Bueno, la seguridad y la privacidad de los sistemas de información, se ha vuelto extremadamente importante cuando hablamos de lo laboral o incluso de lo personal ya que todos usamos sistemas para guardar nuestra información confidencial, que queremos que nadie quiera ver. Por eso existen estas herramientas como la criptografía, seguridad física, ciberseguridad y seguridad lógica.
Lo que está expuesto en un componente informático son:
– el hardware
– El software
– O DATOS
Siendo los datos los más importantes, si se daña el hardware reemplazamos la parte que se dañó, si se daña el software solo reinstalamos, pero cuando hablamos de datos son casi irrecuperables, casi porque en la computación un dato jamás se borra, se modifica y cuando ya tiene varias modificaciones ya es muy difícil de recuperar.
PROCEDIMIENTO DE CAPACITACIÓN Y SENSIBILIZACIÓN DEL PERSONAL: Indica la metodología empleada por la entidad para realizar la capacitación y sensibilización del personal en temas de seguridad de la información teniendo en cuenta los diferentes roles y directivas, la periodicidad de las capacidades capacitaciones y sensibilizaciones, etc.
PROCEDIMIENTO DE INGRESO Y DESVINCULACIÓN DEL PERSONAL: Este procedimiento indica la manera como la entidad gestiona de manera segura el ingreso y desvinculación, incluidos temas como verificación de antecedentes, firma de acuerdos de confidencialidad, recepción de entregas requeridas para generar paz y salvos entre otras características . Este procedimiento va de la mano con el área de gestión de recursos humanos o contratación puede generarse con su colaboración
PROCEDIMIENTO PARA INGRESO SEGURO A LOS SISTEMAS DE INFORMACIÓN:
En este procedimiento, la entidad debe indicar como gestionar el acceso a sus sistemas de información de manera segura, empleando métodos preventivos contra ataques de fuerza bruta, validando los datos completos para el ingreso a los sistemas, empleando métodos para cifrar la información de acceso a través de la red entre otros.
PROCEDIMIENTO DE GESTIÓN DE USUARIOS Y CONTRASEÑAS:
este procedimiento, la entidad requerirá como realizar la creación de usuarios y la asignación de contraseñas (las cuales requieren tener un nivel de seguridad aceptable, con base en una política de contraseñas seguras previamente definidas), prohibiendo su reutilización posterior, posiblemente a los usuarios cambiarla a menudo, tuvieron un registro de las mismas. Este procedimiento debe aplicar a todos los sistemas de información, también debe tener en cuenta el rol que cada usuario requiera en los sistemas necesarios, para brindar el acceso necesario.
PROCEDIMIENTO DE CONTROLES CRIPTOGRÁFICOS:
En este procedimiento deberá especificar como se utilizará la criptografía dentro de los sistemas de información de la organización para garantizar su integridad, disponibilidad y confidencialidad. Debe especificar la complejidad de los controles criptográficos a los empleados, la especificación de la crítica de la información que circulará a través de la red o se seleccionará alojada en un sistema determinado. Por ejemplo usando redes wep es una tecnología obsoleta no se debería usar más, porque tiene claves de 64 a 128 bits eso significa 2 elevados a la 128 bits es una cantidad enorme. Lo ideal sería usar wpa2 que corrige todas las vulnerabilidades de wpa y tiene una clave de 256 bits. O por ejemplo si hay una página web en la empresa esta por obligación debe tener certificado SSL (Seguridad de la capa de transporte).
PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO:
En este procedimiento se debe describir como se ejecutan los diferentes pasos para identificar el control de acceso seguro a las instalaciones al personal autorizado. Este procedimiento puede incluir registros de fecha y hora de ingreso, seguimiento de los libros o plataforma de registro. Se debe contemplar la solicitud de permiso a las áreas restringidas, quien otorga y que debe hacerse para poder tener acceso a las áreas, etc … · PROCEDIMIENTO DE PROTECCIÓN DE ACTIVOS: Este
PROCEDIMIENTO DE PROTECCIÓN DE ACTIVOS:
Este procedimiento debe contener los pasos con los equipos que están protegidos por la entidad. Se recomienda que este procedimiento especifique como se determina la ubicación de los equipos que procesan información confidencial, como se aseguran las instalaciones, los controles que se especifican para minimizar riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua, interferencias, descargas eléctricas, etc.
PROCEDIMIENTO DE MANTENIMIENTO DE EQUIPOS:
Este procedimiento debe especificar como se ejecutan mantenimientos preventivos o correctivos dentro de la entidad, indicando los intervalos en que estos requisitos determinados, con base en las sugerencias de los proveedores o si existen seguros atados a los equipos y los mantenimientos sean requisitos. Se debe especificar el modo en que los mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo, enfrentar el registro apropiado.