Códico de buenas prácticas en seguridad informática
Enviado por hack8 • 4 de Octubre de 2023 • Informe • 7.397 Palabras (30 Páginas) • 45 Visitas
CÓDICO DE BUENAS PRÁCTICAS
EN SEGURIDAD INFORMÁTICA
1 Introducción
Cada año aumenta el número de ataques y de incidencias informáticas que generan fuertes pérdidas económicas y de imagen a las empresas de todo el mundo, llegando incluso a provocar la quiebra de muchas de ellas.
De los millones de incidencias provocados por la falta de seguridad informática que se producen anualmente, se estima que sobre el 80% de estas están generadas por actuaciones erróneas de sus usuarios internos, ya sea por malicia o desconocimiento.
Para evitar en gran parte este tipo de incidencias, en SION Certifications consideramos que una parte esencial para la prevención, es la educación de los usuarios. Ellos son una parte esencial tanto para el correcto funcionamiento y crecimiento de la empresa, como para asegurar que los procesos en seguridad informática se cumplan.
Esta pequeña guía es un referente que intenta aportar un código de buenas prácticas a los usuarios de cualquier empresa, para evitar, en la medida de lo posible, un riesgo que en muchas ocasiones es fácilmente salvable. Para que pueda llegar de forma entendible y clara a todos los usuarios, sea cual sea su conocimiento informático, creamos esta guía con un léxico nada técnico y sencillo, de forma que independientemente de la educación recibida por el usuario, pueda llevar a la práctica este conjunto de recomendaciones.
Pocas personas, no pertenecientes al mundo de la informática, dan la verdadera importancia que tiene la seguridad en los sistemas electrónicos, pero igual que la educación vial se considera básica y necesaria, la educación en la seguridad informática empresarial, se hace cada vez más necesaria dado el incremento de las nuevas tecnologías en nuestras vidas diarias y en especial del mundo empresarial.
- Seguridad Informática
Antes de entrar en materia, creemos conveniente dar una pequeña definición de que es la seguridad informática. En una definición básica podría decirse que la seguridad informática es la acción directa por la que los técnicos informáticos aseguran que los recursos del sistema de la información de una entidad empresarial se utilizan de manera correcta y en base a lo que se predefinió previamente, asegurando que el acceso a la información allí contenida, así como su modificación y trasmisión, sólo sea accesible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
- Objetivos
El presente Código de Buenas Prácticas tiene por objeto recopilar los principales aspectos y normas que se deben conocer y aplicar para que todos los usuarios sean conscientes de la necesidad de mantener un nivel de seguridad adecuado en todos los sistemas de información que tengan que utilizar en el desempeño de sus funciones en el ámbito de las competencias laborales, sin perjuicio del cumplimiento del resto de las obligaciones que les pudiera ser de aplicación.
El establecimiento del presente Código de Buenas Prácticas permitirá además, que los usuarios conozcan sus obligaciones en relación con el uso de los datos personales y concienciarles de la necesidad de establecer normas y reglas claras que eviten determinadas prácticas y ayuden a garantizar los derechos fundamentales de los clientes en relación con el uso de sus datos personales.
Asimismo, incidirá en el correcto uso de los medios y sistemas de información, consecuencia de la necesidad de optimizar la utilización de dichos medios, y de evitar los efectos de un uso inadecuado.
- Ámbito de aplicación
Este Código de Buenas Prácticas será de aplicación a todos los usuarios de la empresa, sin perjuicio del cumplimiento del resto de las obligaciones que pudiera serles de aplicación.
El presente Código de Buenas Prácticas se aplicará al uso de cualesquier sistema de información de la empresa, incluyéndose ordenadores personales, medios de transmisión de información, o equipos de cualquier otro tipo que se pueda poner a disposición de los usuarios.
- Definiciones
Se determina necesario aclarar y especificar un glosario de términos básico, para que el lector de esta guía pueda entender fácilmente los conceptos nombrados.
Usuario: Son todos los profesionales que prestan sus servicios en la empresa, así como el personal de empresas externas que desarrollen tareas, permanente u ocasionalmente para la empresa.
PSI: Políticas de Seguridad de la Información
Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o Identificables.
Malware: también conocido como badware, es el código o aplicación que tiene como objetivo infiltrarse o dañar los dispositivos informáticos o la información contenida.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de la información de carácter personal, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Spam: correo electrónico que promociona diferentes productos y servicios a través de publicidad no solicitada, enviada masivamente a las direcciones de correo electrónico.
Phishing: o suplantación de identidad es una técnica mediante la cual el atacante nos entrega una dirección web aparentemente válida, pero que tras pulsarla nos muestra una página clonada e idéntica a la real, salvo que el enlace real está alterado. El objetivo de este tipo de ataques es obtener nuestras credenciales, por ejemplo la de la cuenta bancaria.
Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Sistema de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos.
Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
- Principios básicos
La información y los sistemas informáticos e infraestructuras utilizados en el ámbito laboral, deben utilizarse aplicando las medidas y normas que permitan alcanzar los niveles de seguridad necesarios para garantizar su protección, salvaguardando la seguridad de la información, y mejorando de esta forma la calidad de los servicios prestados a los clientes.
...