• No se han encontrado resultados

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMÁTICA

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMÁTICA"

Copied!
5
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 5 página )

Texto completo

(1)

1 OBJETIVO

Reducir los riesgos de acceso no autorizado, pérdida, daño o fuga de información que pudieran originarse desde los puestos de trabajo.

2 ALCANCE

Aplica a todos los espacios de trabajo de los funcionarios y de terceros que de manera eventual o permanente presten sus servicios en la Institución.

3 RESPONSABLES

 Comité de Seguridad de la Información

 Directores y jefes de área

 Funcionarios/Usuario

 Terceros

 Oficial de Seguridad de la Información

4 REFERENCIAS

 ISO/IEC 27001:2013 – Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos

5 DEFINICIONES

AUTENTICACIÓN: Se refiere a la provisión de credenciales (usuario y contraseña) para poder acceder a recursos protegidos en equipos de computación. El primer nivel de autenticación, es el provisto para acceder a la red corporativa.

ESPACIO DE TRABAJO: Lugar donde los funcionarios o terceros llevan a cabo sus actividades diarias. Incluye escritorio de trabajo y accesorios, así como de uno o varios equipos de computación provistos como herramientas de trabajo y cuyo custodio está bajo su responsabilidad.

LUGAR SEGURO: sitio físico o electrónico que protege la información de: accesos no autorizados, pérdida, robo, daño o fuga; cuya recuperación es inmediata para sus responsables o personas autorizadas. Ejemplo: caja fuerte, archivador, mueble seguro, oficina con llave, casilleros de seguridad, equipos de computación, etc.

USUARIO: funcionarios o colaboradores de terceros que hacen uso de los servicios informáticos de la Institución.

(2)

 

6.1 DE LA UBICACIÓN Y PROTECCIÓN DE EQUIPOS DE COMPUTACIÓN

 Los puestos de trabajo deben preferentemente ubicarse en lugares que no queden expuestos al fácil acceso de cualquier persona.

 Los equipos que queden ubicados cerca de las zonas de atención o tránsito de público, deben situarse de forma que las pantallas de trabajo no queden expuestas y puedan ser visualizadas por personas no autorizadas.

 Si los equipos de trabajo son móviles, deben necesariamente contar con medidas de protección física para evitar su robo.

 No se debe ingerir alimentos ni bebidas cerca de los equipos de computación, ya que los derrames generalmente ocasionan circuitos en los mismos con el consiguiente riesgo de daño del equipo y pérdida de información. Quien lo haga asume el riesgo y su responsabilidad.

 Cuando sea aplicable, en los sitios donde se almacene la información física o electrónica (activos de información), se debe implementar condiciones ambientales que controlen o alerten temperatura y humedad adecuadas. La supervisión de estos activos de información son los custodios o responsables de los respectivos activos de información identificados en cada área de la Institución.

6.2 DE LOS EQUIPOS DESANTENDIDOS

 Toda vez que el usuario se ausente de su lugar de trabajo debe bloquear su equipo de trabajo a efectos de proteger el acceso a las aplicaciones, datos o servicios disponibles por personas no autorizadas.

 Todas las estaciones de trabajo deben tener aplicada la política de protección de pantalla, definido por los Oficiales de Seguridad e Infraestructura, de forma que se active ante un tiempo sin uso de los mismos.

 La pantalla de autenticación para acceder a la red de la Institución debe requerir solamente la identificación del usuario y su contraseña, no debe entregar o solicitar ninguna otra información. Si el equipo de trabajo requiere cambio de contraseña, lo puede hacer siguiendo el estándar definido para el efecto.

 La autenticación del usuario debe ser requerida cada vez que el equipo de trabajo se encienda, reinicie, bloquee o después de aparecer el protector de pantalla.

(3)

 

 Todos los funcionarios que hagan uso de un espacio de trabajo, deben estar conscientes que esto implica: su mesa de trabajo y equipo de computación principalmente; por tanto, cuando hablamos de mantener limpios los escritorios estamos haciendo referencia a la superficie de su mesa de trabajo que debe estar siempre libre de documentos físicos y que las pantallas de los equipos de trabajo adopten esa práctica.

 Cada vez que un usuario se ausente de su lugar de trabajo, junto con bloquear su estación de trabajo, debe guardar en algún lugar seguro cualquier documento, medio magnético u óptico removible que contenga información confidencial o de uso interno.

 Al finalizar la jornada laboral, los funcionarios debe guardar en lugar seguro los documentos y medios que contengan información confidencial o uso interno; además deberá cerrar las aplicaciones o servicios que haya utilizado y proceder a apagar su equipo.

 No se permite que el usuario sólo deje apagando el monitor, salvo razones justificadas y previamente comunicadas al Oficial de Seguridad.

 Si los usuarios están cerca de zonas de atención al público, al ausentarse de su puesto de trabajo, aunque sea por breves momentos, debe guardar todos los documentos y medios que contengan información de uso interno o confidencial.

 Los equipos de reproducción de información como: impresoras, fotocopiadoras, escáneres o similares; deben estar en la medida de lo posible en lugares ubicados con acceso controlado, y cualquier documentación, sobre todo confidencial, debe ser recuperado de manera inmediata por el responsable de su generación.

 Los usuarios de los equipos de computación, no podrán guardar ni mantener información visible y accesible en los escritorios de sus equipos. Esta política obligará a los usuarios que los documentos (Word, Excel, PowerPoint, Pdf, etc.), deben ser guardados en sus respectivos discos y ordenados en carpetas de acuerdo a su buen criterio de orden.

6.4 DE LAS SALAS Y PIZARRAS LIMPIAS

 Las salas o áreas de reuniones, salas de conferencias y de capacitación, deben quedar limpias de todo el material utilizado.

 Después de las reuniones en que se utilicen pizarras, estas deben quedar limpias de la información que se ha expuesto en ellas, sobre todo si su tratamiento debiera ser de uso interno o confidencial.

 En caso que se utilice un equipo de trabajo para presentaciones, si éste fuera de uso común, debe eliminarse la información antes presentada, sobre todo si su tratamiento debiera ser de uso interno o confidencial.

(4)

 

 Al finalizar los eventos de que precisen de equipos de proyección, audio o computación, quienes hayan hecho uso de los mismos deben asegurarse de apagarlos por completo.

(5)

 

7 CONTROL DE VERSIONES

VERSION FECHA MOTIVO DEL CAMBIO

1.0.0 07-JUN-2016 Creación del documento

8 REGISTROS

N/A

Referencias

Descargar ahora ( PDF - 5 página - 149.52 KB )

Documento similar