| 1 | \section{Especificación de las Políticas de seguridad de la información en los centros de datos} |
|---|
| 2 | |
|---|
| 3 | Para especificar las políticas de seguridad de los sistemas informáticos para el |
|---|
| 4 | personal de la organización se deben contemplar los siguientes aspectos: |
|---|
| 5 | |
|---|
| 6 | \begin{itemize} |
|---|
| 7 | \item Los procedimientos para la creación de nuevas cuentas críticas. |
|---|
| 8 | |
|---|
| 9 | \item Los niveles de acceso físico y lógico de los recursos computacionales, para establecer quiénes están autorizados para realizar determinadas actividades y operaciones; a qué datos, aplicaciones y servicios, desde qué equipo computacional puede acceder, quiénes pueden acceder al centro de datos. |
|---|
| 10 | |
|---|
| 11 | \item Los procedimientos para eliminar o bloquear las cuentas y los posibles |
|---|
| 12 | escenarios que puedan incurrir en esta medida. |
|---|
| 13 | |
|---|
| 14 | \item El personal que delegará la responsabilidad del control de: usuarios, claves, entre otros, en los momentos cuando no esté el responsable principal. |
|---|
| 15 | |
|---|
| 16 | \item Las políticas de respaldo y recuperación ante incidentes para garantizar el continuo funcionamiento de los sistemas de la institución. |
|---|
| 17 | |
|---|
| 18 | \item Los procedimientos para respaldar o eliminar información o sistemas de los equipos de computación |
|---|
| 19 | (ver sección \ref{politicasDeRespaldoYRecuperacion}). |
|---|
| 20 | |
|---|
| 21 | \item Las posibles violaciones y consecuencias derivadas del incumplimiento de las políticas de seguridad. |
|---|
| 22 | |
|---|
| 23 | \item Las sanciones a los responsables por la violación de las políticas de seguridad. |
|---|
| 24 | |
|---|
| 25 | \item Clasificar la información e identificar los activos de información. |
|---|
| 26 | |
|---|
| 27 | |
|---|
| 28 | \end{itemize} |
|---|
| 29 | |
|---|
| 30 | Entre las actividades y responsabilidades que se deben delegar y considerar |
|---|
| 31 | para las políticas de seguridad se tienen: |
|---|
| 32 | |
|---|
| 33 | \begin{itemize} |
|---|
| 34 | \item Mantener en óptimas condiciones el funcionamiento de la red para garantizar su disponibilidad. |
|---|
| 35 | |
|---|
| 36 | \item Revisar periódicamente el estado físico del cableado horizontal y vertical de la red de la institución. |
|---|
| 37 | |
|---|
| 38 | \item Realizar periódicamente mantenimientos preventivos y correctivos a los equipos de telecomunicaciones. Se recomienda que el mantenimiento se realice semestral, además deberá ser registrado en bitácoras. |
|---|
| 39 | |
|---|
| 40 | \item Supervisar y mantener adecuadamente las instalaciones de la infraestructura de red. |
|---|
| 41 | |
|---|
| 42 | |
|---|
| 43 | \item Administrar y operar los servidores de la red interna de la organización. |
|---|
| 44 | |
|---|
| 45 | \item La red interna no será instrumento de experimentos que pongan en riesgo la |
|---|
| 46 | integridad de la información. |
|---|
| 47 | |
|---|
| 48 | \item Configurar y supervisar los equipos de comunicaciones. |
|---|
| 49 | |
|---|
| 50 | \item Construir un mapa de red y actualizarlo ante cambios. |
|---|
| 51 | |
|---|
| 52 | \item Asegurar las contraseñas críticas como: administrador (\textit{root}), aplicaciones como cortafuegos, servidores, entre otros. |
|---|
| 53 | |
|---|
| 54 | \item Ubicar los equipos en salas (centro de datos) con acceso restringido y medidas de seguridad física, utilizando estándares o certificaciones. |
|---|
| 55 | \end{itemize} |
|---|
