POLITICAS DE RESPALDO DE LA INFORMACION

...

se debe asegurar que éste no sea modificado, y cerciorarse de que no sea leído

por personal no autorizado. Estos aspectos son importantes para la corrección

de errores, auditorías o huecos de seguridad.

- Debe realizarse supervisión a los sistemas de información, a sus

administradores por lo menos cada tres meses (con ayuda de expertos), para

evaluar el nivel de seguridad que realizan.

- Para evitar conductas inapropiadas, crear un sentido de responsabilidad del

usuario, y permitir una administración adecuada de los sistemas, todas las

actividades de los usuarios que afecten producción deben ser trazables desde

el log.

- Las aplicaciones y otros manejadores de Bases de Datos, deben tener logs para

las actividades de los usuarios y estadísticas relacionadas a estas actividades

que les permitan identificar y detectar alarmas de posibles problemas o mal uso,

y que reflejen eventos misionales de la institución sospechosos.

- Todos los sistemas de la Institución Universitaria Escuela Nacional del Deporte,

incluyendo todos los computadores conectados a una red, siempre deben tener

un mismo horario y calendario adecuado, utilizando sincronía con los

servidores, cuando sea posible. Esto para facilitar actividades de rastreo

mediante los logs de los sistemas.

- El manejo de Logs, los mecanismos para detectar y registrar eventos de

seguridad significativos, deben ser resistentes a los ataques. Estos ataques

incluyen intentos de desactivación, modificación, o borrado del software de log.

Esto incluye tomar las medidas necesarias para que, aun cuando el log sea

apagado o modificado, esta suspensión o modificación queden registradas en

el mismo.

- Los logs de todos los sistemas y aplicaciones deben ser conservados de forma

tal, que no puedan ser revisados o visualizados por personas no autorizadas.

Los diferentes administradores de sistemas de información deberán enviar

mensualmente los log e informe de incidencia si las hubo a la Unidad de

Sistemas para su centralización y control.

- Actividad que debe realizar el administrador de cada sistema de información institucional (solicitarlo al desarrollador o al soporte externo), para estar monitoreando lo que es su responsabilidad.

- Los sistemas que manejen información valiosa, confidencial o crítica deben además contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contraseña, intentos de uso de privilegios no autorizados, entre otros.

MANEJO Y SEGURIDAD DE MEDIOS

- Estos documentos deberán quedar disponibles en dos copias impresas, una en poder de la gerencia y otra en la sala de servidores (1 copia por cada sala).

- Al finalizar la jornada de trabajo, el funcionario debe guardar en un lugar seguro los documentos y medios que contengan información confidencial o de uso interno.

- Se deberá sacar 3 respaldos y almacenarlos en diferentes sitios.

- La información de la empresa deberá mantenerse disponibles a las personas autorizadas

- Se llevara un registro de todos los respaldos que sean almacenados

- Cada fin de mes se entregara un informe de toda la información respaldada

- La información financiera de la empresa saca respaldos diariamente para llevar un control riguroso

- La información será almacenada en discos portables

- Los discos portables con información confidencial serán almacenados en la caja de seguridad de la empresa.

- Los respaldos son realizados de forma automática y sincronizada

SEGURIDAD DEL COMERCIO ELECTRÓNICO.

- La dirección ip(claves) para todas las transacciones financieras serán guardadas por el gerente

- toda transacción electrónica será realizada por el gerente y contador de la empresa.

- Las transacciones electrónicas serán registradas en una bitácora.

- La bitácora queda a cargo del gerente ya que es único que tiene acceso a este tipo de transacciones.

- En la bitácora después de realizar el registro de la transacción debe constar la firma del contador y el gerente.

- Si se tiene sospecha de amenazas en este tipo de transacción se debe contactar con el departamento de sistemas para verificar la procedencia de la página.

- No se debe usar con frecuencia este servicio ya que es un servicio que en nuestro país es recién implementado por lo que resulta costoso

- Se debe mantener total confidencialidad con la ip por lo que el gerente de la empresa debe firmar un documento de confidencialidad.

- Se debe presentar informes mensuales a los propietarios de la empresa de todas las transacciones electrónicas que se lleven acabo.

- El gerente debe justificar el uso de las transacciones electro y verificar si la transacción se llevo acabo de la mejor manera.

...