Política para la seguridad de la información

Contenidos

Objetivo

Establecer las políticas de seguridad de la información para KRESTON, cumpliendo requisitos de seguridad de la compañía los cuales se encuentran definidos en un SGSI y MSPI los cuales al ser implementados mitigaran riesgos amenazas mediante los controles de confidencialidad, integridad, disponibilidad de la información de la compañía KRESTON

Alcance

Esta política aplicará para

a.Todo el personal de la firma.

b.Clientes y proveedores.

Las políticas que contiene este documento, serán aplicadas a los procesos estratégicos, por lo anterior deben ser de cumplimiento en los empleados, proveedores que tengan acceso a cualquiera de los sistemasde información, resguardos o instalaciones de KRESTON

Definición de Términos

SGSI: Sistema de Gestión de Seguridad de la información

CONTROL: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras de la organización buenas prácticas, las cuales pueden ser administrativas, tecnológicas, físicas o legales.

RIESGO: Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativas o positivas que pueden afectar el cumplimiento de los objetivos.

AMENAZA: Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.

VULNERABILIDAD: Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.

ACTIVO: Es un objeto o recurso de valor empleado en una empresa u organización

CRIPTOGRAFIA: Esta disciplina ajusta a la agrupación de principios, métodos y medios para transformación de los datos con el fin de ocultar el contenido de su información, prevenir modificación deinformación no detectada, prevenir el uso no autorizado.

DERECHOS DE AUTOR: Conjunto de normas y principios, que regulas derechos morales y patrimoniales de la ley concede a los autores por la creación de documentos, obras literarias, científica o artística publicada o que no se haya publicado.

PROPIEDAD INTELECTUAL: Es el reconocimiento de un derecho en particular en favor de un autor uotros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicablea cualquier propiedad que se considere de naturaleza intelectual merecedora de protección,incluyendo intervenciones tecnológicas, científicas, producciones literarias o artísticas, las marcas ylos identificadores, los dibujos y modelos industriales y las indicaciones geográficas.

CONFIDENCIALIDAD: Es la garantía de que la información no está disponible o divulgada a personas,entidades o procesos no autorizados.

INTEGRIDAD: Es la protección de la exactitud y estado completo de los activos. Inventario de activos de información: es una lista ordenada y documentada de los activos de información pertenecientes a KRESTON.

DISPONIBILIDAD: Es la garantía de que los usuarios autorizados tienen acceso a la información y a losactivos asociados cuando lo requieren.

DIRECTRIZ: Es una instrucción o norma que se tiene en cuenta para realizar una tarea.

También trata de aquello que fija cómo se producirá algo. Las directrices, por lo tanto, sientan las bases para el desarrollo de una actividad o de un proyecto.

HACKING ÉTICO: Es un conjunto de actividades para ingresar a las redes de datos y voz de KRESTONcon el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva sin generar daños en los sistemas o redes, con el propósito de muestra el nivel efectivo de riesgo a los cual está expuesta a la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.

INCEDENTE DE SEGURIDAD: Es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, laplataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o externo).

ACTIVO DE INFORMACIÓN: Cualquier componente (humano, tecnológico, software, documental ode infraestructura) que soporta uno o más procesos de negocios de Kreston RM.

ACUERDO DE CONFIDENCIALIDAD: Es un documento, en los que los servidores públicos de la ETITC, manifiestan su voluntad de mantener la confidencialidad de la información de KRESTON, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro de la misma.

ANALISIS DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN: Proceso sistemático

de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.

AUTENTICACIÓN: Es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

CAPACITY PLANNING: Es el proceso para determinar la capacidad de los recursos de la plataformatecnológica que necesita la compañía KRESTON para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.

CIFRADO DE DATOS: Es la transformación de los datos mediante el uso de la criptografía para producir datos intangibles (cifrados) y asegurar su confidencialidad, cifrado es una técnica muy útil para prevenir fuga de información el monitoreo no autorizado o no autorizado a los repositorios de la información.

CONFIDENCIALIDAD DE LA INFORMACIÓN: es la característica consistente en que la información ni se pone a disposición, ni es revelada a personas, entidades o procesos no autorizados, la revelación a la misma causante de varios daños de la compañía.

REGISTROS DE AUDITORIA: Son archivos donde son registrados los eventos que se han identificadoen los sistemas de información, recursos tecnológicos y redes de datos de KRESTON. Dichos eventospueden ser entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallasde los sistemas.

 

REDES DE COMUNICACIONES: Son medios de transporte de información que llevan datos de un medio a otro incluyendo instalaciones dedicadas entregadas por una empresa proveedora de servicios de telecomunicaciones. (Ejemplo: etb, movistar entre otras).

SGSI: Sistema de Gestión de Seguridad de la Información.

SISTEMA DE INFORMACION: Es un conjunto organizando de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por KRESTON o de origen externo, ya sea adquirido por KRESTON como un producto estándar de mercado o desarrollado para las necesidades de éste.

SOFTWARE MALICIOSO: Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información de la compañía KRESTON.

TERCEROS: Todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la compañía KRESTON.

VULNERABILIDADES: Son las debilidades, huecos de seguridad o falencias inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables (amenazas), las cuales se constituyen en fuentes de riesgo.

LICENCIA DE SOFTWARE: Es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos.

PERFILES DE USUARIO: Son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información, a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de él.

PROPIETARIO DE INFORMACIÓN: Son los directores y líderes de KRESTON RM.

CUSTODIO(s) DE LA INFORMACIÓN: Son los líderes o directores de KRESTON RM.

Beneficios

  • Reduce los riesgos de seguridad de la información.

  • Reduce la probabilidad y el impacto de los incidentes de seguridad.

  • La certificación de un estándar.

  • Ventajas de marketing / marca.

  • Enfoque coherente, estructurado.

  • Evaluación de los riesgos.

  • Focaliza el gasto en seguridad de la información donde produce mayor ventaja.

  • Gobernanza demostrable.

Costos

  • El cambio organizacional requiere recursos de la organización.

  • Diseño, desarrollo, pruebas, implementación.

  • Certificación y visitas de seguimiento.

  • Operación y mantenimiento en curso.

Riesgos y Desafíos

  • Acabar con el temor ante el cambio: resistencia de las personas socializando la política.

  • Diferencias en los comités de dirección.

  • Delegación de todas las responsabilidades entre compañías.

  • No asumir que la seguridad de la información es inherente a los procesos de negocio.

  • Planes de formación y concienciación inadecuados.

  • Calendario de revisiones que no se puedan cumplir.

  • Definición poco clara del alcance.

  • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

  • Falta de comunicación de los progresos al personal de la organización.

Políticas a Implementar

7.1. Política de Respaldo de Información Esta política se define para Servidores, Sistemas de Información y Equipos de usuario final, definiendo también la periodicidad adecuada para cada uno.

  • Respaldo de la información desde los equipos de los empleados con periodicidad mensual, trimestral, semestral.

  • Respaldo para Servidores, Bases de datos y Sistemas de Información se hará incremental o total de acuerdo al administrador del mismo.

7.2. Política para Descarga de Archivos

  • Se permitirá para uso de labores de trabajo se divulgará en qué casos se debe usar y cuáles son sus limitantes.

  • Se bloquearán los puertos en los servidores de descarga, ya que saturan la red y producen lentitud en la misma.

7.3. Política de Contraseñas (Creación y uso)

  • No utilizar las mismas contraseñas en varias páginas Web o compartirlas, No prestar las contraseñas a los diferentes funcionarios.

  • Las contraseñas deben ser seguras deben incluir caracteres en mayúsculas, especiales y numéricos.

7.4. Política para el uso de Internet y Navegación

  • Por medio del filtrado se limitará el acceso a páginas no permitidas y se medirá el uso de internet y el uso que se le está dando.

  • Acceso restringido a redes sociales para fines diferentes a los Corporativos. Debe hacerse una divulgación haciendo recomendaciones para el uso del internet.

7.5. Política para uso de Memorias

  • El uso de memorias será restringido al mínimo posible y solo para uso laboral.

7.6. Política para el acceso y clasificación Información

  • Se tomará la misma definida para gestión documental, los documentos físicos de trabajo deben tener un lugar de alojamiento de información y debe estar con la clasificación de acuerdo con las normas de gestión documental pública, privada, confidencial, no confidencial.

  • Se cuenta con un sistema de gestión documental para la información digitalizada y será consultada después de gestionar el acceso a la misma.

  • Acceso de información confidencial de la compañía solo a personas autorizadas.

7.7. Política para el uso del Correo Corporativo

  • El correo corporativo no se debe usar para uso personal y debe ser administrado evitando reenviar correos masivos y limpiando los buzones con regularidad.

  • El uso del correo en la web será exclusivamente para consultas, es de obligatorio uso la aplicación de escritorio en el equipo autorizado por la compañía, quedando los demás dispositivos prohibidos para el uso de este.

  • La copia generada al momento del retiro del colaborador será resguardada en el servidor designado por la gerencia de manera permanente o hasta que la administración lo considere pertinente.

  • El colaborador al momento de su retiro deberá entregar al área de sistemas un backup de la información almacenada del correo en un archivo .pst, dicho archivo solo se podrá generar desde el aplicativo Outlook de escritorio.

7.8. Política de Licenciamiento

  • Se debe tener el software licensed de cada puesto de trabajo de equipos rentados o propios de la compañía.

  • Aplica igual para software instalado en los servidores.

  • Este licenciamiento se debe mantener vigente respetando así los derechos de autor.

7.8.1 Licenciamiento de Productos Microsoft

  • Para el personal Auditor de la empresa Kreston no se realiza entrega de licenciamiento cuando los equipos son personales el Auditor es responsible por las licencias que posea el equipo que se vaya a usar para trabajos hechos para Kreston RM, solamente se realiza licenciamiento cuando los equipos son rentados, de KRESTON RM.

  • La entrega de la información de licenciamiento a personal con equipo rentado o propio de KRESTON se debe entregar con carta o acta de entrega donde se encuentre relacionado el producto con el código del serial la persona responsable en la custodia de este activo mientras se realiza la instalación, esta instalación de la licencia debe realizarse por parte del personal de soporte de KRESTON.

7.9. Política de Centros de Cableado y Centros de Computo

  • Se debe contar con un lugar seguro para alojar los equipos de cómputo y Contar con centros de cableado estructurado y seguros y que cuenten con controles de acceso.

  • Se requiere cableado estructurado para los puestos de trabajo de la compañía.

  • Se requiere un datacenter o lugar adecuado de alojamiento de los servidores de voz y de datos.

  • A los centros de cableado, centros de cómputo solo debe tener acceso el personal autorizado.

7.10. Política para el Manejo de Versiones

  • Se deben controlar las versiones de software en ambientes de desarrollo, de pruebas y de producción.

  • Se debe tener un ambiente de preproducción y un repositorio para manejar las versiones conservando las dos últimas versiones, previendo así el poder hacer Rollback.

7.11. Política de Puestos de Trabajo

  • En los puestos de trabajo no se deben tener alimentos líquidos o sólidos cerca a los equipos de trabajo.

  • Los documentos físicos de trabajo deben tener un lugar de alojamiento de información y debe estar con la clasificación de acuerdo a las normas de gestión documental pública, privada, confidencial, no confidencial.

  • Se debe tener señalización de los lugares de acceso, como son rutas de evacuación.

  • En caso de que el personal traiga el equipo portátil de su uso personal o si el equipo portátil es rentado, o de propiedad de KRESTON, se debe realizar asignación de guaya.

7.12. Política Ataques Maliciosos

  • Los usuarios deben ser advertidos sobre la prevalencia de los programas maliciosos y los peligros que plantea, por lo anterior no se deben descargar archivos, ni imágenes adjuntas de correo desconocido, ya que pueden ser software malicioso, que contengan virus, gusanos, troyanos, entre otros.

  • Se debe divulgar respecto a la forma en que el malware puede instalarse en las estaciones de trabajo, sobre el comportamiento inesperado en la información.

  • Se debe notificar rápidamente de nuevos e importantes riesgos relacionados con el malware, por medio de correo electrónico a través de la intranet. Y que este riesgo se presenta en la descarga de adjuntos en el correo electrónico, o en la descarga de aplicaciones o archivos de instalación que se requiera.

  • Se debe adquirir un Software de protección antivirus.

7.13. Política de Conexión Remota

  • Se debe garantizar que los métodos de conexión, en la intranet y desde fuera de ella, sean los idóneos, garantizando con esto los niveles óptimos de seguridad durante la ejecución de las actividades remotas.

  • La Política para Uso de Conexiones Remotas aplica a todos los empleados, proveedores y partes interesadas, que utilicen el servicio de conexiones remotas para darle cumplimiento a alguna de sus funciones.

  • Se deben revisar los métodos de conexión remota existentes, con el objetivo de definir cuál de ellos son los más convenientes a utilizar en la LAN de KRESTON.

  • KRESTON, de conjunto con el Profesional de Seguridad de la Información de KRESTON, deben analizar y aprobar los métodos de conexión remota a la plataforma tecnológica de KRESTON.

  • KRESTON debe implantar los métodos y controles de seguridad para establecer conexiones remotas, hacia la plataforma tecnológica de KRESTON.

  • KRESTON debe restringir las conexiones remotas a los recursos de la plataforma tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de tiempo establecidos, de acuerdo con las labores desempeñadas.

     
  • KRESTON debe verificar la efectividad de los controles aplicados sobre las conexiones remotas, a los recursos de la plataforma tecnológica de KRESTON, de manera permanente.

  • Todos los empleados, proveedores y partes interesadas que realicen conexiones remotas, hacia la LAN de KRESTON, deben contar con las aprobaciones requeridas para establecer dicha conexión a los dispositivos de la plataforma tecnológica y deben acatar las condiciones de uso establecidas para dichas conexiones remotas.

  • Todos los proveedores y partes interesadas que realicen conexiones remotas, hacia la red de KRESTON, deben establecer dichas conexiones en computadores previamente identificados y, en ninguna circunstancia, en computadores públicos, de hoteles o cafés internet, entre otros.

PROFESIONAL DE SEGURIDAD DE LA INFORMACIÓN:

  • El Profesional de Seguridad de la Información debe diseñar divulgar y concientizar en seguridad de la información, con el objetivo de apoyar la protección adecuada de los sistemas de información y áreas físicas de KRESTON.

  • El Profesional de Seguridad de la Información debe capacitar y entrenar a los empleados, partes interesadas que trabajan para Kreston RM, en el programa de concienciación en seguridad de la información, para evitar posibles riesgos de seguridad de la misma.

  • El Profesional de Seguridad de la Información debe controlar la asistencia a las charlas y/o eventos de seguridad de la información que se programen, para todos los empleados, proveedores y partes interesadas que trabajan para la KRESTON.

  • Todos los empleados deben dar cumplimiento a las políticas de seguridad de la información, normas, procedimientos, acuerdos/cláusulas de confidencialidad, acuerdos/cláusulas de aceptación de las políticas de seguridad de la información, así como asistir a las charlas y/o capacitaciones que sean referentes a la seguridad de la información.

Política de Gestión de Activos de Información

  • Garantizar que todos los activos de información de KRESTON, posean un propietario y/o custodio, que garanticen la preservación de la confidencialidad, integridad y disponibilidad de la información, en cada una de las compañías del grupo empresarial.

  • La Política de gestión de Activos será aplicada por el área de Informática y Comunicaciones, Alta Dirección, además, los Propietarios de los Activos, Custodio de los Activos, Profesional de Seguridad de la Información y empleados, proveedores y partes interesadas, que tengan acceso a las instalaciones físicas y sistemas de información de la KRESTON.

  • Los Propietarios de los Activos serán todos los líderes y directores de los procesos, definidos y aprobados por la Alta Dirección de KRESTON. Los Custodios de los Activos serán los directores de cada una de Kreston. Todas las estaciones de trabajo y demás recursos tecnológicos, son asignados a un responsable, por lo cual es su compromiso hacer uso adecuado y eficiente de dichos recursos.

RESPONSABILIDADES DE ÁREAS, ORGANIZACIONES Y PERSONAL DE KRESTON - PROPIETARIOS DE LOS ACTIVOS:

  • Los Propietarios de los Activos deben monitorear periódicamente la validez de los usuarios y sus perfiles de acceso a la información.

  • Los Propietarios de los Activos deben determinar los criterios y niveles de acceso a la información.

  • Los Propietarios de los Activos deben ser conscientes que los recursos de procesamiento de información de KRESTON, se encuentran sujetos a auditorías, revisiones de cumplimiento, por parte del Profesional de Seguridad de la Información de la KRESTON.

  • Los Propietarios y/o custodios de los Activos deben autorizar a sus empleados, proveedores y partes interesadas, el uso de los recursos tecnológicos, previamente preparados por los empleados de KRESTON.

  • Los Propietarios de los Activos deben recibir los recursos tecnológicos asignados a sus empleados proveedores y partes interesadas, cuando estos se retiran de Kreston, o son trasladados de una compañía a otra área.

CUSTODIO DE LOS ACTIVOS:

  • Los Custodios de los Activos deben verificar que los niveles de acceso a la información, definidos y aprobados por el propietario, se cumplan.

  • Los Custodios de los Activos deben verificar que los accesos a archivos físicos, magnéticos u ópticos de información, sean los adecuados y aprobados por el propietario de la información.

  • IT de conjunto con la Presidencia, deben autorizar la instalación, cambio o eliminación de componentes de la plataforma tecnológica de KRESTON.

  • IT debe establecer una configuración de acceso a la información adecuada, para cada uno de los empleados, proveedores y partes interesadas, que requieran acceso a los sistemas de información y recursos informáticos de KRESTON.

  • IT debe preparar las estaciones de trabajo fijas y/o portátiles de los empleados y hacer entrega de las mismas a su propietario o custodio.

  • IT debe recibir los equipos de trabajo, fijo y/o portátil, para su reasignación o disposición final, y generar copias de seguridad de la información de los empleados que se retiran o cambian de labores, cuando les es formalmente solicitado.

PROFESIONAL DE SEGURIDAD DE LA INFORMACIÓN:

  • El Profesional de Seguridad de la Información en conjunto con los Propietarios y/o Custodios de los Activos debe garantizar la identificación de los activos de información de KRESTON, generando con esto, el inventario correspondiente el cual estará cargo del líder de IT.

  • El Profesional de Seguridad de la Información debe realizar un análisis de riesgos de seguridad de manera periódica, evaluando con esto, las brechas de seguridad de los activos de información identificados.

  • El Profesional de Seguridad de la Información debe definir las condiciones de uso y protección de los activos de información, tanto físicos, como digital.

  • El Profesional de Seguridad de la Información debe realizar revisiones periódicas de los recursos de la plataforma tecnológica y los sistemas de información de KRESTON.

EMPLEADOS:

  • Los empleados, proveedores y partes interesadas deben utilizar de forma ética y en cumplimiento de las leyes y reglamentos vigentes, los recursos tecnológicos de KRESTON, con el fin de evitar daños o pérdidas sobre las operaciones o la imagen de compañía.

  • Empleados, proveedores y partes interesadas deben utilizar los recursos tecnológicos de KRESTON, con el fin de llevar a cabo las labores de KRESTON RM por consiguiente, no deben ser utilizados para fines personales o ajenos a este.

  • Empleados, proveedores y partes interesadas no deben utilizar sus equipos de cómputo y dispositivos móviles personales, para desempeñar las actividades laborales.

  • Los empleados, proveedores y partes interesadas no deben utilizar software no autorizado o de su propiedad en la plataforma tecnológica de KRESTON.

  • En el momento de desvinculación, licencia, vacaciones o cambio de labores, los proveedores y partes interesadas, deben realizar la entrega de su puesto de trabajo al Propietario de los Activos o Custodio de los Activos; así mismo, deben encontrarse a paz y salvo con la entrega de los recursos tecnológicos y otros activos de información suministrados en el momento de su vinculación laboral.

Divulgación de la Política de Seguridad

Política y procedimientos de entrenamiento en seguridad de la información de KRESTON, deben realizar de manera periódica divulgación de la política de Seguridad de la información para tener el personal capacitado y así mitigar riesgos.

Controles a los sistemas de Información (Gestión de Eventos)

  • En caso de falla de procesamiento: El sistema de información alerta al responsable apropiado en el evento de una falla de procesamiento y ejecuta las posibles acciones siguientes: shutdown, sobre escribe el registro de auditoria más viejo, para la generación de los registros de auditoria.

  • En caso de alerta de Almacenamiento: El servidor donde se alojan las aplicaciones debe tener un módulo de auditoría donde se despliegue una alerta cuando el volumen de almacenamiento de los registros de auditoria llega a la capacidad máxima definida.

  • En caso que el sistema de información llegue a su tope máximo de capacidad reservada para generación de logs deberá crear una alerta en tiempo real, cuando los eventos de falla de auditoria ocurren.

  • Protección de la información de auditoria: Se debe crear un sistema de protección de la información y las herramientas de auditoria contra acceso no autorizado, modificación o borrado.

Plan de Contingencia y Continuidad:

  • Definir y Aplicar plan de Contingencia.

  • Definir y Aplicar plan de Continuidad.

  • Retención de Registros de auditoria: KRESTON junto con el Profesional de Seguridad de la Información debe definir un periodo de retención de los registros de auditoria para tener soportes ante investigaciones de incidentes de seguridad de la información que incluye el propósito, alcance, roles y responsabilidades.

  • Interfaces del sistema de Información: KRESTON debe llevar a cabo una evaluación de los controles de seguridad en el sistema de información para las compañías para determinar si están implementados de manera adecuada de acuerdo a los requisitos de seguridad del sistema.

Mejora Continua

Estos son los puntos y recomendaciones a tener en cuenta para lograr un nivel de madurez mayor en el proceso.

10.1. Líneas base

  • Se debe propender por generar líneas base de PC por perfiles para controlar así el software instalado y prestar un servicio rápido cuando un empleado ingreso para tecnología de usuario final.

  • Disponer de un plan de contingencia que contenga copias de resguardo de información sensible de la compañía como son autenticación de usuarios, integridad de datos, confidencialidad de la información almacenada control de accesos.

10.3. Gestión de Accesos

  • Desde el ingreso de un empleado se debe generar los accesos a Correo, Red y Sistemas de Información según perfiles definidos.
  • Definir la política de asignación de PC a empleados y la seguridad de los mismos en el sitio de trabajo.