DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMATICA

·         Descripción de los elementos de protección.

Nuestra empresa es “SONY” dedicada a la elaboración de aparatos electrónicos (Tablet, celulares, laptop, etc.) Para esta implementaremos el modelo ITIL, ¿Por qué? Porque este modelo ayuda a las empresas a alcanzar sus objetivos corporativos. La necesidad de nuestra empresa esta creciendo por dar servicios informáticos de calidad pues el objetivo de nuestros negocios es que satisfagan los requisitos y expectativas del cliente. El estándar que manejaremos en nuestra empresa será el ISO 20000 esto se debe a que este nos ayuda con la eficacia en los servicios de la empresa y a los clientes, establece procesos y procedimientos que minimizan los riesgos en el negocio.

¿Para que nos servirán los antes ya mencionados? Estos serán elementos que nos permitan proteger y  manejar correctamente la información que manejamos ya que esto es amplio por la información de los productos a lo largo del tiempo, la información, aplicaciones, datos, armadura, etc. que este contiene. Lo que nuestros empleados y vendedores manejan para la venta del producto y muchísimas cosas más, que serán correctamente manejadas con la implementación de este modelo y de este estándar según la empresa.

·         Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido.

Para tener un excelente nivel de madurez en las metas establecidas por la empresa tenemos que imponer un periodo de tiempo que nos ayudara a ir mejorando e implementando ideas y mejores innovaciones para el producto y el servicio que se le da. Daremos un plazo de 7 años a lo máximo ya que dividiremos el periodo en 3 fases:

1.- ESPEFIFICACION: Planearemos el proyecto de los productos de acuerdo a los requisitos que gestiona la empresa, el vendedor y el cliente. Que es el diseño, sus aplicaciones, sus mejores, sistemas, etc. Y a partir de eso se tratara de implementar o mantener lo logrado.

2.- PRACTICAS: En este tiempo nos daremos a la tarea de describir y hacer las mejores prácticas de nuestra industria en relación a los procesos del producto y servicios. Se pondrá en juego lo hecho y se verán resultados según lo elaborado.

3.-DEFINICIÓN Y LOGRO: Por ultimo para este periodo nos enfocaremos en la mejora e innovación del producto ya que estaremos mas orientados a lo pro y contras que nos trajo nuestro proceso del servicio. Nos enfocaremos en ir satisfaciendo un poco más los requisitos que la sociedad pide y que les podemos brindar.  

·         Definición de políticas

-De acceso físico a equipos

Para la política de los accesos físicos a los equipos se manejara por personal autorizado    y estas personas serán las que estén capacitadas en la tecnología (informáticos) ya que serán los que se encarguen de mover cada maquina, etc. Que se tenga en la empresa y cualquier daño estará a cargo de ellos…

1.       No podrán trabajar con ningún equipo si no se ingresa un pin de seguridad.

2.       Solo tendrá acceso habiendo registrado su ingreso en la empresa.

3.       No podrá manejar el equipo de trabajo de otras áreas hasta que no este autorizado por gerencia.

4.       Deberán dar un registro de los movimientos, procesos, logros, etc. Que hizo a lo largo del día.

5.       No podrá utilizar el equipo o la maquinaria para asuntos ajenos a la empresa en caso de violar esto se manejara una sanción al empleado.

-De acceso lógico a equipos

Los empleados que sepan de control de calidad estarán encargados (juntamente con informáticos mas capacitados a la oficina) de toda la información que maneja la empresa (aplicaciones, licencias, programas, ventas, ganancias, perdidas, salidas, entradas, etc.) Las condiciones de trabajos de ellos serán:

1.       El ingreso a los usuarios donde se almacena esta información será por medio de claves especiales del equipo.

2.       Al final de día tendrán que mandar la información que manejaron a un equipo centro.

3.       Solo podrán utilizar los equipos y mover la información cuando en la empresa este marcada su entrada.

4.       No podrán llevar discos, memorias, cables, etc. Que pueda transferir información ya que esta es confidencial de la empresa.

5.       No podrán enviar datos a ningún otro programa, canal, etc. Si no esta autorizado por gerencia.

6.       No deberán entrometerse en la información de otros equipos y devoran cuidar que no entren a la de ellos.

7.       No podrán dañar el equipo con virus ni nada por el estilo

8.       A cada regla dañada se le otorgara una sanción.

-Para la creación de cuentas de usuario

1.      Solo informáticos con un puesto alto y autorizado por gerencia podrán dar creación a usuarios nuevos (ya que aquí se almacenara información y deben de estar enterados y autorizados por los grandes)

2.      Todo usuario creado tendrá su propia contraseña.

3.      Será hecho especialmente para un empleado en especial.

-Para el manejo de bitácoras

1.       Este punto será manejado por todos tendrán que entregar y manejar una bitácora única y especial por cada empleado.

2.       Empleado que no entregue bitácora al final de día tendrá que ir acumulando hasta cierre de semana, si este no entrega completas sus bitácoras al finalizar semana será sancionado estrictamente

3.       La entrega de las bitácoras será con el que comanda el área de trabajo él se encargara de guardar y subir.

4.       En caso de perdida tendrá que volver a ingresar la información en una nueva bitácora que pedirá en oficinas.

-De protección de red (firewall)

1.       Los encargados en el control de la información y el manejo de equipos tendrán que estar perfectamente encargados y tendrán que tener bajo estricta vigilancia la protección de red.

2.       El equipo y información que sea invadida, o dañada por algún intruso o virus tendrá que pasar un reportes para que el problema sea tratado rápidamente.

3.       Se aplicara sanción al que lo haya hecho intesionalmente (ya que los equipos serán investigados y analizados profesionalmente)

-Para la administración de software de seguridad

1.       En este punto solo los que comandan las áreas podrán recibir órdenes de los gerentes en la instalación y uso de programas o software que ayuden a la empresa a manejar la seguridad.

2.       Los software serán únicamente pedidos en gerencia y estos serán asignados a los equipos que  el mayor diga.

-Para la gestión de actualizaciones de control de cambios

1.       Este podrá ser movido por todos pero antes de esto se hará una petición a oficinas para cualquier cambio o actualización en los controles según su cargo.

2.       El empleado que mueva cualquier actualización sin antes haberlo consultado o pedido será sancionado.

-De almacenamiento

1.       Por default todos los empleados colaboraran en este punto ya que todos darán información de lo realizado en el día

2.       Solo los de control e informáticos especializados en oficinas guardaran la información recibida.

3.       Los datos almacenados pasaran a oficinas mayores y los empleados que deseen ver el historial antiguo o cualquier dato guardado anteriormente tendrán que hacer una petición.

-Para archivos compartidos

1.       Este punto será visto desde gerencia cualquier archivo que se desee compartir tendrá ordenes del como y que persona lo hará.

2.       Si algún empleado comparte información o archivos pertenecientes a la empresa tendrán una sanción fuerte.

3.       No podrán recibir órdenes que no sea de oficinas para este aspecto.

-De respaldo

1.       Para esto todos los empleados deberán realizar un respaldo de sus archivos del día que también serán entregados a oficinas (no podrán quedarse con estos).

2.       Los que almacenan la información deberán después con los datos hacer un respaldo que será enviado a oficinas grandes donde hay lo manejaran (no podrán quedarse con este respaldo)

3.       En oficinas mayores deberán tener varios respaldos en diferentes equipos para cualquier situación.

4.       Solo los gerentes o principales podrán entrar a estos respaldos en caso de algo o mas que ellos autoricen  a cualquier personal.