MANUAL DE USUARIO_SOLUCIONES INFORMATICAS LTDA
Enviado por sarita65 • 11 de Septiembre de 2016 • Informe • 2.614 Palabras (11 Páginas) • 207 Visitas
[pic 1] [pic 2]
Manual de usuario de las políticas de seguridad en Soluciones Informáticas Ltda.[pic 3][pic 4]
Manual de Usuario del Sistema Informático
de Soluciones informáticas Ltda
Noviembre de 2015
- CONTENIDO
2. PROPÓSITO
3. INTRODUCCIÓN
4. OBJETIVO
5. ALCANCE
6. POLITICAS, PROCEDIMIENTOS Y CONTROLES
7. CLASIFICACION DE LA INFORMACION
8. POLITICAS ESPECIFICAS PARA USUARIO (ADMINISTRATIVOS, OPERACIONALES, DEPARTAMENTO TI)
9. DISPOCICSION DE INFORMACION Y MEDIOS Y EQUIPOS
10. POLITICA DE RESPALDO Y RESTAURACION DE INFORMACION
2. PROPÓSITO
El propósito de este Manual es dar a conocer las recomendaciones descritas de la política y estándares de seguridad informática que deberán observar los usuarios, junto con la consulta de la información que se administra en el Sistema Informático para proteger adecuadamente la información de la empresa Soluciones Informáticas.
Está dirigido a:
El presente manual está dirigido a Administrativos, Operacionales, Departamento TI
3. INTRODUCCIÓN
La base para que cualquier organización pueda operar de una forma confiable en materia de Seguridad Informática comienza con la definición de las políticas y estándares.
La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades de la Empresa Soluciones Informáticas Ltda.
Este manual se encuentra estructurado en cinco políticas generales de seguridad para usuarios de Soluciones Informáticas, con sus respectivos estándares que consideran los siguientes puntos:
Datos
- Confidencialidad
- Integridad de la información
- Disponibilidad
- Cumplimiento
- Controles de acceso lógico
La seguridad informática, es un proceso donde se deben evaluar y administrar los riesgos apoyados en políticas y estándares que cubran las necesidades de Soluciones Informáticas en materia de seguridad.
4. OBJETIVO
Difundir las políticas y estándares de seguridad informática a todo el personal de la Empresa Soluciones Informativas Ltda, Administrativos, Operacionales, Departamento TI para que sea de su conocimiento o tengan algún tipo de relación con el Departamento Administrativo de la
ALCANCE
La Política de Seguridad de Información se deben aplicar para todos los aspectos administrativos y de control que deben cumplir por los administrativos, operacionales, y para el departamento TI que presten sus servicios o tengan algún tipo de relación con la empresa Soluciones Informáticas Ltda, para el adecuado cumplimiento de sus funciones y para conseguir un nivel de protección de calidad y seguridad de la información, debemos tener medidas preventivas y correctivas, siendo un punto clave para el logro del objetivo y la finalidad de dicho manual. Los usuarios tienen la obligación de dar cumplimiento a las presentes políticas emitidas y aprobadas por la Gerencia General.
- PROCEDIMIENTOS Y CONTROLES
Las Políticas de Seguridad de la Información, surgen como una herramienta importante para concienciar a cada uno de los administrativos, operacionales y terceros que presten sus servicios o tengan algún tipo de relación con la empresa sobre la importancia y sensibilidad de la información y servicios críticos, de tal forma que le permitan desarrollar adecuadamente sus labores y cumplir con su propósito misional.
Objetivo:
Definir las reglas del propósito general para asegurar una adecuada protección de la información de Soluciones Informáticas. Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Estas son políticas de seguridad que aplican funcionarios, contratistas, y en general a todos los usuarios de la información que cumplan con los propósitos generales
Reglas:
Se debe verificar que se definan, implementen, revisen y actualicen las políticas de seguridad de la información.
Diseñar, programar y realizar auditorías del sistema de gestión de seguridad de la información, los cuales estarán a cargo de la oficina de control.
Todo Programa o Software informático debe ser comprado o aprobado por el Área de Información y Sistemas en coherencia con la política de adquisición de bienes de la empresa de acuerdo con lo definido en los procesos de Adquisición de Bienes y Servicios.
Soluciones Informáticas debe contar con un firewall o dispositivo de seguridad perimetral para la conexión a Internet o cuando sea inevitable para la conexión a otras redes en outsourcing o de terceros.
La conexión remota a la red de área local de la empresa debe realizarse a través de una conexión VPN segura suministrada por la organización. la cual debe ser aprobada, registrada y auditada, a excepción de los casos que autorice el Área de Información y Sistemas.
El jefe de la dependencia deben asegurarse que todos los procedimientos de seguridad de la información dentro de su área de responsabilidad, se realizan correctamente para lograr el cumplimiento de las políticas y estándares de seguridad de la información.
En caso de tener un servicio de transferencia de archivos deberá realizarlo empleando protocolos seguros. Cuando el origen sea hacia entidades externas, se establecerá los controles necesarios para preservar la seguridad de la información; cuando el origen de la transferencia sea una entidad externa, se acordarán las políticas y controles de seguridad de la información con esa entidad; en todo caso se deben revisar y proponer controles en concordancia con las políticas de seguridad de la información de soluciones Informáticas; los resultados de la revisión de requerimientos de seguridad se documentarán y preservarán para futuras referencias o para demostrar el cumplimiento con las políticas y con los controles de seguridad.
El comité de seguridad informática y de sistemas de la empresa, definirá de acuerdo a la clasificación de la información, que datos deben ser cifrados y dará las directrices necesarias para la implementación de los respectivos controles dispositivos a emplear, mecanismos de administración de claves, políticas de uso de sistemas de cifrado de datos
Clasificación de la información
Objetivo:
Asegurar que la información recibe el nivel de protección apropiado de acuerdo al tipo de clasificación establecido por la ley.
Aplicabilidad:
Estas políticas se aplican a la Alta Gerencia, Secretarios, Jefes de Oficina y Jefes de Área, de acuerdo al documento guía para la clasificación de la información de acuerdo a sus niveles de seguridad.
Directrices:
Se considera información toda forma de comunicación o representación de conocimiento o datos digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que se genere como por ejemplo:
∙ Formularios / comprobantes propios o de terceros.
∙ Información en los sistemas, equipos informáticos, medios magnéticos/electrónicos o medios físicos como papel.
∙ Otros soportes magnéticos/electrónicos removibles, móviles o fijos.
∙ Información transmitida vía oral o por cualquier otro medio de comunicación.
Los usuarios responsables de la información, deben identificar los riesgos a los que está expuesta la información de sus áreas, teniendo en cuenta que la información pueda ser copiada, divulgada, modificada o destruida física o digitalmente por personal interno o externo.
Un activo de información es un elemento definible e identificable que almacena registros, datos o información en cualquier tipo de medio y que es reconocida como valiosa para la empresa.
1) El activo de información es valioso.
2) No es reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o la combinación de los anteriores.
3) Forma parte de la identidad de la organización y sin el cual puede estar en algún nivel de riesgo.
4) Los niveles de clasificación de la información que se ha establecido son: información reservada, información pública clasificada privada y semi-privada.
8. Políticas específicas para Administrativos, Operacionales y Departamento TI
Objetivo: Definir las pautas generales para asegurar una adecuada protección de la información por parte de los Administrativos, Operacionales, Departamento de TI de la empresa Soluciones Informáticas Ltda.
Aplicabilidad: Estas políticas aplican a los Administrativos, Operacionales actuales o por ingresar y a terceros que estén encargados de cualquier sistema de información.
Directrices:
∙ El personal del Área de Información y Sistemas no debe dar a conocer su clave de usuario a terceros sin previa autorización del Jefe del Área de Información y Sistemas.
∙ Los usuarios y claves de los administradores de sistemas y del personal del Área de Información y Sistemas son de uso personal e intransferible.
...