DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA

 

1.-Descripción de los elementos de protección

Para ésta institución creemos que es conveniente utilizar el modelo ISM3, ya que gestiona la seguridad de la información, estableciendo medidas de seguridad a emplear y los recursos que han de dedicarse a éstas.

El estándar más eficiente para INEGI es BS 17799, ya que se orienta a preservar principios de la seguridad informática como la confidencialidad, integridad y disponibilidad.

 

 

 

2.-Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido

 

Nuestro objetivo es llegar al máximo nivel de madurez (5) en ISM3 basándose en procesos que impliquen la creación y simplificación de mecanismos explícitos que garanticen tener la seguridad deseada de nuestra información, también mediante planeaciones a corto, mediano y largo plazo. Todo ésto se deberá cumplir en un tiempo aproximado de 4 años.

 

 Así mismo para llegar al máximo nivel de madurez de BS 17799 se llevará una guía de implementación del sistema para preservar todos los principios en un periodo de 4 años.

 

 

 

3.-Definición de políticas

-De acceso físico a equipos

Unicámente personas autorizadas para dar mantenimiento preventivo y correctivo a los equipos de cómputo, tendrán derecho a manipular dichos objetos, de lo contrario resivirán una sanción.

 

 

-De acceso lógico a equipos

Para acceder a la información resguardada en ésta institución, el usuario debe contar con características específicas: tener un cargo de jefe, programador o administrador de datos, contar con un gaffete destinado al área de trabajo correspondiente, sin olvidar que está prohibido el acceso con USB o cualquier otra unidad de almacenamiento y se identificará la huella digital.

 

 

-Para la creación de cuentas de usuario

La persona autorizada para hacer cuentas de usurio únicamente será el jefe junto con los supervisores de área.

Para ser acreedor de una cuenta de usuario debe tener el cargo de administrador y contar con 1 año de antigüedad dentro de la institución, demostrando que su desempeño es competente y de gran confianza para el resguardo de la información almacenada.

 

 

 

-Para el manejo de bitácoras

Es necesario que los supervisores de cada área vayan realizando una bitácora de acuerdo al desempeño de trabajo diario de sus empleados contando con los siguientes requerimientos para asi llevar un buen control de las actividades diarias:

-De protección de red (firewall)

Se creará un firewall el cual está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

 

 

 

 

-Para la administración de software de seguridad

Sólo el área de redes y telecomunicaciones o el de ingeniería de sotware podrán manipular la seguridad en cualquiera de los software instalados dentros de los equipos de cómputo de la empresa.

 

 

-Para la gestión de actualizaciones de control de cambios

Los administradores de la información serán los únicos autorizados para hacer actualizaciones en cuanto a los cambios del sistema e información, llevando así un buen control.

 

 

-De almacenamiento

Lo dispositivos a utilizar para almacenar la informacion seran discos duros, CD, DVD, discos duros externos, micro SD, USB, entre otros.

 

 

 

-Para archivos compartidos

Los archivos a compartir serán las bitácoras, planeaciones y documentos de trabajo pero únicamente entre las áreas relacionadas a la administración de la información.

 

 

-De respaldo

Se llevará un control en cuanto a la informacion. Para esto se respaldará toda la información que maneja la empresa mediante copias de seguridad.

Cada área deberá realizar un respaldo en cuanto a su información.

Habrá un sólo encargado que almacenará todas las copias de seguridad realizadas.