Buenos días Importancia de las políticas de seguridad informática en una empresa.

1. ¿Cuál es la importancia de establecer políticas de seguridad en una empresa?

Las políticas de seguridad de la información según establece la norma ISO 27001, es necesario que se recuerde la definición de
seguridad de la información, que no es otra cosa que el conjunto de medidas y procedimientos puesto en marcha por las empresas para
proteger la confidencialidad de la información y la disponibilidad e integridad de los datos. A la hora de implantar y certificar la norma
ISO 27001, es necesario demostrar que la compañía cuente con la documentación necesaria para ello, por lo que se recomienda generar
una política de seguridad de la información y un plan de evaluación y tratamiento de riesgos.

La política de seguridad consiste en desarrollar el marco de actuación apropiado para salvaguardar la información de la organización.
El principal objetivo es indicar el propósito que persigue el sistema de Gestión de Seguridad de la Información y el documento en sí.

Además, es necesario que se indique la finalidad que persigue la política de seguridad, se deberá señalar cómo se prevé conseguirlo,
como se ha aprobado y cómo se llevará a cabo su seguimiento, ya que tiene que revisarse de manera continua. Es muy importante
destacar que la política tiene que estar adaptada a las características de la empresa, comunicarse a todos los interesados y contar con el
compromiso de la alta dirección.

En la cláusula 6.2 de la norma ISO 27001 establece todos los objetivos de seguridad de la información. Uno de los más relevantes es
que sean medibles, para lo cual ayudará tener presente los tres principios claves de este estándar internacional:

Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.

Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.
Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando la
necesiten y garantizar su protección.

2. ¿Qué proceso se debe tener en cuenta después que un usuario permite que otras personas tengan acceso al equipo, sin tener
en cuenta las políticas de seguridad implantadas en la empresa?

Es importante proteger el acceso a la base de datos de información. Desde el mismo momento que se enciende el computador se
requiere tener control de contraseñas o claves de usuario. Estas deben poseer políticas especiales, como por ejemplo: usar mínimo ocho
caracteres; usar al menos una mayúscula, una minúscula y algún carácter especial (* - _ .); y se recomienda ser cambiada
periódicamente. Estos controles de políticas de seguridad ayudan a evitar los ataques informáticos. Recomendaciones al usuario
sobre el no compartir la contraseña a otras personas especificando los riesgos que esto puede tener.

3. Como administrador de una red tecnológica, ¿qué controles se deben establecer para proteger el software de una empresa?

Se recomienda realizar una revisión detallada de todos los elementos informáticos que se encuentran instalados e identificar en qué
oficina se hallan, esto con el fin de precisar cuál es la función y la información que se maneja. Así, se podrán priorizar los niveles de
seguridad que cada usuario y equipo debe tener al momento de elaborar un PSI.

 Mantenimientos preventivos físicos y lógicos periódicos con el fin de garantizar la actualización de parches de seguridad,
verificar el estado del disco duro, entre otros.
 *Contratar un software que realice un informe en caso de instalación de software no autorizado por el área de tecnologías.
(OCS inventory)
  *Limitar los usuarios con permisos de administrador en caso de instalación, desinstalación de software.
 *Bloquear los puertos USB para evitar una infección de algún tipo de malware.

4. Desde el mismo rol, ¿qué controles establece usted para asegurar que los usuarios de la empresa protejan la información?

Los controles que se deben establecer es ser preventivo, acostumbrar al personal a actualizar las contraseñas de tipo fuerte de manera
constante en hacer uso de dispositivos extraíbles ajenos a la empresa, no hacer descargas de links dudosos, no permitir la
desactualización de los programas de sus equipos o estaciones de trabajo y realizar copias de sus trabajos de manera recurrente, no
hacer uso de correos ajenos a la cuenta de correo de la organización, no usar el correo de la organización como correo para uso de
cuentas ajenas a la organización . No compartir información con personas externas a la compañía, Realizar copias locales diarias,
Realizar copias en la nube diarias, no tener la información en las máquinas de los usuarios si no en un file server y garantizar las copias
a este servidor tanto internas como en la nube. Siempre estar en comunicación con el departamento de soporte técnico en cualquier
duda o inconveniente que tengan.