Sunteți pe pagina 1din 27

TRABAJO COLABORATIVO SEGURIDAD EN REDES

POLITICAS DE SEGURIDAD

ADRIANA SOFIA MERCADO ROBLES 5921420017

JUAN DAVID RIOS 5921420021

DARLY MARIA HERRERA RUIDIAZ 5921420011

ORLANDO DURAN SALAS 5921420008

CARLOS ALFREDO MORALES GARCIA 5921420019

UNIVERSIDAD DE CARTAGENA CTEV MOMPOX

INGENERIA DE SISTEMAS

CT MOMPOS BOLIVAR

2018
TRABAJO COLABORATIVO SEGURIDAD EN REDES

POLITICAS DE SEGURIDAD

ADRIANA SOFIA MERCADO ROBLES 5921420017

JUAN DAVID RIOS 5921420021

DARLY MARIA HERRERA RUIDIAZ 5921420011

ORLANDO DURAN SALAS 5921420008

CARLOS ALFREDO MORALES GARCIA 5921420019

TUTOR:

ING. MANUEL ESTEBAN URECHE OSPINO

Esp. En Seguridad Informática

UNIVERSIDAD DE CARTAGENA CTEV MOMPOX

INGENERIA DE SISTEMAS

CT MOMPOS BOLIVAR

2018
Tabla de Contenido
1. INTRODUCCION............................................................................................................... 5
2. OBJETIVOS ....................................................................................................................... 6
2.2. Objetivos General ...................................................................................................... 6
2.3. Objetivos específicos ................................................................................................ 6
3. ALCANCE........................................................................................................................... 6
4. Asignación de roles de cada integrante del grupo ........................................................ 7
5. Normas sistemáticas y legales vigentes en Colombia ................................................. 7
6. COMPROMISO DE LA DIRECCION ............................................................................ 10
7. Políticas de seguridad para la empresa Don Seguro ................................................. 11
8. Definiciones ...................................................................................................................... 12
8.2. ¿Qué es el robo de identidad? .............................................................................. 12
8.3. ¿Qué es un Virus?................................................................................................... 12
8.4. ¿Qué es un Gusano? .............................................................................................. 13
8.5. ¿Qué es un Troyano? ............................................................................................. 13
8.6. Definición de spyware. ............................................................................................ 13
8.7. Definición de hacker................................................................................................ 13
8.8. PHISHING ................................................................................................................ 14
8.9. ESTAFAS ONLINE .................................................................................................. 14
8.10. SPAM .................................................................................................................... 14
8.11. Páginas web inapropiadas ................................................................................. 14
8.12. Rendimiento pésimo de los recursos por navegación en páginas de juegos
y videos por parte del personal. ........................................................................................ 15
9. POLITICAS GENERALES DE SEGURIDAD INFORMATICA .................................. 15
10. Políticas de asignación y el uso de los recursos ..................................................... 15
11. Políticas de seguridad de la información.................................................................. 16
12. Políticas de mantenimiento y buen uso de la infraestructura ................................ 17
13. Políticas de identificación y activación...................................................................... 18
14. Políticas de uso de las contraseñas ......................................................................... 18
15. RECOMENDACIONES DE SEGURIDAD PARA LA EMPRESA DON SEGURO.
19
15.2. Recomendación seguridad para el robo de Identidad .................................... 19
15.3. Recomendación de seguridad para virus, gusanos y troyanos..................... 19
15.4. Recomendación de seguridad para spyware. ................................................. 19
15.5. Recomendación de seguridad para hacker. .................................................... 20
15.6. Recomendación de seguridad para Phishing y estafas online ...................... 20
15.7. Recomendación de seguridad para Spam ....................................................... 21
15.8. Recomendación de seguridad de páginas web inapropiada ......................... 21
15.9. Recomendación de seguridad de rendimiento pésimo de los recursos por
navegación en páginas de juegos y videos por parte del personal. ............................. 22
15.10. Recomendación de seguridad de claves, compartir archivos y equipos ..... 22
15.11. Recomendaciones de seguridad ataques a los terminales ........................... 23
16. ACTUALIZACIÓN, MANTENIMIENTO Y DIVULGACIÓN DE LAS POLÍTICAS
DE SEGURIDAD INFORMÁTICA ......................................................................................... 23
17. COMITÉ DE SEGURIDAD ......................................................................................... 23
18. ANEXO 1 ......................................................................................................................... 25
19. Conclusión .................................................................................................................... 26
20. Bibliografía y web grafía ............................................................................................. 27
1. INTRODUCCION
Es de gran importancia que en una organización se implanten o se establezcan
políticas para la seguridad de la información, por esto la necesidad de
establecerlas. Esto permitirá la fácil administración de la información en una
organización, la preservación de la confidencialidad, Integridad y disponibilidad
de la misma y garantizar la autenticidad, trazabilidad, no repudio y fiabilidad de
la misma.

La información es un activo que la empresa DON SEGURO tiene el deber y la


responsabilidad de proteger y salvaguardar de una manera segura, garantizando
su disponibilidad, integridad y confidencialidad, la cual es esencial para
proporcionar servicios eficientes a sus clientes. La empresa DON SEGURO tiene
la responsabilidad de proteger la información y prevenir su mal uso tomando
como marco de referencia lo establecido en las leyes 1273 de 2009, 1581 de
2012, 1712 de 2014, el Decreto 1377 de 2013 y la norma ISO 27001 para
establecer políticas de seguridad que garanticen la confidencialidad de la
información personal de los ciudadanos, empleados, directivos, proveedores y,
en general, información relacionada con sus propias operaciones.
2. OBJETIVOS
2.2. Objetivos General
 Establecer las políticas de seguridad de la empresa ficticia Don Seguro,
donde se aplique la tabla CIA (confiabilidad, integridad, y disponibilidad)

2.3. Objetivos específicos


 Cumplir con los principios de seguridad de la información.
 Proteger los activos tecnológicos.
 Promover que todo empleado, funcionario, contratista y demás personas
que tengan relación con la empresa ficticia Don Seguro, tenga claro su rol
en el uso y la protección de la información, con el fin de minimizar el
riesgo.
 Permitir el intercambio de información segura.

3. ALCANCE
Estas políticas de seguridad son elaboradas de acuerdo al análisis de riesgos y
de vulnerabilidades en las dependencias de la empresa DON SEGURO, por
consiguiente, el alcance de estas políticas se encuentra sujeto a la Empresa.
Estas políticas son aplicables a todos los empleados, contratistas, consultores,
eventuales y otros empleados de Las Empresas, incluyendo a todo el personal
externo que cuenten con un equipo conectado a la Red. Estas políticas son
aplicables también a todo el equipo y servicios propietarios o arrendados que de
alguna manera tengan que utilizar local o remotamente el uso de la Red o
recursos tecnológicos de la empresa, así como de los servicios e intercambio de
archivos y programas.

La elaboración de las Políticas de Seguridad está fundamentada bajo la norma


ISO/IEC 17799, han sido planteadas, analizadas y revisadas con el fin de no
contravenir con las garantías básicas de los usuarios, y no pretende ser una
camisa de fuerza, y más bien muestra una buena forma de operar los sistemas
con seguridad, respetando en todo momento estatutos y reglamentos internos
de la Empresa.
4. Asignación de roles de cada integrante del grupo
1) Líder del grupo: Darly María Herrera Ruidiaz
2) Comunicador: Juan David Ríos
3) Relator; Carlos Morales García
4) Utilero Adriana Sofía Mercado Robles
5) vigía del tiempo: Orlando Duran Salas

5. Normas sistemáticas y legales vigentes en Colombia


 Norma ISO 27001:2013; la cual facilita la integración de los sistemas de
gestión, debido a que es una estructura de alto nivel, donde los términos
y definiciones ayudan a implementar, determina los objetivos de un SGSI,
se enfatiza en aplicar el proceso de evaluación de riesgos de seguridad
de información para identificar los riesgos asociados a la pérdida de la
confidencialidad, integridad y disponibilidad de la información en el ámbito
del sistema de gestión de la seguridad de información.
 ley 23 de 1982 "derechos de autor” El derecho de autor es una especie
dentro de la institución de la propiedad intelectual, en virtud de la cual se
otorga la protección a las creaciones inspiradas a través de lo artístico,
tiene por objeto las manifestaciones con espíritu, de tal manera que
puedan ser captadas.

El Congreso de Colombia expide la LEY 23 DE 1982 (enero 28) sobre


derechos de autor.

 ley 527 de 1999 comercio electrónico y firmas digitales. Se presentó por


parte del Ministro de Transporte, el Ministro de Desarrollo Económico, el
Ministro de Comercio Exterior y el Ministro de Justicia el proyecto de ley
número 227 de 1998, ante la Honorable Cámara de Representantes, para
su respectivo debate y aprobación, con el cual se buscaba definir y
reglamentar el acceso y uso del comercio electrónico, de las firmas
digitales y se autorizaban las entidades de certificación. La regulación se
proponía brindar un adecuado tratamiento al contenido de las
comunicaciones, denominado intercambio electrónico de informaciones o
con sus siglas en inglés, aunque no dejaba de lado otros medios conexos
de comunicación de datos. Además, se centraba en el aspecto probatorio,
habida cuenta que, hacia futuro, la información presentada por éstos
medios sería distinta a la noción tradicional que se tiene de documento.
Se basa exclusivamente para definir lo la seguridad en el Mensaje de
datos. La información generada, enviada o recibida, almacenada o
comunicada por medios electrónicos, ópticos como pudieran ser, el
Intercambio Electrónico de Datos (EDI).
 Ley 1273 título "De la protección de la Información y de los datos" 4 3
IRAGORRI HORMAZA, 1982, de los derechos de autor, Bogotá D.C 4
GERMAN VARON COTRINO 2009, de la protección de los datos Bogotá
D.C 23 Esta ley típica los delitos con el manejo de los datos personales,
ya que es da gran importancia que las personas utilicen medidas de
protección en materia jurídica para evitar realizar uno de estos actos que
son penalizados. Esta ley vincula de forma permanente al código penal
su título II denominado de la protección de la información y delos datos,
que a su vez se divide en dos capítulos. Primero: De los atentados contra
la confidencialidad, la integridad y la disponibilidad de los datos y de los
sistemas informáticos. Segundo: De los atentados informáticos y otras
infracciones
 Ley 1266 del 2008 Habeas Data. La Corte Constitucional lo definió como
el derecho que otorga la facultad al titular de datos personales de exigir
de las administradoras de esos datos el acceso, y certificación de los
datos, con limitación en las posibilidades de su divulgación o publicación,
de conformidad con los principios que regulan el proceso de
administración de datos personales. La persona u organización que recibe
o conoce datos personales de los titulares de la información, en virtud de
una relación comercial o de servicio o de cualquier otra índole y que, en
razón de autorización legal o del titular, suministra esos datos a un
operador de información, el que a su vez los entregará al usuario que le
corresponde.
 Ley Estatutaria 1581 de 2012 Por la cual se dictan disposiciones
generales para la protección de datos personales. Preservar el derecho
constitucional que todas las personas tiene derecho a conocer, actualizar
y rectificar las informaciones que se hayan recogido sobre ellas en bases
de datos o archivos, y los demás derechos, libertades y garantías
constitucionales a que se refiere el artículo 15 de la Constitución Política;
así como el derecho a la información consagrado en el artículo 20 de la
misma.

Código PenalArt. 199. EspionajeArt. 258. Utilización indebida de información

Art. 418. Revelación de Secreto

Art. 419. Utilización de asunto sometido a secreto o reserva

Art. 420. Utilización indebida de información oficial

Artículo 431. Utilización indebida de información obtenida en el ejercicio de la


función pública

Artículo 463. Espionaje


6. COMPROMISO DE LA DIRECCION
Los funcionarios en general de la empresa Don Seguro aprueba esta política de
seguridad de la información como muestra de su compromiso y apoyo en el
diseño e implementación de políticas eficientes que garanticen la seguridad de
la información de la compañía.

Los funcionarios y dueños de la empresa Don Seguro demuestran su


compromiso a través de:

 Revisión y aprobación de las políticas de seguridad de la información


contenidas en estén documento
 La promoción activa de una cultura de seguridad
 Facilita la divulgación de este manual a todos los funcionarios de la
entidad.
 El aseguramiento de los recursos adecuados para implementar y
mantener las políticas de seguridad de la información
 La verificación y cumplimiento de las políticas ya mencionadas.
7. Políticas de seguridad para la empresa Don Seguro
La empresa de Don Seguro tiene importancia de las políticas de seguridad que
puede alcanzar en su empresa para fundamentar seguridad en toda la totalidad
de la empresa, comprende que no tener buena seguridad en la empresa puede
ocasionar perdidas informativas que al final pueden afectar a los
funcionamientos de los procesos de la empresa.

Los funcionarios de la empresa de Don Seguro, tendrán la habilidad de analizar


cada una de las reglas, normas, estándares y procedimientos que ayudarán a
fundamentar la seguridad en la empresa, llevando consigo aplicabilidad de los
procedimientos a llevar, el desconocimiento que conlleve las sanciones
disciplinarias que apliquen según el incidente presentado.

Para garantizar la confidencialidad, integridad y disponibilidad se llevará a cabo


la implementación de los controles de seguridad en la empresa Don Seguro, con
el objetivo de lograr que los procedimientos logrados nos lleven a un nivel de
riesgo mínimo, cuáles van a ser las estrategias para aplicar esas políticas en la
empresa, al diferente personal que ahí labora, además para estar de acuerdo
con la funcionalidad de la compañía y finalizando con el cumplimiento al marco
jurídico aplicable a los estándares nacionales.

Ya que el Gerente ha pasado en alto estos tres importantes aspectos referentes


a seguridad y ya se han venido presentando los siguientes problemas:

 Robo de identidad
 Virus, gusanos y troyanos.
 Spyware
 Hackers
 Phishing y estafas online
 Spam
 Páginas web inapropiadas
 Rendimiento pésimo de los recursos por navegación en páginas de juegos
y videos por
parte del personal
 Claves, archivos y equipos compartidos
 Ataques a los terminales

8. Definiciones
8.2. ¿Qué es el robo de identidad?
 El robo de identidad es un delito grave y potencialmente muy destructivo.
El robo de identidad ocurre cuando alguien comete o intenta cometer
fraude usando la información personal de la víctima, por ejemplo, nombre,
fecha de nacimiento, número de seguro social (SSN), número de licencia
de conducir, etc. El ladrón podría usar esta información para obtener
nuevas tarjetas de crédito u otras cuentas en nombre de la víctima.
 Los ladrones de identidad pueden alquilar apartamentos, sacar tarjetas de
crédito o abrir otras cuentas con su nombre. Es posible que no descubra
el robo hasta que revise su informe crediticio o el estado de cuenta de su
tarjeta de crédito y se fije en cuentas que no había abierto o cobros de
gastos que no había hecho, o hasta que una agencia de cobros se
comunique con usted.

8.3. ¿Qué es un Virus?


 Se trata de un programa que se copia y se ejecuta automáticamente, y
que tiene por objeto alterar el normal funcionamiento de un ordenador, sin
el permiso o el conocimiento del usuario. Para ello, los virus reemplazan
archivos ejecutables por otros infectados con su código, como son, correo
electrónico, página web o archivo. Por su capacidad de copiarse a sí
mismo es similar a la de los virus biológicos y por eso reciben ese nombre.
Ejemplos de virus famosos: Sasser o Code Red.
¿Cómo se propagan los virus?
 Internet es la fuente de propagación preferida de los virus. Suelen venir
como adjuntos en correos electrónicos, se cargan al acceder a ciertas
páginas web o al abrir algunos archivos descargados.
¿Qué efectos producen los virus?
 Los virus no son una broma. Nadie se muere por un virus informático. Sin
embargo, pueden producir distintas alteraciones en el funcionamiento del
ordenador infectado: pérdida de datos, bloqueos, reducción del espacio
en disco, ralentización, reinicios, mensajes molestos, robo de información
confidencial, etc.

8.4. ¿Qué es un Gusano?


 Es un programa similar al virus ya que puede reproducirse por sí mismo
con efectos dañinos para el ordenador afectado, pero no necesita infectar
otros ficheros para reproducirse. Se suele extender gracias al correo
electrónico. Ejemplos de gusanos famosos: MyDoom.

8.5. ¿Qué es un Troyano?


 Es un programa que no se reproduce infectando otros ficheros ni se
propaga haciendo copias de sí mismo. Entra en el ordenador como un
programa inofensivo, pero al ejecutarlo permite a su creador controlar
remotamente el ordenador infectado o capturar los textos introducidos
mediante teclado incluyendo las contraseñas de la víctima. Esto es
peligroso porque permite robar información delicada. Ejemplos de
troyanos famosos: NetBus o Bandook.

8.6. Definición de spyware.


El spyware o programa espía es una pequeña aplicación informática que
se instala en el ordenador sin que su usuario sea consciente de ello.
Recopila datos del sistema para enviarlos a través de Internet a alguna
empresa de publicidad o editor de software. En muchas ocasiones no es
reconocido por programas antivirus, no afecta a archivos ni causa daños
a nivel de hardware en el equipo infectado.

8.7. Definición de hacker.


Hacker es una voz del inglés para referirse a una persona o a una
comunidad que posee conocimientos en el área de informática y se dedica
a acceder a sistemas informáticos para realizar modificaciones en el
mismo. Los hackers también son conocidos como “piratas informáticos”.
El término hacker proviene del verbo “hack” que significa “cortar” o
“alterar” algún objeto de forma irregular. El significado actual del término
hacker fue conocido a partir de la década de los 50 del siglo XX para
designar una alteración inteligente en alguna máquina, redes sociales y a
las diferentes conexiones entre computadoras, originándose en el Instituto
de Tecnología de Massachusetts cuyos programadores se conocían
como “hackers”.

8.8. PHISHING
 Esto consiste en engañar al usuario para robarle información confidencial,
claves de acceso y más, haciendo creer que está en un sitio de toda
confianza, utilizando correo electrónico para lanzar este tipo de ataques,
estos correos o mensajes incluyen un enlace que lleva al Usuario a un
sitio web en teoría conocido siendo una copia del mismo.

8.9. ESTAFAS ONLINE


 La capacidad de engañar a distancia, factores que han hecho que los
diversos métodos de estafas se a un mejores para engañar a la víctima.

8.10. SPAM
 Son los mensajes publicitarios no solicitados enviados de forma masiva.
La vía más utilizada es la basada en el correo electrónico, pero puede
presentarse por programas de mensajería instantánea o por teléfono
celular.

8.11. Páginas web inapropiadas


 Existen páginas en Internet que plantean temas no adecuados para nadie
y en especial para los usuarios de la empresa. Es el caso de sitios que
tratan de fomentar el racismo, violencia, terrorismo, armas, sectas,
pornografía infantil, abusos infantiles, tráfico de drogas, anorexia o
bulimia, etc.

8.12. Rendimiento pésimo de los recursos por navegación en páginas


de juegos y videos por parte del personal.
Los juegos en línea son los autores con un alto riesgo para el rendimiento
pésimo de los recursos de navegación en internet, ya que requieren una
gran cantidad de descargas (MB) y los videos por su descarga en cache.

9. POLITICAS GENERALES DE SEGURIDAD INFORMATICA


Dado a la problemática vamos a realizar las políticas de seguridad para la
compañía que además estas normas son de obligatorio cumplimiento por parte
de todos los usuarios de recursos informáticos y se han clasificado en:

 Políticas de asignación y el uso de los recursos


 Políticas de seguridad de la información
 Políticas de mantenimiento y buen uso de la infraestructura
 Políticas de identificación y activación
 Políticas de uso de las contraseñas

10. Políticas de asignación y el uso de los recursos


 Cada empleado tiene asignado un equipo de cómputo al cual debe
ingresar con un usuario y contraseña.
 El personal debe hacer uso adecuado de los recursos informáticos (PC,
impresoras, programas, correo, etc.) y el personal de sistemas debe
asegurar que se cumpla esta política. Además, todo el personal deberá
informar a sistemas sobre cualquier falla, desperfecto o mal uso del
equipo de cómputo, para su adecuado seguimiento.
 Todo el personal tendrá una cuenta de correo electrónico interno, que les
permite recibir y enviar información indispensable para sus actividades.
Estas cuentas de correo, sólo son para uso interno, no tienen la capacidad
de enviar correos públicos.
 El uso de internet queda reservado solo para las actividades de trabajo
que así lo requieran. En general se restringe el acceso mediante el uso
de contraseña en el administrador de contenidos de Internet Explorer.

11. Políticas de seguridad de la información


 Diariamente se realizan Backus automáticos a la base de datos según los
mecanismos establecidos y se realizan a cada hora.
 Los equipos deberán contar con salvapantallas protegido por contraseña
con un tiempo de espera de 1 minuto para evitar accesos no autorizados.
 Todos los accesos a los programas principales estarán protegidos
mediante un mecanismo de usuario y contraseña, así como permisos de
acceso. De igual forma, las sesiones de Windows personales estarán
protegidas con contraseña.
 Los usuarios deberán abstenerse de divulgar o compartir sus datos de
acceso a los programas y sesiones de Windows.
 Coordinación o sistemas designarán periódicamente nuevas contraseñas
tanto para el acceso a las sesiones Windows como para el acceso a los
programas.
 Todos los archivos que viajen por correo y que contengan información
sensible deberán estar comprimidos con contraseña de uso interno como
medida de seguridad de información.
 Todos los equipos asignados a los conectores/gestores tendrán
deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida
tiene 3 objetivos:
o Evitar ataques de virus en los equipos y el servidor.
o Evitar extracciones no autorizadas.
o Evitar la carga de archivos ajenos a la labor de gestión.
 Los equipos autorizados para el uso de dispositivos de almacenamiento
externos están supervisados por coordinación y por el área de sistemas,
para la entrada y salida de información.
 A todos los equipos se les realizará una revisión de virus por lo menos
cada mes, que incluye las siguientes actividades.

Actualizar su base de firmas de virus (actualización de la lista de amenazas)

Búsqueda de virus (análisis del equipo)

Eliminación de virus si fue detectado.

 En caso autorizado de memorias USB y discos, es responsabilidad del


usuario hacer uso del antivirus antes de copiar o ejecutar archivos para
que los equipos no sean infectados. Además, los usuarios pueden pedir
apoyo al departamento de sistemas para el uso de antivirus.

12. Políticas de mantenimiento y buen uso de la


infraestructura
 Todos los equipos deberán presentar las últimas actualizaciones de
Windows, parches de seguridad y antivirus instalado.
 Los equipos de toda la agencia deberán de estar conectados a un
regulador de corriente, como medida de prevención de variaciones de
electricidad.
 Si se presentara una suspensión de servicio eléctrico y el servidor solo se
sostuviera con el no-break, se tendrán que apagar primero todos los
equipos de la agencia y posteriormente el servidor.
 El servidor y la máquina principal del área administrativa deberán
conectarse a un equipo no-break para evitar la pérdida de información en
los equipos por variaciones o fallas de energías.
 Una vez al año se realizará una revisión en la red para detectar
desperfectos y dar así mantenimiento a la agencia.
 Periódicamente, por espacio de 4 meses, se realizará una limpieza física
a toda la infraestructura de equipo de cómputo por parte del personal de
sistemas.
 Toda actividad elaborada por el equipo de sistemas deberá de estar
debidamente documentada para darle seguimiento y que sirva como
evidencia en los procesos de auditoria interna.

13. Políticas de identificación y activación


 Para hacer uso de la red inalámbrica, el solicitante necesariamente
deberá ser miembro de alguna de Las Empresas del grupo.
 Como primer paso para hacer uso de este servicio, se deben de registrar
los usuarios que deseen la prestación del servicio mediante el llenado de
un formulario y presentando el dispositivo que se conectará a la red
inalámbrica.
 Se debe registrar la dirección MAC de las tarjetas inalámbricas de todos
y cada uno de los dispositivos de comunicación.
 La activación de la cuenta se realizará por un periodo semestral como
máximo; salvo casos de fuerza mayor o anormalidades en el registro
(usuarios inexistentes, apagones, fallas, etc.).
 Para conectarse a la red inalámbrica se deberá emplear autenticación tipo
WPA2-AUTO-PSK para lo cual los nombres de usuarios y contraseñas
cambiarán periódicamente (de 6 a 12 meses) con la finalidad de
proporcionarles seguridad en el acceso a los usuarios.

14. Políticas de uso de las contraseñas


 Las contraseñas no deben de compartirse con nadie. Todas las
contraseñas deben ser tratadas como sensibles, como Información
confidencial de la empresa.
 Las contraseñas no se deben adjuntar en mensajes de correo electrónico
u otras formas de comunicación electrónica.
 Las contraseñas no deben ser reveladas por teléfono a nadie.
 No debe de revelar contraseñas en cuestionarios o formularios de
seguridad o de ningún tipo.
 No deje pistas del formato de una contraseña (por ejemplo, "nombre de
mi familia").
 No comparta contraseñas de la empresa con nadie, incluyendo
asistentes, administrativos, secretarias, directivos, dueños, socios,
compañeros de trabajo durante las vacaciones, amigos o miembros de la
familia.
 No escriba ni guarde contraseñas en post-its o papel en cualquier lugar
de su oficina. No guarde las contraseñas en archivos en su computadora
o dispositivos móviles (teléfonos, tablets) sin cifrado.
 No utilice la función "Recordar Contraseña" de aplicaciones (por ejemplo,
navegadores web).
 Cualquier usuario que sospeche que su contraseña puede haber sido
comprometida debe reportar el incidente inmediatamente y cambiar todas
sus contraseñas a la brevedad.

15. RECOMENDACIONES DE SEGURIDAD PARA LA


EMPRESA DON SEGURO.

15.2. Recomendación seguridad para el robo de Identidad


 Lo empresa solo estará soportada por una red física.
 Todo documento que se tire al bote de la basura debe ser destruido
en tirillas con anterioridad.
 Todos los equipos deben estar protegidos por contraseñas.
 Uso restringido de redes sociales.

15.3. Recomendación de seguridad para virus, gusanos y troyanos.


 Sustituir el sistema operativo Windows por sistema operativo Linux

15.4. Recomendación de seguridad para spyware.


 Se recomienda revisar el sistema mediante programas de búsqueda de
spyware.
 Se aconseja La instalación de un cortafuego (firewall) que impida el
acceso a internet de programas no autorizados es primordial.
 Utilizar Antispyware software, que es un software especializado en
detectar spyware.
 Se debe detectar y eliminar spyware en Windows que es el sistema
operativo que usa la empresa Don Seguro, para eso se recomienda el
software Spyhunter, que es un programa que protege tu ordenador para
que nadie pueda instalar un spyware en tu sistema.

15.5. Recomendación de seguridad para hacker.

 Se le recomienda a la empresa Don Seguro Contar con los servicios de


un “Hacker ético”: un hacker ético es un experto que tiene los mismos
conocimientos que un hacker, pero los utiliza para probar la seguridad de
nuestra red y observar el daño al que estamos expuestos, antes de que
lo haga un hacker criminal.

 A la empresa Don Seguro se le aconseja Implantar herramientas de


software para proteger la red: antivirus, anti-phising, antispyware,
sistemas de protección total y de codificación de discos duros.

 Se le aconseja a la empresa Don Seguro, no hacer clik en enlaces de un


email cuyo remitente no se conoce.

15.6. Recomendación de seguridad para Phishing y estafas online


 Identificar claramente los correos electrónicos

Estos adoptan la imagen y el nombre de la empresa real, incluyen webs que


visualmente son iguales a las empresas reales, como gancho utilizan regalos o
la pérdida de la propia cuenta existente.

 Introduce tus datos confidenciales únicamente en webs seguras


Para identificar, en tu navegador existe un pequeño icono de un candado cerrado
en las webs seguras que han de empezar por ‘https://’

 Revisa periódicamente tus cuentas

Nunca está de más revisar tus cuentas bancarias de forma periódica, para estar
al tanto de cualquier irregularidad en tus transacciones online.

 Evitar las suscripciones de SMS

En internet proliferan muchas páginas ilegales de streaming con contenido


gratuito como partidos de futbol, series o películas, aunque el acceso a varias de
ellas puede salir muy caro para el usuario. Es frecuente que estas webs re
direccionen a páginas popup que dicen ofrecer el contenido que se busca a
cambio de que le usuario escriba su número de teléfono.

15.7. Recomendación de seguridad para Spam


 No enviar mensajes de cadena

Son el tipo de mensaje más utilizados para engañar, ya que los mismos son
utilizados generalmente con algún tipo de engaño

 No publicar una dirección privada en sitios webs, Como foros,


conversaciones online, etc.

Ya que solo facilita la obtención de las mismas a los spammers

 Evitar responder este tipo de mensajes

Ya que con esto solo estamos confirmando nuestra dirección de email y solo
lograremos recibir más correo basura.

15.8. Recomendación de seguridad de páginas web inapropiada


 Informar a la Gerencia de Sistemas inmediatamente observe cualquier
acontecimiento inusual.
 No está permitido el acceso de contenido para adulto (pornografía y
juegos)
 El historial de acceso a Internet es monitoreado, permitiendo identificar
los sitios visitados por los usuarios, lo cual puede ser utilizado durante
investigaciones cuando se sospeche el uso indebido del recurso.

15.9. Recomendación de seguridad de rendimiento pésimo de los


recursos por navegación en páginas de juegos y videos por
parte del personal.
 Un filtro corporativo de Internet, se utiliza para prevenir tipos específicos
de sitios web que se accede. Si un usuario necesita acceder a un sitio
web que está bloqueado o restringido, el jefe inmediato debe solicitar por
los canales de comunicación establecidos, la respectiva autorización a la
Gerencia de Sistemas.
 Los usuarios no están autorizados para descargar programas o software
(incluyendo protectores de pantalla y fondos de escritorio) de la Internet.
Si se requieren programas disponibles en Internet para realizar funciones
propias de la empresa, es necesario ponerse en contacto con la Gerencia
de Sistemas que hará las gestiones necesarias para adquirir y disponer la
instalación de los mismos.

15.10. Recomendación de seguridad de claves, compartir archivos


y equipos

 Compartir archivos por medio de la conexión del servidor ssh.


 con un mínimo de autorizaciones, sin posibilidad alguna de que
aumenten;
 Generar una nueva llave con cada ejecución;
 Usar solo cuando sea necesario y no dejarlo en funcionamiento si no
se usa;
 No guardar autorizaciones de conexión ni pasarlas a otros en forma
descodificada;
 Informar inmediatamente al departamento de seguridad informática si
se sospecha de un ciber-ataque.
 Cambiar las claves de acceso regularmente
 Reforzar las claves con mayúsculas, minúsculas y caracteres
espaciales.
 Evitar compartir las claves con usuarios no autorizados.

15.11. Recomendaciones de seguridad ataques a los terminales

 reforzarlos tras los cortafuegos de la empresa


 cifre el disco duro y controle a través de contraseñas
 descargue aplicaciones oficiales

16. ACTUALIZACIÓN, MANTENIMIENTO Y DIVULGACIÓN


DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA
La empresa estará presta de informar cualquier cambio que se dé en la compañía y
que estos cambios afecten y requieran de modificar las políticas de seguridad ya
establecidas, con el fin de garantizar que sigue siendo adecuada, suficiente y eficaz.

el gerente o la persona encargada de evaluar y aprobar este documento, además de


esto será responsable ya sea de publicar o comunicar a los funcionarios de la empresa
de las políticas de seguridad implementadas y redactadas en este documento también
divulgará lo cambios realizados a las políticas de seguridad de la información.

17. COMITÉ DE SEGURIDAD


Este comité está conformado por un grupo de trabajo interdisciplinario encargado de
garantizar, brindar una dirección clara y visible a la empresa con respecto al programa
de seguridad de la información dentro de la organización, por medio de un
compromiso apropiado y contar con los recursos adecuados.

Las siguientes son las principales responsabilidades a cargo del comité de seguridad
de la información, dentro de la compañía.

 Revisión y seguimiento al modelo implementado de las políticas de seguridad


de información.
 Alineación e integración de la seguridad a los objetivos del negocio.
 Garantizar que la seguridad de la información forma parte integral del proceso
de planeación estratégica de la organización.
 Establecer las funciones y responsabilidades específicas de seguridad de la
información para toda la compañía.
 Reportar, a través de reuniones semestrales a la empresa el estado de la
seguridad y protección de la información en la compañía y la necesidad de
nuevos proyectos en temas de seguridad de la información.
 Establecer y respaldar los programas de concientización de la compañía en
materia de seguridad y protección de la información.
 Establecer, evaluar y aprobar el presupuesto designado para el tema de
seguridad de la información.
 Evaluar la adecuación, coordinación y la implementación de los controles de
seguridad específicos para nuevos servicios o sistemas de información.
 Promover explícitamente el apoyo institucional a la seguridad de la
información en toda la organización.
 Supervisar y controlar de los cambios significativos en la exposición de los
activos de información a las principales amenazas.
 Revisar y seguir los incidentes de seguridad de la información.
 Analizar y autorizar cualquier tipo de movimiento o traslado de equipos de
misión crítica para la compañía.
18. ANEXO 1
ACUERDO DE CONFIDENCIALIDAD

Ciudad y Fecha: ______________

Yo, _______________________ me comprometo a acatar y dar cumplimiento


a cada una de las políticas establecidas en el documento POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN y así mismo mantener estricta
confidencialidad sobre toda información que por una u otra razón deba conocer
como producto del trabajo que actualmente realizo o realizaré.

Firma: ___________________________

Documento de identificación: ________________________

Empresa: __________________________

Área de La EMPRESA “Don Seguro”: _________________________________

_______________________

Vo. Bo. Recursos Humanos


19. Conclusión
En este trabajo hemos comprendido cada uno de los aspectos que conllevan a
la realización de las políticas de seguridad de una empresa dada, para disminuir
el riesgo de vulnerabilidad de la información, y así poder garantizar los principios
de confidencialidad, integridad y disponibilidad de la información que maneja
cada uno de los usuarios.

Con base a los requisitos para la seguridad de la información tipificada en las


normas ISO 27001:2013, se realiza el análisis del estado actual en la que
funciona la seguridad de la información en la empresa Don Seguro.

La verificación de los diferentes elementos de seguridad y configuraciones en los


sistemas operativos hacen parte del procedimiento de aseguramiento, tener en
cuenta la aplicación de políticas de seguridad y la buena configuración del
sistema permite tener un grado de confianza para poder generar un buen
funcionamiento en el sistema.
20. Bibliografía y web grafía
https://www.consumerfinance.gov/es/obtener-respuestas/que-es-el-robo-de-
identidad-es-1243/

http://canaltic.com/internetseguro/manual/22_virus_gusanos_y_troyanos.html

http://www.dursula.com/definicion_virus_spyware_troyano.php

http://www.levante-emv.com/vida-y-estilo/tecnologia/2017/06/28/son-evitar-
estafas-online-peligrosas/1586697.html

https://www.pandasecurity.com/spain/mediacenter/consejos/10-consejos-para-
evitar-ataques-de-phishing/

https://www.segu-info.com.ar/malware/spam.htm

https://www.significados.com/hacker/

http://webcache.googleusercontent.com/search?q=cache:http://www.lavanguar
dia.com/tecnologia/20050331/51262806607/todo-sobre-el-spyware.html

http://seguridadinformacioncolombia.blogspot.com.co/2010/02/marco-legal-de-
seguridad-de-la.html