Upload
alejandro-blanco
View
242
Download
0
Embed Size (px)
DESCRIPTION
Norma ISO 27000 proteccion de datos
Citation preview
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
1
Departamento De Posgrado Maestría En Gestión De Tecnologías De La Información
Proyecto Final
Iso 27000 (Politicas De Control De Accesos)
Estudiantes: Carlos Gutiérrez Soria Carlos J. Liceaga Rosas Esteban Baker Thomas Ramiro Aguilar García
12 de México de 2009
Manual De
Normas y
Políticas de
Seguridad
Informática
SEGURIDAD
INFORMÁTICA
MANUAL DE NORMAS Y
POLITICAS DE SEGURIDAD
INFORMATICA
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
2
Indicé
INTRODUCCION
Marco Teórico ISO 270000 Políticas de Control de Accesos Generalidades Misión Visión Objetivo Alcance Responsabilidad Política 1. Requisitos De Negocio Para El Control De Acceso 1.1. Entrada y salida de personal 1.2. Entrada y salida de visitantes 1.3. Entrada y salida de información, material, mobiliario y equipo 1.4. Control de acceso para áreas restringidas 1.5. Sanciones 2. Gestión de acceso de usuario 2.1. Registro De Usuario 2.2. Gestión De Privilegios 2.3. Gestión De Contraseñas De Usuario 2.4. Revisión De Los Derechos De Acceso De Usuario 3. Responsabilidades Del Usuario 3.1. Uso de contraseñas 3.2. Equipo de usuario desatendido 3.3. Política de puesto de trabajo despejado y pantalla limpia
4. Control de acceso a Red 4.1. Política de Acceso a Usuarios Internos a la Red 4.2. Política de Acceso a Usuarios Externos a la Red 5. Control De Acceso Al Sistema Operativo
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
3
5.1. Procedimientos seguro de inicio de sesión 5.2. Identificación y autenticación de usuarios 5.3. Sistema de gestión de contraseña 5.4. Responsabilidades del usuario 5.5. Uso de los recursos del sistema 5.6. Desconexión automática de sesión 5.7. Limitación del tiempo de conexión
6. Implementación de la seguridad
RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
4
INTRODUCCIÓN
Los requerimientos de seguridad que involucran las tecnologías de la información, en
pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como
los son la de Internet y en particular la relacionada con el Web, la visión de nuevos
horizontes explorando más allá de las fronteras naturales, situación que ha llevado la
aparición de nuevas amenazas en los sistemas computarizados.
Llevado a que muchas organizaciones gubernamentales y no gubernamentales
internacionales desarrollen políticas que norman el uso adecuado de estas destrezas
tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido,
ocasionando problemas en los bienes y servicios de las entidades.
De esta manera, las políticas de seguridad en informática que proponemos emergen
como el instrumento para concientizar a sus miembros acerca de la importancia y
sensibilidad de la información y servicios críticos, de la superación de las fallas y de las
debilidades, de tal forma que permiten a la organización cumplir con su misión.
El proponer esta política de seguridad requiere un alto compromiso con la institución,
agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar
dicha política en función del ambiente dinámico que nos rodea.
La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no
contravenir con las garantías básicas del individuo, y no pretende ser una camisa de
fuerza, y más bien muestra una buena forma de operar el sistema con seguridad,
respetando en todo momento estatutos y reglamentos vigentes de la Institución.
Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la
práctica como son: los inventarios y su control, se mencionan, así como todos los
aspectos que representan un riesgo o las acciones donde se ve involucrada y que
compete a las tecnologías de la información; se han contemplado también las políticas
que reflejan la visión de la actual administración respecto a la problemática de seguridad
informática organizacional.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
5
ISO 27000 (POLÍTICAS DE CONTROL DE ACCESOS)
Marco teórico de ISO 27000
Un Sistema Administrativo de Seguridad de la Información (Information Security
Management System ISMS) es una forma sistemática de administrar la información
sensible de una compañía, para que permanezca segura. Abarca a las personas, los
procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de
prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente
adoptado.
La seguridad de la información no termina al implementar el más reciente "firewall", o al
sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad
de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser
administradas para que cada elemento sea completamente efectivo. Aquí es donde entra
el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa,
poder coordinar sus esfuerzos de seguridad con mayor efectividad.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la
información utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier
organización, por lo que el aseguramiento de dicha información y de los sistemas que la
procesan ha de ser un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de forma metódica , documentada y basada en unos
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
6
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida
la información de la organización.
Seguidamente se resumen las distintas normas que componen la serie ISO 27000:
• ISO/IEC 27000 proporcionará una visión general del marco normativo y un
vocabulario común utilizado por todas las normas de la serie.
• ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión
de la seguridad de la información (SGSI). Publicada en 2005.
• ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad
de la información describe el conjunto de objetivos de control y controles a utilizar
en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y
renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada
en 2007.
• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC
27001.
• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora
continua y la eficacia de los SGSI.
• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y
gestión de riesgos en materia de seguridad. Se espera su publicación en breve.
• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades
de certificación de los SGSI. Publicada en 2007.
• ISO/IEC 27007 será una guía para auditar SGSI.
• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad
de la norma ISO 27002:2005.
• ISO/IEC 27010 proporcionará una guía específica para el sector de las
comunicaciones y sistemas de interconexión de redes de industrias y
Administraciones, a través de un conjunto de normas más detalladas que
comenzarán a partir de la ISO/IEC 27011.
• ISO/IEC 27011 será una guía para la gestión de la seguridad en
telecomunicaciones (conocida también como X.1051).
• ISO/IEC 27031 estará centrada en la continuidad de negocio.
• ISO/IEC 27032 será una guía para la cyberseguridad.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
7
• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes
de comunicaciones.
• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de
aplicaciones.
• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque
proporcionará una guía para el desarrollo de SGSI para el sector específico de la
salud.
Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos
encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.
Políticas de Control de Accesos
Generalidades
El acceso por medio de un sistema de restricciones y excepciones a la información es la
base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a
los sistemas de información se deben implementar procedimientos formales para controlar
la asignación de derechos de acceso a los sistemas de información, bases de datos y
servicios de información, y estos deben estar claramente documentados, comunicados y
controlados en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los
usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la
privación final de derechos de los usuarios que ya no requieren el acceso.
La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es
necesario concientizar a los mismos acerca de sus responsabilidades por el
mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el
uso de contraseñas y la seguridad del equipamiento.
Misión
Establecer las directrices necesarias para el correcto funcionamiento de un sistema de
gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
8
de desarrollo continuo y actualizable, apegado a los estándares internacionales
desarrollados para tal fin.
Visión
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto
funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema
de gestión de seguridad de la información, a través de la utilización de técnicas y
herramientas que contribuyan a optimizar la administración de los recursos informáticos
de la organización.
Objetivo
� Impedir el acceso no autorizado a los sistemas de información, bases de datos y
servicios de información.
� Implementar seguridad en los accesos de usuarios por medio de técnicas de
autenticación y autorización.
� Controlar la seguridad en la conexión entre la red del Organismo y otras redes
públicas o privadas.
� Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios
en los sistemas.
� Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de
contraseñas y equipos.
� Garantizar la seguridad de la información cuando se utiliza computación móvil e
instalaciones de trabajo remoto.
Alcance
La Política definida en este documento se aplica a todas las formas de acceso de aquellos
a quienes se les haya otorgado permisos sobre los sistemas de información, bases de
datos o servicios de información de la empresa, cualquiera sea la función que
desempeñe.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
9
Asimismo se aplica al personal técnico que define, instala, administra y mantiene los
permisos de acceso y las conexiones de red, y a los que administran su seguridad.
Responsabilidad
El Responsable de Seguridad Informática estará a cargo de:
� Definir normas y procedimientos para: la gestión de accesos a todos los sistemas,
bases de datos y servicios de información multiusuario; el monitoreo del uso de las
instalaciones de procesamiento de la información; la solicitud y aprobación de
accesos a Internet; el uso de computación móvil, trabajo remoto y reportes de
incidentes relacionados; la respuesta a la activación de alarmas silenciosas; la
revisión de registros de actividades; y el ajuste de relojes de acuerdo a un
estándar preestablecido.
� Definir pautas de utilización de Internet para todos los usuarios.
� Participar en la definición de normas y procedimientos de seguridad a implementar
en el ambiente informático y validarlos periódicamente.
� Controlar la asignación de privilegios a usuarios.
� Analizar y sugerir medidas a ser implementadas para efectivizar el control de
acceso a Internet de los usuarios.
� Verificar el cumplimiento de las pautas establecidas, relacionadas con control de
accesos, registración de usuarios, administración de privilegios, administración de
contraseñas, utilización de servicios de red, autenticación de usuarios y nodos,
uso controlado de utilitarios del sistema, alarmas silenciosas, desconexión de
terminales por tiempo muerto, limitación del horario de conexión, registro de
eventos, protección de puertos, subdivisión de redes, control de conexiones a la
red, control de ruteo de red, etc.
� Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de
trabajo.
� Verificar el cumplimiento de los procedimientos de revisión de registros de
auditoría.
� Asistir a los usuarios que corresponda en el análisis de riesgos a los que se
expone la información y los componentes del ambiente informático que sirven de
soporte a la misma.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
10
Los Propietarios de la Información estarán encargados de:
� Evaluar los riesgos a los cuales se expone la información con el objeto de:
o Determinar los controles de accesos, autenticación y utilización a ser
implementados en cada caso.
o Definir los eventos y actividades de usuarios a ser registrados en los
sistemas de procesamiento de su incumbencia y la periodicidad de revisión
de los mismos.
� Aprobar y solicitar la asignación de privilegios a usuarios.
� Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso
a la información.
� Definir un cronograma de depuración de registros de auditoría en línea.
Los Propietarios de la Información junto con la Unidad de Auditoría Interna o en su
defecto quien sea propuesto por el Comité de Seguridad de la Información, definirán un
cronograma de depuración de registros en línea en función a normas vigentes y a sus
propias necesidades.
Los Responsable de los departamentos, junto con el Responsable de Seguridad
Informática, autorizarán el trabajo remoto del personal a su cargo, en los casos en que se
verifique que son adoptadas todas las medidas que correspondan en materia de
seguridad de la información, de modo de cumplir con las normas vigentes. Asimismo
autorizarán el acceso de los usuarios a su cargo a los servicios y recursos de red y a
Internet.
El Responsable del Área Informática cumplirá las siguientes funciones:
� Implementar procedimientos para la activación y desactivación de derechos de
acceso a las redes.
� Analizar e implementar los métodos de autenticación y control de acceso definidos
en los sistemas, bases de datos y servicios.
� Evaluar el costo y el impacto de la implementación de “enrutadores” o “gateways”
adecuados para subdividir la red y recomendar el esquema apropiado.
� Implementar el control de puertos, de conexión a la red y de ruteo de red.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
11
� Implementar el registro de eventos o actividades de usuarios de acuerdo a lo
definido por los propietarios de la información, así como la depuración de los
mismos.
� Definir e implementar los registros de eventos y actividades correspondientes a
sistemas operativos y otras plataformas de procesamiento.
� Evaluar los riesgos sobre la utilización de las instalaciones de procesamiento de
información, con el objeto de definir medios de monitoreo y tecnologías de
identificación y autenticación de usuarios (Ej.: biometría, verificación de firma, uso
de autenticadores de hardware).
� Definir e implementar la configuración que debe efectuarse para cada servicio de
red, de manera de garantizar la seguridad en su operatoria.
� Analizar las medidas a ser implementadas para efectivizar el control de acceso a
Internet de los usuarios.
� Otorgar acceso a los servicios y recursos de red, únicamente de acuerdo al pedido
formal correspondiente.
� Efectuar un control de los registros de auditoría generados por los sistemas
operativos y de comunicaciones.
La Unidad de Auditoría Interna o en su defecto quien sea propuesto por el Comité de
Seguridad de la Información, tendrá acceso a los registros de eventos a fin de colaborar
en el control y efectuar recomendaciones sobre modificaciones a los aspectos de
seguridad.
El Comité de Seguridad de la Información aprobará el análisis de riesgos de la
información efectuado. Asimismo, aprobará el período definido para el mantenimiento de
los registros de auditoría generados.
Política
Requerimientos para el Control de Acceso
Política de Control de Accesos
En la aplicación de controles de acceso, se contemplarán los siguientes aspectos:
a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.
b) Identificar toda la información relacionada con las aplicaciones.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
12
c) Establecer criterios coherentes entre esta Política de Control de Acceso y la
Política de Clasificación de Información de los diferentes sistemas y redes.
d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la
protección del acceso a datos y servicios.
e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de
puestos de trabajo.
f) Administrar los derechos de acceso en un ambiente distribuido y de red, que
reconozcan todos los tipos de conexiones disponibles.
Reglas de Control de Acceso
Las reglas de control de acceso especificadas, deberán:
a) Indicar expresamente si las reglas son obligatorias u optativas
b) Establecer reglas sobre la premisa “Todo debe estar prohibido a menos que se
permita expresamente” y no sobre la premisa inversa de “Todo está permitido a
menos que se prohíba expresamente”.
c) Controlar los cambios en los rótulos de información que son iniciados
automáticamente por herramientas de procesamiento de información, de aquellos
que son iniciados a discreción del usuario.
d) Controlar los cambios en los permisos de usuario que son iniciados
automáticamente por el sistema de información y aquellos que son iniciados por el
administrador.
e) Controlar las reglas que requieren la aprobación del administrador o del Propietario
de la Información de que se trate, antes de entrar en vigencia, y aquellas que no
requieren aprobación.
1. Requisitos De Negocio Para El Control De Acceso
Art.1 Los accesos a los inmuebles, deberán estar controlados loas 24 horas los
365 días del año
Art. 2 El personal de vigilancia, deberá apoyar al responsable del centro de datos
para controlar el acceso al mismo.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
13
Art. 3 Los centro de datos deberán contar con cámaras de video y estar dirigidas
hacia las puertas de acceso y se colocaran de forma que se tenga una visión
panorámica del mismo, para permitir una vigilancia constante por parte de
personal de seguridad.
Art. 4 Queda estrictamente prohibido el ejercicio de actividades relativas al
comercio y lucro para beneficio personal
Art. 5 Queda estrictamente prohibido la introducción de cualquier tipo de armas a
toda persona ajena al personal de seguridad del inmueble, excepto a empresas de
valores que deban de portar armas cortas en espacios cerrados o reducidos.
Art. 6 Queda prohibido por razones de seguridad, el acceso a menores de edad.
Art. 7 Queda estrictamente prohibido el acceso a personas ajenas a la institución
en días de trabajo inhábiles
Art. 8 Queda prohibido el ingreso de animales o propiciar su estancia en las
instalaciones de propiedad o de uso institucional.
Art. 9 Queda estrictamente prohibido la introducción, deposito y consumo de todo
tipo de alimentos en los lugares de trabajo con excepción de agua embotellada.
Art. 10 Bajo condiciones de emergencia o de situaciones de urgencia manifiesta,
el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las
autoridades superiores de la institución.
Art. 11 El área de seguridad deberá proveer de la infraestructura de seguridad
requerida con base en los requerimientos específicos de cada área.
1.1. Entrada Y Salida De Personal
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
14
Art. 1 En cada puesto de vigilancia y control de acceso, se tendrá un registro de
las entradas y salidas del personal, visitantes, proveedores, así como una bitácora
que registre material o quipos que se introduzcan o salgan del Centro de Datos .
Art. 2 Sin excepción, todos los empleados deberán portar en un lugar visible la
credencial vigente y autorizada para ingresar o permanecer en las instalaciones.
Art. 3 Queda prohibido el préstamo o intercambio de gafetes de identificación
Art. 4 En caso de no contar con la credencial vigente para ingresar a las
instalaciones, el empleado deberá registrarse en el módulo de vigilancia y obtener
contra entrega de una identificación oficial con fotografía, el gafete de empleado,
mismo que deberá portar en un lugar visible todo el tiempo que permanezca
dentro de las inhalaciones.
Art. 5 Sin excepción, toda bolsa, portafolio, mochila, paquete o bulto que se
pretenda introducir o sacar de las instalaciones, será sujeto a revisión por el
personal de seguridad en forma física y/o utilizando la banda de rayos x.
Art. 6 Queda estrictamente prohibido el acceso a las instalaciones a todo
empleado en visible estado de ebriedad o bajo los efectos de drogas.
Art. 7 En el caso de las áreas que requieran la fluctuación de personal por turnos ,
deberán de notificar y mantener actualizadas las listas de empleados autorizados.
1.2. Entrada Y Salida De Visitantes
Art. 1 Las visitas de índole personal, podrán ser recibidas por el empleado visitado
en el módulo de vigilancia del acceso principal del inmueble y tratara su asunto en
esta misma área.
Art. 2 El acceso de todo visitante deberá ser autorizado por el área visitada, toda
vez que haya cumplido con los requisitos que indica el procedimiento de registro
correspondiente.
Art. 3 El personal visitado, es responsable por las acciones el proveedor durante el
tiempo que este permanezca en las instalaciones, por lo que deberá escoltarlo de
la entrada al lugar de reunión, durante su estancia en el inmueble y hasta el
momento en que se retire.
Art. 4 El personal externo que se encuentre en las instalaciones, deberá portar
siempre a la vista el distintivo de visitante proporcionado por el personal de
vigilancia.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
15
Art. 5 Cuando el personal externo al centro de datos, se encuentre en las
instalaciones por varios días, se le deberá asignar una credencial provisional que
indique su nombre, empresa o institución a la que pertenece, haciéndose
responsable de éste personal el líder del proyecto o evento a realizarse.
1.3. Entrada Y Salida De Información, Material, Mob iliario Y Equipo
Art. 1 Toda persona que ingrese material, información, mobiliario y/o equipo a las
instalaciones, proporcionara los datos correspondientes y mostrara el bien en
cuestión a los vigilantes encargados de los accesos.
Art. 2 Solo se permitirá la entrada de software y equipo de computo de propiedad
particular cuando se presente la autorización por escrito y firmado por el
administrador de área o por el personal registrado.
Art. 3 El equipo de computo propiedad del proveedor o visitante, deberá ser
registrado en el módulo de vigilancia indicando el periodo de estancia del equipo
en el inmueble y estará bajo la responsabilidad de las áreas visitadas o
resguardantes del mismo.
Art. 4 La salida del equipo de computo propiedad del proveedor o visitante,
deberá de ser revisado por el área visitada o resguardante del mismo , respecto a
que no deberá contener información propiedad de la empresa, así, como contar
con el pase de salida oficial confirmado.
Art. 5 La salida del material, mobiliario o equipo solo será permitido por el medio
del pase de salida oficial con firma del personal autorizado.
Art. 6 Todo ingreso de dispositivos portátiles de almacenamiento de información
así como CD´s, disquetes, dat´s, cintas, unidades portátiles de almacenamiento de
información que utilicen alguno de los siguientes tipos de conexión: serial, firewire,
USB, infrarrojo, blutooth, wireless, celulares con PALM o cualquier tipo de medio
de almacenamiento de información deberá ser registrado.
Art. 7 No se permitirá la salida de información impresa, dispositivos portátiles de
almacenamiento de información, CD´s, disquetes, dat´s, cintas, unidades portátiles
de almacenamiento de información que utilicen alguno de los siguientes tipos de
conexión: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
16
cualquier tipo de medio de almacenamiento de información similar sin el pase de
salida avalado con firma del personal autorizado.
Art. 8 Las áreas vinculadas con procesos que dependen directamente de la
recepción de información y con la atención al usuario, podrán utilizar
discrecionalmente los dispositivos portátiles de almacenamiento de información
referidos en los anteriores artículos. Su uso y portabilidad dentro de las
instalaciones institucionales , quedan bajo supervisión y responsabilidad de los
encargados de las áreas de atención al usuario que corresponda.
Art. 9 En otros casos y para cualquier otra área las unidades portátiles de
almacenamiento a que se refieren los artículos anteriores, solo podrán ser
utilizadas cuando los medios disponibles no satisfagan las necesidades de
capacidad y portabilidad requeridas y siempre bajo la responsabilidad y
autorización del Administrador de cada área.
Art. 10 No se permitirá la entrada de grabadoras o reproductoras de audio y video,
así como cámaras fotográficas salvo previa autorización del responsable del
inmueble.
1.4. Control De Acceso Para Areas Restringidas
Art. 1 Se considera área restringida propiamente a los centros de Datos (Bunker)
y otras áreas que por su función deberán ser limitadas en su acceso de manera
permanente o temporal
Art. 2 En las áreas restringidas queda estrictamente prohibido el uso de teléfonos
celulares, agendas electrónicas y demás dispositivos citados en los artículos 6, 7
y 8 del apartado anterior.
Art. 3 Para las áreas restringidas no se permitirá la entrada o salida de dispositivos
de almacenamiento magnético, digital o electrónico sin la autorización del área
responsable.
Art. 4 Toda persona que pretenda ingresar a las áreas restringidas, deberá contar
con la aprobación y autorización y deberá cumplir el procedimiento de registro
correspondiente.
Art. 5 Toda persona o visitante que pretendan ingresar a las áreas restringidas,
deberán portar su gafete
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
17
Art. 6 Solo se permitirá el acceso a las diferentes áreas restringidas con e material
que sea estrictamente necesario para llevar a cabo las actividades en beneficio de
la institución, lo que se deberá de verificar y autorizar previamente por el
responsable del área a la cual se solicita el acceso.
Art. 7 Al entrar o salir de las áreas restringidas, el vigilante del punto revisará
minuciosamente y en presencia del portador, el contenido de cajas, bolsas,
portafolios , botes, o cualquier contenedor similar, así como gabardinas, abrigos o
cualquier atuendo voluminoso.
Art. 8 Dentro del centro de datos o de procesamiento, queda estrictamente
prohibido el ingreso de cualquier sustancia líquida como agua, café, refresco,
limpiadores u otros líquidos.
Art. 9 No se permitirá el acceso al Centro de Datos o de procesamiento con:
imanes, clips, cigarros, cerillos, encendedores y materiales o maquinas similares,
que, puedan causar daños a las instalaciones , información, maquinas y
dispositivos que se encuentren en el.
Art. 10 Queda estrictamente prohibido fumar, ingerir bebidas o alimentos, el uso de
radios, transmisores o receptores de radio digitales o análogas en cualquier
frecuencia, incluyendo: televisores, grabadoras, video grabadoras, equipo
personal de computo , agendas y aparatos diversos o equipos no autorizados para
el uso de telecomunicaciones, dentro del Centro de Datos.
1.5. Sanciones
2. La primera incurrencia de Nivel 1, para la primera ocasión se hará una
amonestación por escrito
3. La reincidencia a partir de la segunda ocasión será una falta de Nivel 2 y se
levantará un acta administrativa
4. El incumpliendo a estos artículos deberá ser sancionado de acuerdo a su
gravedad.
2. Gestión de acceso de usuario
La capacidad de Gestión de Identidad y Accesos describe cómo debe gestionarse la
identidad de las personas y los equipos y cómo proteger los datos de identificación
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
18
(sincronización, gestión de passwords y aprovisionamiento de usuarios), y cómo se
gestionan los accesos a recursos por parte de usuarios móviles de la empresa, clientes
y/o externos fuera de los límites del firewall.
Art. 1 Existencia de un mecanismo de identificación inequívoca de todos los
usuarios y accesos a los recursos, basada en la aportación de credenciales
gestionadas por medio de tecnologías de seguridad y cifrado (login y password,
certificados digitales, dispositivos especiales biométricos, etc).
Art. 2 Existencia de un repositorio unificado de identidades que se aplican de
forma homogénea a todo el ámbito de IT de la organización para la validación de
accesos y gestión de permisos sobre los recursos.
Art. 3 Existencia de un servicio de directorio que contenga la información de
identidad y permita su uso en otros ámbitos (correo, mensajería instantánea, etc).
Art. 4 Organización del acceso a los recursos de manera centralizada empleando
roles de actividad u otros criterios de agrupamiento.
Art. 5 Existencia de mecanismos de propagación de los permisos y privilegios de
acceso a recursos a través de la red de manera automática, mediante directivas
de ámbito corporativo.
Art. 6 Existencia de medios de autoaprovisionamiento de recursos para cuentas de
usuario
Art. 7 Existencia de mecanismos de federación de la identidad para permitir el
acceso de usuarios externos a la propia organización a ciertos recursos para fines
de trabajo en equipo.
2.2. Registro De Usuario
El Responsable de Seguridad Informática definirá un procedimiento formal de registro de
usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios
de información multiusuario, el cual debe comprender:
Art. 1 Utilizar identificadores de usuario únicos, de manera que se pueda identificar
a los usuarios por sus acciones evitando la existencia de múltiples perfiles de
acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
19
permitido cuando sean convenientes para el trabajo a desarrollar debido a razones
operativas.
Art. 2 Verificar que el usuario tiene autorización del Propietario de la Información
par el uso del sistema, base de datos o servicio de información.
Art. 3 Verificar que el nivel de acceso otorgado es adecuado para el propósito de
la función del usuario y es coherente con la Política de Seguridad del Organismo,
por ejemplo, que no compromete la separación de tareas.
Art. 4 Entregar a los usuarios un detalle escrito de sus derechos de acceso.
Art. 5 Requerir que los usuarios firmen declaraciones señalando que comprenden
y aceptan las condiciones para el acceso.
Art. 6 Garantizar que los proveedores de servicios no otorguen acceso hasta que
se hayan completado los procedimientos de autorización.
Art. 7 Mantener un registro formal de todas las personas registradas para utilizar el
servicio.
Art. 8 Cancelar inmediatamente los derechos de acceso de los usuarios que
cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se
desvincularon del Organismo o sufrieron la pérdida/robo de sus credenciales de
acceso.
Art. 9 Efectuar revisiones periódicas con el objeto de:
o Cancelar identificadores y cuentas de usuario redundantes
o Inhabilitar cuentas inactivas por más de (indicar período no mayor a 60
días)
o Eliminar cuentas inactivas por más de (indicar período no mayor a 120
días)
En el caso de existir excepciones, deberán ser debidamente justificadas y
aprobadas.
Art. 10 Garantizar que los identificadores de usuario redundantes no se asignen a
otros usuarios.
Art. 11 Incluir cláusulas en los contratos de personal y de servicios que
especifiquen sanciones si el personal o los agentes que prestan un servicio
intentan accesos no autorizados.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
20
2.3. Gestión De Privilegios
Se limitará y controlará la asignación y uso de privilegios, debido a que el uso inadecuado
de los privilegios del sistema resulta frecuentemente en el factor más importante que
contribuye a la falla de los sistemas a los que se ha accedido ilegalmente.
Los sistemas multiusuario que requieren protección contra accesos no autorizados, deben
prever una asignación de privilegios controlada mediante un proceso de autorización
formal. Se deben tener en cuenta los siguientes pasos:
Art. 1 Identificar los privilegios asociados a cada producto del sistema, por ejemplo
sistema operativo, sistema de administración de bases de datos y aplicaciones, y
las categorías de personal a las cuales deben asignarse los productos.
Art.2 Asignar los privilegios a individuos sobre la base de la necesidad de uso y
evento por evento, por ejemplo el requerimiento mínimo para su rol funcional.
Art.3 Mantener un proceso de autorización y un registro de todos los privilegios
asignados.
Los privilegios no deben ser otorgados hasta que se haya completado el
proceso formal de autorización.
Art. 4 Establecer un período de vigencia para el mantenimiento de los privilegios
(en base a la utilización que se le dará a los mismos) luego del cual los mismos
serán revocados.
Art. 5 Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad
de otorgar privilegios a los usuarios.
Los Propietarios de Información serán los encargados de aprobar la asignación de
privilegios a usuarios y solicitar su implementación, lo cual será supervisado por el
Responsable de Seguridad Informática.
2.4. Gestión De Contraseñas De Usuario
Art. 1 Cada usuario es responsable del mecanismo de control de acceso que le
sea proporcionado; esto es, de su identificador de usuario y password necesarios
para acceder a la información y a la infraestructura tecnológica de la empresa, por
lo cual deberá mantenerlo de forma confidencial.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
21
Art. 2 El acceso a la infraestructura tecnológica de la institución, para personal
externo debe ser autorizado al menos por un administrador de proyectos, quien
deberá notificarlo a la Dirección General de Informática quien será el encargado de
habilitará.
Art. 3 Esta prohibido que los usuarios utilicen la infraestructura tecnológica de la
institución para obtener acceso no autorizado a la información u otros sistemas de
información de la empresa.
Art. 4 Todos los usuarios de servicios de información son responsables por el
UserID y password que recibe para el uso y acceso de los recursos
Art. 5 Todos los usuarios deberán autenticarse por los mecanismos de control de
acceso provistos por la Dirección General Informática antes de poder usar la
infraestructura tecnológica de la institución.
Art. 6 Los usuarios no deben proporcionar información a personal externo, de los
mecanismos de control de acceso a las instalaciones e infraestructura tecnológica
de la institución, a menos que se tenga la autorización del dueño de la información
y de la Dirección General Informática.
Art. 7 Cada usuario que acceda a la infraestructura tecnológica de la institución
debe contar con un identificador de usuario (UserID) único y personalizado. Por lo
cual no está permitido el uso de un mismo UserID por varios usuarios.
Art. 8 Los usuarios son responsables de todas las actividades realizadas con su
identificador de usuario (UserID). Los usuarios no deben divulgar ni permitir que
otros utilicen sus identificadores de usuario, al igual que tienen prohibido utilizar el
UserID de otros usuarios.
Art. 9 Cualquier cambio en los roles y responsabilidades de los usuarios que
modifique sus privilegios de acceso a la infraestructura tecnológica de la
institución, deberán ser notificados a Mesa de Ayuda con el visto bueno de su
administrador del área.
Art. 10 Los usuarios deberán mantener sus equipos de cómputo con controles de
acceso como passwords y protectores de pantalla (screensaver) previamente
instalados y autorizados por la Dirección General de Informática cuando no se
encuentren en su lugar de trabajo.
Art. 11 La asignación del password debe ser realizada de forma individual, por lo
que el uso de passwords compartidos está prohibido.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
22
Art. 12 Cuando un usuario olvide, bloquee o extravíe su password, deberá levantar
un reporte al Centro de Atención a Usuarios (CAU) para que se le proporcione un
nuevo password y una vez que lo reciba deberá cambiarlo en el momento en que
acceda nuevamente a la infraestructura tecnológica.
Art. 13 La obtención o cambio de un password debe hacerse de forma segura, el
usuario deberá acreditarse ante el Centro de Información como empleado de la
institución.
Art. 14 Esta prohibido que los passwords se encuentren de forma legible en
cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas
puedan descubrirlos.
Art. 15 Sin importar las circunstancias, los passwords nunca se deben compartir o
revelar. Hacer esto responsabiliza al usuario que prestó su password de todas las
acciones que se realicen con el mismo.
Art. 16 Todos los usuarios deberán observar los siguientes lineamientos para la
construcción de sus passwords:
• Deben estar compuestos de al menos seis (6) caracteres y máximo diez
(10), estos caracteres deben ser alfanuméricos.
• Deben ser difíciles de adivinar, esto implica que los passwords no deben
relacionarse con el trabajo o la vida personal del usuario, y no deben
contener caracteres que expresen listas secuenciales y caracteres de
control.
• No deben ser idénticos o similares a passwords que hayan usado
previamente.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
23
Art. 17 El password tendrá una vigencia de 90 días, finalizando este periodo el
usuario recibe una solicitud electrónica de cambio de contraseña.
Art. 18 Todo usuario que tenga la sospecha de que su password es conocido por
otra persona, deberá cambiarlo inmediatamente.
Art. 19 Los usuarios no deben almacenar los passwords en ningún programa o
sistema que proporcione esta facilidad.
Art. 20 Los cambios o desbloqueo de passwords solicitados por el usuario al
Centro de Información, serán notificados con posterioridad por correo electrónico
al solicitante con copia al Director General correspondiente, de tal forma que se
pueda detectar y reportar cualquier cambio no solicitado.
2.5. Revisión De Los Derechos De Acceso De Usuario
A fin de mantener un control eficaz del acceso a los datos y servicios de información, el
Propietario de la Información de que se trate llevará a cabo un proceso formal, a
intervalos regulares de (indicar periodicidad no mayor a 6 meses), a fin de revisar los
derechos de acceso de los usuarios. Se deberán contemplar los siguientes controles:
Art. 1 Revisar los derechos de acceso de los usuarios a intervalos de (especificar
tiempo no mayor a 6 meses).
Art. 2 Revisar las autorizaciones de privilegios especiales de derechos de acceso
a intervalos de (especificar tiempo no mayor a 3 meses).
Art. 3 Revisar las asignaciones de privilegios a intervalos de (especificar tiempo no
mayor a 6 meses), a fin de garantizar que no se obtengan privilegios no
autorizados.
3. Responsabilidades Del Usuario
3.2. Uso de contraseñas
Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de
contraseñas. Las contraseñas constituyen un medio de validación y autenticación de la
identidad de un usuario, y consecuentemente un medio para establecer derechos de
acceso a las instalaciones o servicios de procesamiento de información.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
24
Los usuarios deben cumplir las siguientes directivas:
Art. 1 Mantener las contraseñas en secreto.
Art. 2 Pedir el cambio de la contraseña siempre que exista un posible indicio de
compromiso del sistema o de las contraseñas.
Art. 3 Seleccionar contraseñas de calidad, de acuerdo a las prescripciones
informadas por el Responsable del Activo de Información de que se trate, que:
1. Sean fáciles de recordar.
2. No estén basadas en algún dato que otra persona pueda adivinar u
obtener fácilmente mediante información relacionada con la persona, por
ejemplo nombres, números de teléfono, fecha de nacimiento, etc.
3. No tengan caracteres idénticos consecutivos o grupos totalmente
numéricos o totalmente alfabéticos.
Art. 4. Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar
reutilizar o reciclar viejas contraseñas.
Art. 5. Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).
Art. 6. Evitar incluir contraseñas en los procesos automatizados de inicio de
sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro.
Art. 7. Notificar oportunamente cualquier incidente de seguridad relacionado con
sus contraseñas: pérdida, robo o indicio de pérdida de confidencialidad.
Art. 8. Las cuentas de usuario son personales, en ningún momento deben ser
utilizadas por personal ajeno al que le fue asignada.
Art. 9. Las contraseñas deben ser memorizadas desde el mismo momento en que
le es asignada.
Art. 10. Se desechará, toda documentación que tenga que ver con información
relacionada a su cuenta de usuario, minutos después de habérsele entregado y
siempre que haya sido memorizada o resguarda su información.
Art. 11. Es importante que el usuario establezca contraseñas fuertes y desligadas
de su vida personal o de su entorno familiar o no emplean do formatos comunes
de fechas.
Art. 12. Toda falla en el equipo debe ser documentado por el operador de las
estación de trabajo.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
25
Si los usuarios necesitan acceder a múltiples servicios o plataformas y se requiere que
mantengan múltiples contraseñas, se notificará a los mismos que pueden utilizar una
única contraseña para todos los servicios que brinden un nivel adecuado de protección de
las contraseñas almacenadas y en tránsito.
3.3. Equipo de usuario desatendido
Los usuarios deberán garantizar que los equipos desatendidos sean protegidos
adecuadamente.
Los equipos instalados en áreas de usuarios, por ejemplo estaciones de trabajo o
servidores de archivos, requieren una protección específica contra accesos no
autorizados cuando se encuentran desatendidos.
El Responsable de Seguridad Informática debe coordinar con el Área de Recursos
Humanos las tareas de concientización a todos los usuarios y contratistas, acerca de los
requerimientos y procedimientos de seguridad, para la protección de equipos
desatendidos, así como de sus funciones en relación a la implementación de dicha
protección.
Los usuarios cumplirán con las siguientes pautas:
Art. 1. Concluir las sesiones activas al finalizar las tareas, a menos que puedan
protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un
protector de pantalla protegido por contraseña.
Art. 2. Proteger las PC’s o terminales contra usos no autorizados mediante un
bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso
cuando no se utilizan.
3.4. Política de puesto de trabajo despejado y pantalla limpia
Art. 1. El servidor de dominio deberá bloquear cualquier estación de trabajo con un
protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.
Art. 2. La práctica de guardar las contraseñas en papel adherido al monitor o áreas
cercanas al equipo de trabajo, es una falta grave y sancionable.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
26
Art. 3. El usuario es parte esencial en la seguridad de la red institucional, su
experiencia como operador en las estaciones de trabajo es de suma importancia
para el comité de seguridad.
Art. 4. El gestor de seguridad debe desactivar cualquier característica de los
sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus
contraseñas.
Art. 5. El usuario deberá estar consciente de los problemas de seguridad que
acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña.
Art. 6. El usuario deberá ser precavido al manipular su cuenta de acceso a los
sistemas, tomando medidas de seguridad que no pongan en riesgo su integridad
como persona.
4. Control de acceso a Red
Será considerado como un ataque a la seguridad informática y una falta grave, cualquier actividad
no autorizada por la Dirección General de Informática, en la cual los usuarios realicen la
exploración de los recursos informáticos en la red, así como de las aplicaciones que sobre dicha
red operan, con fines de detectar y explotar una posible vulnerabilidad.
El Responsable de Seguridad Informática definirá controles para garantizar la seguridad
de los datos y los servicios conectados en las redes del Organismo, contra el acceso no
autorizado, considerando la ejecución de las siguientes acciones:
Art. 1. Establecer los procedimientos para la administración del equipamiento remoto,
incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el
responsable establecido en el punto “Asignación de Responsabilidades en Materia de
Seguridad de la Información”.
Art. 2. Establecer controles especiales para salvaguardar la confidencialidad e integridad
del procesamiento de los datos que pasan a través de redes públicas, y para proteger los
sistemas conectados. Implementar controles especiales para mantener la disponibilidad
de los servicios de red y computadoras conectadas.
Art. 3. Garantizar mediante actividades de supervisión, que los controles se aplican
uniformemente en toda la infraestructura de procesamiento de información. El
Responsable del Área Informática implementará dichos controles.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
27
Art. 4. Dado el carácter unipersonal del acceso a la Red, el departamento de Cómputo
verificará el uso responsable, de acuerdo al Reglamento para el uso de la red.
Art. 5. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores,
bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la
red es administrado por el departamento de Cómputo.
Art 6. Todo el equipo de cómputo que esté o sea conectado a la Red, o aquellas que en
forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los
procedimientos de acceso que emite el departamento de Cómputo.
4.2. Política de Acceso a Usuarios Internos a la Re d
Objetivo
Este documento describe las políticas bajo las cuales personal interno podrá hacer uso de
la red.
Alcance
Esta política es aplicable a todas las conexiones de acceso a recursos informáticos
públicos y no públicos.,
Política
Análisis de seguridad
Todas las solicitudes para conectar equipos de cómputo a la red deberán de ser revisadas
por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de
seguridad establecidos.
Instalación de equipo de cómputo
Todos los equipos que sean instalados en la Red, deberán de contar con todas las
actualizaciones de Microsoft así como tener instalado el cliente de antivirus Symantec y
será necesario ingresar al usuario al dominio.
Acceso a Servicios Informáticos
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
28
Todas las solicitudes de conexión para los servicios informáticos deberán de ser mediante
correo electrónico y por el jefe inmediato del interesado.
Estableciendo conectividad
Todos los accesos a los servicios informáticos, deberán basarse en el principio de menor
acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado.
Modificación de conexión y acceso
Todos los cambios de acceso deben ir acompañados de una justificación válida
relacionada y apegada al análisis de seguridad.
Fin de acceso
Cuando ya no se requiera el acceso a los servicios informáticos, será necesario que se
notifique mediante un correo electrónico y por el jefe inmediato al administrador de la red
LAN para poder restringir el acceso a los servicios.
Se deberá realizar una auditoria anual de las conexiones permitidas con la finalidad de
asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se
utilicen más deberán ser finalizadas inmediatamente.
Si existe un incidente de seguridad o se identifica que un acceso a la red indebido, será
necesario una modificación a los permisos actuales, o en efecto, que se de fin a la
conexión.
Aplicación
Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios
establecidos.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
29
4.3. Política de Acceso a Usuarios Externos a la Re d
Objetivo
Este documento describe las políticas bajo las cuales personal externo (proveedores,
consultores, outsourcing, etc.), podrán conectarse a la red con fines exclusivos de
proporcionar algún servicio.
Alcance
Esta política es aplicable a todas las conexiones entre terceros que requieran acceso a
recursos informáticos no públicos, sin importar el tipo de tecnología que se esté utilizando
para este fin.
Política
Análisis de seguridad
Todas las solicitudes de terceros para conectar equipos de cómputo a la red deberán ser
revisados por el área de tecnología. En esta revisión, el área, deberá asegurarse de que
las conexiones cumplan con los requisitos de seguridad que se han establecido.
Acuerdo de conexión de terceros
Todas las solicitudes de conexión entre terceros hacia los equipos y sistemas requieren
que se establezca un acuerdo firmado tanto por el responsable legal del tercero en
cuestión, así como por el Gerente de Tecnología.
Casos de uso para propósito del negocio
Todas las conexiones hacia los recursos de cómputo y comunicaciones deberán estar
justificadas por escrito; dicha documentación deberá ser aprobado por el área de
tecnología, así como las condiciones de operación de las mismas. Estos requerimientos
serán integrados como parte de la documentación de convenio o contratación de los
servicios del tercero.
Punto de contacto
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
30
La persona designada que funge como contacto representa a su organización y es el
responsable del cumplimiento de esta política y del acuerdo firmado por ambas partes en
donde se le involucre.
En caso de que el contacto cambie, se le deberá notificar al área de tecnología de la
organización.
Estableciendo conectividad
El solicitante debe proporcionar la información completa de la propuesta para controlar el
acceso a los recursos de información de la organización de los terceros.
El solicitante que desee establecer conexión con terceros, deberán realizar una nueva
solicitud al Administrador de la red LAN en cuestión. Este a su vez evaluará junto con el
área de Tecnología los requerimientos de seguridad inherentes a la solicitud.
Todas las conexiones solicitadas como VPN, Wireless y Red LAN, deberán basarse en el
principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad
realizado.
Bajo ninguna circunstancia, la organización confiará en terceros para proteger la red o los
sistemas de información del Fondo.
Modificación de conexión y acceso
Todos los cambios de acceso deben ir acompañados de una justificación válida
relacionada y apegada al análisis de seguridad. El solicitante es el responsable de
notificar al área de tecnología del Fondo.
Fin de acceso
Notifique al área de tecnología sobre el estatus de la conexión para negar su acceso. En
el mejor de los casos, esto puede significar una modificación de permisos existentes hasta
un bloqueo permanente a la red.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
31
El área de tecnología deberá realizar una auditoría anual de las conexiones permitidas
con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan
depreciado, o no se utilicen más para asuntos relacionados a la organización, deberán ser
finalizadas inmediatamente. Si existe un incidente de seguridad o se identifica que un
acceso a la red ha sido negado, mismo que ya no será requerido para tratar asuntos
relacionados con la organización; será necesario una modificación a los permisos
actuales, o en efecto, que se de fin a la conexión. En este caso, el área de tecnología o el
administrador de la red LAN, deberán dar aviso al contacto o al patrocinador.
Aplicación
Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios
establecidos por el área de tecnología. Los terceros que violen los lineamientos de esta
política serán sancionados con la terminación de su contrato de servicio. finición
Termino Definición Solicitante Personal o Departamento de la organización que solicita que un
tercero tenga acceso a la red y a los recursos de cómputo del Fondo.
Tercero Organización o persona física que no forma parte o es subsidiaria
Término Definición
5. Control De Acceso Al Sistema Operativo
5.2. Procedimientos seguro de inicio de sesión
A fin de mantener un control eficaz del acceso a los datos y servicios de información, el
Propietario de la Información de que se trate llevará a cabo un proceso formal, a
intervalos regulares de un mes, a fin de revisar los derechos de acceso de los usuarios.
Para lo cual se deberán contemplar los siguientes controles
Art. 1. Revisar los derechos de acceso de los usuarios cada mes.
Art. 2. Revisar las autorizaciones de privilegios especiales de derechos de acceso
cada mes.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
32
Art. 3. Revisar las asignaciones de privilegios cada mes, a fin de garantizar que no
se obtengan privilegios no autorizados.
Art. 4. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con
privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de
herramientas de auditoría, etc.) evitando que estas corran sus servicios con
privilegios nocivos para la seguridad del sistema.
Art. 5. Al terminar una sesión de trabajo en las estaciones, los operadores o
cualquier otro usuario, evitará dejar encendido el equipo, pudiendo proporcionar un
entorno de utilización de la estación de trabajo.
5.3. Identificación y autenticación de usuarios
Todos los usuarios (incluido el personal de soporte técnico, como los operadores,
administradores de red, programadores de sistemas y administradores de bases de datos)
tendrán un identificador único (ID de usuario) solamente para su uso personal exclusivo,
de manera que las actividades puedan rastrearse con posterioridad hasta llegar al
individuo responsable. Los identificadores de usuario no darán ningún indicio del nivel de
privilegio otorgado.
En circunstancias excepcionales, cuando existe un claro beneficio para el Organismo,
podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea
específica. Para casos de esta índole, se documentará la justificación y aprobación del
Propietario de la Información de que se trate.
Si se utilizará un método de autenticación físico (por ejemplo autenticadores de
hardware), deberá implementarse un procedimiento que incluya:
a) Asignar la herramienta de autenticación.
b) Registrar los poseedores de autenticadores.
c) Rescatar el autenticador al momento de la desvinculación del personal al que se le
otorgó.
d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.
Art. 1. La identificación del usuario se hará a través del formulario que le
proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma impresa
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
33
de la persona que tendrá acceso al sistema o se acreditará con su cuenta de
usuario.
Art. 2. Cualquier petición de servicio, por parte de personal de la empresa o ajeno
a la misma, no se concederá sino es mediante la aprobación de la política de
acceso y prestación de servicio.
Art. 3. La cuenta temporal es usada únicamente con propósitos legales y de
ejecución de tareas, por olvido de la información de la cuenta personal.
Art. 4. La cuenta temporal es únicamente acreditable, si se proporciona la
información necesaria para su uso.
Art. 5. Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa
verificación o asignación de una nueva cuenta, al usuario propietario de la cuenta
a eliminar.
Art. 6. El par usuario/contraseña temporal, será eliminada del sistema como tal,
por el gestor de seguridad, en el preciso momento en que sea habilitada una
cuenta personal para el usuario que haya solicitado su uso.
Art. 7. El sistema no aceptará contraseñas con una longitud menor a la expresada
en la política de creación de contraseñas.
Art. 8. Los usuarios darán un seguimiento estricto sobre las políticas de creación
de contraseñas, acatando sus disposiciones en su totalidad.
Art. 9. El sistema revocará toda contraseña con una longitud mayor a la expresada
en la política de creación de contraseñas.
Art. 10. El usuario se responsabiliza en crear una contraseña fuerte y difícil de
adivinar.
Art. 11. Se recomienda utilizar una frase coma base para la creación de la
contraseña, tomando la letra inicial de cada palabra. Por ejemplo: “El azar favorece
una mente brillante” <<EaFUmB>>
5.4. Sistema de gestión de contraseña
Las contraseñas constituyen uno de los principales medios de validación de la autoridad
de un usuario para acceder a un servicio informático. Los sistemas de administración de
contraseñas deben constituir una herramienta eficaz e interactiva que garantice
contraseñas de calidad.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
34
El sistema de gestión de contraseñas debe:
a) Imponer el uso de contraseñas individuales para determinar responsabilidades.
b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego
de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un
procedimiento de confirmación para contemplar los errores de ingreso.
c) Imponer una selección de contraseñas de calidad según lo señalado en el punto
“Uso de Contraseñas”.
d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios
mantengan sus propias contraseñas, según lo señalado en el punto “Uso de
Contraseñas”.
e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer
procedimiento de identificación, en los casos en que ellos seleccionen sus
contraseñas.
f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar
la reutilización de las mismas.
g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.
h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas
de aplicación.
i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado
unidireccional.
j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez
instalado el software y el hardware (por ejemplo claves de impresoras, hubs,
routers, etc.).
k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas,
asegure que no se tenga acceso a información temporal o en tránsito de forma no
protegida.
Art. 1. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo
usuario de la red la empresa, siempre y cuando se identifique previamente el
objetivo de su uso o permisos explícitos a los que este accederá, junto a la
información personal del usuario.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
35
Art. 2. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de
información de la cuenta personal, para brindarse al usuario que lo necesite,
siempre y cuando se muestre un documento de identidad personal.
Art.3. La longitud mínima de caracteres permisibles en una contraseña se
establece en 6 caracteres, los cuales tendrán una combinación alfanumérica,
incluida en estos caracteres especiales.
Art. 4. La longitud máxima de caracteres permisibles en una contraseña se
establece en 12 caracteres, siendo esta una combinación de Mayúsculas y
minúsculas.
5.5. Responsabilidades del usuario
Art. 1. El usuario es responsable exclusivo de mantener a salvo su contraseña.
Art. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los
sistemas o servicios.
Art. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o
superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar
seguro.
Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos
proporcionados por el Gestor de Seguridad, que contenga información que pueda
facilitar a un tercero la obtención de la información de su cuenta de usuario.
Art. 5. El usuario es responsable de evitar la práctica de establecer contraseñas
relacionadas con alguna característica de su persona o relacionado con su vida o
la de parientes, como fechas de cumpleaños o alguna otra fecha importante.
Art. 6. El usuario deberá proteger su equipo de trabajo, evitando que personas
ajenas a su cargo puedan acceder a la información almacenada en el, mediante
una herramienta de bloqueo temporal (protector de pantalla), protegida por una
contraseña, el cual deberá activarse en el preciso momento en que el usuario deba
ausentarse.
Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los
sistemas informáticos de la institución, está obligado a reportarlo a los
administradores del sistema o gestor de seguridad.
5.6. Uso de los recursos del sistema
Servidores
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
36
Art. 3. El acceso a la configuración del sistema operativo de los servidores, es
únicamente permitido al usuario administrador.
Art. 4. Los administradores de servicios, tendrán acceso único a los módulos de
configuración de las respectivas aplicaciones que tienen bajo su responsabilidad.
Art. 5. Todo servicio provisto o instalado en los servidores, correrá o será
ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de
servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser
eliminados o configurados correctamente.
Monitoreo del acceso y uso del sistema
Art. 1. Se registrará y archivará toda actividad, procedente del uso de las
aplicaciones, sistemas de información y uso de la red, mediante archivos de Log o
bitácoras de sistemas.
Art. 2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios,
IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada,
aplicación implicada en el proceso, intentos de conexión fallidos o acertados,
archivos a los que se tuvo acceso, entre otros.
Art. 3. Se efectuará una copia automática de los archivos de Log, y se conducirá o
enviara hacia otra terminal.
Mantenimiento
Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de
exclusiva responsabilidad del personal de la unidad de informática, o del personal
de soporte técnico.
Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificación
aceptable y verificable por el gestor de seguridad.
Art. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos
y cambios realizados desde su instalación.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
37
Uso de Utilitarios de Sistema
La mayoría de las instalaciones informáticas tienen uno o más programas utilitarios que
podrían tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Es
esencial que su uso sea limitado y minuciosamente controlado. Se deben considerar los
siguientes controles:
Art. 1. Utilizar procedimientos de autenticación para utilitarios del sistema.
Art. 2. Separar entre utilitarios del sistema y software de aplicaciones.
Art. 3. Limitar el uso de utilitarios del sistema a la cantidad mínima viable de
usuarios fiables y autorizados.
Art. 4. Evitar que personas ajenas al Organismo tomen conocimiento de la
existencia y modo de uso de los utilitarios instalados en las instalaciones
informáticas.
Art. 5. Establecer autorizaciones para uso ad hoc de utilitarios de sistema.
Art. 6. Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el
transcurso de un cambio autorizado.
Art. 7. Registrar todo uso de utilitarios del sistema.
Art. 8. Definir y documentar los niveles de autorización para utilitarios del sistema.
Art. 9. Remover todo el software basado en utilitarios y software de sistema
innecesarios.
5.7. Desconexión automática de sesión
El Responsable de Seguridad Informática, junto con los Propietarios de la Información de
que se trate definirán cuáles se consideran terminales de alto riesgo, por ejemplo áreas
públicas o externas fuera del alcance de la gestión de seguridad de la empresa, o que
sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido
de inactividad, tiempo muerto, para evitar el acceso de personas no autorizadas. Esta
herramienta de desconexión por tiempo muerto deberá limpiar la pantalla de la terminal y
deberá cerrar tanto la sesión de la aplicación como la de red. El lapso por tiempo muerto
responderá a los riesgos de seguridad del área y de la información que maneje la
terminal.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
38
Para las PC’s, se implementará la desconexión por tiempo muerto, que limpie la pantalla y
evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red.
Por otro lado, si un agente debe abandonar su puesto de trabajo momentáneamente,
activará protectores de pantalla con contraseñas, a los efectos de evitar que terceros
puedan ver su trabajo o continuar con la sesión de usuario habilitada.
5.8. Limitación del tiempo de conexión
Las restricciones al horario de conexión deben suministrar seguridad adicional a las
aplicaciones de alto riesgo. La limitación del periodo durante el cual se permiten las
conexiones de terminales a los servicios informáticos reduce el espectro de oportunidades
para el acceso no autorizado. Se implementará un control de esta índole para
aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en
ubicaciones de alto riesgo, por ejemplo áreas públicas o externas que estén fuera del
alcance de la gestión de seguridad de la empresa.
Entre los controles que se deben aplicar, se enuncian:
Art. 1. Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos
en lote, o sesiones interactivas periódicas de corta duración.
Art. 2. Limitar los tiempos de conexión al horario normal de oficina, de no existir un
requerimiento operativo de horas extras o extensión horaria.
Art. 3. Documentar debidamente los agentes que no tienen restricciones horarias y
las razones de su autorización. También cuando el Propietario de la Información
autorice excepciones para una extensión horaria ocasional.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
39
6. Implementación de la seguridad
6.1. Introducción
El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite
acercarnos más a la toma de acciones dentro de nuestra organización. Dichas
acciones deben llevar un orden adecuado que permita una utilidad real para nuestra
empresa. El siguiente artículo menciona algunas consideraciones importantes al respecto.
La política de seguridad en la empresa es u na cosa, implementarla es algo
completamente distinto. En el artículo del auto r Charles Cressonwood titulado
"Policies: The Path to Less Pain & More Gain ", publicado en la fuente
mostrada al final de este párrafo, se muestran los resultados de una
encuesta, en la cual se dem uestra que una compañía que cuenta con una
política de seguridad implantada puede tener t antos o más problemas que
aquella que no la tiene, lo que sugiere fallos en su implementación.
Fuente consultada: http://www.infosecuritymag.com/a rticles/1999/augcover.shtml
6.1.1. Objetivos
La importancia del plan de implementación de seguri dad en la
empresa, que permita que la ejecución del mi smo sea un éxito.
Revisar ejemplos de acciones a tomar dentro de la e mpresa, con el fin
de tener una mayor base para la selección de dichas acciones en
nuestra propia implementación.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
40
6.1.2. Importancia de la Implementación
Después de conocer las amenazas y puntos débiles del ambiente, adquiridos en el
análisis de riesgos, o después de la definición formal de las intenciones y actitudes de la
organización que están definidas en la política de seguridad de la información, debemos
tomar algunas medidas para la implementación de las acciones de seguridad
recomendadas o establecidas
Recordemos que las amenazas son agentes capa ces de exp lotar
fallos de seguridad, que denominamos puntos débiles y, como
consecuencia de ello, causan pérdidas o daños a los activos de
una empresa y afectan sus negocios.
No basta conocer las fragilidades del ambiente o tener una política de seguridad
escrita. Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre
el valor de la información, configurar los ambientes etc. Debemos elegir e implementar
cada medida de protección, para contribuir con la reducción de las vulnerabilidades.
Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre
los propósitos definidos. Estos propósitos tienen que ser muy claros
6.1.3. Consideración de la aplicación
Las medidas de seguridad son acciones que podemos tomar con la
finalidad de reducir las vulnerabilidades existente s en los activos de
la empresa
Son varias las medidas de protección que recomendamos para la reducción de las
vulnerabilidades de la información. Entre otras:
• Protección contra virus
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
41
• Implementación de firewalls
• Control de acceso a los recursos de la red
• Control de acceso físico
• Sistemas de vigilancia
• Detección y control de invasiones
• Políticas generales o específicas de seguridad
• Equipos
• Configuración de ambientes
• Entrenamiento
• Campañas de divulgación
• Planes de continuidad
• Clasificación de la información
• VPN - Virtual Private Network
• Acceso remoto seguro
• Monitoreo y gestión de la seguridad
• ICP - Infraestructura de llaves públicas
No olvidemos que el objetivo de la implementación de las medidas de seguridad
excede los límites de la informática, definida en el diccionario como "la
ciencia que tiene en vista el tratamiento de la información a través del uso
de equipos y procedimientos del área de procesamiento de datos". Por ello
debemos comprender los ambientes que tratan de la información, no sólo en los medios
electrónicos, sino en los convencionales.
Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si
los usuarios las comparten o escriben en recados y las pegan al lado de su monitor.
6.1.4. Consideración de la Implementación
A continuación incluimos algunas acciones a considerarse en la implementación de la
seguridad de la información. Consideraciones en la implementación de acciones de
seguridad de la información:
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
42
a. Plan de Seguridad
A partir de la política de seguridad, se definen qué acciones deben implementarse
(herramientas de software o hardware, campañas de toma de conciencia, entrenamiento
etc.), para alcanzar un mayor nivel de seguridad. Estas acciones deben estar incluidas en
un plan de seguridad para dar prioridad a las acciones principales en términos de su
impacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementación,
para establecer así las acciones de corto, mediano y largo plazo.
b. Plan de acción
Una vez definido y aprobado el plan de seguridad, se parte hacia la definición del plan de
acción para las medidas que se deben implementar.
c. Recomendaciones de los fabricantes
Es muy importante que las recomendaciones de los fabricantes de los productos sean
conocidas antes de la implementación.
d. Soporte
Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la
ejecución de determinadas actividades.
e. Planificación de la implantación
Algunas de las cosas a implantar (aplicaciones, equipos, campañas de divulgación y toma
de conciencia entre otras) pueden durar varios días y afectar a varios ambientes,
procesos y personas de la organización. En esos casos, siempre es útil una planificación
por separado.
f. Plataforma de Pruebas
En algunos casos, una plataforma de pruebas es necesaria para evaluar la solución y
reducir los posibles riesgos sobre el ambiente de producción.
g. Metodología de Implementación
Al realizar la implementación propiamente dicha, es muy importante seguir una
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
43
metodología, que: defina cómo dar los pasos necesarios para ejecutar un plan de acción
mantenga un mismo estándar de calidad en la implementación sin importar quién lo esté
ejecutando.
Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la
implementación y, en caso de dificultades, saber qué acciones tomar y quién debe ser
notificado.
h. Registro de Seguridad
Después de la implementación de una nueva medida de seguridad, es importante
mantener el registro de lo que fue implementado. Se deben registrar informaciones como:
• lo que fue implementado (herramienta, entrenamiento etc.);
• cuáles son los activos involucrados;
• qué dificultades fueron encontradas y
• cómo fueron superadas; hasta qué punto se alcanzó el objetivo esperado, etc.
Este registro tiene dos objetivos principales: mantener el control de todas las medidas
implementadas y aprovechar la experiencia acumulada.
i. Monitoreo y Administración del Ambiente
La administración de un ambiente seguro
involucra a todo un ciclo de macro
actividades. Como lo mencionamos, la
primera fase de ese ciclo es el análisis de
riesgos, donde se conoce el ambiente y lo
que se debe implementar. Además vimos
también los aspectos relacionados con la
política de seguridad y actualmente
abordaremos la implementación de
medidas de seguridad.
Es necesario monitorear los activos,
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
44
desde la medición constante de indicadores que muestren qué tan eficaces son las
medidas adoptadas y lo que se necesita cambiar. A partir de la lectura de esos
indicadores, se hace otro análisis de riesgos y se comienza el ciclo otra vez (ver diagrama
adjunto).
El éxito de una implementación de seguridad sólo se alcanza al buscar la administración
efectiva de todo el ciclo. qué dificultades fueron encontradas y cómo fueron superadas;
hasta qué punto se alcanzó el objetivo esperado, etc.
Para ilustrar mejor algunas de estas consideracione s, mostramos los siguientes
ejemplos.
• En el caso de las pruebas, podemos mencionar la implantación de un laboratorio
para revisar diferentes soluciones antivirus, que nos permita valorar su eficacia y
facilidad de administración.
• También es necesario revisar con cuidado los documentos provenientes de los
fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por
ejemplo, la manera correcta de instalar un servidor, saber cuánto espacio,
temperatura y demás características son necesarias.
• En el caso del monitoreo, existen algunas aplicaciones que permiten identificar el
desempeño de un servidor de base de datos, y con esto nos damos cuenta si las
medidas de seguridad tomadas a favor de dicho desempeño fueron de verdadera
utilidad.
6.2. Plan de seguridad
El plan de seguridad se debe apoyar en un cronograma detallado y contener para
cada acción los siguientes puntos que enseguida se describen brevemente. Para mayor
claridad añadimos un ejemplo de cada uno de los puntos.
Si no sabemos con cuáles recursos contamos, no podemos realizar una planeación
adecuada de nuestra implantación de seguridad en la empresa, por ello hay que analizar
con cuidado los recursos con los que contamos.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
45
Siguiendo con el mismo tema, enseguida daremos una información adicional de
algunos tipos de recursos:
Los recursos humanos
El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de
especialistas. Las personas que son parte de estos equipos deben ser orientadas en
cuanto a los objetivos y al objeto del trabajo, las tareas, método, plazos, etc. Pero es
importante recordar que también es necesario:
• Comprometer a los responsables por la liberación de los recursos humanos
con el éxito del plan.
• Mantener elevada la moral de los equipos.
• Facilitar la relación.
• Distribuir las tareas adecuadamente, considerando el perfil, habilidades,
intereses, disponibilidad, etc.
• Distribuir las funciones en los equipos de acuerdo con sus habilidades,
intereses y conocimientos.
• Integrar y sintetizar conocimientos.
• Suministrar toda la información complementaria.
• Conocer y saber utilizar los recursos disponibles.
Los recursos materiales
Necesitamos contar con el equipo adecuado, que nos facilite la realización de las
tareas en materia de seguridad, de esto depende que se realicen dichas actividades
con el impacto necesario.
Recordatorios importantes
• Seleccionar y utilizar recursos que estén de acuerdo con la modalidad de la tarea.
• Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.
Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.
• Leer con atención las orientaciones para el acceso y la utilización de los
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
46
recursos materiales y orientar los equipos en lo que se refiere a su
manipulación.
• Cuidar el mantenimiento de los recursos seleccionados para que estén siempre en
orden cuando sean necesarios.
Los recursos financieros
Además del tomar en cuenta el personal y el equipo necesario, el recurso financiero con
el que vamos a contar es importante para dimensionar la capacidad de inversión en
materia de seguridad, tanto para la compra de nuevos activos como para la contratación
de personal o capacitación, en caso de ser necesario.
Recordatorios importantes
• Hacer la previsión presupuestaria y financiera.
• Establecer un sistema de control de los gastos.
• Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del
proceso para reducir los costos.
• Dar preferencia a recursos que se utilicen en más de una tarea. Eso ayuda al
proceso a su economía.
• Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades
de tal manera que se realicen más en menor tiempo sin, por otro lado,
perjudicar la calidad
Después de todo el análisis que realizamos hasta ahora, es importante revisar el
cronograma sobre las tareas en materia de seguridad. A continuación revisaremos lo
relevante a este concepto
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
47
Cronograma
Todo plan exige un cronograma. En él deben estar indicadas las actividades y
tareas, responsables, plazos, subordinación de las etapas y/o indicación de las que se
pueden realizar simultáneamente, o de forma independiente si es el caso. En
ese cronograma también indicamos la periodicidad de la evaluación durante el
proceso y otros marcos importantes.
Considerando que el plan puede sufrir alteraciones en el transcurso de su
ejecución, es interesante fijar una línea de base inicial de la planificación para fines de
control.
Una herramienta recomendada es MS PROJECT con la cual podemos controlar
todo su plan. Veamos la imagen que se muestra enseguida:
Para mayor referencia dirigirse al documento Proyecto Politicas de Seguridad.mpp
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
48
RECOMENDACIONES
• Crear un Sistema de Gestión de Seguridad de la Información, que supervise y
normalice, toda actividad relacionada con la seguridad informática.
• Aprobar y poner en marcha el manual de políticas y normas de seguridad
informática.
• Actualizar de forma constante, transparente y de acuerdo a las necesidades
existentes al momento, el manual de normas y políticas de seguridad informática.
• Asignar presupuesto para la gestión de seguridad de la información, independiente
de la unidad de informática.
• Asignar personal al área de seguridad de la información.
• Crear un comité de seguridad de la información.
• Involucrar tanto personal técnico, como directivos de la institución, o a la alta
gerencia en temas de seguridad.
• Fijar objetivos para la salvaguarda de la información.
• Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y
parte de la institución.
• Dar seguimiento a estándares internacionales sobre temas de seguridad de la
información.
• Realizar pruebas de intrusión, locales y externas por personal de la institución, de
forma periódica.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
49
• Contratar los servicios de terceros (Hacking ético), para ejecutar pruebas
completas de intrusión a los sistemas de la red institucional.
• Capacitar los empleados de la institución, en temas de seguridad, adoptando un
estricto control de las técnicas más comunes de persuasión de personal
(Ingeniería Social).
• El departamento de recursos humanos, deberá constatar, una clara y eficiente
información sobre el individuo en proceso de reclutamiento, referente a problemas
o situaciones anómalas con otras empresas o en el menor de los casos una
solvencia judicial.
Conclusiones
� La implementación a mediano y largo plazo de aquellos aspectos que así lo exijan
para lograr un nivel de seguridad óptimo, como por ejemplo la introducción de
medios técnicos de seguridad, modificación de locales, etc.
� La preparación y capacitación del personal en materia de seguridad informática,
según su participación en el sistema diseñado, ya sea a través de cursos
específicos, mediante la impartición de materias relacionadas con el tema u otras
medidas de divulgación.
� La organización y ejecución de pruebas, inspecciones y auditorías (internas y
externas) para asegurar la continuidad de la integridad funcional del Sistema de
Seguridad Informática existente, mencionando con qué frecuencia se realizan,
quienes participan y el contenido de las mismas.
� Todas las acciones en las que se comprometa la seguridad de la organización y
que no estén previstas en esta política, deberán ser revisadas por la Dirección
General y la Dirección de Informática para dictar una resolución sujetándose al
estado de derecho.
� Se describirán las medidas y procedimientos de neutralización y recuperación ante
cualquier eventualidad que pueda paralizar total o parcialmente la actividad
informática o degraden su funcionamiento, minimizando el impacto negativo de
éstas sobre la organización.
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de
diciembre de 2009
50
� A partir de los resultados obtenidos en el análisis de riesgos, se determinarán las
acciones a realizar para neutralizar aquellas amenazas que tengan mayor
probabilidad de ocurrencia en caso de materializarse, así como para la
recuperación de los procesos, servicios o sistemas afectados, precisando en cada
caso:
� Que acciones se deben realizar.
� Quién las realiza.
� En qué momento debe realizarlas.
� Como debe realizarlas.
� De qué recursos debe disponer.
Referencias Bibliográficas
Secretaria de Hacienda y Crédito Público. SAT – Servicio de administración Tributaria. “Manual de seguridad Física y Lógica” (Julio de 2006) Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.