Politica segruidad

Política de control de acceso IP

1. Propósito

Esta política define las reglas y métodos para proteger el sistema de información » SU EMPRESA » del acceso no autorizado. Esta práctica ayudará a reducir la posibilidad de que la información caiga en manos de intrusos. Las amenazas pueden incluir pérdida de información sensible o confidencial de la empresa, propiedad intelectual, daño a la reputación, daño a los sistemas internos críticos de SU EMPRESA , etc.

2. Formación del personal

Uno de los elementos de seguridad de la información más importantes y que a menudo se pasa por alto es la capacitación de los empleados para aumentar el nivel de seguridad de » SU EMPRESA «.

 Los empleados deben comprender la importancia y el valor de la información que procesan a diario. La capacitación en seguridad de la información debe incluir la necesidad de mantener la confidencialidad de toda la información que circula en el sistema de información. 

Se debe informar a los empleados que está prohibido revelar cualquier información hasta que ellos determinen que la parte solicitante tiene el derecho de acceso.

Un seguimiento importante es la redacción de una política de seguridad de la información que explique la filosofía de seguridad y su lugar en el negocio. Todos los nuevos empleados deben conocer esta política.

¿Cómo puede el conocimiento de seguridad de la información de los empleados ayudar a proteger su organización? Los atacantes, simplemente usando habilidades de “ingeniería social”, pueden intentar convencer a los empleados de que tienen el derecho legal de obtener información sobre “ SU EMPRESA ”. 

Por ejemplo, un atacante podría llamar a su departamento de TI afirmando ser el representante de un proveedor y simplemente preguntarle el nombre de su sistema y qué sistema operativo está utilizando. A continuación, puede solicitar los nombres de los empleados clave de SU EMPRESA.«. Armado con información básica, este visitante no deseado ahora sabe cómo identificar su sistema, qué «agujeros» del sistema operativo puede explotar y qué cuentas pueden usar los usuarios para acceder a los sistemas.

3. Visitantes

Los trabajadores temporales, contratistas y consultores representan un riesgo de seguridad, ya que generalmente no están sujetos a los mismos controles que los miembros del personal de SU EMPRESA , pero se les puede dar el mismo alto nivel de acceso al sistema. Además, a veces conocen las aplicaciones y los sistemas operativos que funcionan mejor en su red que sus propios empleados.

Es necesario observar más de cerca esta categoría de empleados hasta que se familiarice con sus calificaciones, el volumen de su trabajo y, lo más importante, el nivel de confianza que se les puede brindar.

La integridad y competencia de esta categoría de empleados deben ser monitoreadas cuidadosamente para asegurar que su trabajo sea sólido y que realmente estén trabajando en el mejor interés de SU EMPRESA . Los proveedores, por ejemplo, pueden intencionalmente y sin intenciones maliciosas dejar puertas traseras en su sistema para proteger o modificar y actualizar sus productos. Es necesario tomar medidas para prevenir tales casos.

4. Política

1. Las estaciones de trabajo deben bloquearse cada vez que un empleado abandona el lugar de trabajo y requieren un nuevo inicio de sesión para continuar trabajando.

2. Se debe eliminar la cuenta de cualquier empleado que no haya accedido al sistema durante seis meses, y para reanudar el acceso, este empleado debe volver a realizar el procedimiento para obtener derechos de acceso al sistema.

3. El uso de la cuenta por varios empleados es inaceptable.

4. Las cuentas de los empleados despedidos deben ser bloqueadas, los derechos y privilegios de las cuentas de los empleados que han sido transferidos a otras divisiones de SU EMPRESA deben adecuarse a los requisitos del puesto recién ocupado.

5. Las computadoras deben tener aplicaciones instaladas, cuando sea posible, que brinden la capacidad de mantener informes y registros de los inicios de sesión de los usuarios, así como bloquear la cuenta del usuario después de un cierto período de inactividad. Debe haber un mecanismo que impida que la cuenta de usuario inicie sesión después de varios intentos fallidos de inicio de sesión.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *