http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf

Políticas informáticas

​

Alcance

El presente documento es aplicable a todos los empleados, consultores, contratistas, colaboradores, practicantes o residentes, incluyendo a todo el personal externo que en algún momento cuente con acceso a los recursos informáticos o información de la empresa.

 

Sobre la asignación y el uso de los recursos

 

1.    Cada empleado tiene asignado un equipo de cómputo al cual debe ingresar con un usuario y contraseña.
2.    El personal debe hacer uso adecuado de los recursos informáticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas debe asegurar que se cumpla esta política. Además, todo el personal deberá informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su adecuado seguimiento.
3.    Todo el personal tendrán una cuenta de correo electrónico interno, que les permite recibir y enviar información indispensable para sus actividades. Estas cuentas de correo, sólo son para uso interno, no tienen la capacidad de enviar correos públicos.
4.    El uso de internet queda reservado solo para las actividades de trabajo que así lo requieran. En general se restringe el acceso mediante el uso de contraseña en el administrador de contenidos de Internet Explorer.

 

Sobre la seguridad de la información

​

5.    Diariamente se realizan backups automáticos a la base de datos según los mecanismos establecidos y se realizan a cada hora.
6.    Los equipos deberán contar con salvapantallas protegido por contraseña con un tiempo de espera de 1 minuto para evitar accesos no autorizados.
7.    Todos los accesos a los programas principales estarán protegidos mediante un mecanismo de usuario y contraseña así como permisos de acceso. De igual forma, las sesiones de Windows personales estarán protegidas con contraseña.
8.    Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas y sesiones de Windows.
9.    Coordinación o sistemas designarán periódicamente nuevas contraseñas tanto para el acceso a las sesiones Windows como para el acceso a los programas.
10.    Todos los archivos que viajen por correo y que contengan información sensible deberán estar comprimidos con contraseña de uso interno como medida de seguridad de información.
11.    Todos los equipos asignados a los conectores/gestores tendrán deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida tiene 3 objetivos:

Evitar ataques de virus en los equipos y el servidor.

Evitar extracciones no autorizadas.

Evitar la carga de archivos ajenos a la labor de gestión.

12.    Los equipos autorizados para el uso de dispositivos de almacenamiento externos están supervisados por coordinación y por el área de sistemas, para la entrada y salida de información.
13.    A todos los equipos se les realizará una revisión de virus por lo menos cada mes, que incluye las siguientes actividades.

Actualizar su base de firmas de virus (actualización de la lista de amenazas)

Búsqueda de virus (análisis del equipo)

Eliminación de  virus si fue detectado.

14.    En caso autorizado de memorias USB y discos, es responsabilidad del usuario hacer uso del antivirus antes de copiar o ejecutar archivos para que los equipos no sean infectados. Además los usuarios pueden pedir apoyo al departamento de sistemas para el uso de antivirus.

 

Sobre el mantenimiento y buen uso de la infraestructura

​

15.    Todos los equipos deberán presentar las últimas actualizaciones de Windows, parches de seguridad y antivirus instalado.
16.    Los equipos de toda la agencia deberán de estar conectados a un regulador de corriente, como medida de prevención de variaciones de electricidad.
17.     Si se presentara una suspensión de servicio eléctrico y el servidor solo se sostuviera con el no-break, se tendrán que apagar primero todos los equipos de la agencia y posteriormente el servidor.
18.    El servidor y la máquina principal del área administrativa deberán conectarse a un equipo no-break para evitar la pérdida de información en los equipos por variaciones o fallas de energías.
19.    Una vez al año se realizara una revisión en la red para detectar desperfectos y dar así mantenimiento a la agencia.
20.    Periódicamente, por espacio de 4 meses, se realizará una limpieza física a toda la infraestructura de equipo de cómputo por parte del personal de sistemas.
21.    Toda actividad elaborada por el equipo de sistemas deberá de estar debidamente documentada para darle seguimiento y que sirva como evidencia en los procesos de auditoria interna.