sábado, 16 de mayo de 2015

3. CONTROLES QUE PUEDEN SER DEFINIDOS PARA MITIGAR LOS DELITOS

La tabla a contiuación muestra algunos de los controles (políticas, procesos o procedimientos) que aplican para mejorar la seguridad de la información de acuerdo a los delitos detectados anteriormente:

Amenaza
Controles
Accesos no autorizados
Verificar que el nivel de acceso otorgado a los sistemas de información es adecuado para el propósito de la función del usuario y es coherente con la Política de Seguridad de la empresa.
Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se desvincularon o sufrieron la pérdida/robo de sus credenciales de acceso.

Restringir el acceso de personal no autorizado en los centros de cómputo
Ingeniería social
Realizar capacitaciones a los usuarios finales sobre los cuidados que deben tener con el manejo de contraseñas y entrega de información
Definir políticas de contraseñas seguras que incluyan, minúsculas, mayúsculas, números y caracteres especiales.
Suplantación de identidad
Realizar capacitaciones a los usuarios finales sobre los cuidados que deben tener con el manejo de contraseñas y el uso del correo electrónico. Dar a conocer sobre las diferentes técnicas de ingeniería social y phising.
Implementar proxys que permitan realizar el filtrado de sitios web
Fraude y espionaje
Instalar y configurar un firewall que restrinja los accesos no autorizados desde internet
Mantener software antivirus actualizado
Mantener actualizados los sistemas operativos.
Utilizar contraseña seguras
Tener cuidado con la utilización de programas de acceso remoto.
Revisar frecuentemente registros de auditoria del sistema
Implementar medidas de seguridad física tales como barreras perimetrales y controles de acceso.
Robo de hardware

Realizar inventarios de hardware y software y asignar responsables.
Destrucción de información

Solicitar que los sistemas de información tengan habilitados módulos de auditoria
Virus y malware
Definir y documentar políticas de seguridad de la información respecto al uso de dispositivos extraíbles, antivirus, filtrado de sitios web.

No hay comentarios:

Publicar un comentario