La gestión de la seguridad implica la responsabilidad que toda organización tiene sobre la información y los activos, propios o los confiados por el cliente .El alcance de los aspectos a cumplir principalmente se dan según los compromisos con el cliente, los establecidos por las leyes locales o por los sistemas de calidad de la propia organización.

Respecto de las políticas de seguridad de información el objetivo de la política es lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información interna o confiada por el cliente con el objeto de asegurar continuidad operacional de los procesos y servicios.

A continuación se describen algunos aspectos de la seguridad que se pueden tomar en cuenta en una política de seguridad.

Del Liderazgo sobre temas de seguridad

La alta dirección debe identificar un rol responsable de la seguridad en la organización, este rol puede llamarse Oficial de Seguridad y es responsable de aprobar y hacer cumplir las políticas o procedimientos establecidos; Así mismo la alta dirección debe identificar el marco normativo para iniciar el alineamiento, puede ser un marco normativo legal local o un marco normativo estándar con lo es ISO 27000 Norma que especifica los requisitos para la implantación del SGSI (Sistemas de Gestión de la Seguridad de la Información).

De visitantes en la empresa

-Los clientes y visitantes de la empresa deben conocer de antemano las políticas de seguridad de la empresa, para ello el personal responsable de la invitación debe transmitir de antemano estas políticas de seguridad a las que estarán sujetos los visitantes durante su estadía en las instalaciones.

-Todo visitante debe registrarse al ingresar a la organización y debe ser guiado por el visitado al lugar de reunión.

-Todo visitante debe declarar el ingreso de ordenadores u otros dispositivos al ingresar a la organización.

-Los visitantes no debería conectarse a la red de la organización, en caso de necesitarse la organización debe configurar de antemano un acceso de visita.

De los colaboradores

-La tomar de fotografías videos e imágenes en las instalaciones deben ser aprobadas y utilizarse una cámara asignada para su uso.

-No es factible el ingreso de cámaras fotográfica, video o memorias extraíbles

-Los puertos de la unidades de USB ,DVD o CD de los ordenadores/laptops deben encontrase deshabilitados para el personal en general y solo aquellos que por su rol lo requieran deben solicitar una autorización al oficial de seguridad indicando la justificación respectiva.

-No es factible enviarse información de la empresa a un correo personal.

-No es factible instalar programas por el trabajador, la configuración inicial y/o por rol debe indicada por el Jefe Inmediato y autorizada por el oficial de seguridad y esta debe mantenerse.

-El acceso a correos que no sean de la empresa y redes sociales deberían estar restringidos.

-No se deben compartir las claves de acceso al correo, aplicaciones entre otros.

-Estas claves deben generarse según los modelos (parámetros) de seguridad establecidos por la empresa.

-Las claves no deben escribirse en papeles, cuadernos, blog de notas donde en caso de pérdida puedan ser utilizados por otras personas.

-Para casos de vacaciones del personal, se debe contar con un back up para el rol (persona de reemplazo) que tenga sus propios accesos a los aplicativos y pueda cumplir adecuadamente con el rol.

-Se debe tener cuidado de trabajar o tratar expresamente temas confidenciales de la empresa en lugares públicos, en estos lugares debe revisarse si las conexiones son seguras (aeropuertos, restaurantes etc.).

-En caso de trabajar documentos por escrito con información confidencial tener cuidado de mantenerlos bajo llave al retirarse del lugar de trabajo (permanente o temporalmente)

– Al retirarse del lugar de trabajo (permanente o temporalmente),se debe bloquear la pantalla del ordenador.

-En caso de contar con control de accesos físico a las instalaciones, no se debe dejar ingresar a otras personas con el mismo fotocheck, no es factible el préstamo de fotocheck para el ingreso, todo caso de olvido o perdida debe ser informado al oficial de seguridad para la solución pertinente.

-Debe establecerse claramente los criterios de clasificación de la información dentro de la organización y los documentos membretados o identificados según esta clasificación así por ej. la información del cliente debe manejarse como tipo confidencial.

-En caso que por motivos de trabajo se debe recibir información en una unidad externa esta debe ser analizada por el responsable de seguridad antes de ser trasladada a los servidores u ordenadores de la organización.

Por Marilú Gomez Quispe, docente de Cursos de Extensión Infopuc

Auditora Senior de Procesos, Ingeniera Industrial con grado de Magister en Dirección y Gestión de Tecnologías de Información, Especialización en Implementación y certificación de Sistemas de Gestión de Calidad.

Otros artículos relacionados:

  • Planificación para la Gestión de los Riesgos.
  • La gestión estratégica en la organización con Balanced Scorecard.
  • 5 aspectos clave para gestionar proyectos con Outsourcing.
  • La Integración de las normas ISO y modelo CMMI es el camino hacia la Productividad en la implementación de los Sistemas de Calidad en las Organizaciones de TI.

www.mgqconsultores.com

Puntuación: 5 / Votos: 1