MANUAL DE USUARIO_SOLUCIONES INFORMATICAS LTDA

...

∙ El personal del Área de Información y Sistemas debe emplear obligatoriamente las claves o contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte que posee la entidad de acuerdo al rol asignado.

Los administradores de los sistemas de información deben seguir las políticas de cambio de clave y utilizar procedimiento de salvaguarda o custodia de las claves o contraseñas en un sitio seguro. A este lugar solo debe tener acceso el Jefe del Área de Información y Sistemas o el Asesor para la de Seguridad Informática.

∙ Los documentos y en general la información de procedimientos, seriales, software etc. deben mantenerse custodiados en todo momento para evitar el acceso a personas no autorizadas.

∙ Para el cambio o retiro de equipos de funcionarios, se deben seguir políticas de saneamiento, es decir llevar a cabo mejores prácticas para la eliminación de la información de acuerdo al software disponible en la empresa. Ej: Formateo seguro, destrucción total de documentos o borrado seguro de equipos electrónicos.

∙ Los funcionarios encargados de realizar la instalación o distribución de software, sólo instalarán productos con licencia y software autorizado.

∙ Los funcionarios del Área de Información y Sistemas no deben otorgar privilegios especiales a los usuarios sobre las estaciones de trabajo, sin la autorización correspondiente del Jefe del Área de Información y Sistemas y el registro en el sistema

∙ Los funcionarios del Área de Información y Sistemas se obligan a no revelar a terceras personas, la información a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la guía de clasificación de la información según sus niveles de seguridad. En consecuencia, se obligan a mantenerla de manera confidencial y privada y a protegerla para evitar su divulgación.

∙ Los funcionarios del Área de Información y Sistemas no utilizarán la información para fines comerciales o diferentes al ejercicio de sus funciones.

∙ Toda licencia de software o aplicativo informático y sus medios, se deben guardar y relacionar de tal forma que asegure su protección y disposición en un futuro.

∙ Las copias licenciadas y registradas del software adquirido, deben ser únicamente instaladas en los equipos y servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las políticas del proveedor y de la entidad.

∙ La copia de programas o documentación, requiere tener la aprobación escrita de soluciones informáticas Ltda. y del proveedor si éste lo exige.

∙ Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores; no se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad a través del Comité de Seguridad Informática y de Sistemas establecido o el Asesor para la de Seguridad Informática.

∙ El acceso a cualquier servicio, servidor o sistema de información debe ser autenticado y autorizado.

∙ Todos los servidores deben ser configurados con el mínimo de servicios necesarios y obligatorios para desarrollar las funciones designadas.

9. Disposición de información, medios y equipos.

Objetivo: Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y propender por su recuperación oportuna.

Aplicabilidad: Estas son políticas que aplican a la Alta Gerencia, Secretarios, Administrativos, Operacionales, Departamento TI, y en general a todos los usuarios de la información que cumplan con los propósitos generales.

Directrices: Los medios y equipos donde se almacena, procesa o comunica la información, deben mantenerse con las medidas de protección físicas y lógicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se debe realizar los mantenimientos preventivos y correctivos que se requieran.

10. Política de respaldo y restauración de información.

Objetivo: Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el software, se pueda recuperar después de una falla.

Aplicabilidad: Esta política será aplicada por los administradores de tecnología, encargados de sistemas de información que decidan sobre la disponibilidad en integridad de los datos.

Directrices:

∙ La información de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como USB, disco duro, CD, DVD, etc.

∙ Los administradores de los servidores, los sistemas de información o los equipos de comunicaciones, son los responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la información y el administrador del sistema de respaldo, es el responsable de realizar los respaldos periódicos.

∙ Todas las copias de información crítica deben ser almacenadas en un área adecuada y con control de acceso.

∙ Las copias de respaldo se guardaran únicamente con el objetivo de restaurar el sistema luego de un virus informático, defectos en los discos de almacenamiento, problemas de los servidores o computadores, materialización de amenazas, catástrofes y por requerimiento legal.

∙ Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información crítica; el dueño de la información debe asegurar que el plan es adecuado, frecuentemente actualizado y periódicamente probado y revisado.

∙ Ningún tipo de información puede ser almacenada en forma exclusiva en los discos duros de las estaciones de trabajo; por lo tanto, es obligación de los usuarios finales realizar las copias en las carpetas destinadas para este fin.

∙ Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera de las instalaciones.

∙ La restauración de copias de respaldo en ambientes de producción debe estar debidamente aprobada por el propietario de la información.

∙ Semanalmente los administradores de infraestructura, verificarán la correcta ejecución de los procesos de backup, suministrarán las copias requeridas para cada trabajo y controlarán la