POLITICAS PLANES Y PROCEDIMIENTOS SEGURIDAD SERVIENTREGA SEGURIDAD INFORMATICA PRESENTADO POR: IVAN JANUARIO PEÑA TORRES PRESENTADO A:

Transcripción

1 POLITICAS PLANES Y PROCEDIMIENTOS SEGURIDAD SERVIENTREGA SEGURIDAD INFORMATICA PRESENTADO POR: IVAN JANUARIO PEÑA TORRES PRESENTADO A: ING. JEAN POLO CEQUEDA OLAGO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2012

2 POLITICAS PLANES Y PROCEDIMIENTOS SERVIENTREGA POLITICAS SEGURIDAD INFORMATICA Alcance Las políticas de seguridad aplicadas a SERVIENTREGA, son desarrolladas después de hacer un estudio previo a las dependencias de la empresa luego se realizó un análisis de los riesgos y vulnerabilidades, todo el posterior trabajo se enmarca en los activos de dependencias que allí se manejan incluyendo a quienes laboran directamente con esos activos. Objetivos Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la asignación de responsabilidades y administración del riesgo. Comprometer todo el personal de la empresa con el proceso de seguridad, agilizando la aplicación de los controles con dinamismo y armonía. Hacer que la prestación del servicio de seguridad gane en calidad. Convertir a los empleados en interventores del sistema de seguridad.

3 Descripción beneficios Los beneficios de un sistema de seguridad con políticas claramente definidas son inmediatos, ya que se trabajará sobre una plataforma (HW+SW+PERSONAL) confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivación del personal por parte de administrativos y personal de cada una de las oficinas en todo el país Compromiso con la misión de la compañía.[ir MISION] Mejora de las relaciones laborales. Ayuda a formar equipos competentes y la comunicación existente entre los distintas oficinas, agencias o filiales que hagan parte de SERVIENTREGA. Mejora de los climas laborales para los Recursos Humanos.

4 Responsabilidades Generalidades Atreves de la implementación de un sistema de seguridad para una empresa que tiene cobertura nacional hemos dispuesto de supervisores en el área de la seguridad informática en las principales ciudades del país, sin embargo habrá un supervisor a nivel nacional en cargado de desarrollar, someter a revisión y divulgar en adición a los demás medios de difusión (intranet, , sitio web oficial, revistas internas, informes de auditoría) de los Procedimientos de Seguridad. Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los procedimientos de Seguridad para cada una de las sucursales regionales. Casos específicos según la funcionalidad: Al equipo integrado por la Gerencia, los Jefes de área y el personal administrativo (ocasionalmente) convocado para fines específicos como: Adquisiciones de Hardware y software. Establecimiento de los estándares de hardware y de software más convenientes para la empresa teniendo en cuenta que ellos se asesoraran primero en base a las últimas tecnologías con alguien con mas afín al conocimiento en el tema de las Tics. Establecimiento de la Arquitectura tecnológica de la empresa.

5 Lineamientos de Administración de informática Está integrada por la Gerencia y Jefes de área de cada una de las oficinas principales del país, las cuales son responsables de enviar informes mensuales al equipo supervisor principal en Bogotá: Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes áreas. Elaborar y efectuar seguimiento del Plan Maestro de Informática (PMI), el cual será enviado por medio de informes mensualmente al equipo supervisor principal. Definir estrategias y objetivos a corto, mediano y largo plazo Mantener la Arquitectura tecnológica Controlar la calidad del servicio brindado Mantener el Inventario actualizado de los recursos informáticos Velar por el cumplimiento de las Políticas y Procedimientos establecidos. LINEAMIENTOS PARA LA ADQUISICIÓN DE EQUIPAMIENTO INFORMÁTICO Toda adquisición de tecnología informática se efectuará a través del Comité de Tics que tiene Servientrega, que está conformado por el personal de la Administración de Informática en cada una se las sucursales de las principales ciudades, luego ellas serán las encargadas de tomar las decisiones, para que le rindan cuentas cada una de las oficinas ubicadas en la ciudad, cabe aclarar también están incluidas las oficinas ubicadas en demás municipios cercanos a esa ciudad principal.

6 Al planear las operaciones relativas a la adquisición de Bienes informáticos, establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico precio calidad experiencia desarrollo tecnológico estándares capacidad Para la adquisición de Hardware se observará lo siguiente: Los equipos deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país contando anexamente con una lista de proveedores de equipos se confianza y de marca registrada. La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local. Tratándose de computadores, lectores de huella, equipo telecomunicaciones, a fin de mantener actualizada la arquitectura informática, el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición. Los dispositivos de almacenamiento, así como las interfaces de entrada / salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en procesamiento. En lo que se refiere a los computadores denominados personales, al vencer su garantía por adquisición, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones.

7 Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité de en cargado de la seguridad informática a nivel de las principales ciudades del país, sin embargo estos comités de supervisión pasaran un informe mensual de todos estos cambios a los supervisores de nivel nacional en Bogotá. Aplicativos Oficiales de la Empresa Cabe aclarar que el software en cada uno de los Host de la red Servientrega debe estar presente en este listado, es misión de las secretarias, operarios y supervisores de oficina que se cumplan estas condiciones para evitar anomalías provenientes de aplicativos de terceros. Para la adquisición de Software base y utilitarios, el grupo de supervisores dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente: Aplicativos propios de Servientrega Sistema de información encargado de las operaciones del negocio y de administrar los portafolios de productos, bases de datos de clientes, provisión de guías, solicitudes de recolección, procesamiento de envíos, servicio al cliente y Administración de ventas. SIS MILENI- SCM Software SIEWEB 4.2` Sispos@net\2 ERPP (operaciones en tiempo real) software GPS (sistema de rastreo y posicionamiento)

8 CONSIDERACIONES DEL SOFTWARE DE LA COMPANIA Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la información, tomando las medidas de seguridad pertinentes. Los datos de los sistemas de información, deben ser respaldados de en base de datos locales, siendo enviada la información en tiempo real al DATA CENTER que es la red de servidores a nivel nacional, sin embargo en caso excepcionales y bajo la responsabilidad del supervisor de oficina, estos respaldos podrán ser guardados en medios magnéticos portables.(esta operaciones se harán diariamente) Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados. Un técnico que describa la estructura interna del sistema así como los programas, catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema y los procedimientos para su utilización. Los sistemas de información, deben contemplar el registro histórico de las transacciones sobre datos relevantes, así como la clave del usuario y fecha en que se realizó (Normas Básicas de Auditoria y Control). Se deben implantar rutinas periódicas de auditoria a la integridad de los datos y de los programas de cómputo, para garantizar su confiabilidad.

9 Plataformas de Sistemas Operativos MS-Windows Linux. Bases de Datos Oracle (encargado de servidores DATACENTER) Utilitarios de oficina Microsoft Office Star Office Programas antivirus McAfee Manejador de correo electrónico Microsoft Outlook Navegadores de Internet Firefox Comprimidores de archivos Winrar

10 En casos excepcionales, sólo se adquirirán las últimas versiones liberadas de los productos seleccionados, salvo situaciones específicas que se deberán justificar ante el Comité. Todos los productos de Software que se adquieran deberán contar con su licencia de uso, documentación y garantía respectivos. REGLAMENTACION INSTALACIONES DE LOS EQUIPOS DE CÓMPUTO La instalación del equipo de cómputo, quedará sujeta a los siguientes lineamientos: Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas. (Manipulación exclusiva del operarios propios de SERVIENTREGA) La Administración de Informática, así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red. Las instalaciones eléctricas y de comunicaciones, estarán de preferencia fija o en su defecto resguardadas del paso de personas o máquinas, y libres de cualquier interferencia eléctrica o magnética. Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de protección necesarios. En ningún caso se permitirán instalaciones improvisadas o sobrecargadas. (será misión del supervisor de oficina principal tomar en cuenta de estos apuntes si aparecen imprevistos, y así informarlos a los supervisores de las ciudades principales para que se dé la orden y contraten encargados de confiabilidad para SERVIENTREGA)

11 TRATAMIENTO INFORMACIÓN SERVIENTREGA La información almacenada en medios magnéticos se deberá inventariar, anexando la descripción y las especificaciones de la misma, haciendo respaldo al DATACENTER SERVIENTREGA clasificándolo la información en tres categorías: Información histórica para auditorias. Información de interés de la Empresa Información de interés exclusivo de alguna área en particular. Prioridad de información confidencial propia SERVIENTREGA Información vital para el funcionamiento del área En caso de información vital para el funcionamiento del área, se deberán tener procesos colaborativos, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente. Información necesaria, pero no indispensable en el área La información necesaria pero no indispensable, deberá ser respaldada con una frecuencia mínima de una semana, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente. Información ocasional o eventual El respaldo de la información ocasional o eventual queda a criterio del área.

12 La información almacenada en medios magnéticos, de carácter histórico, quedará documentada como activos del área y estará debidamente resguardada en su lugar de almacenamiento. (DATACENTER-RESPALDO LOCAL EN SERVIDORES PROPIOS SERVIENTREGA) Es obligación del responsable del área, la entrega conveniente de la información, a quien le suceda en el cargo. FUNCIONAMIENTO DE LOS EQUIPOS DE CÓMPUTO Le corresponde al supervisor de Oficina o sucursal vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne. Los colaboradores de la empresa al usar el equipo de cómputo, se abstendrán de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada en medios magnéticos. Queda prohibido el uso de medios ópticos o extraíbles en cada Host SERVIENTREGA para el concepto de mantener integra, y segura no solo la información confidencial del sistema sino el mismo sistema en sí. (Sistema Operativo, Aplicativos) LINEAMIENTOS DE SEGURIDAD DE INFORMACION EN HOST RED SERVIENTREGA Por ello se establecen los siguientes lineamientos: Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello. Verificar la información que provenga de fuentes externas a fin de corroborar que esté libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos. Mantener pólizas de seguros de los recursos informáticos en funcionamiento las cuales se actualizarán en base vaya llegando nuevo equipo de oficina, el

13 encargado de registrar estas modificaciones es el supervisor de oficina principal. Se prohíbe el ingreso de equipo de cómputo No perteneciente a Servientrega, será misión del supervisor de oficina que se cumpla este lineamiento. Sólo al personal autorizado le está permitido el acceso a las instalaciones donde se almacena la información confidencial Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones donde se almacena la información confidencial, y durante un período de tiempo justificado. ACCESO E IDENTIFACION USUARIO-CLAVE A SISTEMA INFORMACION Y RED SERVIENTREGA Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la información. La longitud mínima de las contraseñas será igual o superior a 20 caracteres, y estarán constituidas por combinación de caracteres alfabéticos, numéricos y especiales. Los identificadores para usuarios temporales se configurarán para un corto período de tiempo (cada 2 meses). Una vez expirado dicho período, se desactivarán de los sistemas. El encargado del cambio de identificadores a los empleados será una comunicación constante de los supervisores de seguridad en Bogotá y los encargados del comité de seguridad en las principales ciudades del país.

14 RESPONSABILIDADES DEL PERSONAL Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado. Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros. Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario. Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona, debe proceder al cambio de su contraseña e informar a su jefe inmediato y éste reportar al responsable de la administración de la red de la sucursal SERVIENTREGA más cercana. RECOMENDACIONES CLAVE IDENTIFICADOR EMPLEADO La contraseña no debe hacer referencia a ningún concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de personas, teléfonos. En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su contraseña como mínimo una vez cada 30 días. En caso contrario, se le podrá denegar el acceso y se deberá contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.

15 Los usuarios sólo podrán crear ficheros que contengan datos de carácter personal para un uso temporal y siempre necesario para el desempeño de su trabajo. Estos ficheros temporales nunca serán ubicados en unidades locales de disco de la computadora de trabajo y deben ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon. Los empleados deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos. Los usuarios únicamente introducirán datos identificativos y direcciones o teléfonos de personas en las agendas de contactos de las herramientas ofimáticas (por ejemplo en Outlook). Toda salida de información (en soportes informáticos o por correo electrónico) sólo podrá ser realizada por personal autorizado y será necesaria la autorización formal del responsable del área u oficina. PROHIBICIONES PERSONAL DE OFICINA Y DE AREA No se deberá Introducir voluntariamente programas, virus, macros, Applets, controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los Recursos Informáticos. El personal contratado de oficina tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos informáticos. No se deberá albergar datos de carácter personal en las unidades locales de disco de los computadores de trabajo. Queda prohibido conectar a ninguno de los Recursos, ningún tipo de equipo de comunicaciones (Ej. módem) que posibilite la conexión a la Red Corporativa. Aunque se les asignaran permisos según el rol, intentar acceder a áreas restringidas de los Sistemas de Información o de la Red Corporativa. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos.

16 CONECTIVIDAD A INTERNET La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. El acceso a Internet se restringe exclusivamente a través de la Red establecida para ello, es decir, por medio del sistema de seguridad con cortafuegos incorporado en la misma. No está permitido acceder a Internet llamando directamente a un proveedor de servicio de acceso y usando un navegador (FIREFOX), o con otras herramientas de Internet conectándose con un módem. PROCESO DE MONITOREO PERIODICO ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, SERVIENTREGA se reserva el derecho a modificar esta Política periódicamente. Los cambios realizados en esta Política serán divulgados por medio del equipo de seguridad cuando haya la necesidad de ello. En resumen las políticas. [NO SE TRATA DE QUE HACER DESPUES DE QUE ALGUN INCIDENTE OCURRE HACIENDO MULTAS O CASTIGOS, SE TRATA MAS DE BIEN DE DECLARACIONES DE ALTO NIVEL ASIGNANDO CARGOS Y RESPONSABILIDADES IMPLICANDO LA GERENCIA Y EL PERSONAL DE PARA EVITAR QUE OCURRAN ESTE TIPO DE INCIDENTES]

17 PLANES Y PROCEDIMIENTOS SEGURIDAD INFORMATICA MEDIDAS PREVENTIVAS PARA EVITAR UN ATAQUE DE VIRUS Y OTRAS AMENAZAS INFORMATICAS: Las medidas preventivas que se han tomado para evitar un ataque de virus son las siguientes: Utilizar un antivirus (MCAFFE) en cada equipo como norma general en cada host con Windows. Utilizar antivirus que detecte y elimine los virus que se puedan presentar (Actualizaciones automáticas). Utilizar antivirus que detecten virus en archivos ejecutables, procesadores de texto y hojas de cálculo. Actualizar con cierta frecuencia el antivirus implantado en cada equipo (Según los términos de MCAFFE y sus licencias). Utilizar software de antivirus conocido en el mercado de la informática. Probar el software adquirido en entornos aislados para garantizar la efectividad de MCAFFE. Prohibir con toda contundencia la utilización de software ilegal o de terceros ajenos a la empresa. Prohibir exhaustivamente los programas que no tengan un origen claro. Realizar chequeos semanales de todos los equipos de la empresa, encargados por parte del supervisor de área u oficina. No abrir bajo ningún concepto archivos adjuntos de un correo electrónico que parezca sospechoso. Realizar diariamente copias de seguridad de los archivos del sistema.

18 MEDIDAS CORRECTORAS APLICABLES ANTE UN ATAQUE DE VIRUS Y OTRAS AMENAZAS INFORMATICAS: Las medidas correctoras que se deben adoptar ante un ataque de virus son las siguientes: El usuario se pone en contacto con el responsable de seguridad y le informa que ha sufrido un ataque de virus en su terminal. Si no hay pérdida de archivos y el virus solo afecta al sistema, se procede a la restauración del equipo y eliminación del virus. Si además hay pérdida de archivos, se realiza lo mismo que en el punto anterior, y a parte se recuperan los datos que se han perdido a través de las copias de respaldo de la información hechas previamente en DATACENTER o un servidor pequeño local y en red. Una vez saneado el problema, el usuario continúa con su actividad en su terminal MEDIDAS PREVENTIVAS PARA EVITAR UN FALLO DE HARDWARE: Las medidas preventivas que se han tomado para evitar un fallo de hardware son las siguientes: Controles periódicos del estado de situación de todo el hardware de la compañía. Poseer hardware sustitutivo en las oficinas (repuestos) de la empresa, para así evitar demandarlo al fabricante. Establecer un tiempo máximo de envío de los productos demandados con la compañía suministradora. Tener un contrato de mantenimiento con la compañía suministradora. Mantener los equipos a temperaturas adecuadas. Controles de la corriente eléctrica suministrada a cada equipo mediante enchufes inteligentes y reguladores de voltaje.

19 MEDIDAS CORRECTORAS APLICABLES ANTE UN FALLO DEHARDWARE: Las medidas correctoras que se deben adoptar ante un fallo de hardware son las siguientes: El usuario se pone en contacto con el responsable de mantenimiento. Un empleado de mantenimiento hace una valoración del problema existente. Si es posible el problema se resuelve en el instante mediante el empleado de mantenimiento de lo contrario se notifica al supervisor de agencia de la ciudad. Si el problema es de causa mayor, se lleva el equipo al taller de mantenimiento y se le sustituye temporalmente el equipo por otro de reemplazo. Una vez solucionado el problema se le devuelve su equipo al usuario. El usuario sigue trabajando con normalidad. MEDIDAS PREVENTIVAS PARA EVITAR UNA AUSENCIA DE PERSONAS: Las medidas preventivas que se han tomado para evitar una ausencia de personas clave son las siguientes: Tener siempre a un segundo responsable en puestos de alta responsabilidad como la de seguridad en cada oficina principal. Controlar los periodos de ausencias entre los diferentes puestos de la compañía, llevando un historial de asistencia (usuario-identificador). Evitar ausencias simultáneas del primer y segundo responsable de un determinado puesto será responsabilidad y compromiso del personal que esto no suceda. MEDIDAS CORRECTORAS APLICABLES ANTE UNA AUSENCIA DE PERSONAS: Las medidas correctoras que se deben adoptar ante la ausencia de personas clave son las siguientes:

20 Se investigan los motivos por los cuales el primer titular del puesto no se encuentra en la oficina. Se investigan los motivos por los cuales el segundo titular del puesto no se encuentra en la oficina. Se busca a una persona calificada que pueda cubrir el puesto por un determinado tiempo hasta que retornen el primer o segundo titular a la compañía. MEDIDAS PREVENTIVAS PARA EVITAR UN ROBO O PÉRDIDA DEDOCUMENTACIÓN: Las medidas preventivas que se han tomado para evitar un robo o pérdida de documentación son las siguientes: Información almacenada en papel que ya no contenga valor empresarial debe de ser destruida. Información almacenada en formato electrónico que ya no sea de uso para la empresa debe de ser destruida. En caso de traslados de equipos, contratar garantías ante posibles contingencias que puedan ocurrir, haciendo que la responsabilidad recaiga sobre los contratistas de mantenimientos de SERVIENTREGA Controlar todas las salidas y llegadas de información para la empresa, sobre todo ante el uso de las copias de respaldo (DATACENTER, LOCAL). Tener personal de la empresa presente en los posibles traslados que se puedan llevar a cabo. Impedir la libre circulación de personas por dentro de la compañía y que sean ajenas a la empresa. Tener controles de acceso a la entidad las 24 horas del día (Usuario- Identificador). Tener instaladas altas medidas de protección física en la sala de servidores. Restringir el acceso a ciertas personas a la sala de servidores, solo el personal autorizado a oficinas, sala de servidores, sala de reuniones.

21 MEDIDAS CORRECTORAS APLICABLES ANTE UN ROBO O PÉRDIDA DEDOCUMENTACIÓN: Las medidas correctoras que se deben adoptar ante el robo o la pérdida de documentación son las siguientes: Avisar al responsable de seguridad de oficina por parte de la primera persona que se percate de una falta de documentación empresarial. Preguntar al personal de la empresa sobre el extravío o robo de la documentación. Anotar la pérdida en el libro de incidencias de la compañía. Volver a generar la información si es posible Enviar un informe por medio del SGSI a implementar donde se informe a la siguiente agencia inmediata más cercana sobre la anomalía. MEDIDAS PREVENTIVAS PARA EVITAR UN ROBO O PÉRDIDA DE EQUIPOS: Las medidas preventivas que se han tomado para evitar un robo o una pérdida de equipos son las siguientes: Tener asegurados por lotes todos los equipos informáticos de la entidad. Tener instalados en ciertos lugares, anclajes en los equipos informáticos. Impedir la libre circulación de personas por dentro de la compañía. Tener controles de acceso a la entidad las 24 horas del día.(usuario Identificador, tiempo de acceso al servidor) Tener instaladas altas medidas de protección física en la sala de servidores. Restringir el acceso a ciertas personas a la sala de servidores. Tener actualizado el inventario de activos por cada departamento empresarial. Estar en posesión de equipos u otro material informático de repuesto para las posibles sustituciones. En caso de traslados de equipos, contratar garantías ante posibles contingencias que puedan ocurrir. Suprimir datos confidenciales de los equipos en caso de que se vaya a realizar un traslado de los mismos. Tener personal de la empresa presente en los posibles traslados que se puedan llevar a cabo

22 MEDIDAS CORRECTORAS APLICABLES ANTE UN ROBO O PÉRDIDA DE EQUIPOS: Las medidas correctoras que se deben adoptar ante el robo o la pérdida de equipos son las siguientes: Avisar al responsable de seguridad por parte de la primera persona que se percate de una falta de material informático. Preguntar al personal de la empresa sobre el extravío o robo del material. Anotar la pérdida en el libro de incidencias de la compañía e infórmalas al comité supervisor de seguridad por medio del SGSI. Reposición del material informático extraviado o hurtado. MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE USUARIO: Las medidas preventivas que se han tomado para evitar un error de explotación son las siguientes: Formar de una manera adecuada al usuario en el uso de las aplicaciones que va a utilizar (concienciación del empleado). Poseer manuales explicativos, sencillos y precisos acerca de las aplicaciones empresariales. Capacitar al usuario de las aplicaciones ante posibles cambios que puedan surgir en los procesos de negocio de la entidad. Controlar los posibles errores repetitivos que puedan cometer los usuarios. Asegurarse que las aplicaciones que utilizan los usuarios han pasado todas las pruebas de validación. Prestar ayuda a las personas que aún no son expertas en ciertas aplicaciones.(colaboración endógena del personal)

23 MEDIDAS CORRECTORAS APLICABLES ANTE UN ERROR DE USUARIO: Las medidas correctoras que se deben adoptar ante error de usuario son las siguientes: Esperar a que el usuario se comunique con el responsable de seguridad o mantenimiento de sistemas y exprese su acción incorrecta. Atender lo más rápido posible al usuario que ha cometido el error(si el encargado de seguridad de oficina no le puede colaborar por ayuda remota se puede asesorar el personal). Evaluación por parte del responsable de las causas por las cuales el empleado ha podido cometer el error. Intentar reparar dicho error a la mayor brevedad posible. Realizar las pruebas necesarias para garantizar que el error ha desaparecido por completo. Asegurarse que el usuario ha tomado nota de su error para que no vuelva acometerlo, pasando un informe del percance como bitácora del empleado y sus movimientos como usuario del sistema SERVIENTERGA. MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE MANTENIMIENTO: Las medidas preventivas que se han tomado para evitar un error de mantenimiento son las siguientes: Contratación de técnicos altamente calificados por medio de subcontratación SERVIENTREGA. Exigencia de garantías en cuanto a tiempo de entrega a los suministradores de material informático, licencias y seguro con pérdida de información. Pruebas por parte de los usuarios para comprobar que su necesidad ha sido satisfecha por el técnico.

24 MEDIDAS CORRECTORAS APLICABLES ANTE UN ERROR DE MANTENIMIENTO: Las medidas correctoras que se deben adoptar ante error de mantenimiento son las siguientes: Identificar rápidamente a la persona de mantenimiento que ha cometido dicho error. Evaluación por parte del responsable de mantenimiento de las causas por las cuales el empleado ha cometido el error. Intentar reparar dicho error a través de la persona que lo cometió o mediante otra en el menor tiempo posible. Realizar las pruebas necesarias para garantizar que el error ha desaparecido por completo. Comprobación por parte del usuario MEDIDAS PREVENTIVAS PARA EVITAR UN ERROR DE DESARROLLO DEL SGSI Las medidas preventivas que se han tomado para evitar un error de desarrollo son las siguientes: Repartir las tareas de programación en diferentes módulos, para así poder trabajar en equipo y sea más fácil la reparación de posibles errores. Realización de diferentes pruebas para comprobar que la aplicación desarrollada funciona correctamente. Garantizar que el equipo de prueba de la aplicación está formado por individuos distintos a los programadores de la misma, logrando así que las pruebas se ejecute de una manera más objetiva y más conveniente a la experiencia del personal SERVIENTREGA. Controlar el estricto cumplimiento de las normas de seguridad de acceso a la información para impedir en la programación la posibilidad de acceso a los datos sensibles o confidenciales. Realizar controles de seguridad en la fase de pruebas. Obtener garantías de éxito de la aplicación a una tercera compañía en caso de que el desarrollo sea subcontratado.

25 Controlar siempre los privilegios de acceso a la aplicación y la integridad delos datos que gestiona la misma. Utilizar siempre sistemas operativos que tengan una buena imagen en el mercado actual.(linux- WINDOWS) Implantación de un historial con los movimientos de desarrollo que lleva acabo cada programador, para en caso de fallo conocer quien lo ha cometido. Impedir el paso directo de modificaciones de aplicaciones al entorno de producción, sin contrastarlas previamente en un entorno de test. Realización de la aplicación en tres entornos distintos (Producción, test e instalación). Dividir responsabilidades entre los controladores del correcto funcionamiento de la aplicación y haciendo definición de las reglas de usabilidad del SGSI para SERVIENTREGA. Realizar un control de calidad de la aplicación una vez que haya pasado las pruebas con éxito. MEDIDAS CORRECTORAS APLICABLES ANTE UN ERROR DEDESARROLLO DEL SGSI SERVIENTREGA: Las medidas correctoras que se deben adoptar ante error de desarrollo son las siguientes: Identificar rápidamente al programador que ha cometido dicho error. Evaluación por parte del responsable de la aplicación de las causas por las. cuales el programador ha cometido el error. Intentar reparar dicho error en el menor tiempo posible. Realizar las pruebas necesarias para garantizar que el error ha desaparecido por completo

26 MEDIDAS PREVENTIVAS PARA EL ACCESO DE USUARIO SISTEMA DE INFORMACION SERVIENTREGA O SGSI Las medidas preventivas que se deben adoptar ante el acceso al sistema son las siguientes: El manejo de la clave para cada empleado de la empresa es única y intransferible a cualquier otros empleado, así sea de la misma oficina, No se permitirá la conexión con el servidor de manera permanente razón por la cual cada media hora se volverá a pedir autentificación El número de identificador asignado a cada usuario es el mismo correspondiente tanto a usuario del sistema de información SERVIENTREGA tanto como al SGSI que allí se instalara para brindar soporte entre el personal a nivel nacional. MEDIDAS CORRECTIVAS PARA EL ACCESO DE USUARIO SISTEMA DE INFORMACION SERVIENTREGA O SGSI Las medidas correctivas que se deben adoptar ante el acceso al sistema son las siguientes: Para la contraseña se han destinado máximo 20 caracteres Los cuales deberán ser un dato con información poco relevante para el empleado Cuando se pierda la clave remotamente por medio del SGSI se le asignará una nueva gracias al comité de seguridad principal ubicado en la capital El cambio de los ID s por parte de cada empleado de la empresa será hecho periódicamente cada 2 mes, luego de esto el ID expirara y el usuario no podrá ingresar a la red Servientrega. En caso de no poder acceder al sistema teniendo en cuenta las anteriores pautas se informara del caso al supervisor de seguridad de oficina.