SEGURIDAD DE

LA INFORMACION

Algunas Estadsticas
Estadsticas internacionales indican que entre el 2006 y el 2009, la cantidad
de casos reportados en Estados Unidos se increment de 8.4 a 11.1 millones
de personas. Segn una infografa sobre el robo de identidad, con datos de
CreditRepair.org, el fraude ocasionado por este delito asciende a 54 mil
millones de dlares.
El 47% de las vctimas perpetradas son personas que afirman conocer al
atacante, dado que gran parte de los ataques se realizan utilizando tcnicas
de Ingeniera Social.
En Ecuador, por ejemplo, segn datos de la Polica Judicial , en el ao 2009
se realizaron 891 denuncias asociadas al robo de identidad. En Mxico, este
tipo de delito se ha incrementado en los ltimos aos acompaando el
crecimiento global y ha alcanzado a generar prdidas de hasta 9 millones de
dlares anuales.
En Argentina, durante el 2005, se realizaron ms de 1700 denuncias de
identidades robadas segn la Procuracin General de la Nacin.

RIESGOS
Los riesgos, en trminos de seguridad, se caracterizan por lo general
mediante la siguiente ecuacin.

La amenaza, representa el tipo de accin que tiende a ser daina.

La vulnerabilidad, (conocida a veces como falencias (flaws) o brechas
(breaches)) representa el grado de exposicin a las amenazas en un
contexto particular.
La contramedida, representa todas las acciones que se implementan
para prevenir la amenaza. Las contramedidas que deben implementarse
no slo son soluciones tcnicas, sino tambin reflejan la capacitacin y la
toma de conciencia por parte del usuario, adems de reglas claramente
definidas.

Riesgos Operativos
GESTION DE RIESGOS OPERATIVOS
2116-2009

EVENTOS
DE
PERDIDA

GESTION DE
LA SEGURIDAD
G140-2009

GESTION DE LA
CONTINUIDAD
G139-2009

Objetivos de la Seguridad
de la Informacin.
La seguridad informtica se resume, por lo general, en cinco
objetivos principales:

Integridad: garantizar que los datos sean los que se supone

que son

Confidencialidad: asegurar que slo los individuos

autorizados tengan acceso a los recursos que se intercambian

Disponibilidad: garantizar el correcto funcionamiento de los

sistemas de informacin

Evitar el rechazo: garantizar de que no pueda negar una

operacin realizada.

Autenticacin: asegurar que slo los individuos autorizados

tengan acceso a los recursos

Un Enfoque global.
Lo que se trata de demostrar es que se debe afrontar el tema de la
seguridad a nivel global y que debe constar de los siguientes
elementos:
Concientizar a los usuarios acerca de los problemas de seguridad
Seguridad lgica, es decir, la seguridad a nivel de los datos, en
especial los datos de la empresa, las aplicaciones e incluso los
sistemas operativos de las compaas.
Seguridad en las telecomunicaciones: tecnologas
servidores de compaas, redes de acceso, etc.

de

red,

Seguridad fsica, o la seguridad de infraestructuras materiales:

asegurar las habitaciones, los lugares abiertos al pblico, las reas
comunes de la compaa, las estaciones de trabajo de los
empleados, etc.

Causa de la inseguridad
Generalmente la Inseguridad se puede Dividir en dos
categoras:
Un estado de inseguridad Activo; es decir, la falta de
conocimiento del usuario acerca de las funciones del sistema,
algunas de las cuales pueden ser dainas para el sistema
(por ejemplo, no desactivar los servicios de red que el usuario
no necesita)
Un estado de inseguridad pasivo; es decir, la falta de
conocimiento de las medidas de seguridad disponibles (por
ejemplo, cuando el administrador o usuario de un sistema no
conocen los dispositivos de seguridad con los que cuentan)

COMIT DE SGSI
El comit de seguridad de la FEPCMAC estar integrado
por los siguientes miembros:
Gerencia de Desarrollo.
Gestor de Seguridad (Encargado de Riesgos)
Asistente informtico.

Este comit
cumplimiento
crear un SGSI

es
de

el
que se encargue de dar seguimiento al
la normativa y propicie el entorno necesario para

CRITERIOS TOMADOS
Seguridad Organizacional, Dentro de este, se establece el marco formal de
seguridad que debe sustentar la institucin, incluyendo servicios o contrataciones
externas a la infraestructura de seguridad, Integrando el recurso humano con la
tecnologa, denotando responsabilidades y actividades complementarias como
respuesta ante situaciones anmalas a la seguridad.
Seguridad Lgica, Trata de establecer e integrar los mecanismos y procedimientos,
que permitan monitorear el acceso a los activos de informacin, que incluyen los
procedimientos de administracin de usuarios, definicin de responsabilidades, perfiles
de seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas, que
van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, seleccin y aceptacin de sistemas, hasta el control de software malicioso.
Seguridad Fsica, Identifica los lmites mnimos que se deben cumplir en cuanto a
permetros de seguridad, de forma que se puedan establecer controles en el manejo de
equipos, transferencia de informacin y control de los accesos a las distintas reas con
base en la importancia de los activos.
Seguridad Legal, Integra los requerimientos de seguridad que deben cumplir todos los
empleados y usuarios de la red institucional bajo la reglamentacin de la normativa
interna de polticas y manuales de procedimientos de la FEPCMAC en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, as como cuestiones relacionadas

ORGANIZACIN DE LA
SEGURIDAD INFORMTICA
GERENCIA MANCOMUNADA. Autoridad de nivel superior que integra el comit
de seguridad. Bajo su administracin estn la aceptacin y seguimiento de las
polticas y normativa de seguridad en concordancia con las autoridades de nivel
superior.
GESTOR DE SEGURIDAD, Persona dotada de conciencia tcnica, encargada de
velar por la seguridad de la informacin, realizar evaluaciones de seguridad,
elaborar documentos de seguridad como, polticas, normas; y de llevar un
estricto control con la ayuda del asistente de soporte a usuarios de TI.
ASISTENTE DE SOPORTE DE USUSARIOS DE TI, La persona, que vela por
todo lo relacionado con la utilizacin de computadoras, sistemas de informacin,
redes informticas, procesamiento de datos e informacin y la comunicacin en
s, a travs de medios electrnicos.
RESPONSABLE DE ACTIVOS, Personal dentro de los diferentes departamentos
de la institucin, que velar por la seguridad y correcto funcionamiento de los
activos informticos, as como de la informacin procesada en stos, dentro de
sus respectivas reas o niveles de mando.

SEGURIDAD ORGANIZACIONAL
POLITICAS DE SEGURIDAD
Los servicios de la red institucional son de exclusivo uso laboral,
acadmico,
de
investigacin,
tcnicos
y
para
gestiones
administrativas de ndole institucional, cualquier cambio en la
normativa de uso de los mismos, ser expresa y adecuada como
poltica de seguridad en este documento.
El Asistente de soporte a usuarios de TI es el encargado de mantener
en buen estado los servidores dentro de la red institucional.
Todo usuario de la red institucional de la FEPCMAC, gozar de
absoluta privacidad sobre su informacin, o la informacin que
provenga de sus acciones, salvo en casos, en que se vea involucrado
en actos ilcitos o contraproducentes para la seguridad de la red de la
empresa, sus servicios o cualquier otra red ajena a la institucin

SEGURIDAD ORGANIZACIONAL
EXCEPCIONES DE
RESPONSABILIDAD
Algunos usuarios pueden estar exentos de responsabilidad,
o de seguir algunas de las polticas enumeradas en este
documento, debido a la responsabilidad de su cargo, o a
situaciones no programadas. Estas excepciones debern ser
solicitadas formalmente y aprobadas por el comit de
seguridad, con la documentacin necesaria para el caso,
siendo la gerencia quien d por sentada su aprobacin final

SEGURIDAD
ORGANIZACIONAL
RESPONSABILIDAD POR LOS
ACTIVOS
El personal de cada departamento es responsable del activo fijo
asignado.
El personal velar por la salvaguarda de los activos fsicos
(hardware
y
medios
magnticos,
aires
acondicionados,
mobiliario.), activos de informacin (Bases de Datos, Archivos,
Documentacin
de
sistemas,
Procedimientos
Operativos,
configuraciones), activos de software (aplicaciones, software de
sistemas, herramientas y programas de desarrollo)
El asistente de soporte a usuarios de TI es el responsable de la
seguridad de la informacin almacenada en los recursos que
administra.

SEGURIDAD ORGANIZACIONAL
CAPACITACION AL PERSONAL
Los usuarios de la red institucional, sern capacitados en
cuestiones de seguridad de la informacin, segn sea el
rea operativa y en funcin de las actividades que se
desarrollan.
Se deben tomar todas las medidas de seguridad necesarias,
antes de realizar una capacitacin a personal ajeno o propio
de la institucin, siempre y cuando se vea implicada la
utilizacin de los servicios de red o se exponga material de
importancia considerable para la institucin

SEGURIDAD LOGICA
ADMINISTRACION DE ACCESO A LOS
USUARIOS
Son usuarios de la red institucional personal de la FEPCMAC y toda aquella
persona, que tenga contacto directo como empleado y utilice los servicios
de la red institucional de la FEPCMAC.
Se asignar una cuenta de acceso a los sistemas y/o aplicativos de la
intranet, a todo usuario de la red institucional, siempre y cuando se
identifique previamente el objetivo de su uso o permisos explcitos a los
que este acceder, junto a la informacin personal del usuario.
Se consideran usuarios externos o terceros, cualquier entidad o persona
natural, que tenga una relacin con la institucin fuera del mbito de
empleado y siempre que tenga una vinculacin con los servicios de la red
institucional.
No se proporcionar el servicio solicitado por un usuario departamento
rea, sin antes haberse completado todos los procedimientos de
autorizacin necesarios para su ejecucin.

El sistema no aceptar contraseas con una longitud menor a la

expresada en la poltica de creacin de contraseas

SEGURIDAD LOGICA
RESPONSABILIDADES DEL USUARIO
El usuario es responsable exclusivo de mantener a salvo su contrasea.
Se debe evitar el guardar o escribir las contraseas en cualquier papel o superficie o
dejar constancia de ellas, amenos que sta se guardada en un lugar seguro.
El usuario es responsable de evitar la prctica de establecer contraseas relacionadas
con alguna caracterstica de su persona o relacionado con su vida o la de parientes,
como fechas de cumpleaos o alguna otra fecha importante.
El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su
cargo puedan acceder a la informacin almacenada en el, mediante una herramienta
de bloqueo temporal (protector de pantalla), protegida por una contrasea, el cual
deber activarse en el preciso momento en que el usuario deba ausentarse.
Las contraseas deben ser memorizadas desde el mismo momento en que le es
asignada.
Es importante que el usuario establezca contraseas fuertes y desligadas de su vida
personal o de su entorno familiar o no emplean do formatos comunes de fechas.

SEGURIDAD LOGICA
RESPONSABILIDADES DEL USUARIO
USO DE CORREO ELECTRONICO
El servicio de correo electrnico, es un servicio gratuito, y no garantizable,
se debe hacer uso de el, acatando todas las disposiciones de seguridad
diseadas para su utilizacin y evitar el uso o introduccin de software
malicioso a la red institucional.
El correo electrnico es de uso exclusivo, para los empleados de la
FEPCMAC y directores de la misma.
El usuario ser responsable de la informacin que sea enviada con su
cuenta.
El comit de seguridad, se reservar el derecho de monitorear las cuentas
de usuarios, que presenten un comportamiento sospechoso para la
seguridad de la red institucional.

El usuario es responsable de respetar la ley de derechos de autor, no

abusando de este medio para distribuir de forma ilegal licencias de
software o reproducir informacin sin conocimiento del autor

SEGURIDAD LOGICA
Acceso a internet
El servicio de Internet de la FEPCMAC se utiliza como una herramienta de apoyo
complementaria a los sistemas y aplicativos utilizados en las unidades de
negocio y cuenta nicamente con los siguientes protocolos habilitados para tal
fin: http, https, smtp y ssl, limitndose la descarga de archivos de video de
entretenimiento, la descarga de msica, los servicios en lnea de televisin o
radio y aplicaciones de escritorio remoto, aplicaciones P2P, mensajera
instantnea, entre otros servicios que demanden altos consumos de ancho de
banda.
Las facilidades de Internet de la FEPCMAC no deben ser utilizados
deliberadamente para violar de forma alguna las leyes y regulaciones de
cualquier nacin, departamento, provincia o estado, ciudad o jurisdiccin local.
Los usuarios pueden utilizar las facilidades de Internet para investigacin y
bsquedas no relacionadas con su trabajo, pero que contribuyan a su
mejoramiento personal o profesional, en las horas no hbiles.
Se encuentra denegado el acceso a pginas Web cuyo contenido quede
catalogado por el sistema como: Adult/Sex, Violence, Games, Hacking Gambling

SEGURIDAD FISICA
SEGURIDAD DE LOS EQUIPOS
El cableado de red, se instalar fsicamente separado de
cualquier otro tipo de cables, llmese a estos de corriente o
energa elctrica, para evitar interferencias.
Los servidores, sin importar la tarea realizada, con problemas de
hardware, debern ser reparados localmente, de no cumplirse lo
anterior, debern ser retirados sus medios de almacenamiento.
Los equipos o activos crticos de informacin y proceso, debern
ubicarse en reas aisladas y seguras, protegidas con un nivel de
seguridad verificable y manejable por el gestor de seguridad y
las personas responsables por esos activos.
El soporte tcnico a las estaciones de trabajo y servidores, es
responsabilidad de la Asistente de soporte a usuarios de TI.

SEGURIDAD FISICA
CONTROLES GENERALES
En ningn momento se deber dejar informacin sensible de
robo, manipulacin o acceso visual, sin importar el medio en
el que esta se encuentre, de forma que pueda ser alcanzada
por terceros o personas que no deban tener acceso a esta
informacin.

SEGURIDAD LEGAL
CUMPLIMIENTO DE REQUISITOS
LEGALES
Licenciamiento de Software:

La FEPCMAC, se reserva el derecho de respaldo, a cualquier personal de las reas, ante cualquier
asunto legal relacionado a infracciones a las leyes de copyright o piratera de software.
Todo el software comercial que utilice la FEPCMAC, deber estar legalmente registrado, en los
contratos de arrendamiento de software con sus respectivas licencias.
La adquisicin de software por parte de personal que labore en la institucin, no expresa el
consentimiento de la institucin, la instalacin del mismo, no garantiza responsabilidad alguna
para la FEPCMAC, por ende la institucin no se hace responsable de las actividades de sus
empleados.
Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus
desarrolladores, la FEPCMAC respeta la propiedad intelectual y se rige por el contrato de licencia
de sus autores.
El software comercial licenciado a la FEPCMAC, es propiedad exclusiva de la institucin, la misma
se reserva el derecho de reproduccin de ste, sin el permiso de sus autores, respetando el
esquema de cero piratera y/o distribucin a terceros.
Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad
absoluta de la FEPCMAC.
Cualquier cambio en la poltica de utilizacin de software comercial o software libre, se har
documentado y en base a las disposiciones de la respectiva licencia.
El software desarrollado internamente, por el personal que labora en la institucin es propiedad