Implementación de controles posterior a un proceso de reingeniería

Autor: SONNIA ROSADO

Administración y gerencia

07-2002

Viene de una página anterior

Descargar Original

2.2.6 Guardias de Seguridad

 -Los Guardias de Seguridad deben asegurar la vigilancia permanente de las oficinas y principalmente del centro de procesamiento y afines. Ninguna persona no autorizada podrá ingresar al centro de procesamiento sin el permiso respectivo.

-Deberán también verificar que el personal de visita se encuentre en el piso y con la persona visitada. De igual forma el egreso de visitantes debe quedar registrado y deberá ser controlado a través de las tarjetas de visita y del registro de firma y hora de salida por parte del visitante.
 
-Dependiendo de las dimensiones de la empresa y de la sensibilidad de la información que manejen, se suelen establecer cámaras de seguridad por pisos o sectores, las cuales son monitoreadas por grupo de guardias de seguridad en los sitios de control destinados para el efecto.
 
2.2.7 Telecomunicaciones

Se define a las comunicaciones como el arte y la ciencia de “Comunicar”. Este simple concepto se extiende a las telecomunicaciones, las cuales consisten en “Comunicar” a través de alguna distancia, utilizando medios electrónicos, eléctricos, ópticos, por cable, fibra o electromagnéticamente. Las telecomunicaciones son sencillamente, medios de transmisión, recepción e intercambio de señales.
 
-Entre las seguridades que deben observarse en el ámbito de telecomunicaciones están los Cables de comunicaciones y eléctricos deben mantenerse de forma protegida para asegurar que funcionen adecuadamente.

-Los equipos de comunicación como módems, nodos, controladores, servidores, etc. deben estar protegidos dentro del lugar físico donde se encuentren y en un ambiente acorde a las especificaciones técnicas proporcionadas por el manufacturador y/o proveedor del equipo.  

-En toda la empresa y principalmente en el centro de procesamiento, los cables eléctricos deben estar dentro de canaletas o tuberías de plástico que es un material no conductor de energía eléctrica. Para el caso de cables de redes (transmisor de voz y datos, generalmente se utilizan tuberías metálicas).  
 
-Los cables, sean estos eléctricos o no, deben estar en sitios perfectamente señalados para el efecto y ordenados, utilizando los elementos necesarios que se encuentran en el mercado para su protección contra circuitos o daños producidos por negligencia, agua, roedores, etc.
 
-Actualmente las empresas dedicadas al diseño de ambientes, proporcionan paredes movibles las cuales tienen integrado en la panelería, las canaletas para cables. Es importante recalcar que este tipo de panelería debe ser usada fuera del área de procesamiento, ya que generalmente el material que las recubre es de tela, por tanto de fácil combustión.
 
Si bien es cierto que el Administrador de empresas encargará al Responsable de Sistemas de su empresa la ejecución o instalación de cableado eléctrico o estructurado (para redes), no es menos cierto que debe conocer sobre cuales serán los puntos que deben cubrirse en este tipo de instalaciones:
 
-Instalación eléctrica: Proyecto y ejecución de obra civil, tendido de ductos (plástico), tendido de cables. Provisión e instalación de: tomacorrientes, tableros, supresores de pico (estabilizadores de tensión-UPS), etc.

-Cableado Estructurado: Proyecto y ejecución de obra civil, tendido de ductos (metálico o plástico), tendido de canaletas, tendido de cables de voz y datos. Provisión e instalación de: gabinetes, conectores, patcheras, hubs, ruteadores, etc. provisión e instalación de equipamiento informático y su correspondiente software.
 
-Servicio de mantenimiento de redes: Puede incluir todo el equipamiento informático (Servidores, computadoras personales, impresoras, etc.), como así también el chequeo y corrección de problemas en el tendido de la red y sus componentes activos. En instalaciones preexistentes, se ofrece el Servicio de Certificación de la Red.

CAPITULO 3: CONTROLES RELATIVOS A LOS SISTEMAS

3.1 Controles de Acceso lógico
3.1.1 Necesidad de los controles

Los Controles de Acceso lógico son de vital importancia ya que permiten proteger los recursos tales como programas, archivos, transacciones, comandos, utilitarios, etc.
 
Definiremos los lineamientos para implementar los mecanismos de control sobre el acceso lógico tanto local como remoto, a los recursos del centro de procesamiento de datos y afines.
 
-A nivel general, los permisos de acceso deben estar basados en la necesidad del usuario por conocer la información. Esto implica que los permisos deben ser respaldados y justificados de acuerdo a la función que desempeña el usuario.
 
-En casos de emergencia en que los recursos suelen estar desprotegidos y, en las que se requiere que otra persona diferente a la autorizada efectúe un acceso lógico, deberá hacerlo siempre bajo adecuada supervisión. Posterior a la emergencia deberá darse de baja ese usuario y clave o reemplazada con una nueva clave por seguridad.
 
-Los sistemas de control de acceso lógico deben contemplar las violaciones al mismo. Mantener un registro histórico de todos los accesos inclusive de los intentos fallidos o violaciones de su seguridad debe producirse en forma automática.
 
-Las claves de acceso deben resguardarse en sobres debidamente sellados y guardados en caja fuerte. En casos de emergencia, el responsable de la caja fuerte bajo autorización del Responsable de Sistemas, podrá entregar a quien este último indique, la clave que está resguardada. Deberá mantenerse un registro de los accesos a estas claves respaldadas y las autorizaciones respectivas.
 
-Los usuarios son responsables de las claves que tienen asignadas. Por ningún motivo debe divulgarse o intercambiarse claves con otros usuarios. Cualquier resultado de no-cumplimiento de este punto, quedará exclusivamente bajo responsabilidad del usuario respectivo.
 
-La empresa debe establecer un ente que se encargue de administrar las seguridades, usuarios y claves. Las funciones asignadas será la de controlar y mantener actualizada la lista de usuarios y claves asignadas a los diferentes recursos y de establecer políticas de cambios periódicos a fin de evitar desviaciones en las seguridades de los recursos.

3.1.2 Identificación de Usuarios

-Los usuarios no deberán nunca compartir sus identificaciones como usuarios y sus claves o contraseñas. Cada nuevo usuario debe ser solicitado y justificado al Responsable de sistemas y una vez aprobado, deberá ser canalizado a través del Administrador de seguridades para su asignación y control respectivo.
 
-Es importante que el Responsable de Sistemas informe tanto al solicitante como al Administrador de Seguridades, cuales son los tipos accesos que tendrá el nuevo usuario, así como también los no accesos, los cuales inclusive podría abarcar hasta restricciones a nivel de terminales.
 
-Ningún usuario puede crearse sin su correspondiente clave o contraseña (password) ya que este constituye el único medio de control de seguridades.
 
-Las claves deben consistir como mínimo de 6 caracteres alfanuméricos (números y letras), los cuales serán elegidos por el usuario. En otras ocasiones y dependiendo de los recursos a los que se tendrá acceso, las claves son asignadas directamente por el Administrador de seguridades e informadas al usuario, ejm.: usuarios de red y claves de red.
 
-Es importante que el Administrador de usuarios no tenga dentro de sus registros la misma clave para otros usuarios. De producirse este caso, deberá cambiarse la clave inmediatamente e informado al usuario respectivo de la nueva clave. También debe en este caso tomar en cuenta los siguientes factores:
 
*No deben existir claves de diferentes usuarios con caracteres iguales en las mismas posiciones, ejm: 123SRRG y 123LRRG.
 
*Debe estipularse la cantidad de caracteres numéricos a usarse en la clave.
 
*Debe estipularse la cantidad máxima de caracteres.  

-Las claves deberán ser cambiadas mínimo cada 30 días. Para los casos de claves de usuarios altamente sensitivos deberá evaluarse un tiempo mayor de cambio. 
-Los intentos fallidos deberían ser máximo en un total de tres con clave incorrecta. Cumplidos los tres intentos fallidos, el usuario debe quedar inhibido. Estos intentos deben quedar registrados en el sistema para su posterior control.
-Las claves no deben visualizarse. Su almacenamiento debe ser en forma encriptada (codificada).  
-Cada acceso a cada recurso debe contener una clave específica y no repetirse. 
-Si el usuario considera el cambio de su clave por perdida de su confidencialidad, debe solicitar al Administrador de seguridad, la asignación de una nueva clave inmediatamente.
-Hay programas que contienen usuario y clave por default (defecto) para facilitar su instalación. Esta debe cambiarse una vez que el programa haya sido instalado. 
-Las claves deben respaldarse en sobres de seguridad y deberán realizarse pruebas aleatorias para verificar su autenticidad y actualidad. 

3.1.3 Suspensión de Permisos 

Los permisos deben ser suspendidos por las siguientes causas: 

-Cuando los empleados se ausenten por Vacaciones.  
-Cuando su usuario y clave no haya sido utilizado por un lapso de 30 días.  
-A evaluación del Administrador de seguridades y Responsable de Sistemas por accesos en fines de semana y feriados.  
-Cuando supere los intentos máximos de accesos fallidos a recursos asignados o no.
 
En cualquiera de estos casos se debe analizar e investigar los motivos y para rehabilitar el usuario, deberán solicitarse las autorizaciones nuevamente, dependiendo del tipo de suspensión aplicada. Para el caso de suspensiones por inactividad del sistema, este debe solicitar la re-entrada de la clave nuevamente. 

Primera Página - Página Siguiente

¿Te gustó? Compártelo con tu mundo

Nota: Es probable que en esta página web no aparezcan todos los elementos del presente documento.  Para tenerlo completo y en su formato original recomendamos descargarlo desde el menú en la parte superior

SONNIA ROSADO

srosadoarrobabanred.fin.ecsrosadoarrobauole.com  / sonnia_rosarrobahotmail.com

Compartir ideas impulsa el desarrollo

Difunde las tuyas entre miles de latinoamericanos

¿Qué hay de nuevo?

Ver más

Lo que se está compartiendo

Otros artículos que te van a interesar

Explora todas las publicaciones por tema

Presupuestos Empleo, contratación y despido Liderazgo Costos Tecnología e internet Responsabilidad Social Empresarial Economía pública Formación y capacitación Estrategia y dirección estratégica Inteligencia emocional Compensación y salarios Gestión del talento Auditoria y control interno Autoayuda y superación personal Evaluación de proyectos y economía matemática Herramientas para emprendedores Gestión por competencias Economía política Pensamiento económico Ventas y administración de ventas Posicionamiento y marcas Contabilidad Negociación Canales de distribución y administración logística Gestión de la calidad Motivación e incentivación Estados financieros Microeconomía Comunicación organizacional Gestión financiera Producción, procesos y operaciones Competitividad Marketing estratégico SIM e Investigación de mercados Marketing directo y en línea Análisis, descripción y diseño de puestos Teoría de la organización Análisis financiero Entorno financiero y los mercados Comercio internacional Gestión del conocimiento Publicidad, promoción y Relaciones Públicas Estrategia de productos y servicios Pequeñas y Medianas Empresas PyMEs Tipos de mercado y su comportamiento Plan de negocios Macroeconomía Gestión del cambio Espíritu emprendedor Globalización e integración internacional Fundamentos de economía Innovación y creatividad Instrumentos, inversiones, riesgo y financiamiento Clima laboral Mejores prácticas Gestión ambiental y sostenibilidad Satisfacción y servicio al cliente Trabajo en equipo Reclutamiento y selección Matemáticas financieras Política económica

"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas" George Bernard Shaw

Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.