Empleo de áreas seguras
Para evitar accesos no
autorizados, daños e interferencias en los locales donde radica la Información
de la Organización, ésta debe ubicarse en áreas seguras protegidas por una
serie de controles de Seguridad, como son:
Perímetro de Seguridad
física claramente definido y compuesto por barreras sólidas como muros, puertas
de acceso controlado mediante alarmas, cierres, verjas, etc.
Control físico de las
entradas limitando el acceso exclusivamente al personal autorizado mediante el
empleo de sistemas de autentificación avanzada.
Seguridad en oficinas y
despachos, así como de los recursos contenidos en ellos, contemplándose los
riesgos de incendio, inundación y desastres naturales o provocados.
Control del trabajo en las
áreas seguras, en función de la Seguridad asignada a cada zona.
Control y aislamiento de
áreas de carga y descarga para evitar accesos no autorizados a los recursos de
proceso de datos.
Seguridad de equipos
Con el fin de evitar
pérdidas y daños a los activos y evitar la interrupción de las actividades de
la Organización, los equipos han de estar físicamente protegidos de las
amenazas y riesgos de su entorno, empleando medidas como las siguientes:
Instalación física
adecuada para garantizar su protección ante posibles desastres, como robo,
incendio, explosivos, agua, vibraciones, agentes químicos, radiaciones
electromagnéticas, etc.
Protección contra fallos o
anomalías de suministro eléctrico mediante redes alternativas, sistemas de
alimentación ininterrumpida (SAI), generadores de respaldo, sistema de
desconexión automática, etc.
Instalaciones de Seguridad
del cableado de energía y comunicaciones.
Mantenimiento de los
equipos para asegurar su continua disponibilidad e integridad, mediante
procedimientos y personal especializado.
Seguridad de los equipos
fuera de la empresa con niveles similares a los existentes dentro,
especialmente en sistemas móviles como ordenadores portátiles, PDAs, teléfonos
móviles, soportes magnéticos u ópticos, etc.
Seguridad en la
reutilización o eliminación de equipos para evitar exponer la Información a
riesgos indeseados, mediante la destrucción o borrado de dispositivos de
almacenamiento de datos como discos, cintas, etc.
Realizar copias de seguridad
frecuentes. El software se puede comprar de nuevo, su información sólo usted
puede protegerla, y su pérdida le ocasionará graves daños. No olvide proteger y
hacer backups de todos los portátiles de la empresa, éstos contienen
generalmente información confidencial y valiosa.
Los virus también se extraen
de los correos electrónicos, por que hay personas que bajan todo tipo de
archivos que les envían.
Un e-mail puede incorporar
un virus en una macro. Al abrir un mensaje que incluya macros, asegúrese de que
las ha desactivado antes de continuar.
Tenga configurados sus
programas para que le avisen antes de abrir un archivo que contenga macros.
Excel y Word tienen un revisor interno que chequea la existencia de macros.
Un e-mail puede incorporar
un virus en un Script de Visual Basic y en HTML. Es muy parecido a las macros.
Hay que desactivar la opción de ejecutar los scripts en el navegador o en el
procesador de textos.
Si recibe algún mensaje de
alguien a quien no conoce y ese mensaje contiene un archivo adjunto, no lo abra
hasta que esté seguro de que el archivo no contiene ningún virus.
Asegurarse de que los PC’s
están configurados para arrancar primero siempre desde c: y no desde disquetera
o CD-Rom. De este modo, estarán protegidos contra infecciones accidentales de
virus de boot.
Proteger contra escritura
normal.dot. Los virus de macro suponen hoy en día más del 90% de las
infecciones. La mayoría de los virus de macro de word atacan infectando el
archivo normal.dot. Al proteger este archivo para que sólo se pueda leer, podrá
a detectar todos los intentos de sobrescritura. Esto no evita infectarse con
virus de macro pero si disminuye los problemas cuando ya se ha producido una
infección.
Cuidado con los programas
gratuitos en Internet.
Hay muchos programas y
herramientas útiles en Internet disponibles, sólo hay que descargarlos, pero
muchos de ellos pueden incluir un virus.
Si consigue algún programa
de este tipo, asegúrese de que está limpio antes de utilizarlo.
Distribuya solamente
archivos .rtf (en vez de archivos .doc) los archivos en formato .rtf no
soportan macros. Además, estos archivos ocupan menos que los archivos .doc por
lo que el receptor estará más satisfecho.
Un método común de
introducir virus en una empresa es a través del trabajo traído de casa.
Frecuentemente, estos equipos son compartidos por varios miembros de la
familia, posiblemente también niños, y hay que tener en cuenta que los colegios
son centros de intercambio de programas, con el riesgo que esto conlleva. No
olvide mantener su antivirus actualizado.
Si a pesar de todo, sufre
una infección de virus:
Lo primero de todo, evitar
el pánico.
Informar a los
responsables de seguridad informática.
Si se trata de una red,
comprobar primero el servidor y después las estaciones de trabajo.
Aislar el PC y evitar el
intercambio de disquetes y CD's con otros PC's.
No enviar mensajes ni
archivos a través de la red o de internet.
Comprobar que existen
backups actualizados y, si no es así, hacerlos inmediatamente, aunque el pc ya
esté infectado.
Comprobar que está
instalada (o instalar) la versión más actualizada que exista del software.
Mantenga su antivirus
actualizado con toda la frecuencia que le sea posible. Un antivirus por muy
bueno que sea sin actualizar no sirve para defenderse ante los virus de nueva
generación.
Política de seguridad
La Política de Seguridad de
la Información en la empresa tiene por objetivo dirigir y dar soporte a la
Gestión de la Seguridad de la Información.
La dirección de la empresa
debe establecer de forma clara las líneas de actuación y manifestar su apoyo y
compromiso con la Seguridad mediante la elaboración de un documento de política
de Seguridad de la Información.
Dicho documento ha de
contener al menos una definición de la Seguridad de la Información, sus
objetivos globales, su alcance y su importancia para la organización, así como
su compromiso con la misma. También ha de contener una descripción de las
políticas, normas y requisitos de Seguridad, así como de las responsabilidades
necesarias para su cumplimiento.
La política debe tener un
propietario dentro de la empresa que sea el responsable de su mantenimiento y
revisión, de acuerdo con un plan establecido.
Entradas
