Page 1

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Manual De Normas y Políticas de Seguridad Informática MANUAL DE NORMAS Y SEGURIDAD INFORMÁTICA

POLITICAS DE SEGURIDAD INFORMATICA

Departamento De Posgrado Maestría En Gestión De Tecnologías De La Información Proyecto Final Iso 27000 (Politicas De Control De Accesos) Estudiantes: Carlos Gutiérrez Soria Carlos J. Liceaga Rosas Esteban Baker Thomas Ramiro Aguilar García 12 de México de 2009

1


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Indicé INTRODUCCION

Marco Teórico ISO 270000 Políticas de Control de Accesos Generalidades Misión Visión Objetivo Alcance Responsabilidad

Política 1. Requisitos De Negocio Para El Control De Acceso 1.1. 1.2. 1.3. 1.4. 1.5.

Entrada y salida de personal Entrada y salida de visitantes Entrada y salida de información, material, mobiliario y equipo Control de acceso para áreas restringidas Sanciones

2. Gestión de acceso de usuario 2.1. 2.2. 2.3. 2.4.

Registro De Usuario Gestión De Privilegios Gestión De Contraseñas De Usuario Revisión De Los Derechos De Acceso De Usuario

3. Responsabilidades Del Usuario 3.1. Uso de contraseñas 3.2. Equipo de usuario desatendido 3.3. Política de puesto de trabajo despejado y pantalla limpia 4. Control de acceso a Red 4.1. Política de Acceso a Usuarios Internos a la Red 4.2. Política de Acceso a Usuarios Externos a la Red 5. Control De Acceso Al Sistema Operativo

2


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

5.1. 5.2.

Procedimientos seguro de inicio de sesión Identificación y autenticación de usuarios

5.3. 5.4. 5.5.

Sistema de gestión de contraseña Responsabilidades del usuario Uso de los recursos del sistema

5.6. 5.7.

Desconexión automática de sesión Limitación del tiempo de conexión

12 de diciembre de 2009

6. Implementación de la seguridad

RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS

3


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

INTRODUCCIÓN Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática que proponemos emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten a la organización cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática organizacional.

4


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

ISO 27000 (POLÍTICAS DE CONTROL DE ACCESOS)

Marco teórico de ISO 27000

Un Sistema Administrativo de Seguridad de la Información (Information Security Management System ISMS) es una forma sistemática de administrar la información sensible de una compañía, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado.

La seguridad de la información no termina al implementar el más reciente "firewall", o al sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa, poder coordinar sus esfuerzos de seguridad con mayor efectividad.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos 5


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

Seguidamente se resumen las distintas normas que componen la serie ISO 27000: •

ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie.

ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005.

ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.

ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.

ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.

ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve.

ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.

ISO/IEC 27007 será una guía para auditar SGSI.

ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.

ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.

ISO/IEC

27011

será

una

guía

para

la

gestión

de

la

seguridad

en

telecomunicaciones (conocida también como X.1051). •

ISO/IEC 27031 estará centrada en la continuidad de negocio.

ISO/IEC 27032 será una guía para la cyberseguridad.

6


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.

ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.

ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.

Políticas de Control de Accesos Generalidades El acceso por medio de un sistema de restricciones y excepciones a la información es la base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de derechos de los usuarios que ya no requieren el acceso.

La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.

Misión Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso

7


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.

Visión

Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyan a optimizar la administración de los recursos informáticos de la organización. Objetivo  Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.  Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.  Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.  Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.  Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.  Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto. Alcance La Política definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe.

8


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Asimismo se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad. Responsabilidad El Responsable de Seguridad Informática estará a cargo de:  Definir normas y procedimientos para: la gestión de accesos a todos los sistemas, bases de datos y servicios de información multiusuario; el monitoreo del uso de las instalaciones de procesamiento de la información; la solicitud y aprobación de accesos a Internet; el uso de computación móvil, trabajo remoto y reportes de incidentes relacionados; la respuesta a la activación de alarmas silenciosas; la revisión de registros de actividades; y el ajuste de relojes de acuerdo a un estándar preestablecido.  Definir pautas de utilización de Internet para todos los usuarios.  Participar en la definición de normas y procedimientos de seguridad a implementar en el ambiente informático y validarlos periódicamente.  Controlar la asignación de privilegios a usuarios.  Analizar y sugerir medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.  Verificar el cumplimiento de las pautas establecidas, relacionadas con control de accesos, registración de usuarios, administración de privilegios, administración de contraseñas, utilización de servicios de red, autenticación de usuarios y nodos, uso controlado de utilitarios del sistema, alarmas silenciosas, desconexión de terminales por tiempo muerto, limitación del horario de conexión, registro de eventos, protección de puertos, subdivisión de redes, control de conexiones a la red, control de ruteo de red, etc.  Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.  Verificar el cumplimiento de los procedimientos de revisión de registros de auditoría.  Asistir a los usuarios que corresponda en el análisis de riesgos a los que se expone la información y los componentes del ambiente informático que sirven de soporte a la misma.

9


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Los Propietarios de la Información estarán encargados de:  Evaluar los riesgos a los cuales se expone la información con el objeto de: o Determinar los controles de accesos, autenticación y utilización a ser implementados en cada caso. o Definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisión de los mismos.  Aprobar y solicitar la asignación de privilegios a usuarios.  Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso a la información.  Definir un cronograma de depuración de registros de auditoría en línea. Los Propietarios de la Información junto con la Unidad de Auditoría Interna o en su defecto quien sea propuesto por el Comité de Seguridad de la Información, definirán un cronograma de depuración de registros en línea en función a normas vigentes y a sus propias necesidades.

Los Responsable de los departamentos, junto con el Responsable de Seguridad Informática, autorizarán el trabajo remoto del personal a su cargo, en los casos en que se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la información, de modo de cumplir con las normas vigentes. Asimismo autorizarán el acceso de los usuarios a su cargo a los servicios y recursos de red y a Internet.

El Responsable del Área Informática cumplirá las siguientes funciones:  Implementar procedimientos para la activación y desactivación de derechos de acceso a las redes.  Analizar e implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servicios.  Evaluar el costo y el impacto de la implementación de “enrutadores” o “gateways” adecuados para subdividir la red y recomendar el esquema apropiado.  Implementar el control de puertos, de conexión a la red y de ruteo de red.

10


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

 Implementar el registro de eventos o actividades de usuarios de acuerdo a lo definido por los propietarios de la información, así como la depuración de los mismos.  Definir e implementar los registros de eventos y actividades correspondientes a sistemas operativos y otras plataformas de procesamiento.  Evaluar los riesgos sobre la utilización de las instalaciones de procesamiento de información, con el objeto de definir medios de monitoreo y tecnologías de identificación y autenticación de usuarios (Ej.: biometría, verificación de firma, uso de autenticadores de hardware).  Definir e implementar la configuración que debe efectuarse para cada servicio de red, de manera de garantizar la seguridad en su operatoria.  Analizar las medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.  Otorgar acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal correspondiente.  Efectuar un control de los registros de auditoría generados por los sistemas operativos y de comunicaciones.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto por el Comité de Seguridad de la Información, tendrá acceso a los registros de eventos a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. El Comité de Seguridad de la Información aprobará el análisis de riesgos de la información efectuado. Asimismo, aprobará el período definido para el mantenimiento de los registros de auditoría generados. Política Requerimientos para el Control de Acceso Política de Control de Accesos En la aplicación de controles de acceso, se contemplarán los siguientes aspectos: a) Identificar los requerimientos de seguridad de cada una de las aplicaciones. b) Identificar toda la información relacionada con las aplicaciones.

11


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

c) Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes. d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios. e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo. f) Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles.

Reglas de Control de Acceso Las reglas de control de acceso especificadas, deberán: a) Indicar expresamente si las reglas son obligatorias u optativas b) Establecer reglas sobre la premisa “Todo debe estar prohibido a menos que se permita expresamente” y no sobre la premisa inversa de “Todo está permitido a menos que se prohíba expresamente”. c) Controlar los cambios en los rótulos de información que son iniciados automáticamente por herramientas de procesamiento de información, de aquellos que son iniciados a discreción del usuario. d) Controlar los cambios en los permisos de usuario que son iniciados automáticamente por el sistema de información y aquellos que son iniciados por el administrador. e) Controlar las reglas que requieren la aprobación del administrador o del Propietario de la Información de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobación.

1. Requisitos De Negocio Para El Control De Acceso

Art.1 Los accesos a los inmuebles, deberán estar controlados loas 24 horas los 365 días del año

Art. 2 El personal de vigilancia, deberá apoyar al responsable del centro de datos para controlar el acceso al mismo.

12


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 3 Los centro de datos deberán contar con cámaras de video y estar dirigidas hacia las puertas de acceso y se colocaran de forma que se tenga una visión panorámica del mismo, para permitir una vigilancia constante por parte de personal de seguridad.

Art. 4 Queda estrictamente prohibido el ejercicio de actividades relativas al comercio y lucro para beneficio personal

Art. 5 Queda estrictamente prohibido la introducción de cualquier tipo de armas a toda persona ajena al personal de seguridad del inmueble, excepto a empresas de valores que deban de portar armas cortas en espacios cerrados o reducidos.

Art. 6 Queda prohibido por razones de seguridad, el acceso a menores de edad.

Art. 7 Queda estrictamente prohibido el acceso a personas ajenas a la institución en días de trabajo inhábiles

Art. 8 Queda prohibido el ingreso de animales o propiciar su estancia en las instalaciones de propiedad o de uso institucional.

Art. 9 Queda estrictamente prohibido la introducción, deposito y consumo de todo tipo de alimentos en los lugares de trabajo con excepción de agua embotellada.

Art. 10 Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución.

Art. 11 El área de seguridad deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área. 1.1.

Entrada Y Salida De Personal

13


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 1 En cada puesto de vigilancia y control de acceso, se tendrá un registro de las entradas y salidas del personal, visitantes, proveedores, así como una bitácora que registre material o quipos que se introduzcan o salgan del Centro de Datos . Art. 2 Sin excepción, todos los empleados deberán portar en un lugar visible la credencial vigente y autorizada para ingresar o permanecer en las instalaciones. Art. 3 Queda prohibido el préstamo o intercambio de gafetes de identificación Art. 4 En caso de no contar con la credencial vigente para ingresar a las instalaciones, el empleado deberá registrarse en el módulo de vigilancia y obtener contra entrega de una identificación oficial con fotografía, el gafete de empleado, mismo que deberá portar en un lugar visible todo el tiempo que permanezca dentro de las inhalaciones. Art. 5 Sin excepción, toda bolsa, portafolio, mochila, paquete o bulto que se pretenda introducir o sacar de las instalaciones, será sujeto a revisión por el personal de seguridad en forma física y/o utilizando la banda de rayos x. Art. 6 Queda estrictamente prohibido el acceso a las instalaciones a todo empleado en visible estado de ebriedad o bajo los efectos de drogas. Art. 7 En el caso de las áreas que requieran la fluctuación de personal por turnos , deberán de notificar y mantener actualizadas las listas de empleados autorizados.

1.2.

Entrada Y Salida De Visitantes

Art. 1 Las visitas de índole personal, podrán ser recibidas por el empleado visitado en el módulo de vigilancia del acceso principal del inmueble y tratara su asunto en esta misma área. Art. 2 El acceso de todo visitante deberá ser autorizado por el área visitada, toda vez que haya cumplido con los requisitos que indica el procedimiento de registro correspondiente. Art. 3 El personal visitado, es responsable por las acciones el proveedor durante el tiempo que este permanezca en las instalaciones, por lo que deberá escoltarlo de la entrada al lugar de reunión, durante su estancia en el inmueble y hasta el momento en que se retire. Art. 4 El personal externo que se encuentre en las instalaciones, deberá portar siempre a la vista el distintivo de visitante proporcionado por el personal de vigilancia. 14


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 5 Cuando el personal externo al centro de datos, se encuentre en las instalaciones por varios días, se le deberá asignar una credencial provisional que indique su nombre, empresa

o institución a la que pertenece, haciéndose

responsable de éste personal el líder del proyecto o evento a realizarse.

1.3.

Entrada Y Salida De Información, Material, Mobiliario Y Equipo

Art. 1 Toda persona que ingrese material, información, mobiliario y/o equipo a las instalaciones, proporcionara los datos correspondientes y mostrara el bien en cuestión a los vigilantes encargados de los accesos. Art. 2 Solo se permitirá la entrada de software y equipo de computo de propiedad particular cuando se presente la autorización por escrito y firmado por el administrador de área o por el personal registrado. Art. 3 El equipo de computo propiedad del proveedor o visitante, deberá ser registrado en el módulo de vigilancia indicando el periodo de estancia del equipo en el inmueble y estará bajo la responsabilidad de las áreas visitadas o resguardantes del mismo. Art. 4 La salida del equipo de computo propiedad

del proveedor o visitante,

deberá de ser revisado por el área visitada o resguardante del mismo , respecto a que no deberá contener información propiedad de la empresa, así, como contar con el pase de salida oficial confirmado. Art. 5 La salida del material, mobiliario o equipo solo será permitido por el medio del pase de salida oficial con firma del personal autorizado. Art. 6 Todo ingreso de dispositivos portátiles de almacenamiento de información así como CD´s, disquetes, dat´s, cintas, unidades portátiles de almacenamiento de información que utilicen alguno de los siguientes tipos de conexión: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o cualquier tipo de medio de almacenamiento de información deberá ser registrado. Art. 7 No se permitirá la salida de información impresa, dispositivos portátiles de almacenamiento de información, CD´s, disquetes, dat´s, cintas, unidades portátiles de almacenamiento de información que utilicen alguno de los siguientes tipos de conexión: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o

15


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

cualquier tipo de medio de almacenamiento de información similar sin el pase de salida avalado con firma del personal autorizado. Art. 8 Las áreas vinculadas con procesos que dependen directamente de la recepción de información y con la atención al usuario, podrán utilizar discrecionalmente los dispositivos portátiles de almacenamiento de información referidos en los anteriores artículos. Su uso y portabilidad dentro de las instalaciones institucionales , quedan bajo supervisión y responsabilidad de los encargados de las áreas de atención al usuario que corresponda. Art. 9 En otros casos y para cualquier otra área las unidades portátiles de almacenamiento a que se refieren los artículos anteriores, solo podrán ser utilizadas cuando los medios disponibles no satisfagan las necesidades de capacidad y portabilidad requeridas y siempre bajo la responsabilidad y autorización del Administrador de cada área. Art. 10 No se permitirá la entrada de grabadoras o reproductoras de audio y video, así como cámaras fotográficas salvo previa autorización del responsable del inmueble. 1.4.

Control De Acceso Para Areas Restringidas

Art. 1 Se considera área restringida propiamente a los centros de Datos (Bunker) y otras áreas que por su función deberán ser limitadas en su acceso de manera permanente o temporal Art. 2 En las áreas restringidas queda estrictamente prohibido el uso de teléfonos celulares, agendas electrónicas y demás dispositivos citados en los artículos 6, 7 y 8 del apartado anterior. Art. 3 Para las áreas restringidas no se permitirá la entrada o salida de dispositivos de almacenamiento magnético, digital o electrónico sin la autorización del área responsable. Art. 4 Toda persona que pretenda ingresar a las áreas restringidas, deberá contar con la aprobación y autorización y deberá cumplir el procedimiento de registro correspondiente. Art. 5 Toda persona o visitante que pretendan ingresar a las áreas restringidas, deberán portar su gafete

16


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 6 Solo se permitirá el acceso a las diferentes áreas restringidas con e material que sea estrictamente necesario para llevar a cabo las actividades en beneficio de la institución, lo que se deberá de verificar y autorizar previamente por el responsable del área a la cual se solicita el acceso. Art. 7 Al entrar o salir de las áreas restringidas, el vigilante del punto revisará minuciosamente y en presencia del portador, el contenido de cajas, bolsas, portafolios , botes, o cualquier contenedor similar, así como gabardinas, abrigos o cualquier atuendo voluminoso. Art. 8 Dentro del centro de datos o de procesamiento, queda estrictamente prohibido el ingreso de cualquier sustancia líquida como agua, café, refresco, limpiadores u otros líquidos. Art. 9 No se permitirá el acceso al Centro de Datos o de procesamiento con: imanes, clips, cigarros, cerillos, encendedores y materiales o maquinas similares, que, puedan causar daños a las instalaciones , información, maquinas y dispositivos que se encuentren en el. Art. 10 Queda estrictamente prohibido fumar, ingerir bebidas o alimentos, el uso de radios, transmisores o receptores de radio digitales o análogas en cualquier frecuencia, incluyendo: televisores, grabadoras, video

grabadoras, equipo

personal de computo , agendas y aparatos diversos o equipos no autorizados para el uso de telecomunicaciones, dentro del Centro de Datos. 1.5.

Sanciones

2. La primera incurrencia de Nivel 1, para la primera ocasión se hará una amonestación por escrito 3. La reincidencia a partir de la segunda ocasión será una falta de Nivel 2 y se levantará un acta administrativa 4. El incumpliendo a estos artículos deberá ser sancionado de acuerdo a su gravedad.

2. Gestión de acceso de usuario La capacidad de Gestión de Identidad y Accesos describe cómo debe gestionarse la identidad de las personas y los equipos y cómo proteger los datos de identificación 17


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

(sincronización, gestión de passwords y aprovisionamiento de usuarios), y cómo se gestionan los accesos a recursos por parte de usuarios móviles de la empresa, clientes y/o externos fuera de los límites del firewall.

Art. 1 Existencia de un mecanismo de identificación inequívoca de todos los usuarios y accesos a los recursos, basada en la aportación de credenciales gestionadas por medio de tecnologías de seguridad y cifrado (login y password, certificados digitales, dispositivos especiales biométricos, etc). Art. 2 Existencia de un repositorio unificado de identidades que se aplican de forma homogénea a todo el ámbito de IT de la organización para la validación de accesos y gestión de permisos sobre los recursos. Art. 3 Existencia de un servicio de directorio que contenga la información de identidad y permita su uso en otros ámbitos (correo, mensajería instantánea, etc). Art. 4 Organización del acceso a los recursos de manera centralizada empleando roles de actividad u otros criterios de agrupamiento. Art. 5 Existencia de mecanismos de propagación de los permisos y privilegios de acceso a recursos a través de la red de manera automática, mediante directivas de ámbito corporativo. Art. 6 Existencia de medios de autoaprovisionamiento de recursos para cuentas de usuario Art. 7 Existencia de mecanismos de federación de la identidad para permitir el acceso de usuarios externos a la propia organización a ciertos recursos para fines de trabajo en equipo.

2.2.

Registro De Usuario

El Responsable de Seguridad Informática definirá un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de información multiusuario, el cual debe comprender: Art. 1 Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser

18


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas. Art. 2 Verificar que el usuario tiene autorización del Propietario de la Información par el uso del sistema, base de datos o servicio de información. Art. 3 Verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario y es coherente con la Política de Seguridad del Organismo, por ejemplo, que no compromete la separación de tareas. Art. 4 Entregar a los usuarios un detalle escrito de sus derechos de acceso. Art. 5 Requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las condiciones para el acceso. Art. 6 Garantizar que los proveedores de servicios no otorguen acceso hasta que se hayan completado los procedimientos de autorización. Art. 7 Mantener un registro formal de todas las personas registradas para utilizar el servicio. Art. 8 Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se desvincularon del Organismo o sufrieron la pérdida/robo de sus credenciales de acceso. Art. 9 Efectuar revisiones periódicas con el objeto de: o

Cancelar identificadores y cuentas de usuario redundantes

o

Inhabilitar cuentas inactivas por más de (indicar período no mayor a 60 días)

o

Eliminar cuentas inactivas por más de (indicar período no mayor a 120 días)

En el caso de existir excepciones, deberán ser debidamente justificadas y aprobadas. Art. 10 Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios. Art. 11 Incluir cláusulas en los contratos de personal y de servicios que especifiquen sanciones si el personal o los agentes que prestan un servicio intentan accesos no autorizados.

19


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

2.3.

12 de diciembre de 2009

Gestión De Privilegios

Se limitará y controlará la asignación y uso de privilegios, debido a que el uso inadecuado de los privilegios del sistema resulta frecuentemente en el factor más importante que contribuye a la falla de los sistemas a los que se ha accedido ilegalmente. Los sistemas multiusuario que requieren protección contra accesos no autorizados, deben prever una asignación de privilegios controlada mediante un proceso de autorización formal. Se deben tener en cuenta los siguientes pasos: Art. 1 Identificar los privilegios asociados a cada producto del sistema, por ejemplo sistema operativo, sistema de administración de bases de datos y aplicaciones, y las categorías de personal a las cuales deben asignarse los productos. Art.2 Asignar los privilegios a individuos sobre la base de la necesidad de uso y evento por evento, por ejemplo el requerimiento mínimo para su rol funcional. Art.3 Mantener un proceso de autorización y un registro de todos los privilegios asignados. Los privilegios no deben ser otorgados hasta que se haya completado el proceso formal de autorización. Art. 4 Establecer un período de vigencia para el mantenimiento de los privilegios (en base a la utilización que se le dará a los mismos) luego del cual los mismos serán revocados. Art. 5 Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios. Los Propietarios de Información serán los encargados de aprobar la asignación de privilegios a usuarios y solicitar su implementación, lo cual será supervisado por el Responsable de Seguridad Informática. 2.4.

Gestión De Contraseñas De Usuario

Art. 1 Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario y password necesarios para acceder a la información y a la infraestructura tecnológica de la empresa, por lo cual deberá mantenerlo de forma confidencial.

20


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 2 El acceso a la infraestructura tecnológica de la institución, para personal externo debe ser autorizado al menos por un administrador de proyectos, quien deberá notificarlo a la Dirección General de Informática quien será el encargado de habilitará. Art. 3 Esta prohibido que los usuarios utilicen la infraestructura tecnológica de la institución para obtener acceso no autorizado a la información u otros sistemas de información de la empresa. Art. 4 Todos los usuarios de servicios de información son responsables por el UserID y password que recibe para el uso y acceso de los recursos Art. 5 Todos los usuarios deberán autenticarse por los mecanismos de control de acceso provistos por la Dirección General Informática antes de poder usar la infraestructura tecnológica de la institución. Art. 6 Los usuarios no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnológica de la institución, a menos que se tenga la autorización del dueño de la información y de la Dirección General Informática. Art. 7 Cada usuario que acceda a la infraestructura tecnológica de la institución debe contar con un identificador de usuario (UserID) único y personalizado. Por lo cual no está permitido el uso de un mismo UserID por varios usuarios. Art. 8 Los usuarios son responsables de todas las actividades realizadas con su identificador de usuario (UserID). Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tienen prohibido utilizar el UserID de otros usuarios. Art. 9 Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la infraestructura tecnológica de la institución, deberán ser notificados a Mesa de Ayuda con el visto bueno de su administrador del área. Art. 10 Los usuarios deberán mantener sus equipos de cómputo con controles de acceso como passwords y protectores de pantalla (screensaver) previamente instalados y autorizados por la Dirección General de Informática cuando no se encuentren en su lugar de trabajo. Art. 11 La asignación del password debe ser realizada de forma individual, por lo que el uso de passwords compartidos está prohibido. 21


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 12 Cuando un usuario olvide, bloquee o extravíe su password, deberá levantar un reporte al Centro de Atención a Usuarios (CAU) para que se le proporcione un nuevo password y una vez que lo reciba deberá cambiarlo en el momento en que acceda nuevamente a la infraestructura tecnológica. Art. 13 La obtención o cambio de un password debe hacerse de forma segura, el usuario deberá acreditarse ante el Centro de Información como empleado de la institución. Art. 14 Esta prohibido que los passwords se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. Art. 15 Sin importar las circunstancias, los passwords nunca se deben compartir o revelar. Hacer esto responsabiliza al usuario que prestó su password de todas las acciones que se realicen con el mismo. Art. 16 Todos los usuarios deberán observar los siguientes lineamientos para la construcción de sus passwords: •

Deben estar compuestos de al menos seis (6) caracteres y máximo diez (10), estos caracteres deben ser alfanuméricos.

Deben ser difíciles de adivinar, esto implica que los passwords no deben relacionarse con el trabajo o la vida personal del usuario, y no deben contener caracteres que expresen listas secuenciales y caracteres de control.

No deben ser idénticos o similares a passwords que hayan usado previamente.

22


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 17 El password tendrá una vigencia de 90 días, finalizando este periodo el usuario recibe una solicitud electrónica de cambio de contraseña. Art. 18 Todo usuario que tenga la sospecha de que su password es conocido por otra persona, deberá cambiarlo inmediatamente. Art. 19 Los usuarios no deben almacenar los passwords en ningún programa o sistema que proporcione esta facilidad. Art. 20 Los cambios o desbloqueo de passwords solicitados por el usuario al Centro de Información, serán notificados con posterioridad por correo electrónico al solicitante con copia al Director General correspondiente, de tal forma que se pueda detectar y reportar cualquier cambio no solicitado. 2.5.

Revisión De Los Derechos De Acceso De Usuario

A fin de mantener un control eficaz del acceso a los datos y servicios de información, el Propietario de la Información de que se trate llevará a cabo un proceso formal, a intervalos regulares de (indicar periodicidad no mayor a 6 meses), a fin de revisar los derechos de acceso de los usuarios. Se deberán contemplar los siguientes controles: Art. 1 Revisar los derechos de acceso de los usuarios a intervalos de (especificar tiempo no mayor a 6 meses). Art. 2 Revisar las autorizaciones de privilegios especiales de derechos de acceso a intervalos de (especificar tiempo no mayor a 3 meses). Art. 3 Revisar las asignaciones de privilegios a intervalos de (especificar tiempo no mayor a 6 meses), a fin de garantizar que no se obtengan privilegios no autorizados.

3. Responsabilidades Del Usuario

3.2.

Uso de contraseñas

Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de contraseñas. Las contraseñas constituyen un medio de validación y autenticación de la identidad de un usuario, y consecuentemente un medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de información. 23


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Los usuarios deben cumplir las siguientes directivas:

Art. 1 Mantener las contraseñas en secreto. Art. 2 Pedir el cambio de la contraseña siempre que exista un posible indicio de compromiso del sistema o de las contraseñas. Art. 3 Seleccionar contraseñas de calidad, de acuerdo a las prescripciones informadas por el Responsable del Activo de Información de que se trate, que: 1. Sean fáciles de recordar. 2. No estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente mediante información relacionada con la persona, por ejemplo nombres, números de teléfono, fecha de nacimiento, etc. 3. No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos. Art. 4. Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseñas. Art. 5. Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”). Art. 6. Evitar incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro. Art. 7. Notificar oportunamente cualquier incidente de seguridad relacionado con sus contraseñas: pérdida, robo o indicio de pérdida de confidencialidad. Art. 8. Las cuentas de usuario son personales, en ningún momento deben ser utilizadas por personal ajeno al que le fue asignada. Art. 9. Las contraseñas deben ser memorizadas desde el mismo momento en que le es asignada. Art. 10. Se desechará, toda documentación que tenga que ver con información relacionada a su cuenta de usuario, minutos después de habérsele entregado y siempre que haya sido memorizada o resguarda su información. Art. 11. Es importante que el usuario establezca contraseñas fuertes y desligadas de su vida personal o de su entorno familiar o no emplean do formatos comunes de fechas. Art. 12. Toda falla en el equipo debe ser documentado por el operador de las estación de trabajo. 24


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Si los usuarios necesitan acceder a múltiples servicios o plataformas y se requiere que mantengan múltiples contraseñas, se notificará a los mismos que pueden utilizar una única contraseña para todos los servicios que brinden un nivel adecuado de protección de las contraseñas almacenadas y en tránsito.

3.3.

Equipo de usuario desatendido

Los usuarios deberán garantizar que los equipos desatendidos sean protegidos adecuadamente. Los equipos instalados en áreas de usuarios, por ejemplo estaciones de trabajo o servidores de archivos, requieren una protección específica contra accesos no autorizados cuando se encuentran desatendidos.

El Responsable de Seguridad Informática debe coordinar con el Área de Recursos Humanos las tareas de concientización a todos los usuarios y contratistas, acerca de los requerimientos y procedimientos de seguridad, para la protección de equipos desatendidos, así como de sus funciones en relación a la implementación de dicha protección.

Los usuarios cumplirán con las siguientes pautas: Art. 1. Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contraseña. Art. 2. Proteger las PC’s o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso cuando no se utilizan.

3.4.

Política de puesto de trabajo despejado y pantalla limpia

Art. 1. El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto. Art. 2. La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable.

25


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 3. El usuario es parte esencial en la seguridad de la red institucional, su experiencia como operador en las estaciones de trabajo es de suma importancia para el comité de seguridad. Art. 4. El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas. Art. 5. El usuario deberá estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña. Art. 6. El usuario deberá ser precavido al manipular su cuenta de acceso a los sistemas, tomando medidas de seguridad que no pongan en riesgo su integridad como persona.

4. Control de acceso a Red

Será considerado como un ataque a la seguridad informática y una falta grave, cualquier actividad no autorizada por la Dirección General de Informática, en la cual los usuarios realicen la exploración de los recursos informáticos en la red, así como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible vulnerabilidad. El Responsable de Seguridad Informática definirá controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo, contra el acceso no autorizado, considerando la ejecución de las siguientes acciones:

Art. 1. Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el responsable establecido en el punto “Asignación de Responsabilidades en Materia de Seguridad de la Información”. Art. 2. Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas. Art. 3. Garantizar mediante actividades de supervisión, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información. El Responsable del Área Informática implementará dichos controles. 26


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 4. Dado el carácter unipersonal del acceso a la Red, el departamento de Cómputo verificará el uso responsable, de acuerdo al Reglamento para el uso de la red. Art. 5. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cómputo. Art 6. Todo el equipo de cómputo que esté o sea conectado a la Red, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cómputo.

4.2.

Política de Acceso a Usuarios Internos a la Red

Objetivo Este documento describe las políticas bajo las cuales personal interno podrá hacer uso de la red.

Alcance Esta política es aplicable a todas las conexiones de acceso a recursos informáticos públicos y no públicos.,

Política Análisis de seguridad Todas las solicitudes para conectar equipos de cómputo a la red deberán de ser revisadas por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de seguridad establecidos.

Instalación de equipo de cómputo Todos los equipos que sean instalados en la Red, deberán de contar con todas las actualizaciones de Microsoft así como tener instalado el cliente de antivirus Symantec y será necesario ingresar al usuario al dominio.

Acceso a Servicios Informáticos 27


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Todas las solicitudes de conexión para los servicios informáticos deberán de ser mediante correo electrónico y por el jefe inmediato del interesado. Estableciendo conectividad Todos los accesos a los servicios informáticos, deberán basarse en el principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado. Modificación de conexión y acceso Todos los cambios de acceso deben ir acompañados de una justificación válida relacionada y apegada al análisis de seguridad.

Fin de acceso Cuando ya no se requiera el acceso a los servicios informáticos, será necesario que se notifique mediante un correo electrónico y por el jefe inmediato al administrador de la red LAN para poder restringir el acceso a los servicios.

Se deberá realizar una auditoria anual de las conexiones permitidas con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen más deberán ser finalizadas inmediatamente.

Si existe un incidente de seguridad o se identifica que un acceso a la red indebido, será necesario una modificación a los permisos actuales, o en efecto, que se de fin a la conexión.

Aplicación Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos.

28


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

4.3.

12 de diciembre de 2009

Política de Acceso a Usuarios Externos a la Red

Objetivo Este documento describe las políticas bajo las cuales personal externo (proveedores, consultores, outsourcing, etc.), podrán conectarse a la red con fines exclusivos de proporcionar algún servicio. Alcance Esta política es aplicable a todas las conexiones entre terceros que requieran acceso a recursos informáticos no públicos, sin importar el tipo de tecnología que se esté utilizando para este fin. Política Análisis de seguridad Todas las solicitudes de terceros para conectar equipos de cómputo a la red deberán ser revisados por el área de tecnología. En esta revisión, el área, deberá asegurarse de que las conexiones cumplan con los requisitos de seguridad que se han establecido.

Acuerdo de conexión de terceros Todas las solicitudes de conexión entre terceros hacia los equipos y sistemas requieren que se establezca un acuerdo firmado tanto por el responsable legal del tercero en cuestión, así como por el Gerente de Tecnología.

Casos de uso para propósito del negocio Todas las conexiones hacia los recursos de cómputo y comunicaciones deberán estar justificadas por escrito; dicha documentación deberá ser aprobado por el área de tecnología, así como las condiciones de operación de las mismas. Estos requerimientos serán integrados como parte de la documentación de convenio o contratación de los servicios del tercero.

Punto de contacto 29


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

La persona designada que funge como contacto representa a su organización y es el responsable del cumplimiento de esta política y del acuerdo firmado por ambas partes en donde se le involucre.

En caso de que el contacto cambie, se le deberá notificar al área de tecnología de la organización. Estableciendo conectividad El solicitante debe proporcionar la información completa de la propuesta para controlar el acceso a los recursos de información de la organización de los terceros.

El solicitante que desee establecer conexión con terceros, deberán realizar una nueva solicitud al Administrador de la red LAN en cuestión. Este a su vez evaluará junto con el área de Tecnología los requerimientos de seguridad inherentes a la solicitud.

Todas las conexiones solicitadas como VPN, Wireless y Red LAN, deberán basarse en el principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado.

Bajo ninguna circunstancia, la organización confiará en terceros para proteger la red o los sistemas de información del Fondo. Modificación de conexión y acceso Todos los cambios de acceso deben ir acompañados de una justificación válida relacionada y apegada al análisis de seguridad. El solicitante es el responsable de notificar al área de tecnología del Fondo.

Fin de acceso Notifique al área de tecnología sobre el estatus de la conexión para negar su acceso. En el mejor de los casos, esto puede significar una modificación de permisos existentes hasta un bloqueo permanente a la red.

30


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

El área de tecnología deberá realizar una auditoría anual de las conexiones permitidas con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen más para asuntos relacionados a la organización, deberán ser finalizadas inmediatamente. Si existe un incidente de seguridad o se identifica que un acceso a la red ha sido negado, mismo que ya no será requerido para tratar asuntos relacionados con la organización; será necesario una modificación a los permisos actuales, o en efecto, que se de fin a la conexión. En este caso, el área de tecnología o el administrador de la red LAN, deberán dar aviso al contacto o al patrocinador.

Aplicación Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos por el área de tecnología. Los terceros que violen los lineamientos de esta política serán sancionados con la terminación de su contrato de servicio. finición

Termino Solicitante

Definición Personal o Departamento de la organización que solicita que un tercero tenga acceso a la red y a los recursos de cómputo del Fondo.

Tercero

Organización o persona física que no forma parte o es subsidiaria

Término Definición 5. Control De Acceso Al Sistema Operativo 5.2.

Procedimientos seguro de inicio de sesión

A fin de mantener un control eficaz del acceso a los datos y servicios de información, el Propietario de la Información de que se trate llevará a cabo un proceso formal, a intervalos regulares de un mes, a fin de revisar los derechos de acceso de los usuarios. Para lo cual se deberán contemplar los siguientes controles

Art. 1. Revisar los derechos de acceso de los usuarios cada mes. Art. 2. Revisar las autorizaciones de privilegios especiales de derechos de acceso cada mes. 31


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 3. Revisar las asignaciones de privilegios cada mes, a fin de garantizar que no se obtengan privilegios no autorizados. Art. 4. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema. Art. 5. Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario, evitará dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la estación de trabajo.

5.3.

Identificación y autenticación de usuarios

Todos los usuarios (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrán un identificador único (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los identificadores de usuario no darán ningún indicio del nivel de privilegio otorgado.

En circunstancias excepcionales, cuando existe un claro beneficio para el Organismo, podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea específica. Para casos de esta índole, se documentará la justificación y aprobación del Propietario de la Información de que se trate.

Si se utilizará un método de autenticación físico (por ejemplo autenticadores de hardware), deberá implementarse un procedimiento que incluya: a) Asignar la herramienta de autenticación. b) Registrar los poseedores de autenticadores. c) Rescatar el autenticador al momento de la desvinculación del personal al que se le otorgó. d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.

Art. 1. La identificación del usuario se hará a través del formulario que le proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma impresa 32


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

de la persona que tendrá acceso al sistema o se acreditará con su cuenta de usuario. Art. 2. Cualquier petición de servicio, por parte de personal de la empresa o ajeno a la misma, no se concederá sino es mediante la aprobación de la política de acceso y prestación de servicio. Art. 3. La cuenta temporal es usada únicamente con propósitos legales y de ejecución de tareas, por olvido de la información de la cuenta personal.

Art. 4. La cuenta temporal es únicamente acreditable, si se proporciona la información necesaria para su uso. Art. 5. Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa verificación o asignación de una nueva cuenta, al usuario propietario de la cuenta a eliminar. Art. 6. El par usuario/contraseña temporal, será eliminada del sistema como tal, por el gestor de seguridad, en el preciso momento en que sea habilitada una cuenta personal para el usuario que haya solicitado su uso. Art. 7. El sistema no aceptará contraseñas con una longitud menor a la expresada en la política de creación de contraseñas. Art. 8. Los usuarios darán un seguimiento estricto sobre las políticas de creación de contraseñas, acatando sus disposiciones en su totalidad. Art. 9. El sistema revocará toda contraseña con una longitud mayor a la expresada en la política de creación de contraseñas. Art. 10. El usuario se responsabiliza en crear una contraseña fuerte y difícil de adivinar. Art. 11. Se recomienda utilizar una frase coma base para la creación de la contraseña, tomando la letra inicial de cada palabra. Por ejemplo: “El azar favorece una mente brillante” <<EaFUmB>>

5.4.

Sistema de gestión de contraseña

Las contraseñas constituyen uno de los principales medios de validación de la autoridad de un usuario para acceder a un servicio informático. Los sistemas de administración de contraseñas deben constituir una herramienta eficaz e interactiva que garantice contraseñas de calidad. 33


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

El sistema de gestión de contraseñas debe: a) Imponer el uso de contraseñas individuales para determinar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso. c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de Contraseñas”. d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”. e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas. f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas. g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación. i)

Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional.

j)

Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.).

k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida.

Art. 1. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red la empresa, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario.

34


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 2. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de información de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de identidad personal. Art.3. La longitud mínima de caracteres permisibles en una contraseña se establece en 6 caracteres, los cuales tendrán una combinación alfanumérica, incluida en estos caracteres especiales. Art. 4. La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres, siendo esta una combinación de Mayúsculas y minúsculas. 5.5.

Responsabilidades del usuario

Art. 1. El usuario es responsable exclusivo de mantener a salvo su contraseña. Art. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. Art. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro. Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Gestor de Seguridad, que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario. Art. 5. El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con alguna característica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaños o alguna otra fecha importante. Art. 6. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la información almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contraseña, el cual deberá activarse en el preciso momento en que el usuario deba ausentarse. Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos de la institución, está obligado a reportarlo a los administradores del sistema o gestor de seguridad. 5.6.

Uso de los recursos del sistema

Servidores 35


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Art. 3. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador. Art. 4. Los administradores de servicios, tendrán acceso único a los módulos de configuración de las respectivas aplicaciones que tienen bajo su responsabilidad. Art. 5. Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente.

Monitoreo del acceso y uso del sistema Art. 1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de información y uso de la red, mediante archivos de Log o bitácoras de sistemas.

Art. 2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada, aplicación implicada en el proceso, intentos de conexión fallidos o acertados, archivos a los que se tuvo acceso, entre otros.

Art. 3. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra terminal. Mantenimiento Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informática, o del personal de soporte técnico.

Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y verificable por el gestor de seguridad.

Art. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalación.

36


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Uso de Utilitarios de Sistema La mayoría de las instalaciones informáticas tienen uno o más programas utilitarios que podrían tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Es esencial que su uso sea limitado y minuciosamente controlado. Se deben considerar los siguientes controles:

Art. 1. Utilizar procedimientos de autenticación para utilitarios del sistema.

Art. 2. Separar entre utilitarios del sistema y software de aplicaciones.

Art. 3. Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados. Art. 4. Evitar que personas ajenas al Organismo tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas. Art. 5. Establecer autorizaciones para uso ad hoc de utilitarios de sistema. Art. 6. Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado. Art. 7. Registrar todo uso de utilitarios del sistema. Art. 8. Definir y documentar los niveles de autorización para utilitarios del sistema. Art. 9. Remover todo el software basado en utilitarios y software de sistema innecesarios.

5.7.

Desconexión automática de sesión

El Responsable de Seguridad Informática, junto con los Propietarios de la Información de que se trate definirán cuáles se consideran terminales de alto riesgo, por ejemplo áreas públicas o externas fuera del alcance de la gestión de seguridad de la empresa, o que sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido de inactividad, tiempo muerto, para evitar el acceso de personas no autorizadas. Esta herramienta de desconexión por tiempo muerto deberá limpiar la pantalla de la terminal y deberá cerrar tanto la sesión de la aplicación como la de red. El lapso por tiempo muerto responderá a los riesgos de seguridad del área y de la información que maneje la terminal. 37


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Para las PC’s, se implementará la desconexión por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red.

Por otro lado, si un agente debe abandonar su puesto de trabajo momentáneamente, activará protectores de pantalla con contraseñas, a los efectos de evitar que terceros puedan ver su trabajo o continuar con la sesión de usuario habilitada. 5.8.

Limitación del tiempo de conexión

Las restricciones al horario de conexión deben suministrar seguridad adicional a las aplicaciones de alto riesgo. La limitación del periodo durante el cual se permiten las conexiones de terminales a los servicios informáticos reduce el espectro de oportunidades para el acceso no autorizado. Se implementará un control de esta índole para aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo, por ejemplo áreas públicas o externas que estén fuera del alcance de la gestión de seguridad de la empresa.

Entre los controles que se deben aplicar, se enuncian:

Art. 1. Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas periódicas de corta duración.

Art. 2. Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.

Art. 3. Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional.

38


12 de diciembre de 2009

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

6. Implementación de la seguridad

6.1.

Introducción

El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarnos más a la toma de acciones dentro de nuestra organización. Dichas acciones deben llevar un orden adecuado que permita una utilidad real para nuestra empresa. El siguiente artículo menciona algunas consideraciones importantes al respecto.

La política de seguridad en la empresa es una cosa, implementarla es algo completamente distinto. En el artículo del autor Charles Cressonwood titulado "Policies: The Path to Less Pain & More Gain", publicado en la fuente mostrada al final de este párrafo, se muestran los resultados

de

una

encuesta, en la cual se demuestra que una compañía que cuenta con una política de seguridad implantada puede tener tantos o más problemas que aquella que no la tiene, lo que sugiere fallos en su implementación.

Fuente consultada: http://www.infosecuritymag.com/articles/1999/augcover.shtml

6.1.1. Objetivos La importancia del plan de implementación de seguridad

en

la

empresa, que permita que la ejecución del mismo sea un éxito. Revisar ejemplos de acciones a tomar dentro de la empresa, con el fin de tener una mayor base para la selección de dichas acciones en nuestra propia implementación.

39


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

6.1.2. Importancia de la Implementación

Después de conocer las amenazas y puntos débiles del ambiente, adquiridos en el análisis de riesgos, o después de la definición formal de las intenciones y actitudes de la organización que están definidas en la política de seguridad de la información, debemos tomar algunas medidas para la implementación de

las acciones de seguridad

recomendadas o establecidas

Recordemos que las amenazas son agentes capaces de explotar fallos de seguridad, que denominamos puntos débiles y, como consecuencia de ello, causan pérdidas o daños a los activos de una empresa y afectan sus negocios.

No basta conocer las fragilidades del ambiente o tener una política de seguridad escrita. Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la información, configurar los ambientes etc. Debemos elegir e implementar cada medida de protección, para contribuir con la reducción de las vulnerabilidades.

Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propósitos definidos. Estos propósitos tienen que ser muy claros

6.1.3. Consideración de la aplicación Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las vulnerabilidades existentes en los activos de la empresa

Son varias las medidas de protección que recomendamos para la reducción

de las

vulnerabilidades de la información. Entre otras: •

Protección contra virus 40


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Implementación de firewalls

Control de acceso a los recursos de la red

Control de acceso físico

Sistemas de vigilancia

Detección y control de invasiones

Políticas generales o específicas de seguridad

Equipos

Configuración de ambientes

Entrenamiento

Campañas de divulgación

Planes de continuidad

Clasificación de la información

VPN - Virtual Private Network

Acceso remoto seguro

Monitoreo y gestión de la seguridad

ICP - Infraestructura de llaves públicas

12 de diciembre de 2009

No olvidemos que el objetivo de la implementación de las medidas de seguridad excede los límites

de

la

informática,

definida

en

el

diccionario

como

"la

ciencia que tiene en vista el tratamiento de la información a través del uso de

equipos

y

procedimientos

del

área

de procesamiento de datos". Por ello

debemos comprender los ambientes que tratan de la información, no sólo en los medios electrónicos, sino en los convencionales.

Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si los usuarios las comparten o escriben en recados y las pegan al lado de su monitor.

6.1.4. Consideración de la Implementación

A continuación incluimos algunas acciones a considerarse en la implementación de la seguridad de la información. Consideraciones en la implementación de acciones de seguridad de la información: 41


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

a. Plan de Seguridad A partir de la política de seguridad, se definen qué acciones deben implementarse (herramientas de software o hardware, campañas de toma de conciencia, entrenamiento etc.), para alcanzar un mayor nivel de seguridad. Estas acciones deben estar incluidas en un plan de seguridad para dar prioridad a las acciones principales en términos de su impacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementación, para establecer así las acciones de corto, mediano y largo plazo.

b. Plan de acción Una vez definido y aprobado el plan de seguridad, se parte hacia la definición del plan de acción para las medidas que se deben implementar. c. Recomendaciones de los fabricantes Es muy importante que las recomendaciones de los fabricantes de los productos sean conocidas antes de la implementación. d. Soporte Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la ejecución de determinadas actividades. e. Planificación de la implantación Algunas de las cosas a implantar (aplicaciones, equipos, campañas de divulgación y toma de conciencia entre otras) pueden durar varios días y afectar a varios ambientes, procesos y personas de la organización. En esos casos, siempre es útil una planificación por separado.

f. Plataforma de Pruebas En algunos casos, una plataforma de pruebas es necesaria para evaluar la solución y reducir los posibles riesgos sobre el ambiente de producción. g. Metodología de Implementación Al realizar la implementación propiamente dicha, es muy importante seguir una 42


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

metodología, que: defina cómo dar los pasos necesarios para ejecutar un plan de acción mantenga un mismo estándar de calidad en la implementación sin importar quién lo esté ejecutando.

Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la implementación y, en caso de dificultades, saber qué acciones tomar y quién debe ser notificado. h. Registro de Seguridad Después de la implementación de una nueva medida de seguridad, es importante mantener el registro de lo que fue implementado. Se deben registrar informaciones como: •

lo que fue implementado (herramienta, entrenamiento etc.);

cuáles son los activos involucrados;

qué dificultades fueron encontradas y

cómo fueron superadas; hasta qué punto se alcanzó el objetivo esperado, etc.

Este registro tiene dos objetivos principales: mantener el control de todas las medidas implementadas y aprovechar la experiencia acumulada. i.

Monitoreo y Administración del Ambiente

La administración de un ambiente seguro involucra a todo un ciclo de macro actividades. Como lo mencionamos, la primera fase de ese ciclo es el análisis de riesgos, donde se conoce el ambiente y lo que se debe implementar. Además vimos también los aspectos relacionados con la política

de

seguridad

abordaremos

la

y

actualmente

implementación

de

medidas de seguridad.

Es

necesario

monitorear

los

activos, 43


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

desde la medición constante de indicadores que muestren qué tan eficaces son las medidas adoptadas y lo que se necesita cambiar. A partir de la lectura de esos indicadores, se hace otro análisis de riesgos y se comienza el ciclo otra vez (ver diagrama adjunto).

El éxito de una implementación de seguridad sólo se alcanza al buscar la administración efectiva de todo el ciclo. qué dificultades fueron encontradas y cómo fueron superadas; hasta qué punto se alcanzó el objetivo esperado, etc.

Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos. •

En el caso de las pruebas, podemos mencionar la implantación de un laboratorio para revisar diferentes soluciones antivirus, que nos permita valorar su eficacia y facilidad de administración.

También es necesario revisar con cuidado los documentos provenientes de los fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por ejemplo, la manera correcta de instalar un servidor, saber cuánto espacio, temperatura y demás características son necesarias.

En el caso del monitoreo, existen algunas aplicaciones que permiten identificar el desempeño de un servidor de base de datos, y con esto nos damos cuenta si las medidas de seguridad tomadas a favor de dicho desempeño fueron de verdadera utilidad.

6.2.

Plan de seguridad

El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada acción los siguientes puntos que enseguida se describen brevemente. Para mayor claridad añadimos un ejemplo de cada uno de los puntos.

Si no sabemos con cuáles recursos contamos, no podemos realizar una planeación adecuada de nuestra implantación de seguridad en la empresa, por ello hay que analizar con cuidado los recursos con los que contamos.

44


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Siguiendo con el mismo tema, enseguida daremos una información adicional de algunos tipos de recursos: Los recursos humanos

El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialistas. Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al objeto del trabajo, las tareas, método, plazos, etc. Pero es importante recordar que también es necesario: •

Comprometer a los responsables por la liberación de los recursos humanos con el éxito del plan.

Mantener elevada la moral de los equipos.

Facilitar la relación.

Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilidad, etc.

Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos.

Integrar y sintetizar conocimientos.

Suministrar toda la información complementaria.

Conocer y saber utilizar los recursos disponibles.

Los recursos materiales

Necesitamos contar con el equipo adecuado, que nos facilite la realización de las tareas en materia de seguridad, de esto depende que se realicen dichas actividades con el impacto necesario.

Recordatorios importantes •

Seleccionar y utilizar recursos que estén de acuerdo con la modalidad de la tarea.

Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.

Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo. •

Leer con

atención las orientaciones para el acceso y la utilización de los 45


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

recursos materiales y orientar los equipos en lo que se refiere a su manipulación. •

Cuidar el mantenimiento de los recursos seleccionados para que estén siempre en orden cuando sean necesarios.

Los recursos financieros

Además del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos a contar es importante para dimensionar la capacidad de inversión en materia de seguridad, tanto para la compra de nuevos activos como para la contratación de personal o capacitación, en caso de ser necesario.

Recordatorios importantes •

Hacer la previsión presupuestaria y financiera.

Establecer un sistema de control de los gastos.

Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proceso para reducir los costos.

Dar preferencia a recursos que se utilicen en más de una tarea. Eso ayuda al proceso a su economía.

Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de tal manera que se realicen más en menor tiempo sin, por otro lado, perjudicar la calidad

Después de todo el análisis que realizamos hasta ahora, es importante revisar el cronograma sobre las tareas en materia de seguridad. A continuación revisaremos lo relevante a este concepto

46


12 de diciembre de 2009

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Cronograma

Todo plan exige un cronograma. En él deben estar indicadas las actividades y tareas, responsables, plazos, subordinación de las etapas y/o indicación de las que se pueden

realizar

simultáneamente, o de forma independiente si es el caso. En

ese cronograma también indicamos la periodicidad de la evaluación

durante el

proceso y otros marcos importantes.

Considerando que el plan puede sufrir alteraciones

en el transcurso

de su

ejecución, es interesante fijar una línea de base inicial de la planificación para fines de control.

Una herramienta recomendada es MS PROJECT con la cual podemos controlar todo su plan. Veamos la imagen que se muestra enseguida:

Para mayor referencia dirigirse al documento Proyecto Politicas de Seguridad.mpp

47


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

RECOMENDACIONES •

Crear un Sistema de Gestión de Seguridad de la Información, que supervise y normalice, toda actividad relacionada con la seguridad informática.

Aprobar y poner en marcha el manual de políticas y normas de seguridad informática.

Actualizar de forma constante, transparente y de acuerdo a las necesidades existentes al momento, el manual de normas y políticas de seguridad informática.

Asignar presupuesto para la gestión de seguridad de la información, independiente de la unidad de informática.

Asignar personal al área de seguridad de la información.

Crear un comité de seguridad de la información.

Involucrar tanto personal técnico, como directivos de la institución, o a la alta gerencia en temas de seguridad.

Fijar objetivos para la salvaguarda de la información.

Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y parte de la institución.

Dar seguimiento a estándares internacionales sobre temas de seguridad de la información.

Realizar pruebas de intrusión, locales y externas por personal de la institución, de forma periódica.

48


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

Contratar los servicios de terceros (Hacking ético), para ejecutar pruebas completas de intrusión a los sistemas de la red institucional.

Capacitar los empleados de la institución, en temas de seguridad, adoptando un estricto control de las técnicas más comunes de persuasión de personal (Ingeniería Social).

El departamento de recursos humanos, deberá constatar, una clara y eficiente información sobre el individuo en proceso de reclutamiento, referente a problemas o situaciones anómalas con otras empresas o en el menor de los casos una solvencia judicial.

Conclusiones  La implementación a mediano y largo plazo de aquellos aspectos que así lo exijan para lograr un nivel de seguridad óptimo, como por ejemplo la introducción de medios técnicos de seguridad, modificación de locales, etc.  La preparación y capacitación del personal en materia de seguridad informática, según su participación en el sistema diseñado, ya sea a través de cursos específicos, mediante la impartición de materias relacionadas con el tema u otras medidas de divulgación.  La organización y ejecución de pruebas, inspecciones y auditorías (internas y externas) para asegurar la continuidad de la integridad funcional del Sistema de Seguridad Informática existente, mencionando con qué frecuencia se realizan, quienes participan y el contenido de las mismas.  Todas las acciones en las que se comprometa la seguridad de la organización y que no estén previstas en esta política, deberán ser revisadas por la Dirección General y la Dirección de Informática para dictar una resolución sujetándose al estado de derecho.  Se describirán las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la organización.

49


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

12 de diciembre de 2009

 A partir de los resultados obtenidos en el análisis de riesgos, se determinarán las acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad de ocurrencia en caso de materializarse, así como para la recuperación de los procesos, servicios o sistemas afectados, precisando en cada caso:  Que acciones se deben realizar.  Quién las realiza.  En qué momento debe realizarlas.  Como debe realizarlas.  De qué recursos debe disponer.

Referencias Bibliográficas Secretaria de Hacienda y Crédito Público. SAT – Servicio de administración Tributaria. “Manual de seguridad Física y Lógica” (Julio de 2006) Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.

50

Norma 27000  

Norma ISO 27000 proteccion de datos

Read more
Read more
Similar to
Popular now
Just for you