UNIVERSIDAD CATOLICA DE EL SALVADOR CENTRO REGIONAL ILOBASCO

INGENIERIA EN SISTEMAS INFORMATICOS CICLO I-2014 Administracin de servidores

Trabajo: Polticas de seguridad informtica

Catedrtico: Ricardo Ernesto Ayala Vsquez

Integrantes: Jorge Daniel Garca Francis Alirio Castro Yessenia Marisol Noyola Jonathan Atilio Chavez

Febrero, 26 de 2014

INDICE Contenido
INTRODUCCION .............................................................................................................................. 3 OBJETIVOS ...................................................................................................................................... 5 Terminologa.................................................................................................................................... 6 Poltica........................................................................................................................................... 6 Estndar........................................................................................................................................ 6 Por qu tener polticas por escrito? ....................................................................................... 8 Etapas en el desarrollo de una poltica de seguridad informtica.................................... 8 Practicas recomendadas para escribir una poltica ........................................................... 14 Elementos de una Poltica de Seguridad Informtica .................................................... 15 Parmetros para Establecer Polticas de Seguridad ...................................................... 16 Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica ..... 17 COMIT DE SEGURIDAD........................................................................................................ 18 Seguridad Organizacional...................................................................................................... 19 Seguridad Fsica y ambiental ................................................................................................ 19 Seguridad Lgica ..................................................................................................................... 19 Seguridad Legal ........................................................................................................................ 20 Seguridad de operaciones y comunicaciones ................................................................. 20 1. 2. POLITICAS Y ESTANDARES DE SEGURIDAD DEL PERSONAL ............................... 21 POLITICAS Y ESTANDARES DE SEGURIDAD FISICA Y AMBIENTAL ..................... 22

3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO ................................................................................................. 26 4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO .................... 32

BIBLIOGRAFIA .............................................................................................................................. 35

INTRODUCCION

Actualmente, es muy habitual que las personas involucradas en seguridad informtica tengan una nocin muy pobre sobre lo que significa desarrollar las polticas de seguridad, ya que no basta con escribirlas y pretender ponerlas en prctica. Muchas veces existe la asignacin de responsables para con las mismas, se realizan actividades para dar a conocerlas y, quiz, se supervise su cumplimiento, Pero esto an no basta. Muchas polticas de seguridad informtica fallan ya que se desconoce lo que implica realmente desarrollarlas.

Es de plena importancia hacer nfasis, en que una poltica de seguridad tiene un ciclo de vida completo mientras esta vigente. Este ciclo de vida incluye un esfuerzo de investigacin, la difcil tarea de redactarlas, lograr que las directivas de la organizacin la acepten, conseguir que sea aprobada, lograr que sea diseminada a travs de la empresa, consensar a los usuarios de la importancia de la poltica, conseguir que la acaten, hacerle seguimiento, garantizar que este actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar polticas que no sean muy tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, sobrantes o irrelevantes.

La seguridad informtica hoy en da con el aumento de la informacin y su nivel de valu ha tomado un auge muy grande, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. Con el aumento de las conexiones a internet, los cambios a plataformas que se usan por medio de las redes las cuales permiten conectarse a otras ciudades, a otros pases, incluso entre continentes, lo antes mencionado, ha trado tambin nuevas amenazas y riesgos dentro de los sistemas computaciones y por ende los peligros que puede presentar la informacin dentro de las empresas.

Estas amenazas y riesgos han llevado a que las empresas e instituciones elabores documentos los cuales normen todo lo relacionado con los sistemas y computadoras as como una orientacin adecuada de los mismos para obtener las mejores ventajas de las tecnologas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. Por lo antes mencionado surgen las polticas de seguridad informtica como una herramienta de organizacin y uso adecuado para concientizar a los

colaboradores, empleados, jefes y tercera personas que puedan acceder a estaciones de trabajo dentro de la empresa sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Sobre esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. Todo esto conlleva a un buen uso de los recursos informtico de la empresa o institucin, y a lograr eficiencia dentro de estos.

OBJETIVOS

General

Conocer los pasos y metodologa aplicada en la creacin de polticas de seguridad informticas, con conocimiento prctico de aplicacin dentro de un entorno real. As como las diferentes consideraciones que se deben tomar en el momento de su aplicacin.

Especficos

Presentar los pasos y metodologa aplicada en la creacin de polticas de seguridad informticas.

Exponer las consideraciones a tomar referente al rea de prevencin y gestin al momento de crear las polticas de seguridad informtica.

Mencionar la necesidad de la concienciacin a las personas involucradas en la gestin de equipo informtico, sobre la importancia de cumplir las polticas de seguridad informtica dentro de una institucin.

Conocer un mtodo prctico de aplicacin sobre la implementacin de las polticas de seguridad en un entorno real.

Terminologa

Es de vital importancia conocer de manera clara algunos trminos, que al ponerlos en contraste nos ayudan a definir lo que es en s una poltica. Trminos como: Poltica, Estndar, Gua, Mejores Prcticas o procedimiento. Son comnmente usados en seguridad Informtica a diario, pero algunas veces son utilizados correctamente, y muchas otras no. Poltica

Declaracin general de principios que presenta la posicin de la administracin para un rea de control definida. Estas se elaboran con el fin de que tengan aplicacin a largo plazo y guen el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por la directivas de la entidad o empresa, y deben ofrecer direccionamientos a toda la organizacin o a un conjunto importantes de dependencias. Por definicin, las polticas son obligatorias y la incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin. Estndar

Regla que especifica una accin o respuesta que se debe seguir a una situacin especfica dada. Los estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Estos sirven como especificaciones para la implementacin de las polticas diseados para promover su cumplimiento.

Mejor Prctica
Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando un nivel consiente de seguridad a travs de la organizacin.

Gua
Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para implementar polticas, estndares y buenas o mejores prcticas. Las guas son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.

Procedimiento
Los procedimientos definen especficamente como las polticas, estndares, mejores prcticas y guas sern implementadas en una situacin especfica dada. Los procedimientos son dependientes de la tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos son desarrollados, implementados y

supervisados por el responsable del proceso o del sistema. Los procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y las guas tan cerca como les sea posible, y a la vez se ajustaran a los

requerimientos procedimentales o tcnicos establecidos dentro de la dependencia donde ellos son aplicados.

Por qu tener polticas por escrito?

Hay muchas razones por las cuales es recomendable tener polticas escritas en una organizacin. A continuacin se presenta una lista de algunas de estas razones. 1. Para cumplir con regulaciones legales o tcnicas. 2. Sirve como gua para el comportamiento profesional y personal. 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares. 4. Permite recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo. 5. Permite encontrar las mejores prcticas en el trabajo. 6. Para hacer referencia directa a un medio de control especfico.

Etapas en el desarrollo de una poltica de seguridad informtica Existen 11 etapas que deben realizarse a travs del ciclo de vida de una poltica. Estas etapas pueden ser agrupadas en 4 fases. 1. Fase de desarrollo: Durante esta fase la poltica es creada, revisada y aprobada.

2. Fase de implementacin: En esta fase la poltica es comunicada y acatada (o no cumplida por alguna excepcin).

3. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la poltica, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla).

4. Fase de eliminacin: La poltica se retira cuando no se requiera ms.

Diagrama de clasificacin de fases.

Creacin: Planificacin, investigacin, documentacin, y coordinacin de la poltica. El primer paso en la fase de desarrollo de una apoltica es la planificacin, la investigacin y la redaccin de la poltica o, tomando todo junto, la creacin. La creacin de una poltica implica identificar porque se necesita una poltica (Por ejemplo, requerimientos legales, regulaciones tcnicas, contractuales u

operacionales); determinar el alcance y la aplicabilidad de la poltica, los roles y las responsabilidades inherentes a la aplicacin de la poltica y garantizar la factibilidad de su implementacin. La creacin de una poltica tambin incluye la investigacin para determinar los requerimientos organizacionales para desarrollar las polticas (es decir, que autoridades debe aprobarla, con quien se de coordinar el desarrollo y estndares del formato de redaccin), y la investigacin de las mejores prcticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendr como resultado la documentacin de la poltica de acuerdo con los procedimientos y estndares de la organizacin, al igual que la coordinacin con las entidades internas y externas que la poltica afectara, para obtener y su aceptacin. En general, la creacin de una poltica es la funcin ms fcil de entender en el ciclo de desarrollo de una poltica. Revisin: Evaluacin independiente de la poltica. La revisin de la poltica es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la documentacin de la poltica ha sido creada y la coordinacin inicial ya ha comenzado, esta debe ser remitida a un grupo (o un individuo) independientemente para su evaluacin antes de su aprobacin final. Hay varios beneficio de la revisin independiente: una poltica ms viable a travs del escrutinio de individuos que tienen una perspectiva diferente o ms vasta que la persona que redacto la poltica; apoyo ms amplio para la poltica a travs de un incremento en el nmero de involucrados; aumento de credibilidad en la poltica gracias a la informacin recibida de diferentes especialistas del grupo de revisin. Propio de esta etapa es la presentacin de la poltica a los revisores, ya sea de manera formal o informal exponiendo cualquier punto que puede ser importante para la revisin, explicando su objetivo, el contexto y los beneficios potenciales de la poltica y justificando porque es necesaria. Como parte de esa funcin, se espera que el creador de la poltica recopile los comentarios y las

recomendaciones para obtener una versin final de la poltica lista para la aprobacin por las directivas.

Aprobacin: Obtener la aprobacin de la poltica por parte de las directivas. El paso final en la fase de desarrollo de la poltica es la aprobacin. El objetivo de esta etapa es obtener el apoyo de la administracin de la organizacin, a travs de la firma de una persona ubicada en una posicin de autoridad. La aprobacin permite iniciar la implementacin de la poltica. Requiere que el proponente de la poltica haga una seleccin adecuada de la autoridad de aprobacin, que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisin y haga el esfuerzo para que sea aceptada por la administracin. Puede ocurrir que por incertidumbre de la autoridad de aprobacin sea necesaria una aprobacin temporal. Comunicacin: Difundir la poltica. Una vez la poltica ha sido aprobada formalmente, se pasa a la fase de implementacin. La comunicacin de la poltica es la primera etapa que se realiza en esta fase. La poltica debe ser inicialmente difundida a los miembros de la comunidad organizacional o a quienes sean afectados directamente por la poltica (Contratistas, Proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el mtodo inicial de distribucin de la poltica (es posible que tengan que tenerse en cuenta factores como la ubicacin geogrfica, el idioma, la cultura y lnea de mando que ser utilizada para comunicar la poltica). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad e interpretacin de la poltica. Cumplimiento: Implementar la poltica. La etapa de cumplimiento incluye actividades relacionadas con la ejecucin de la poltica. Implica trabajar con todas las reas de la organizacin. Para interpretar cual es la mejor manera de implementar la poltica en diversas situaciones y oficinas; asegurando que la poltica es entendida por aquellos que requieran implementarla, monitorearla, hacerle seguimiento, reportar regularmente su

cumplimiento y medir el impacto inmediato de la poltica en las actividades operativas. Dentro de estas actividades esta la elaboracin de informes a la administracin del estados de la implementacin de la poltica. Excepciones: Gestionar las situaciones donde la implementacin no es posible. Debido a problemas de coordinacin, falta de personal y otros requerimientos operacionales, no todas las polticas pueden ser cumplidas de la manera que se pens al principio. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la poltica para permitir a ciertas reas o personal el no complimiento de la poltica. Debe establecerse un proceso para garantizar que las actitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobacin o desaprobacin, documentadas y vigiladas a travs del periodo de tiempo establecido para la excepcin. El proceso tambin debe permitir excepciones permanentes a la poltica al igual que la no aplicacin temporal por circunstancias de corta duracin. Concienciacin: Garantiza la concienciacin continuada de la poltica. La etapa de concienciacin de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas estn conscientes de la poltica y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de concienciacin de los diversos grupos de audiencia dentro de la organizacin (directivos, jefes de dependencias, usuarios, etc.); en relacin con la adherencia a la poltica, determinar los mtodos de concienciacin ms efectivos para cada grupo de audiencia (es decir, reuniones informticas, cursos de entrenamiento, mensajes de correo, etc.); y desarrollo y difusin de material de concienciacin (Presentaciones, afiches, circulantes, etc.). La etapa de concienciacin tambin incluye esfuerzos para integrar el cumplimiento de la poltica y retroalimentacin sobre el control realizado para su cumplimiento. La tarea final es decir la conciencia que tienen los miembros de la comunidad organizacional de la poltica y ajustar los esfuerzos de acuerdo con los resultados de las actividades medidas.

Monitoreo: Seguimiento y reporte del cumplimiento de la poltica. Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la poltica. Esta informacin se obtiene de la observacin de los involucrados en el cumplimiento de las polticas mediante auditorias formales, evaluaciones, inspecciones, revisiones y anlisis de las desobediencias y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la poltica a travs de mtodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas. Garanta de cumplimiento: Afrontar las desobediencias de la poltica. La etapa de garanta de cumplimiento de las polticas incluye las respuestas de la administracin a actos u omisiones que tengan como resultado desacatos de la poltica con el fin de prevenir que sigan ocurriendo. Esto significa que una vez un desacato sea identificado, la accin correctiva debe ser determinada y aplicada a los procesos (revisin del proceso y mejoramiento), a la tecnologa (actualizacin) y a las personas (accin disciplinaria) involucradas en el desacato con el fin de reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir informacin sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciacin. Mantenimiento: Asegurar que la poltica este actualizada. La etapa de mantenimiento est relacionada con el proceso de garantizar la vigencia y la integridad de la poltica. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnologa, en los procesos, en las personas, en la organizacin, en el enfoque del negocio, etc.) que pueda afectar la poltica; recomendando y coordinando modificaciones resultado de los cambios, documentndolos en la poltica y registrando las actividades de cambio. Esta etapa tambin garantiza la disponibilidad continuada de la poltica para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la

poltica a travs de un control de versiones efectivas. Cuando se requieran cambios a la poltica, las etapas realizadas antes deben ser re-revisadas, en particular las etapas de revisin, aprobacin, comunicacin y garanta de cumplimiento. Retiro: Prescindir de la poltica cuando no se use ms. Despus de que la poltica ha cumplido con su finalidad y ya no es necesaria (por ejemplo, La empresa cambio la tecnologa a la cual aplicaba o se cre una nueva poltica que la reemplazo) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminacin del ciclo de la vida de la poltica, y es la etapa final del ciclo. Esta funcin implica retirar una poltica superflua del inventario e polticas activas para evitar confusin, archivarla apara futuras referencias y documentar la informacin sobre la decisin de retirar l apoltica (es decir, la justificacin, quien lo autorizo, la fecha, etc.).

Practicas recomendadas para escribir una poltica

1. Declaracin de la poltica (cul es la posicin de la administracin o que es lo que se desea regular) 2. Nombre y cargo de quien autoriza o aprueba la poltica. 3. Nombre de la dependencia, del grupo o de la persona quien es el autor o el proponente de la poltica. 4. Debe especificarse quien debe acatar la poltica (es decir, a quien est dirigida) y quien es el responsable de garantizar su cumplimiento. 5. Indicadores para saber si se cumple no la poltica. 6. Referencias a otras polticas y regulaciones en las cuales se soporta o con las cuales tiene relacin. 7. Enunciar el proceso para solicitar excepciones. 8. Describir los pasos para solicitar cambios o actualizaciones a la poltica. 9. Explicar que pasos se seguirn en caso de incumplir la poltica.

10. Fecha a partir de la cual entra en vigencia la poltica. 11. Fecha cuando se revisara la conveniencia o la obsolescencia de la poltica. 12. Incluir la direccin de correo electrnico, la pgina web y el telfono de la persona o personas que se pueden contactar en caso de preguntas o sugerencias.

No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos. Elementos de una Poltica de Seguridad Informtica

Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante.

Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. Definicin de violaciones y sanciones por no cumplir con las polticas. Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.

Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc. Parmetros para Establecer Polticas de Seguridad

Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos los siguientes aspectos: Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa. Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea.

Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente.

Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas.

Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica

A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "ms dinero para juguetes del Departamento de Sistemas". Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen informacin sensitiva y por ende su imagen corporativa. Ante esta situacin, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos.

Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin.

COMIT DE SEGURIDAD

Ser responsabilidad de la institucin conformar un comit de seguridad el cual velar porque las polticas sean cumplidas dentro de las instalaciones. Y estos sern los encargados de realizar las siguientes actividades: Realizar el monitoreo de los riegos y amenazas que dentro de la institucin se tienen, para as crear las medidas pertinentes Aprobar las todas aquellas reglas, medidas y normas que se crean convenientes para mejorar la seguridad de la informacin Divulgar estas normas o reglas en toda la institucin y que estas sean de conocimiento del personal Velar por que se cumplan todos los normativos. Aplicar sanciones si estas reglas no son cumplidas.

El comit de seguridad una vez conformado deber asegurar, una vez creadas las polticas de seguridad de la institucin, sean estas las que rijan el comportamiento dentro de la institucin en materia de seguridad informtica, tanto datos como los

procesos por los cuales estos datos pasan para generar resultados, y todos los equipos informticos que se poseen. Una vez conformado del comit, deber verificar: Seguridad organizacional (del personal). Seguridad fsica y ambiental. Seguridad lgica. Seguridad legal. Seguridad de comunicaciones y operaciones.

Seguridad Organizacional

Se establece el marco formal de seguridad que debe sustentarla institucin, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnologa, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anmalas a la seguridad.

Seguridad Fsica y ambiental

Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en la importancia de los activos.

Seguridad Lgica

Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades, perfiles de

seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, seleccin y aceptacin de sistemas, hasta el control de software malicioso.

Seguridad Legal

Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional, en este se debern contemplar, todos aquellos mbitos legales en los cuales incurre, tanto sean empleados, usos de software, hardware, u tcnicas que se necesite respaldas por medio de seguros, o adquisicin de licencias para uso de los antes mencionados.

Seguridad de operaciones y comunicaciones

Verificar que todas las operaciones en las cuales se trabaja con informacin crucial para la institucin se realicen con las debidas normas de seguridad, y vigilar los que se poseen para mejorar esos nexos, realizar revisiones de equipos de comunicacin as como las conexiones a exteriores, ya sean este internet, telfonos o faxes.

1. POLITICAS Y ESTANDARES DE SEGURIDAD DEL PERSONAL

Poltica

Todo usuario de bienes y servicios informticos se comprometen a conducirse bajo los principios de confidencialidad de la informacin y de uso adecuado de los recursos informticos, as como el estricto apego al Manual de Polticas y Estndares de Seguridad Informtica para Usuarios.

Obligaciones de Es responsabilidad de los usuarios de bienes y servicios informticos cumplir los usuarios las Polticas y Estndares de Seguridad presente manual. Acuerdos uso de Todos los usuarios de bienes y servicios informticos de la institucin debern y conducirse conforme a los principios de confidencialidad y uso adecuado de Informtica para Usuarios del

confidencialidad los recursos informticos y de informacin, as como comprometerse a cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad informtica para Usuarios Procedimientos y entrenamiento Todo empleado de nuevo ingreso deber: Leer el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios, el cual se encuentra disponible en medios fsicos o digitales, donde se dan a conocer las obligaciones para los usuarios y las sanciones que pueden aplicar en caso de incumplimiento. Sanciones Cuando la Direccin identifique el incumplimiento al presente Manual remitir el reporte o denuncia correspondiente al comit de polticas de seguridad para los efectos de su competencia y atribuciones. Haciendo uso de llamados de atencin, o si se sigue incumpliendo la respectiva modificacin en expediente.

2. POLITICAS Y ESTANDARES DE SEGURIDAD FISICA Y AMBIENTAL

Poltica

Los mecanismos de control y acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas, solo a personas autorizadas para salvaguarda de los equipos de cmputo y de comunicaciones, as como las instalaciones y los diferentes Centros de Cmputo.

Obligaciones de El usuario deber reportar de manera inmediata al comit de Polticas de los usuarios seguridad, o en su ausencia al jefe inmediato, cuando detecte que existen riesgos reales o potenciales para equipos de cmputo o comunicaciones, ya sean estos, fugas de agua, fugas de gas provocando incendios, polvo, etc.

El usuario tiene la obligacin de proteger los CDs, DVDs, memorias USB, memorias flash, discos externos, computadoras y cualquier dispositivos porttil que se encuentre bajo su administracin, aun cuando no se utilicen, y contengan informacin reservada o confidencial

Es responsabilidad del usuario evitar en todo momento la fuga de la informacin que se encuentre almacenada en los equipos de cmputo personal que tenga asignados. Control acceso fsico de Cualquier persona que tenga acceso a las instalaciones deber registrar en el Sistema de Ingreso (cuando ya se encuentre instalado), el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la institucin, el cual podrn retirar el mismo da, sin necesidad de trmite alguno.

En caso de que el equipo que no es propiedad de la institucin, permanezca

dentro de la institucin ms de un da hbil, es necesario que el responsable de la unidad en el que trabaja el dueo del equipo, elabore y firme oficio de autorizacin de salida.

Seguridad en el Los Centros de Cmputo son reas restringidas, por lo que slo el personal rea de trabajo Proteccin autorizado por la Direccin puede acceder a ellos. y Ningn usuario debe mover o reubicar cualquier equipo informtico o de

ubicacin de los comunicacin, instalar o desinstalar dispositivos, sin la debida autorizacin de equipos su jefe inmediato o del comit de polticas. Y debiendo solicitar a estos si es necesario o requerido.

El rea de soporte tcnico de la Direccin ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos en la ubicacin autorizada por la Direccin.

El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones asignadas al usuario.

Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas.

Es responsabilidad de los usuarios almacenar su informacin nicamente en el directorio de trabajo que se le asigne, ya que los otros estn destinados para archivos de programas y sistema operativo.

Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos, a menos que sea en botellas de plstico.

Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del gabinete.

Se debe mantener el equipo informtico en un entorno limpio y sin humedad. El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros objetos encima o contra ellos.

Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin a la Direccin a travs de un plan detallado de movimientos debidamente autorizados por el titular del rea que corresponda.

Queda prohibido que el usuario abra o desarme los equipos de cmputo, porque con ello perdera la garanta que proporciona el proveedor de dicho equipo. Mantenimiento de equipo nicamente el personal autorizado de la Direccin podr llevar a cabo los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal designado antes de permitir el acceso a sus equipos. Los usuarios debern asegurarse de respaldar la informacin que considere relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo previendo as la prdida involuntaria de informacin, derivada de proceso de reparacin, solicitando la asesora del personal de la Direccin. Perdida trasferencia equipos o El usuario que tenga bajo su resguardo algn equipo de cmputo ser de responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo.

El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal motivo, queda prohibido su prstamo.

El usuario deber dar aviso de inmediato a la Direccin de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo Uso de dispositivos especiales La asignacin de este tipo de equipo ser previa justificacin por escrito y autorizacin del titular o jefe inmediato correspondiente. El uso de los grabadores de discos compactos es exclusivo para respaldos de informacin que por su volumen as lo justifiquen.

El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d.

Los mdems internos debern existir solo en las computadoras porttiles y no se debern utilizar dentro de las instalaciones de la institucin para conectarse a ningn servicio de informacin externo, excepto cuando lo autorice la Direccin. Procedimientos y entrenamiento El Comit de Polticas de seguridad ser el encargado de realizar las sesiones o charlas necesarias, para que los empleados de la institucin obtengan los conocimientos para el uso de los equipos informativos y sus perifricos. Sanciones El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deber cubrir el valor de la reparacin o reposicin del equipo o

accesorio afectado. Para tal caso la determinar la causa de dicha descompostura.

3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO

Poltica

Los usuarios debern utilizar los mecanismos institucionales para proteger la informacin que reside y utiliza la infraestructura. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna o hacia redes externas como internet.

Los usuarios que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, malware o spyware. El usuario puede acudir a la Direccin, o al representante de sta en su zona, para solicitar asesora. Uso de medios Toda solicitud para utilizar un medio de almacenamiento de informacin de almacenamiento compartido, deber contar con la autorizacin jefe inmediato del usuario y del titular del rea duea de la informacin.

Dicha solicitud deber explicar en forma clara y concisa los fines para los que se otorgar la autorizacin, ese documento se presentar con sello y firma del titular de rea a la Direccin o al representante de sta en su zona.

Los usuarios debern respaldar de manera peridica la informacin sensible y crtica que se encuentre en sus computadoras personales o estaciones de trabajo, solicitando asesora de la Direccin o al representante de sta en su zona, para que dichos asesores determinen el medio en que se realizar dicho

respaldo.

En caso de que por el volumen de informacin se requiera algn respaldo en CD, este servicio deber solicitarse por escrito al Titular de la Direccin, y deber contar con la firma del titular del rea de adscripcin del solicitante.

Las actividades que realicen los usuarios en la infraestructura de Tecnologa de la Informacin son registradas y susceptibles de auditora. Instalacin Software de Los usuarios que requieran la instalacin de software que no sea propiedad de la institucin, debern justificar su uso y solicitar su autorizacin a la Direccin, a travs de un oficio firmado por el titular del rea de su adscripcin, indicando el equipo de cmputo donde se instalar el software y el perodo que permanecer dicha instalacin, siempre y cuando el dueo del software presente la factura de compra de dicho software.

Si el dueo del software no presenta la factura de compra del software, el personal asignado por la Direccin proceder de manera inmediata a desinstalar dicho software.

Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red, que no est autorizado por la Direccin. Uso de correo Los usuarios no deben usar cuentas de correo electrnico asignadas a otras electrnico personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien ms (mientras esta persona se encuentra fuera o ausente), el usuario ausente debe redireccionar el correo a otra cuenta de correo interno.

Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin que es propiedad de la intuicin. Los mensajes de correo electrnico deben ser manejados como una comunicacin privada y directa entre emisor y receptor.

Los

usuarios

podrn

enviar

informacin

reservada

y/o

confidencial

exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones, a travs del correo institucional que le proporcion la Direccin.

La institucin, se reserva el derecho de acceder y revelar todos los mensajes enviados por este medio para cualquier propsito y revisar las comunicaciones va correo electrnico de personal que ha comprometido la seguridad violando polticas de Seguridad Informtica o realizado acciones no autorizadas.

Como la informacin del correo electrnico institucional es privada, la nica forma en la que puede ser revelada es mediante una orden judicial.

El usuario debe de utilizar el correo electrnico nica y exclusivamente para los recursos que tenga asignados y las facultades que les hayan sido atribuidas para el desempeo de su empleo, cargo o comisin, quedando prohibido cualquier otro uso distinto.

La asignacin de una cuenta de correo electrnico externo, deber solicitarse por escrito a la Direccin o al representante de sta en su zona, sealando los

motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea que corresponda.

Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico. Controles Para prevenir infecciones por virus informticos, los usuarios deben evitar contra cdigo hacer uso de cualquier clase de software que no haya sido proporcionado y malicioso validado por la Direccin.

Los usuarios, deben verificar que la informacin y los medios de almacenamiento, considerando al menos memorias USB, discos flexibles, CDs, estn libres de cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus autorizado por la Direccin.

El usuario debe verificar mediante el software de antivirus autorizado por la Direccin que estn libres de virus todos los archivos de computadora, bases de datos, documentos u hojas de clculo, etc. que sean proporcionados por personal externo o interno, considerando que tengan que ser descomprimidos.

Ningn usuario debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar de introducir cdigo de computadora diseado para auto replicarse, daar o en otros casos impedir el funcionamiento de cualquier memoria de computadora, archivos de sistema o software. Tampoco debe probarlos en cualquiera de los ambientes o plataformas. El incumplimiento de este estndar ser considerado una falta grave.

Ningn usuario ni o personal externo podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, sin previa autorizacin.

Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y llamar a la Direccin para la deteccin y erradicacin del virus.

Cada usuario que tenga bajo su resguardo algn equipo de cmputo personal porttil, ser responsable de solicitar de manera peridica a la Direccin las actualizaciones del software de antivirus.

Los usuarios no debern alterar o eliminar las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la Direccin. Debido a que algunos virus son extremadamente complejos, ningn debe intentar erradicarlos de las computadoras, lo indicado es llamar al personal de la Direccin para que sean ellos quienes lo solucionen. Permisos de El acceso a internet provisto a los usuarios es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempea.

uso de internet

La asignacin del servicio de internet, deber solicitarse por escrito a la Direccin, sealando los motivos por los que se desea el servicio. Esta solicitud deber contar con el visto bueno del titular del rea correspondiente.

Todos los accesos a internet tienen que ser realizados a travs de los canales de acceso provistos por el comit de Polticas de seguridad y los encargados de la red institucional.

Los usuarios con servicio de navegacin en internet al utilizar el servicio aceptan que: Sern sujetos de monitoreo de las actividades que realizan en internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin la autorizacin de la Direccin. La utilizacin de internet es para el desempeo de su funcin y puesto y no para propsitos personales. Sanciones Ser el comit de Polticas de seguridad el encargado de decidir las posibles amonestaciones, si estas reglas son infringidas, o no son respetadas, yendo desde amonestaciones verbales hasta la modificacin del record personal de cada empleado.

4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO

Poltica

Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contrasea (password) necesarios para acceder a la informacin y a la infraestructura tecnolgica, por lo cual deber mantenerlo de forma confidencial.

El comit de polticas de seguridad, es el nico que puede otorgar la autorizacin para que se tenga acceso a la informacin que se encuentra en la infraestructura tecnolgica, otorgndose los permisos mnimos necesarios para el desempeo de sus funciones. Controles acceso lgico de El acceso a la infraestructura tecnolgica para personal externo debe ser autorizado al menos por un encargado de rea, quien deber notificarlo por oficio a la Direccin, quien lo habilitar.

Est prohibido que los usuarios utilicen la infraestructura tecnolgica para obtener acceso no autorizado a la informacin u otros sistemas de informacin.

Todos los usuarios de servicios de informacin son responsables por su identificador de usuario y contrasea que recibe para el uso y acceso de los recursos.

Todos los usuarios debern autenticarse por los mecanismos de control de acceso provistos por la Direccin antes de poder usar la infraestructura

tecnolgica. Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica, a menos que se tenga autorizacin de la Direccin.

Cada usuario que accede a la infraestructura tecnolgica debe contar con un identificador de usuario nico y personalizado, por lo cual no est permitido el uso de un mismo identificador de usuario por varios usuarios.

Los usuarios tienen prohibido compartir su identificador de usuario y contrasea, ya que todo lo que ocurra con ese identificador y contrasea ser responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le fueron usurpados esos controles.

Los usuarios tienen prohibido usar el identificador de usuario y contrasea de otros, aunque ellos les insistan en usarlo. Administracin del uso La asignacin de la contrasea para acceso a la red y la contrasea para

de acceso a sistemas, debe ser realizada de forma individual, por lo que queda prohibido el uso de contraseas compartidas est prohibido.

contraseas

Cuando un usuario olvide, bloquee o extrave su contrasea, deber reportarlo por escrito a la Direccin, indicando si es de acceso a la red o a mdulos de sistemas desarrollados por la Direccin, para que se le proporcione una nueva contrasea.

La obtencin o cambio de una contrasea debe hacerse de forma segura; el usuario deber acreditarse ante la Direccin como empleado.

Est prohibido que los identificadores de usuarios y contraseas se encuentren de forma visible en cualquier medio impreso o escrito en el rea de trabajo del usuario, de manera de que se permita a personas no autorizadas su conocimiento. Todo usuario que tenga la sospecha de que su contrasea es conocida por otra persona, tendr la obligacin de cambiarlo inmediatamente.

Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad.

Los cambios o desbloqueo de contraseas solicitados por el usuario a la Direccin sern solicitados mediante oficio sellado y firmado por el jefe inmediato del usuario que lo requiere.

BIBLIOGRAFIA

colombia, u. n. (2003). Guia para elaborar politicas de seguridad . colombia. nacional, u. t. (2009). politicas de seguridad informatica. mexico.