Documente Academic
Documente Profesional
Documente Cultură
Identificación
Para dar de alta un usuario al sistema debe existir un procedimiento formal, por
escrito, que regule y exija el ingreso de los siguientes datos:
Identificación del usuario, deberá ser única e irrepetible,
Password, debe ser personal e ingresado por el usuario,
Nombre y apellido completo,
Grupo de usuarios al que pertenece,
Fecha de expiración del password,
Fecha de anulación de la cuenta,
Contador de intentos fallidos,
Autorización de imprimir,
Autorización de ingreso al área de usuarios.
Deben asignarse los permisos mínimos y necesarios para que cada usuario
desempeñe su tarea.
Deberá restringirse el acceso al sistema o la utilización de recursos en un
rango horario definido, teniendo en cuenta que:
Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde
declara conocer las políticas y procedimientos de seguridad, y acepta sus
responsabilidades con relación al uso de esa cuenta.
La solicitud de una nueva cuenta o el cambio de privilegios debe ser hecha por
escrito y debe ser debidamente aprobada.
Contraseñas
Las reglas de contraseña listadas a continuación están de acuerdo a los
requerimientos y estándares internacionales.
La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la
primera sesión. En ese momento, el usuario debe escoger otra contraseña.
Las contraseñas predefinidas que traen los equipos nuevos tales como routers,
switchs, etc., deben cambiarse inmediatamente al ponerse en servicio el
equipo.
2 - Seguridad de comunicaciones
Topología de red
Deberá existir documentación detallada sobre los diagramas topológicos de la
red.
Propiedad de la información
Conexiones externas
Cada vez que se establezca una vía de comunicación con terceros (personal
de mantenimiento externo, fábricas, proveedor de servicios de Internet, etc.),
los mecanismos de transmisión y las responsabilidades de las partes deberán
fijarse por escrito.
Ud. puede usar una impresora ubicada en un espacio interno CMS, pero debe
recoger su información Confidencial CMS dentro de los 30 minutos siguientes.
Correo
Deberá existir un procedimiento formal para dar de alta y de baja las cuentas
de correo electrónico en el sistema informático.
Firewall
Deberá instalarse y correr un firewall personal en su estación de trabajo,
El firewall debe cumplir con los siguientes criterios básicos:
Las redes detectadas deben ser tratadas como desconocidas y no
confiables.
Alertar a los usuarios ante nuevos programas solicitando acceso a la
red
Impedir el acceso a sistemas no autorizados.
Que el firewall del cliente tenga la versión mas reciente disponible.
Debe ser un producto totalmente legal (con licencia)
Ataques de red
Toda la información que se considere confidencial deberá encriptarse durante
la transmisión, o viajar en formato no legible.
Deberá utilizarse una herramienta que monitoree la red, con el fin de evitar el
ataque de denegación de servicio (DoS).
Software
No debe utilizarse software bajado de Internet y en general software que
provenga de una fuente no confiable, a menos que se haya sido comprobado
en forma rigurosa y que esté aprobado su uso por el Departamento de
Informática.
4 - Seguridad física
Mantenga el equipo en su poder todo el tiempo que sea posible, cuando esté
fuera de las premisas de la empresa.
En los viajes aéreos, no despache su portátil con el equipaje, y esté alerta de la
posibilidad de robo cuando vaya a través de los puntos de control de los
aeropuertos.
No debe dejar su portátil dentro de un vehículo desatendido por un período
largo de tiempo.
Si debe dejar su portátil en un vehículo desocupado, asegúrela al
cuerpo del vehículo dentro del baúl.
Si debe dejar su portátil en un hotel, guárdela en una caja fuerte de
haber una disponible.
Si no hay caja fuerte y posee el cable de seguridad, utilice ese
mecanismo.
Dispositivos de soporte
Capacitación
Se debe obtener un compromiso firmado por parte del personal respecto al
cumplimiento de las medidas de seguridad definidas en la política de seguridad
informática, destacando específicamente el mantenimiento de la
confidencialidad de las claves de acceso, la no-divulgación de información de la
organización, el cuidado de los recursos, la utilización de software sin licencia y
el reporte de situaciones anormales. Debe confirmarse este compromiso
anualmente o cada vez que se produzcan cambios en las funciones asignadas
al personal.
Respaldos
Se deberá asegurar la existencia de un procedimiento aprobado para la
generación de copias de resguardo sobre toda la información necesaria para
las operaciones de la organización, donde se especifique la periodicidad y el
lugar físico donde se deben mantener las copias generadas.
Los archivos de backup deben tener un control de acceso lógico de acuerdo a
la sensibilidad de sus datos, además de contar con protección física.
ORGANIZACIÓN INTERNA
Área/Dirección Representante
Área de sistemas Administrador de la red
Área de ventas Jefe de negocios
Dirección administrativa Jefe Administrativo Financiero
Auditoria interna Auditor interno
Legal Asesor jurídico
Tabla 4.2 Conformación del Comité de Seguridad de la Información
Proceso Responsable
Seguridad del Personal Encargado de recursos humanos y jefe
departamental
Seguridad en las comunicaciones y Administrador de la red
operaciones
Control de acceso Administrador de la red
Tabla 4.3 Procesos de Seguridad
INVENTARIO DE ACTIVOS
INSTALACIONES
Los materiales de construcción y la composición de la estructura han sido
evaluados por las características de protección. La construcción de la
Corporación asegura que el edificio no colapse.
Como se indico anteriormente la puerta del cuarto de servidores se puede abrir
fácilmente con cualquier tarjeta, razón por la cual se cambiará la puerta, para
que cumpla con las siguientes características de seguridad:
La primera línea de defensa trata el control del perímetro para prevenir acceso
no autorizado a la Corporación. Actualmente en la Corporación esta defensa
trabaja de la siguiente manera: Cuando la Corporación es cerrada todas las
puertas son aseguradas con un mecanismo de monitoreo en posiciones
estratégicas para alertar de actividades sospechosas. Cuando la Corporación
está en operación, la seguridad es más complicada porque se debe distinguir el
acceso de personas autorizadas de las personas no autorizadas. En la figura
se ha identificado el único acceso a la Corporación, esta debe ser
apropiadamente protegida, actualmente esta puerta no esta asegurada en
horas laborables, es decir es fácilmente accedida, debido a que otras
organizaciones trabajan en el edificio donde se encuentra la CMS, no pudimos
realizar el cambio de la puerta por otra de mayor seguridad, el costo de nuestra
propuesta se adjunta en el análisis económico, la misma que consideraba
cambiar la actual puerta por una puerta con cerradura electrónica la cual se
podrá abrir con tarjetas electrónicas que serán otorgadas a miembros de la
Corporación y para visitantes existirá un timbre y la recepcionista procederá a
abrirla desde su lugar de trabajo.
Las cerraduras y llaves son los mecanismos de control de acceso más barato
pero de gran importancia para prevenir cualquier acceso no autorizado.
ÁREAS PROTEGIDAS
Cuarto de servidores
Jefatura Administrativa Financiera
Dirección Ejecutiva
Asesoria Jurídica
Auditoría Interna
Jefatura de Operaciones
Tabla 4.6 Áreas Protegidas
Suministros de Energía
El equipamiento estará protegido con respecto a las posibles fallas en el
suministro de energía u otras anomalías eléctricas. El suministro de energía
estará de acuerdo con las especificaciones del fabricante o proveedor de cada
equipo. Para asegurar la continuidad del suministro de energía, se
contemplarán las siguientes medidas de control:
a) Actualmente se cuenta con un suministro de energía ininterrumpible
(APS) para asegurar el apagado regulado y sistemático o la ejecución
continua del equipamiento que sustenta las operaciones críticas de la
Corporación.
b) Una vez que esté el APS activo, la central eléctrica con la que cuenta el
edificio debe ingresar a funcionar hasta que se haya solucionado el
problema, es necesario mantener un contacto de forma inmediata con la
empresa eléctrica para que se solucione el problema lo más pronto
posible.
MANTENIMIENTO DE EQUIPOS
Se realizará el mantenimiento del equipamiento para asegurar su disponibilidad
e integridad permanentes. Para ello se debe considerar:
a) Someter el equipamiento a tareas de mantenimiento preventivo, el
responsable del área informática mantendrá listado actualizado del
equipamiento con el detalle de la frecuencia en que se realizará el
mantenimiento preventivo.
b) Establecer que sólo el personal de mantenimiento autorizado puede brindar
mantenimiento y llevar a cabo reparaciones en el equipamiento.
c) Registrar todas las fallas supuestas o reales y todo el mantenimiento
preventivo y correctivo realizado.
A continuación se indica el período aconsejable para realizar los
mantenimientos en los equipos de la red.
PLANIFICACIÓN DE LA CAPACIDAD
RECUPERACIÓN DE LA INFORMACIÓN
CONTROLES DE RED
INTERCAMBIO DE INFORMACIÓN.
MENSAJERÍA ELECTRÓNICA
Restricciones
CONTROL DE ACCESO
El proceso de implementación de las políticas de acceso e implementación de
seguridad mediante contraseñas se especifica se encuentran adjuntas en el
ANEXO G.
CONTRASEÑAS
Para reforzar la seguridad en las contraseñas se ha establecidos varios
métodos de administración de los mismos en el servidor de dominio reforzando
su seguridad y fortaleza para lo cual se ha establecido varios procesos.
En el ANEXO F se especifica la forma de reforzar los controles para las
contraseñas.
Para la revisión de los privilegios de los usuarios se debe realizar el siguiente
procedimiento:
1.- Cada trimestre del año, el administrador de la red enviará una nota por
correo electrónico al encargado de cada área de los usuarios bajo su
responsabilidad para que el gerente valide los permisos que tiene cada usuario
para acceso a la red y al aplicativo.
2.- El gerente debe validar dicha información, y enviar la contestación de la
nota al administrador de red, debe elegir entre las siguientes opciones:
Mantener
Eliminar
Cambio de Jefe de Área
Cambio de privilegios
1.- El usuario debe dejar su sesión bloqueado para que no puedan acceder a
su información
2.- Cuando el usuario maneje documentación confidencial, debe guardarla bajo
llave en su puesto de trabajo,
3.- En caso de usuarios de equipos portátiles, se debe dejar el computador
asegurado al puesto de trabajo, en todo momento.
4.- Todo tipo de contraseñas, claves de acceso deben estar debidamente
protegidos. En caso de tener algún documento electrónico donde se almacene
información personal de claves, contraseñas. El mismo debe tener protección
adicional como es el caso de una contraseña de seguridad.
Para poder realizar un control adecuado de los puestos de trabajos de los
usuarios y de la seguridad de la información que manejan, se debe realizar
semestralmente el siguiente procedimiento por parte del administrador de la
red:
Para asegurar que no exista alguna equivocación por parte del administrador
del sistema, por defecto se configuran a los usuarios como usuario estándar, es
decir sin privilegios de instalación de programas, modificación de archivos de
red, desinstalación de programas y sin acceso a los sistemas y aplicaciones.
Al igual debe suceder con los módems y switch se configuran listas de control
de acceso que por defecto bloqueen todo y solo permitan el paso de lo que se
configura.
Para evitar que los usuarios puedan modificar, sin autorización previa cualquier
tipo de software, las cuentas de los empleados en el dominio no tienen
permisos para realizar ninguna de estas actividades, así como tampoco pueden
instalar ningún tipo de software ni remover sin previa solicitud al administrador
de red y sin autorización del responsable de cada área.
CUMPLIMIENTO
Entre los controles que recomienda la Norma ISO 27001 se considera que los
empleados únicamente utilicen material autorizado por la organización.
La CMS solo debe autorizar el uso de material producido por el mismo, o
material autorizado o suministrado al mismo por su titular, conforme los
términos y condiciones acordadas y lo dispuesto por la normativa vigente.
Para este control se redactó un Conducta que deberían cumplir los empleados,
la copia firmada del compromiso será retenida en forma segura por la CMS
(ANEXO L). A través del Compromiso de Confidencialidad se deberá advertir al
empleado que determinadas actividades pueden ser objeto de control y
monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho
a la privacidad del empleado