UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)

UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

Declogo de Buenas Prcticas de Seguridad de Activos de Informacin

Introduccin
La informacin que es elaborada y generada por los procesos de la Universidad Nacional de Ingeniera
es un activo, que como otros bienes de nuestra institucin, tiene gran valor y necesita ser protegida en
forma apropiada. El Sistema de Gestin de Seguridad de la Informacin protege dicha informacin de
una amplia gama de amenazas, con el fin de asegurar la continuidad de los procesos institucionales y la
entrega de productos y servicios a usuarios / clientes / beneficiarios, minimizando el dao a la
institucin y maximizando la eficiencia y las oportunidades de la mejora de la gestin organizacional, es
por esto que cmo un avance, presentamos el presente Declogo de Buenas Prcticas de Seguridad de
Activos de la Informacin para que sea puesto en prctica desde cualquier puesto que nos
encontremos.
1.

Cuando reciba correos electrnicos que le soliciten informacin personal, bancaria, nombres de
usuario o contraseas, abstngase de responder o verifique la fuente, podra ser vctima de
fraude electrnico.

2.

Escritorio limpio durante la jornada laboral.- Recuerde No publicar o dejar a la vista,

documentos o datos sensibles, como por ejemplo: contraseas, nmeros de cuenta, etc. o
elementos de almacenamiento de informacin (CDs, DVds., Memorias porttiles, Discos
Porttiles, etc), asegrese que se encuentren adecuadamente protegidos en los cajones bajo
llave, en todo momento que no los est utilizando.
o

Al tener informacin confidencial o sensible que deba ser desechada, asegrese de

destruirla, antes de enviarla a la basura; as mismo, no recicle hojas con informacin
sensible.

Cuando imprima documentos con informacin confidencial, tenga presente recoger sus
impresiones en el menor tiempo posible.

Al terminar la jornada laboral, debe tomarse el tiempo necesario antes de abandonar la

oficina para recoger y asegurar el material sensitivo; as como, de ser posible cerrar
bajo llave armarios, cajones y oficinas. Abstngase de visitar sitios web restringidos por
la institucin de manera explcita o implcita, o sitios que afecten su productividad.

3.

Bloqueo de la Estacin de Trabajo Debe mantener su estacin de trabajo bajo control y evitar
el acceso no autorizado, por lo tanto, debe bloquear la sesin al retirarse de su computador, as
sea por corto tiempo.

4.

Proteccin contra software nocivo.

o No debe utilizar software obtenido externamente desde Internet o de una persona u
organizacin diferente a los distribuidores confiables o conocidos, a menos que el
software haya sido aprobado por el CTIC-UNI, as se evitar la entrada de virus a su
equipo de trabajo. No debe utilizar los sistemas de la Universidad para la transmisin de
cualquier correo masivo no solicitado.
o

La proteccin de los sistemas de informacin a su cargo, tambin es su

responsabilidad, por lo que debe asegurar fsicamente las computadoras porttiles con
cables de seguridad en todo momento para evitar robos.

Cualquier usuario que sospeche de una infeccin por un virus debe apagar
inmediatamente el computador involucrado, desconectarlo de cualquier red, llamar al
grupo de Soporte de la Oficina de Informtica de la Dependencia/Facultad y no hacer
ningn intento de eliminar el virus

Solamente el grupo de soporte tcnico de la dependencia/facultad debe enfrentar una

infeccin por virus de computador, la cual deber ser informada al CTIC-UNI. Los
usuarios no deben intentar eliminar el virus, a menos que sigan instrucciones precisas
de los Soportes Tcnicos de la Dependencia/Facultad.

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

o
o

5.

Antes de ser descomprimido, todo software transferido desde sistemas externos a la

Universidad Nacional de Ingeniera, debe ser analizado con el sistema antivirus
institucional aprobado, despus de que el usuario haya terminado su sesin y se haya
terminado con todas sus conexiones de red.
Siempre que algn software o archivos hayan sido recibidos de una entidad externa,
este material debe ser probado para buscar software no autorizado en una mquina
aislada de desarrollo (no produccin), antes de ser utilizado en los sistemas de
informacin de la Universidad Nacional de Ingeniera.
Debe certificarse que todo el software, archivos o ejecutables, se encuentran libres de
virus antes de ser enviados a una entidad externa.
Cualquier archivo encriptado suministrado por instituciones externas a la Universidad
Nacional de Ingeniera, debe ser desencriptado antes de ser sometido al anlisis con el
sistema antivirus institucional.
Cualquier sistema de almacenamiento como disquetes, CD-ROMs, cartuchos pticos,
cintas, etc., provistos por instituciones externas no deben ser utilizados en los sistemas
de la Universidad Nacional de Ingeniera, a menos que stos medios hayan sido
analizados con sistema antivirus institucional por personal autorizado y hayan recibido
una etiqueta que certifique que no se encontraron virus.
Antes que cualquier archivo sea restaurado en un sistema de la Universidad Nacional
de Ingeniera, desde un medio de almacenamiento de respaldo, ste debe ser analizado
con un sistema antivirus institucional actualizado.
Los usuarios no deben intencionalmente escribir, generar, compilar, copiar, almacenar,
propagar, ejecutar o intentar introducir cualquier cdigo de computador diseado para
auto replicarse, deteriorar o que obstaculice el desempeo de cualquier sistema de la
Universidad Nacional de Ingeniera o de cualquier institucin externa a ella.

Proteccin durante la navegacin en internet.

Formular controles que permitan minimizar el riesgo generado por el acceso a Internet y a redes
pblicas, el intercambio de medios de almacenamiento porttiles, el intercambio de informacin
con instituciones externas, etc., los cuales exponen los sistemas de la Universidad Nacional de
Ingeniera a la propagacin interna y externa de software con cdigo malicioso o nocivo, el cual
puede comprometer directamente la integridad, la disponibilidad y la confidencialidad de la
informacin procesada por cada uno de los componentes de la red.
o

La Universidad Nacional de Ingeniera con el objetivo nico de facilitar la realizacin del

trabajo contratado brinda acceso a Internet para navegacin a sus funcionarios,
personal administrativo, profesores, alumnos y contratistas autorizados, los cuales se
acogen a las polticas y formas de actuacin dictadas en la UNI.
La UNI adelantar campaas dirigidas a todos los usuarios de la navegacin para
garantizar que las personas estn informadas sobre los peligros de descargar archivos
de Internet (el software espa, los troyanos y los hackers), acceder a sitios desconocidos
o de baja confianza y aceptar los mensajes sobre instalacin de software que brinde el
navegador.
La institucin buscar garantizar de manera tcnica que se controla el acceso a sitios
que puedan afectar la productividad de la institucin, la seguridad de su informacin o
su personal.
Los usuarios debern Abstenerse de visitar sitios restringidos por la institucin en
cualquiera de sus formas, o sitios que afecten la productividad de la institucin.
Especialmente se debern evitar el acceso desde la institucin a sitios relacionados con
la pornografa y fundamentalmente si este involucra a menores de edad. As mismo,
est prohibida la descarga y uso de software malicioso o documentos que brinden
informacin sobre como atentar contra la seguridad de la informacin corporativa
Los funcionarios debern abstenerse de brindar cualquier tipo de informacin de la
institucin en sitios no autorizados o que no cuenten con mecanismos de seguridad que
garanticen la confidencialidad de la informacin en trnsito.

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

o
o

o
o

o
o
o

6.

Manejo y Seguridad de Medios

Este rubro pretende prevenir la revelacin de documentacin relacionada con los sistemas de la
UNI a terceros que puedan utilizarla en contra de la institucin.
o

7.

Los funcionarios de La UNI no deben comprar bienes o servicios a travs de Internet a

nombre de La Universidad Nacional de Ingeniera, a menos que exista una aprobacin
previa.
Los usuarios, deben evitar descargar y/o emplear archivos de imagen, sonido o
similares que puedan estar protegidos por derechos de autor de terceros sin la previa
autorizacin de los mismos.
Los usuarios no deben descargar software de Internet bajo ninguna circunstancia.
Los usuarios no deben instalar software en sus estaciones de trabajo, en los servidores
de la red, o en otras mquinas, incluso si este software es libre o no licenciado; toda
instalacin de software debe hacerla un tcnico luego de la debida verificacin y la
autorizacin previa del Decano de la Facultad/Directivo de la Dependencia y el CTICUNI.
El software residente en sitios mirror de Internet no debe ser descargado a ningn
sistema de La UNI a menos que sea recibido directamente de una fuente confiable y
conocida y que se hayan empleado herramientas como verificacin de firmas digitales.
Los servidores disponibles en Internet no deben ser utilizados para almacenar
informacin de las actividades del La UNI.
Los usuarios estn conscientes de que toda la informacin (incluida la de navegacin)
que transite en la institucin por ser para el trabajo es propiedad de la misma y por ende
puede ser monitoreada con objetivos de administracin, seguridad o auditora por
personal autorizado por la institucin.
Los usuarios de los sistemas de navegacin son conscientes de que estos, solamente
deben ser utilizados para propsitos lcitos y en cumplimiento de las funciones
especficas de su cargo, ya que toda actividad de navegacin puede ser registrada por
La UNI, quien podr revelar cualquier acceso cuando una autoridad judicial as lo
requiera.
El personal de La UNI no debe utilizar el sistema de navegacin de la UNI para
participar en grupos de discusin en Internet, Listas de Correo, chats o cualquier otro
foro pblico, a menos que su participacin haya sido expresamente autorizada
formalmente por la universidad.
El servicio de chat podr ser usado nicamente para propsitos laborales.
Los usuarios de Internet, podrn emplear este recurso para su propia capacitacin
previa autorizacin de su jefe directo.
Si el usuario hace uso de estos servicios de todas maneras asume que puede ser
monitoreada toda la informacin que de este uso se derive como si fuese de la
institucin misma.

Toda la documentacin que describe los sistemas de informacin o los procedimientos

de sistemas de la UNI, debe ser revisada y aprobada por El CTIC-UNI, antes de ser
liberada a terceras partes.
Toda la documentacin relacionada con los sistemas de la UNI, es considerada
confidencial y no debe ser conservada por los funcionarios que dejen de laborar en la
institucin.

Seguridad del comercio electrnico.

Esta poltica pretende prevenir la revelacin de informacin privada, el fraude en contra o en
nombre de la UNI la privacidad de la informacin de cuentas y la seguridad de las transacciones
realizadas a travs de Internet o redes externas.
o

Todos los contratos originados a travs mensajes de ofertas y aceptaciones

electrnicas deben ser formalizados y confirmados por medio de documentos en papel,
dentro de las siguientes dos semanas a partir de su aceptacin.

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

8.

Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas

de crdito, debe ser encriptada mientras est almacenada en computadores accesibles
desde Internet o desde redes externas.
Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas
de crdito, debe permanecer encriptada cuando no sea utilizada para propsitos de la
institucin y cuando sea transmitida o almacenada en medios de respaldo y transporte.

Seguridad del correo electrnico

Asegurar la privacidad de los mensajes de correo electrnico, el buen uso del sistema y el
compromiso inherente de la UNI al suministrar este servicio a su personal.
o La informacin secreta y no encriptada no debe ser trasmitida por correo electrnico, a
menos que una persona con autoridad directiva, de acuerdo a su cargo autorice
especficamente cada ocurrencia.
o El personal de la UNI no puede emplear direcciones de correo electrnico diferentes a
las cuentas oficiales para atender asuntos de la institucin.
o Todos los mensajes de correo electrnico que utilizan los sistemas de la UNI, deben
contener el nombre y apellidos del remitente, su cargo, direccin y nmero telefnico.
o Todas las comunicaciones de publicidad de la UNI realizadas por correo electrnico,
dirigidas a clientes o usuarios encontrados en la base de datos de contactos de la UNI,
deben incluir instrucciones de cmo los destinatarios pueden ser removidos
rpidamente de la base de datos de contactos y detener comunicaciones, correos o
mensajes posteriores.
o Los usuarios no deben reenviar correo electrnico a direcciones externas a la UNI, a
menos que exista autorizacin previa de quien origina el mensaje o que la informacin
sea pblica por naturaleza.
o Un mensaje de correo electrnico debe ser retenido y conservado para futuras
referencias solamente si contiene informacin relevante para la finalizacin de una
transaccin, si contiene informacin de referencia potencialmente importante o si tiene
valor como evidencia de una decisin administrativa de la UNI.
o Todos los mensajes de correo electrnico que contengan informacin concerniente,
pero no limitada a, nmeros de tarjetas de crdito, claves de acceso, informacin de
investigacin y desarrollo e informacin sensible de entidades externas, debe ser
encriptados antes de ser transmitidos.
o El personal de la Universidad Nacional de Ingeniera NO puede monitorear los sistemas
de correo electrnico para asegurar el cumplimiento de polticas, a menos que haya
autorizacin judicial o de autoridad competente.
o La UNI debe notificar a todos los usuarios que los sistemas de correo electrnico
solamente deben ser utilizados para propsitos de la institucin, todos los mensajes
enviados por correo electrnico constituyen registros de la UNI, quien se reserva el
derecho de acceder y revelar cualquier mensaje para cualquier propsito sin previo
aviso y los administradores pueden revisar el correo electrnico del personal para
determinar si han roto la seguridad, han violado la poltica de la Universidad Nacional de
Ingeniera o han realizado actividades no autorizadas
o Los usuarios no pueden crear, enviar, o retrasmitir mensajes de correo electrnico que
puedan constituir acoso o que puedan contribuir a un ambiente de trabajo hostil.
o El personal de la UNI no puede enviar o distribuir cualquier mensaje a travs de los
sistemas de la UNI, el cual pueda ser considerado difamatorio, acosador o
explcitamente sexual o que pueda ofender a alguien con base en su raza, gnero,
nacionalidad, orientacin sexual, religin, poltica o discapacidad.
o El personal no debe utilizar los sistemas de la UNI para la transmisin de cualquier
correo masivo no solicitado.
o En todos los mensajes de correo electrnico salientes, debe agregarse un pi de pgina
que indique que el mensaje puede contener informacin confidencial, que es para el
uso de los destinatarios nombrados, que ha sido registrado para propsitos de archivo,
que puede ser analizado por otras reas de la UNI y que no constituye necesariamente
una oficial representacin de la UNI.

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

o
o
o

9.

El personal de la UNI no debe emplear versiones digitalizadas de sus firmas

manuscritas en los mensajes de correo electrnico.
El personal no debe abrir archivos adjuntos a los correos electrnicos, a menos que
hayan sido analizados por el software antivirus institucional.
El personal de la UNI no debe utilizar las cuentas de correo oficiales para participar en
grupos de discusin en Internet, Listas de Correo o cualquier otro foro pblico, a menos
que su participacin haya sido expresamente autorizada por la Direccin de su
Dependencia/Facultad y del CTIC-UNI.
Si un trabajador es dado de baja en la UNI, se deber informar al CTIC-UNI, para que
bloquee su cuenta de correo electrnico y los accesos a los sistemas informticos con
los cuales trabajaba.

Logging o Registro Histrico de Actividades

Contar con registros de los movimientos que se realizan dentro de los sistemas de la Universidad
Nacional de Ingeniera, buscando evitar conductas inapropiadas y minimizar riesgos de
seguridad en el uso de estos sistemas.
Logs de aplicaciones sensibles
o Todas las aplicaciones de produccin que manejen informacin sensible de la UNI,
deben generar logs que muestren cada modificacin, incorporacin y borrado de la
informacin. Esto incluye modificaciones a los sistemas de produccin y modificaciones
a los sistemas fuente.
o Los sistemas que manejen informacin valiosa, sensible o crtica deben adems
contener y activar forzosamente el log sobre todos los eventos o procesos relacionados
con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contrasea,
intentos de uso de privilegios no autorizados, entre otros.
o Los logs de procesos relevantes deben de proveer informacin suficiente para soportar
auditoras y contribuir a la eficiencia y cumplimiento de medidas de seguridad. Es
importante que la Oficina de Informtica y el CTIC acuerde con el Propietario de la
Informacin cualquier caracterstica especial que estos logs deban incluir, de acuerdo a
requerimientos internos o con autoridades externas.
o Todos los comandos emitidos por los operadores de sistemas deben ser rastreables o
identificables para especificar su uso individual.
o El perodo que debe activarse y depurarse un log es por lo menos cada mes. Durante
este perodo, el administrador del sistema y/o dueo de la informacin, se debe
asegurar que ste no sea modificado, y cerciorarse de que no sea ledo por personal no
autorizado. Estos aspectos son importantes para la correccin de errores, auditoras o
brechas de seguridad.
o Soporte Tcnico de las Depedencias/Facultades y el CTIC o una persona asignada por
ellas (que no tenga el rol de administrador de sistemas) debe revisar, por lo menos cada
tres meses, uno o ms registros relevantes a las actividades de los usuarios
responsables administradores de la informacin (administradores de servidores y
aplicaciones) para asegurarse que estn manejando con responsabilidad sus acciones
con respecto a los sistemas de cmputo.
o Para evitar conductas inapropiadas, crear un sentido de responsabilidad del usuario, y
permitir una administracin adecuada de los sistemas, todas las actividades de los
usuarios que afecten produccin deben ser trazables desde el log.
o Las aplicaciones y otros manejadores de Bases de Datos, deben tener logs para las
actividades de los usuarios y estadsticas relacionadas a estas actividades que les
permitan identificar y detectar alarmas de posibles problemas o mal uso, y que reflejen
eventos misionales de la institucin sospechosos.
o Todos los sistemas de la UNI, incluyendo todas las PCs conectadas a una red, siempre
deben tener un mismo horario y calendario adecuado, utilizando sincrona con los
servidores, cuando sea posible. Esto para facilitar actividades de rastreo mediante los
logs de los sistemas.
Manejo de Logs
o Los mecanismos para detectar y registrar eventos de seguridad significativos, deben ser
resistentes a los ataques. Estos ataques incluyen intentos de desactivacin,

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

modificacin, o borrado del software de log. Esto incluye tomar las medidas necesarias
para que, an cuando el log sea apagado o modificado, esta suspensin o modificacin
queden registradas en el mismo.
Los logs de todos los sistemas y aplicaciones deben ser conservados de forma tal, que
no puedan ser revisados o visualizados por personas no autorizadas. Los funcionarios
autorizados deben contar con una autorizacin de Oficina de Informtica y el CTIC, el
Comit de Seguridad de la Informacin, o el dueo de la informacin en cuestin para
realizar tal acceso.

10. Manejo de Informacin y cuentas personales.

De la cuenta de correo electrnico

El nombre de la cuenta de correo electrnico institucional para cada usuario estar
formado por la letra inicial del nombre de usuario seguido inmediatamente del apellido
paterno, ligado con el smbolo de @ al nombre de dominio de la institucin (establecido
por la Directiva N 010-2002-INEI/DTNP normas Tcnicas para la asignacin de
Nombres de Dominio de las Entidades de la Administracin Pblica). En caso de
existir dos construcciones similares, el Administrador de Correo electrnico en
coordinacin con las personas involucradas, acordarn el nombre de la cuenta.
Manejo apropiado de la contrasea

o
o
o
o
o
o
o
o
o
o
o
o

o
o

Uso de contraseas
Debido al alto nivel de seguridad con el que se debe contar en la Institucin, las claves
de acceso al servidor WEB, a los sistemas informticos de la institucin y a la cuenta
de correo electrnico proporcionada por la Institucin es responsabilidad del usuario
mantener la estricta confidencialidad de las mismas.
Cuando el usuario deje de usar su computadora deber cerrar el software de correo
electrnico, para evitar que otra persona use su cuenta de correo electrnico.
Cambiar la contrasea peridicamente (cada 2 3 meses).
Nunca guarde sus contraseas en lugares visibles, en ningn tipo de papel, agenda,
etc, preferible gurdalas en la memoria
Las contraseas se deben mantener confidenciales en todo momento.
No compartir las contraseas, con otros usuarios.
Cambia tu contrasea si piensas que alguien ms la conoce y si ha tratado de dar mal
uso de ella.
Selecciona contraseas que no sean fciles de adivinar.
Nunca grabes tu contrasea en una tecla de funcin o en un comando de caracteres
pre-definido.
Cambia tus contraseas regularmente.
No utilizar la opcin de almacenar contraseas en Internet.
No utilizar contrasea con nmeros telefnicos, nombre de familia etc.
No utilizar contrasea con variables (soporte1, soporte2, soporte3 etc.)
Crear una contrasea:
Contraseas fuertes contienen nmeros y letras mezcladas. Ver tabla adjunta.
Utilizar contrasea que tengan por lo menos 8 caracteres, entre letras, nmeros y
caracteres especiales.

Categora de caracteres
Letras maysculas
Letras minsculas
Nmeros
Smbolos del teclado (todos los caracteres
del teclado que no se definen como letras o
nmeros) y espacios

Ejemplos
A, B, C
a, b, c
0, 1, 2, 3, 4, 5, 6, 7, 8, 9
`~!@#$%^&*()_-+={}[]\|:;"'<>,.?

UNIVERSIDAD NACIONAL DE INGENIERA

CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)
UNIDAD DE DESARROLLO DE SISTEMAS
UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

De las Actualizaciones de los Softwares

El personal de soporte Tcnico de las Dependencias/Facultades estarn siempre
monitoreando los software instalados a ver si hay alguna actualizacin disponible, pues
muchas veces el encontrarse desactualizado, trae como consecuencia dejar las
puertas abiertas para los ataques cibernticos.
Los Aplicativos informticos desarrollados para la institucin, deben de pasar por un
riguroso control de calidad.
Manejo apropiado de control de Virus

o
o
o
o
o
o

Los usuarios deben revisar el antivirus institucional se encuentra actualizado y no ha

sido bloqueado.
La Entidad deber definir un producto estndar licenciado en el entorno de sus
estaciones de trabajo, resguardando el correcto funcionamiento de los equipos
cmputo.
El sistema de actualizaciones y deteccin diaria deber estar automatizado a nivel
central.
Se debe comunicar de cualquier infeccin por virus que no fue eliminada por el
antivirus, al rea de soporte.
Los usuarios no podrn desinstalar o cambiar el producto de antivirus existente en su
equipo.
Los dispositivos extrables, antes de ser usados deben ser escaneados con el antivirus.