DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMATICA
·
Descripción de los
elementos de protección.
Nuestra empresa es “SONY” dedicada a la elaboración de
aparatos electrónicos (Tablet, celulares, laptop, etc.) Para esta implementaremos
el modelo ITIL, ¿Por qué? Porque este modelo ayuda a las empresas a alcanzar
sus objetivos corporativos. La necesidad de nuestra empresa esta creciendo por
dar servicios informáticos de calidad pues el objetivo de nuestros negocios es que
satisfagan los requisitos y expectativas del cliente. El estándar que
manejaremos en nuestra empresa será el ISO 20000 esto se debe a que este nos ayuda
con la eficacia en los servicios de la empresa y a los clientes, establece
procesos y procedimientos que minimizan los riesgos en el negocio.
¿Para que nos servirán los antes ya mencionados? Estos
serán elementos que nos permitan proteger y
manejar correctamente la información que manejamos ya que esto es amplio
por la información de los productos a lo largo del tiempo, la información,
aplicaciones, datos, armadura, etc. que este contiene. Lo que nuestros empleados
y vendedores manejan para la venta del producto y muchísimas cosas más, que
serán correctamente manejadas con la implementación de este modelo y de este estándar
según la empresa.
·
Definición de las metas de
seguridad a alcanzar en un periodo de tiempo establecido.
Para
tener un excelente nivel de madurez en las metas establecidas por la empresa
tenemos que imponer un periodo de tiempo que nos ayudara a ir mejorando e
implementando ideas y mejores innovaciones para el producto y el servicio que
se le da. Daremos un plazo de 7 años a lo máximo ya que dividiremos el periodo
en 3 fases:
1.-
ESPEFIFICACION: Planearemos el proyecto de los productos de acuerdo a los
requisitos que gestiona la empresa, el vendedor y el cliente. Que es el diseño,
sus aplicaciones, sus mejores, sistemas, etc. Y a partir de eso se tratara de
implementar o mantener lo logrado.
2.-
PRACTICAS: En este tiempo nos daremos a la tarea de describir y hacer las
mejores prácticas de nuestra industria en relación a los procesos del producto
y servicios. Se pondrá en juego lo hecho y se verán resultados según lo
elaborado.
3.-DEFINICIÓN Y
LOGRO: Por ultimo para este periodo nos enfocaremos en la mejora e innovación
del producto ya que estaremos mas orientados a lo pro y contras que nos trajo
nuestro proceso del servicio. Nos enfocaremos en ir satisfaciendo un poco más
los requisitos que la sociedad pide y que les podemos brindar.
·
Definición de políticas
-De acceso físico
a equipos
Para la política de los accesos físicos a los equipos se manejara por
personal autorizado y estas personas
serán las que estén capacitadas en la tecnología (informáticos) ya que serán los
que se encarguen de mover cada maquina, etc. Que se tenga en la empresa y
cualquier daño estará a cargo de ellos…
1.
No podrán trabajar con ningún equipo
si no se ingresa un pin de seguridad.
2.
Solo tendrá acceso habiendo registrado
su ingreso en la empresa.
3.
No podrá manejar el equipo de trabajo
de otras áreas hasta que no este autorizado por gerencia.
4.
Deberán dar un registro de los
movimientos, procesos, logros, etc. Que hizo a lo largo del día.
5.
No podrá utilizar el equipo o la
maquinaria para asuntos ajenos a la empresa en caso de violar esto se manejara
una sanción al empleado.
-De acceso lógico
a equipos
Los empleados que sepan de control de calidad estarán encargados
(juntamente con informáticos mas capacitados a la oficina) de toda la
información que maneja la empresa (aplicaciones, licencias, programas, ventas,
ganancias, perdidas, salidas, entradas, etc.) Las condiciones de trabajos de
ellos serán:
1.
El ingreso a los usuarios donde se
almacena esta información será por medio de claves especiales del equipo.
2.
Al final de día tendrán que mandar la información
que manejaron a un equipo centro.
3.
Solo podrán utilizar los equipos y
mover la información cuando en la empresa este marcada su entrada.
4.
No podrán llevar discos, memorias,
cables, etc. Que pueda transferir información ya que esta es confidencial de la
empresa.
5.
No podrán enviar datos a ningún otro
programa, canal, etc. Si no esta autorizado por gerencia.
6.
No deberán entrometerse en la información
de otros equipos y devoran cuidar que no entren a la de ellos.
7.
No podrán dañar el equipo con virus ni
nada por el estilo
8.
A cada regla dañada se le otorgara una
sanción.
-Para la creación
de cuentas de usuario
1.
Solo informáticos con un puesto alto y
autorizado por gerencia podrán dar creación a usuarios nuevos (ya que aquí se
almacenara información y deben de estar enterados y autorizados por los
grandes)
2.
Todo usuario creado tendrá su propia
contraseña.
3.
Será hecho especialmente para un
empleado en especial.
-Para el manejo
de bitácoras
1.
Este punto será manejado por todos tendrán
que entregar y manejar una bitácora única y especial por cada empleado.
2.
Empleado que no entregue bitácora al
final de día tendrá que ir acumulando hasta cierre de semana, si este no
entrega completas sus bitácoras al finalizar semana será sancionado estrictamente
3.
La entrega de las bitácoras será con
el que comanda el área de trabajo él se encargara de guardar y subir.
4.
En caso de perdida tendrá que volver a
ingresar la información en una nueva bitácora que pedirá en oficinas.
-De protección de
red (firewall)
1.
Los encargados en el control de la información
y el manejo de equipos tendrán que estar perfectamente encargados y tendrán que
tener bajo estricta vigilancia la protección de red.
2.
El equipo y información que sea
invadida, o dañada por algún intruso o virus tendrá que pasar un reportes para
que el problema sea tratado rápidamente.
3.
Se aplicara sanción al que lo haya
hecho intesionalmente (ya que los equipos serán investigados y analizados profesionalmente)
-Para la
administración de software de seguridad
1.
En este punto solo los que comandan
las áreas podrán recibir órdenes de los gerentes en la instalación y uso de
programas o software que ayuden a la empresa a manejar la seguridad.
2.
Los software serán únicamente pedidos
en gerencia y estos serán asignados a los equipos que el mayor diga.
-Para la gestión
de actualizaciones de control de cambios
1.
Este podrá ser movido por todos pero
antes de esto se hará una petición a oficinas para cualquier cambio o actualización
en los controles según su cargo.
2.
El empleado que mueva cualquier actualización
sin antes haberlo consultado o pedido será sancionado.
-De
almacenamiento
1.
Por default todos los empleados
colaboraran en este punto ya que todos darán información de lo realizado en el día
2.
Solo los de control e informáticos especializados
en oficinas guardaran la información recibida.
3.
Los datos almacenados pasaran a
oficinas mayores y los empleados que deseen ver el historial antiguo o
cualquier dato guardado anteriormente tendrán que hacer una petición.
-Para archivos
compartidos
1.
Este punto será visto desde gerencia
cualquier archivo que se desee compartir tendrá ordenes del como y que persona
lo hará.
2.
Si algún empleado comparte información
o archivos pertenecientes a la empresa tendrán una sanción fuerte.
3.
No podrán recibir órdenes que no sea
de oficinas para este aspecto.
-De respaldo
1.
Para esto todos los empleados deberán realizar
un respaldo de sus archivos del día que también serán entregados a oficinas (no
podrán quedarse con estos).
2.
Los que almacenan la información deberán
después con los datos hacer un respaldo que será enviado a oficinas grandes
donde hay lo manejaran (no podrán quedarse con este respaldo)
3.
En oficinas mayores deberán tener
varios respaldos en diferentes equipos para cualquier situación.
4.
Solo los gerentes o principales podrán
entrar a estos respaldos en caso de algo o mas que ellos autoricen a cualquier personal.