La empresa deberá implementar los medios que
fuesen necesarios para impedir el acceso no autorizado a los sistemas de
información, bases de datos, redes y servicios de información.
______________________________________
1.1.1. Responsabilidades.
Una vez autorizado el acceso a cualquiera de
los activos de la empresa, el empleado será el único responsable en el buen uso
y custodio de estos.
El encargado del control será el COORSEG, el cual
presentara informes de cumplimiento y acciones realizadas.
______________________________________
1.1.2. Identificación
de usuarios.
Para garantizar el acceso de usuarios a
sistemas informáticos el COORSEG designara a los empleados roles en el uso de estos,
utilizando el anexo FOR005SEG, mismo que se encuentra en los anexos de la
política.
El COORSEG será el encargado de asignar y
revocar el acceso a sistemas, además de llevar un control de ingreso a estas.
1.1.2.1. Designación de nombres de usuario.
El COORSEG será el encargado de generar nombres
de usuario a empleados que acceden a los sistemas, para que a través de este
pueda realizar las tareas a las que ha sido designado.
1.1.2.2. Designación de Contraseñas.
El COORSEG será el encargado de crear
contraseñas únicas al personal, mismas que otorguen acceso a los sistemas
informáticos de la empresa.
Para garantizar la calidad en el proceso de
creación de contraseñas se utilizara la guía de procedimientos de seguridad en
el anexo FOR006SEG, mismo que se encuentra en los anexos de la política.
__________________________________
__________________________________
1.1.3. Altas
y bajas de usuarios.
La COMSEG previo análisis, a través del
COORSEG notificara el alta y baja a usuarios que fuesen necesarios en cada una
de las áreas, dando privilegios especiales al personal que sea designado y
revisando los derechos de acceso.
__________________________________
1.1.4. Administración
de accesos.
La COMSEG impedirá el acceso no autorizado a
la información de sistemas y aplicaciones en los diferentes departamentos de
las empresas.
1.1.4.1 Equipos
de Oficina.
En todos los departamentos de la empresa se
utilizan sistemas operativos Windows, mismos que cuentan con la herramienta VISORDE EVENTOS, por lo cual el COORSEG deberá visualizar información detallada
acerca de eventos importantes en los equipos, los cuales deberán ser recopilados
y analizando.
El COORSEG deberá analizar y presentar la
información relevante obtenida en el visor de eventos de manera trimestral, y
en casos especiales de manera inmediata.
El COORSEG
deberá activar y administrar el control de cuentas de usuario UAC, dependiendo de las necesidades de la empresa, con el objetivo de impedir cambios
no autorizados en el equipo.
1.1.4.2 Servidor de Internet.
Para la administración del internet la
empresa utiliza un Mikrotik el cual trabaja con el sistema operativo RouterOS,
ante lo cual el COORSEG registrara los eventos LOG del sistema y la información de
estado más relevante y presentando informes trimestrales a la COMSEG, para su
respectivo análisis.
1.1.4.3 Equipos de facturación.
El sistema Poscye es el encargado de
facturación y ventas y es administrado por la empresa Carrera Estrada &
Sistemas, ante lo cual el COORSEG, solicitara de manera trimestral un log de
eventos de accesos al sistema, con el objetivo de analizarlos y documentarlos.
Poscye trabaja sobre la plataforma Windows, por
lo cual se utilizara la herramienta denominada VISOR DE EVENTOS, con la cual el
COORSEG visualizara información detallada acerca de eventos importantes del
equipo, recopilando y analizando la información más relevante en seguridad, la
cual deberá ser presentada a la COMSEG de manera trimestral, y en casos
especiales de manera inmediata.
El COORSEG
deberá activar y administrar el control de cuentas de usuario (UAC)
dependiendo de las necesidades de la empresa, con el objetivo de impedir cambios
no autorizados en el equipo.
1.1.4.4 Servidor
de datos.
El sistema poscye trabaja con el servidor de base de datos SQL server, ante lo cual el COORSEG será el encargado del registro de transacciones SQL, con el cual analizara la información más relevante y llevara registros los cuales se presentaran de manera trimestral ante la COMSEG.