Seguridad

Porqué medir el riesgo?

"La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar.“

H.James Harrington

CONTENIDO

• JUSTIFICACIÓN

• DEFINICIÓN

• GLOSARIO

• POLÍTICAS ADOPTADAS

• ANÁLISIS DE RIESGOS

• CUENTAS DE USUARIOS

• INTERNET

• COREO ELECTRÓNICO

• RED INTERNA

• POLÍTICAS DE USO DE COMPUTADORES, IMPRESORAS Y PERIFÉRICOS

• OTRAS POLÍTICAS

Justificación

La masiva utilización de recursos informáticos (Computadores, impresoras, redes de datos, etc.) como medio para almacenar, transferir y procesar información, se ha incrementado desmesuradamente en los últimos años, al grado de convertirse en un elemento esencial para el funcionamiento de la sociedad y de las diferentes Empresas.

En consecuencia, la información, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley. En los últimos años se ha incrementado el uso de aplicaciones electrónicas que comprenden: correo electrónico, internet, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras. Por tal motivo, los requerimientos de seguridad son cada vez mayores.

Definición

La seguridad informática aplica las técnicas fundamentales para preservar la información y los diferentes recursos informáticos con que cuenta la Empresa. La política de seguridad informática es el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservación y buen uso de los recursos informáticos con que cuenta la Empresa.

Glosario

Para efectos del presente documento se entiende por:

Administrador del sistema. Persona responsable de administrar, controlar, supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha administración está en cabeza de la Gerencia de informática.

Administrador de correo. Persona responsable de solucionar problemas en el correo electrónico, responder preguntas a los usuarios y otros asuntos en un servidor.

Buzón. También conocido como cuenta de correo, es un receptáculo exclusivo, asignado en el servidor de correo, para almacenar los mensajes y archivos adjuntos enviados por otros usuarios internos o externos a la empresa.

Chat. (Tertulia, conversación, charla). Comunicación simultánea entre dos o más personas a través de Internet.

Computador. Es un dispositivo de computación de sobremesa o portátil, que utiliza un microprocesador como su unidad central de procesamiento o CPU.

Contraseña o password. Conjunto de números, letras y caracteres, utilizados para reservar el acceso a los usuarios que disponen de esta contraseña.

Correo electrónico. También conocido como E-mail, abreviación de electronic mail. Consiste en el envío de textos, imágenes, videos, audio, programas, etc., de un usuario a otro por medio de una red. El correo electrónico también puede ser enviado automáticamente a varias direcciones.

Cuentas de correo. Son espacios de almacenamiento en un servidor de correo, para guardar información de correo electrónico. Las cuentas de correo se componen de un texto parecido a este mperez @codechoco.gov.co donde " mperez " es nombre o sigla identificadora de usuario, " codechoco " el nombre de la empresa con la que se crea la cuenta o el dominio y ".gov.co" una extensión propio de Internet según el dominio.

Edición de cuentas de correo. Mirar o leer el contenido de los correos recibidos o enviados por un usuario.

Downloads. Descargar, bajar. Transferencia de información desde Internet a una computadora.

Electricidad estática. La corriente estática se presenta cuando no existe ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un camino para regresar y completar el circuito, la corriente eléctrica simplemente "no circula". La única excepción al movimiento circular de la corriente la constituye la electricidad estática que consiste en el desplazamiento o la acumulación de partículas (iones) de ciertos materiales que tienen la capacidad de almacenar una carga eléctrica positiva o negativa.

Elementos de tecnología. Se consideran los siguientes, siendo la Gerencia de Informática responsable de su administración.

• Computadores de escritorio y portátiles: conformados por CPU (Discos duros, memorias, procesadores, main borrad, bus de datos), cables de poder, monitor, teclado, mouse.

• Impresoras, UPS, escáner, lectores, fotocopiadoras, teléfonos, radioteléfonos.

• Equipos de redes comunicaciones como: Switch, router, Hub, Conversores de fibra y demás equipos de redes y comunicaciones.

Hacker. Persona dedicada a lograr un conocimiento profundo sobre el funcionamiento interno de un sistema, de una PC o de una red con el objeto de alterar en forma nociva su funcionamiento.

Internet: Conjunto de redes conectadas entre sí, que utilizan el protocolo

TCP/IP para comunicarse entre sí.

Intranet. Red privada dentro de una empresa, que utiliza el mismo software y protocolos empleados en la Internet global, pero que solo es de uso interno.

Lan. (Local Area Network). (Red de Area Local). Red de computadoras ubicadas en el mismo ambiente, piso o edificio.

Log. Registro de datos lógicos, de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener información histórica para fines de control, supervisión y auditoría.

Megabyte MB. Es bien un millón de bytes ó 1.048.576 bytes.

Messenger: Opción de mensajería instantánea disponible en Internet. Puede traer problemas en las redes y sistemas privados, por cuanto puede convertirse en una herramienta de tráfico de virus y publicidad no solicitada así como una canal vulnerable para la seguridad de redes y servidores.

Red: Se tiene una red, cada vez que se conectan dos o más computadoras de manera que pueden compartir recursos.

Seguridad: Mecanismos de control que evitan el uso no autorizado de recursos.

Servidor. Computadora que comparte recursos con otras computadoras, conectadas con ella a través de una red.

Servidor de correo. Dispositivo especializado en la gestión del tráfico de correo electrónico. Es un servidor perteneciente a la red de Internet, por lo que tiene conexión directa y permanente a la Red Pública. Su misión es la de almacenar, en su disco duro, los mensajes que envía y que reciben los usuarios.

S.O. (Sistema Operativo). Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora.

Software. Todos los componentes no físicos de una PC (Programas).

Usuario. Toda persona, funcionario (empleado, contratista, temporal), que utilice los sistemas de información de la empresa debidamente identificado y autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones.

Virus. Programa que se duplica a sí mismo en un sistema informático, incorporándose a otros programas que son utilizados por varios sistemas. Estos programas pueden causar serios problemas a los sistemas infectados. Al igual que los virus en el mundo animal o vegetal, pueden comportarse de muy diversas maneras. (Ejemplos: caballo de Troya y gusano).

Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de los mensajes de correo que recibe y envía un usuario.

Web Site. Un Web Site es equivalente a tener una oficina virtual o tienda en el Internet. Es un sitio en Internet disponible para ser accesado y consultado por todo navegante en la red pública. Un Web Site es un instrumento avanzado y rápido de la comunicación que facilita el suministro de información de

productos o entidades. Un Web Site es también considerado como un conjunto de páginas electrónicas las cuales se pueden accesar a través de Internet.

Web Mail. Es una tecnología que permite acceder a una cuenta de Correo Electrónico (E-Mail) a través de un navegador de Internet, de esta forma podrá acceder a su casilla de correo desde cualquier computadora del mundo.

EL RIESGO OPERACIONAL

Es la posibilidad

...