CPU avise de inmediato al técnico de SISTEMAS.
Nunca instale ni acepte mensajes como por ejemplo “Se acaba de ganar $1.000.000,oo” o “Usted es el visitante No. 1.000” o “Usted tiene virus, vacune gratis” o “Usted es bendecido abra y se ganará el cielo” o “Se acaba de ganar un viaje” Estos son mensajes emergentes o de publicidad que instalan Programas Gusano y que permiten el robo de información, afectación por virus y además abre páginas de Internet prohibidas y bloquean toda la red y el equipo debe formatearse al poco tiempo. El chiste del día, los mensajes tiernos, las cadenas de oración, las cadenas de limosna; mensajes que no se esperan porque no son de remitentes conocidos o de empresas conocidas, por favor borrarlos. Nunca abra archivos adjuntos de mensajes cuyo remitente no sea de confianza.
Tenga precaución con el fishing
Los computadores no deben estar encendidos cuando haya bajones de luz por rayos, soldaduras, taladros, compresores; deben apagarse y una vez esté la luz estable prenderse nuevamente (incluso desconectarlos de la pared).
Apagar el equipo al terminar las funciones del Día. 2.4.1.6 Gestión de Comunicaciones y Operaciones. Todas las políticas deben ser comunicadas al personal El área de trabajo debe tener señalizaciones como: Prohibido en ingreso de personal no autorizado Área administrativa
2.4.1.7 Control de Accesos. Por el tamaño y el tipo de empresa y no requiere monitoreo de acceso a la red o las instalaciones físicas.
2.4.1.8 Desarrollo y mantenimiento de Sistemas. La empresa debe planificar la realización periódica los mantenimientos del equipo de cómputo.
2.4.1.9 Administración de la Continuidad de los Negocios. La empresa debe tener en cuenta el análisis de riesgos que se encuentra en el documento y ejecutar el plan de contingencia – (Véase el Anexo C)
2.4.1.10 Cumplimiento. No aplica debido a que las empresas a las que está dirigido este prototipo de plan de recuperación de desastres no cumplen con todas las normas ISO 17799, debido a su tamaño y cantidad de información que manejan. A este tipo de empresas.
2.4.2 Replicación en la Nube. El servicio de replicación de datos es fácil de