INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

MANUAL DE SEGURIDAD INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

ELABOR NOMBRE: JUAN CAMILO GALLARDO CARGO: JEFE INFORMATICA Y

SISTEMAS

REVIS NOMBRE: ROYMER ROMERO A. CARGO: COORDINADOR DE CALIDAD FECHA:

APROB NOMBRE: ROYMER ROMERO A. CARGO: VICERRECTOR

ADMINISTRATIVO

FECHA: 17 ABRIL DE 2013

FECHA:

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

TABLA DE CONTENIDO

GENERALIDADES ...............................................................................................................................................4 INTRODUCCIN ...............................................................................................................................................4 OBJETIVO DEL MANUAL ..............................................................................................................................5 ALCANCE DEL MANUAL ...............................................................................................................................6 PLAN DE POLTICAS DE SEGURIDAD ..........................................................................................................7 DEL EQUIPO (PROTECCIN FSICA). ........................................................................................................7 Objetivo .......................................................................................................................................................7 Alcance ........................................................................................................................................................7 Responsables: ............................................................................................................................................7 Polticas .......................................................................................................................................................7

DE CONTROL DE ACCESOS (TCNICAS O LGICAS) .........................................................................8 Objetivo .......................................................................................................................................................8 Alcance ........................................................................................................................................................8 Responsables .............................................................................................................................................8 Polticas .......................................................................................................................................................8

DE UTILIZACIN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS) . ..............................................................................................................................................................................9 Objetivo .......................................................................................................................................................9 Alcance ........................................................................................................................................................9 Responsables .............................................................................................................................................9 Polticas .......................................................................................................................................................9

DEL SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS). ...................................10 Objetivo: ....................................................................................................................................................10 Alcance: .....................................................................................................................................................10

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Responsables: ..........................................................................................................................................10 Polticas: ....................................................................................................................................................10

DE SUPERVISIN Y EVALUACIN (AUDITORA Y ALARMAS). .......................................................11 Objetivo .....................................................................................................................................................11 Alcance ......................................................................................................................................................11 Responsables ...........................................................................................................................................11 Polticas .....................................................................................................................................................11

PROCEDIMIENTOS DE SEGURIDAD ............................................................................................................12 TRALADO DE EQUIPO DE CMPUTO ......................................................................................................12 INSTALAR SOFTWARE ADICIONAL EN LOS COMPUTADORES .......................................................13 CREACION DE USUARIO PARA INGRESAR AL SISTEMA...................................................................14 CAMBIO DE ROL O ASIGNACION DE PRIVILEGIOS .............................................................................15 MONITOREO Y REGISTRO DE LOS EQUIPOS .......................................................................................16 Diagrama de Flujo .............................................................................................................................................17 TRALADO DE EQUIPO DE CMPUTO ......................................................................................................17 INSTALAR SOFTWARE ADICIONAL EN LOS COMPUTADORES .......................................................18 CREACION DE USUARIO PARA INGRESAR AL SISTEMA...................................................................19 CAMBIO DE ROL O ASIGNACION DE PRIVILEGIOS .............................................................................20 MONITOREO Y REGISTRO DE LOS EQUIPOS .......................................................................................21

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

GENERALIDADES

INTRODUCCIN

En una organizacin la gestin de seguridad puede tornarse compleja y difcil de realizar, esto no por razones tcnicas, mas bien por razones organizativas, coordinar todos los esfuerzos encaminados para asegurar un entorno informtico institucional, mediante la simple administracin de recurso humano y tecnolgico, sin un adecuado control que integre los esfuerzos y conocimiento humano con las tcnicas depuradas de mecanismos automatizados, tomar en la mayora de los casos un ambiente inimaginablemente hostil, para ello es necesario emplear mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la organizacin. El documento que se presenta como normas y polticas de seguridad, integra estos esfuerzos de una manera conjunta. ste pretende, ser el medio de comunicacin en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la organizacin, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Las normas y polticas expuestas en este documento sirven de referencia, en ningn momento pretenden ser normas absolutas, las mismas estn sujetas a cambios realizables en cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad en la organizacin.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

OBJETIVO DEL MANUAL

Este manual es la compilacin de toda la actividad de Seguridad del Trabajo, en una documentacin nica que permite mantener organizados y actualizados todos los aspectos relativos a la Gestin de Seguridad, disponiendo de esta forma de un documento que facilite la interpretacin, ejecucin, auditorias e inspecciones en esta materia en las instalaciones de la organizacin, radicando aqu la importancia y el objetivo del mismo que es la de brindar una informacin detallada de todos los procesos y procedimientos en materia de Seguridad, que permitan a la empresa organizar el trabajo de esta actividad segn los requerimientos, integrndolos a todos los procesos y reas, para as lograr el mejoramiento de las condiciones de trabajo, eliminar y reducir los riesgos, las capacidades laborales de los trabajadores y la eficiencia de la gestin general de la organizacin, traducido en proteccin de los equipos, del personal y un incremento de la productividad y eliminacin de gastos.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

ALCANCE DEL MANUAL

Por su contenido e importancia este Manual de seguridad, puede ser utilizado por todos los Directores de facultades, Jefes de rea y todo personal que tenga acceso a los equipos de la organizacin, involucrados en el Sistema de Gestin.

Para dar cumplimiento a los objetivos trazados por la instalacin en esta materia, De igual forma puede ser utilizado por las diferentes auditorias de control que llegan a la organizacin con el objetivo de revisar esta actividad y verificar que si se est cumpliendo con lo propuesto en el manual.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

PLAN DE POLTICAS DE SEGURIDAD

DEL EQUIPO (PROTECCIN FSICA).

POLITICAS DE SEGURIDAD

DEL EQUIPO (PROTECCION FISICA) ELABORADO POR: JEFE DE SISTEMAS

FECHA DE VIGENCIA: ABRIL 2013 PAG 1-1 APROBADO POR: OFICINA DE SERVICIOS INFORMATICOS

Objetivo: Establecer de forma eficaz unas normas de utilizacin de los equipos de la organizacin para prevenir o evitar las amenazas a la seguridad. Alcance: Toda la infraestructura de la organizacin en la cual intervengan equipos de cmputo. Responsables: Estas PSI aplican a todos los funcionarios de la organizacin que tenga acceso o manipulen equipos de que conforman la empresa.

Polticas:
Proteccin de la informacin y de los bienes informticos: El usuario o funcionario de la organizacin deber reportar de forma inmediata a la Oficina de sistema cuando se detecte riesgo alguno real o potencial sobre equipos de cmputo o de comunicaciones, tales como cadas de agua, choques elctricos, cadas o golpes o peligro de incendio. Proteccin y ubicacin de los equipos: Los usuarios no deben mover o reubicar los equipos de cmputo o de comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin de la Oficina de sistemas, en caso de requerir este servicio deber solicitarlo. Mantenimiento de equipos: nicamente el personal autorizado por la Oficina de sistemas podr llevar a cabo los servicios y reparaciones al equipo informtico. Los equipos o activos crticos de informacin y proceso, debern ubicarse en reas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las personas responsables por esos activos, quienes debern poseer su debida identificacin. Es totalmente prohibido, salvo autorizacin o supervisin expresa de la unidad de informtica, la intervencin fsica de los usuarios sobre los recursos de la red institucional (cables, enlaces, estaciones de trabajo, dispositivos de red). Los equipos de oficina, como cafeteras, oasis, aires acondicionados, entre otros no deben estar conectados al mismo circuito que los sistemas informticos. Se har una revisin peridica de los equipos de respaldo de energa o UPS, constatando su capacidad y correcto funcionamiento, se registrara cada revisin en una bitcora de control y funcionamiento de los equipos. Al finalizar con la jornada laboral es necesario que cada usuario de las estaciones de trabajo verifique el apagado correctamente el equipo y dispositivo UPS.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

DE CONTROL DE ACCESOS (TCNICAS O LGICAS)

POLITICAS DE SEGURIDAD

DE CONTROL DE ACCESO (TECNICAS O LOGICAS) ELABORADO POR: JEFE DE SISTEMAS

FECHA DE VIGENCIA: ABRIL 2013

PAG 1-1

APROBADO POR: OFICINA DE SERVICIOS INFORMATICOS

Objetivo: Establecer de forma eficaz un sistema de autorizaciones y utilizacin de los recursos y la informacin para prevenir o evitar las amenazas a la seguridad. Alcance: Las PSI regirn principalmente sobre los espacios de trabajo que tengan constante acceso a la red de informacin de la organizacin. Responsables: Incluye a todo el personal el cual disponga de un usuario y contrasea para acceso a la red de la organizacin.

Polticas:
Todos los usuarios de servicios de informacin son responsables por el de usuario y contrasea que recibe para el uso y acceso de los recursos. Cualquier cambio en los roles y responsabilidades de los usuarios debern ser notificados a la Oficina de sistemas (Administrador de la Red), para el cambio de privilegios. Est prohibido que las contraseas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. El Gestor de Seguridad proporcionar toda la documentacin necesaria para agilizar la utilizacin de los sistemas, referente a formularios, guas, controles, otros. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario. La longitud mnima de caracteres permisibles en una contrasea se establece en 6 caracteres, los cuales tendrn una combinacin alfanumrica, incluida en estos caracteres especiales. La longitud mxima de caracteres permisibles en una contrasea se establece en 12 caracteres, siendo esta una combinacin de Maysculas y minsculas.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

DE UTILIZACIN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS).

POLITICAS DE SEGURIDAD DE UTILIZACION DE LOS RECURSOS DE LA RED ELABORADO POR: JEFE DE SISTEMAS FECHA DE VIGENCIA: ABRIL 2013 PAG 1-

APROBADO POR: OFICINA DE SERVICIOS INFORMATICOS

Objetivo: Establecer estndares y normas para sacar el mejor provecho en la utilizacin de la red de la organizacin. Alcance: Incluye a todos los funcionarios que laboren en la organizacin y tengan acceso a los servicios de la red. Responsables: aplican a los funcionarios del rea informtica que monitorea y ayudara al cumplimiento de las normas en las dems reas de trabajo. Polticas:

los recursos disponibles a travs de la Red de la organizacin sern de uso exclusivo para asuntos relacionados con las actividades de la entidad. Toda conexin entre los sistemas de comunicacin de la organizacin e Internet debe incluir un firewall y otros mecanismos adicionales de control de acceso. El acceso a internet en horas laborales es de uso solo laboral no personal, con el fin de no saturar el ancho de banda y as poder hacer buen uso del servicio. El acceso a la red interna, se permitir siempre y cuando se cumpla con los requisitos de seguridad necesarios, y ste ser permitido mediante un mecanismo de autenticacin. Se debe eliminar cualquier acceso a la red sin previa autenticacin o validacin del usuario o el equipo implicado en el proceso.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

DEL SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS).

POLITICAS DE SEGURIDAD DE SOFTWARE ELABORADO POR: JEFE DE SISTEMAS FECHA DE VIGENCIA: ABRIL 2013 PAG 1-1

APROBADO POR: OFICINA DE SERVICIOS INFORMATICOS

Objetivo: Establecer de forma eficaz un sistema de autorizaciones y utilizacin de los recursos y la informacin para prevenir o evitar las amenazas a la seguridad. Alcance: Incluye a todos los funcionarios que laboren en la organizacin y tengan acceso a los equipos de la organizacin los cuales contienen software para su funcionamiento.

Responsables: estas polticas son responsables los funcionarios que hayan sido autorizadas para mantenimiento por parte de la oficina de sistemas. Polticas:

Los usuarios y funcionarios que requieran la instalacin de software, debern justificar su uso y solicitar su autorizacin por la Oficina de sistemas con el visto bueno de su Jefe inmediato, indicando el equipo de cmputo donde se instalar el software y el perodo que ser usado.

En el proceso de reinstalar un programa el tcnico debe borrar completamente la versin instalada para luego proceder a instalar la nueva versin que desea, esto siempre y cuando no sea una actualizacin del mismo. Las actividades que realicen los usuarios y funcionarios en la infraestructura Tecnologa de Informacin y Comunicaciones (TICs) de la organizacin sern registradas y podrn ser objeto de auditoria. Se adquirir y utilizar software nicamente de fuentes confiables. Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser manipulados nica y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda. Se llevar un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar informacin y su uso.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

DE SUPERVISIN Y EVALUACIN (AUDITORA Y ALARMAS).

POLITICAS DE SEGURIDAD DE SUPERVISION Y EVALUACION ELABORADO POR: JEFE DE SISTEMAS FECHA DE VIGENCIA: ABRIL 2013 PAG 1-1

APROBADO POR: OFICINA DE SERVICIOS INFORMATICOS

Objetivo: implementar polticas que faciliten actuar de forma inmediata ante cualquier deteccin de fallos en la red de la organizacin, y brindar un ptimo servicio. Alcance: Encierra a todos los funcionarios y equipos de infraestructura que hagan parte de la organizacin.

Responsables: todos los funcionarios de la organizacin que accedan al sistema sin importar los privilegios y cargos que tengan dentro de la organizacin. Polticas: Las auditoras de cada actividad donde se involucren aspectos de seguridad lgica y fsica debern realizarse peridicamente y deber sujetarse al calendario que establezca la oficina de sistemas.

Para efectos de que la organizacin disponga de una red con alto grado de confiabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. Los sistemas considerados crticos, debern estar bajo monitoreo permanente. De no existir personal tcnicamente preparado para efectuar auditorias a la seguridad de la informacin, estos debern ser capacitados por personal especializado en el rea. Sin importar la razn de la auditora, se llevara un control exhaustivo, se tomar registro de cada actividad relaciona con sta, quines la realizan, fechas, horas y todo lo que tenga que ver con la auditora en si. El personal de auditora no est facultado a realizar cambios en los sistemas informticos, ya sea de los archivos que integran el sistema o de la informacin que en ellos se procesa.

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

PROCEDIMIENTOS DE SEGURIDAD
Nombre del procedimiento TRALADO DE EQUIPO DE CMPUTO Objetivo Alcance Polticas Control en la organizacin y ubicacin de equipos en las estaciones de trabajo de las diferentes reas de la empresa. Trabajadores de las estaciones de trabajo de la organizacin, personal encargado al mantenimiento de equipos.
Los usuarios no deben mover o reubicar los equipos de cmputo o de comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin de la Oficina de sistemas, en caso de requerir este servicio deber solicitarlo.

Numero 1

Actividad El usuario solicita el traslado del equipo de una estacin de trabajo a otra. Entrega el formato de traslado debidamente diligenciado a la oficina de servicios informticos La oficina evala y revisa el requerimiento de traslado para dar una respuesta a la solicitud Si la solicitud es aceptada se da respuesta al usuario indicando fecha para el procedimiento Se hace visita a la estacin de trabajo para realizar el procedimiento, verificando los seriales de activo fijo del equipo de computo Se procede al traslado al nuevo puesto de trabajo

Responsable Usuario

Usuario

Oficina de servicios informticos Oficina de servicios informticos Tcnicos oficina de servicios informticos Tcnicos oficina de servicios informticos Tcnicos oficina de servicios informticos Usuario Tcnicos oficina de servicios informticos Oficina de servicios informticos

Se hace entrega del puesto de trabajo al usuario con equipo completo y seriales verificados El usuario da la aceptacin del servicio despus de haber verificado su funcionamiento y la entrega del equipo Se procede a diligenciar formato acerca del servicio que se presto al usuario para guardar el registro. Si no es aprobada la solicitud se hace saber al usuario el porqu de la declinacin al servicio solicitado.

10

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Nombre del procedimiento INSTALAR SOFTWARE ADICIONAL EN LOS COMPUTADORES Objetivo Alcance Polticas Gestionar la instalacin de software legal dentro de la organizacin Y Prevenir la instalacin de software pirata en los equipos de la organizacin Todos los trabajadores de las diferentes reas o dependencias de la organizacin La instalacin de software en cualquier equipo esta a cargo del personal de oficina de servicios informticos. Se Auditaran peridicamente los equipos para controlar y evitar la utilizacin de software no autorizado. Actividad Responsable Envo de solicitud de instalacin de software, mediante formato debidamente diligenciado por Usuario Solicitante parte del usuario. Se recibe formato y se estudia para verificar si es o no aprobada la instalacin de software. No se aprueba la solicitud, se enva correo detallando el porqu de la declinacin de la solicitud. Se aprueba la solicitud, se enva una notificacin al solicitante informando la aprobacin y asignando fecha para el procedimiento. Se hace la visita al solicitante para la debida instalacin y/o actualizacin del software requerido. El usuario solicitante hace la prueba y verificacin de la instalacin del software requerido. No quedo bien instalado o presenta fallas el solicitante, enva el reporte a la oficina de servicios informticos. Se procede a la verificacin, se da soporte y se realiza una nueva configuracin del software requerido Si el software quedo bien instalado, se procede a diligenciar el formato para dejar constancia acerca del servicio que se prest. Oficina Servicios Informticos Oficina Servicios Informticos

Numero 1

Oficina Servicios Informticos

Tcnicos Oficina de servicios informticos

Usuario solicitante

Usuario solicitante Tcnicos Oficina de servicios informticos

Tcnicos Oficina de servicios informticos

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Nombre del procedimiento CREACION DE USUARIO PARA INGRESAR AL SISTEMA Objetivo Alcance Polticas Controlar el acceso y la utilizacin del sistema de la organizacin para un uso controlado sobre los usuarios. Usuarios que necesiten hacer uso del sistema de la organizacin, personal encargado de la red de la empresa. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario. Actividad El usuario solicita a la oficina de servicios informticos la creacin de un usuario Diligencia y entrega el formato en la oficina de servicios informticos Se recibe el formato, y se realiza verificacin de datos de usuario y motivo por el cual se solicita la creacin de usuario. Si se acepta el requerimiento, se procede a enviar la solicitud al encargado de la red El encargado de la red, hace la creacin del usuario y asigna una contrasea temporal al usuario Se enva respuesta al usuario con el nombre de usuario y la contrasea que se le asign. El usuario verifica que si puede ingresar al sistema Procede a cambiar la contrasea temporal 8 9 Se procede a diligenciar formato de prestacin de servicio para que quede registro. Encargado de la red Responsable Usuario

Numero 1

Usuario

Oficina de servicios informticos

Oficina de servicios informticos

Encargado de la red

Encargado de la red

Usuario

Usuario

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Nombre del procedimiento CAMBIO DE ROL O ASIGNACION DE PRIVILEGIOS Objetivo Alcance Polticas Controlar el uso de la red mediante privilegios de uso a los usuarios que accedan al sistema de la organizacin. Funcionarios de la organizacin que posean un usuario y contrasea para el ingreso al sistema Cualquier cambio en los roles y responsabilidades de los usuarios debern ser notificados a la Oficina de sistemas (Administrador de la Red), para el cambio de privilegios Actividad Envo de solicitud de instalacin de software, mediante formato debidamente diligenciado por parte del usuario. Se recibe la solicitud en la oficina de servicios informticos y se hace llegar al encargado de la red. Se verifica la solicitud y si es aprobada se procede a hacer el cambio de roles o asignacin de privilegios al usuario Se Enva notificacin al usuario informando del cambio de roles El usuario hace la verificacin desde la estacin de trabajo Notifica al encargado de la red sobre el cambio de privilegios Responsable

Numero 1

Usuario Solicitante

Oficina de servicios informticos

Encargado de la red Encargado de la red

Usuario

Usuario

Se procede a llenar el formato del procedimiento Encargado de la red para dejar registro Si no es aceptada la solicitud se notifica al usuario explicando el porqu de la declinacin de servicio

Oficina de servicios informticos

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Nombre del procedimiento MONITOREO Y REGISTRO DE LOS EQUIPOS Objetivo Alcance Polticas Detectar cualquier anomala que se presente en el funcionamiento de la red dentro de la organizacin para as controlarlo y dar soporte oportuno Encargado de la red, y todos los activos que hagan parte de la red de la organizacin Para efectos de que la organizacin disponga de una red con alto grado de confiabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. Actividad El encargado da inicio al monitoreo de la red de la organizacin Identifica cada uno de los equipos que hacen parte de la red Instala o ejecuta software que ayude al monitoreo de la red de la organizacin Se verifica el funcionamiento del software en el sistema. Registra todos los equipos en el sistema y verifica que el software este funcionando correctamente. El software inicia con el monitoreo de equipos y servicios que se ejecutan en la red Si encuentra algn error, falla o anomala en el funcionamiento de la red muestra mensaje de alerta. El encargado de la red, procede a verificar el error y ejecutar acciones para corregirlo Procede a la elaboracin de informe acerca del monitoreo de la red y dejar documentado lo que encontr en dicho procedimiento Responsable Encargado de la red

Numero 1 2

Encargado de la red

Encargado de la red

Encargado de la red

Encargado de la red

Software

software

Encargado de la red

10

Encargado de la red

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

Diagrama de Flujo
TRALADO DE EQUIPO DE CMPUTO

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

INSTALAR SOFTWARE ADICIONAL EN LOS COMPUTADORES

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

CREACION DE USUARIO PARA INGRESAR AL SISTEMA

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

CAMBIO DE ROL O ASIGNACION DE PRIVILEGIOS

INSTITUCION UNIVERSITARIA ANTONIO JOSE CAMACHO

MONITOREO Y REGISTRO DE LOS EQUIPOS