Politicas de Seguridad Info
Short Description
Download Politicas de Seguridad Info...
Description
UNIVERSIDAD CATOLICA DE EL SALVADOR CENTRO REGIONAL ILOBASCO
INGENIERIA EN SISTEMAS INFORMATICOS CICLO I-2014 Administración de servidores
Trabajo: Políticas de seguridad informática
Catedrático: Ricardo Ernesto Ayala Vásquez
Integrantes: Jorge Daniel García Francis Alirio Castro Yessenia Marisol Noyola Jonathan Atilio Chavez
Febrero, 26 de 2014
INDICE Contenido INTRODUCCION ..............................................................................................................................
3
OBJETIVOS ......................................................................................................................................
5
Terminología ....................................................................................................................................
6
Política...........................................................................................................................................
6
................ ................. .................. ................. .................. ................. .................. ............... 6 Estándar ................
¿Por qué tener políticas por escrito? .......................................................................................
8
Etapas en el desarrollo de una política de seguridad informática ....................................
8
Practicas recomendadas para escribir una política ........................................................... 14 Elementos de una Política de Seguridad Informática .................................................... 15 Parámetros para Establecer Políticas de Seguridad ...................................................... 16 Razones que Impiden la Aplicación de las Políticas de Seguridad Informática ..... 17 COMITÉ DE SEGURIDAD........................................................................................................
18
Seguridad Organizacional................ ................. .................. ................. .................. ................ 19 Seguridad Física y ambiental ................................................................................................ 19 Seguridad Lógica .....................................................................................................................
19
Seguridad Legal ........................................................................................................................
20
Seguridad de operaciones y comunicaciones ................................................................. 20 1.
POLITICAS Y ESTANDARES DE SEGURIDAD DEL PERSONAL ............................... 21
2.
POLITICAS Y ESTANDARES DE SEGURIDAD FISICA Y AMBIENTAL ..................... 22
3. POLÍTICAS, ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO ................................................................................................. 4.
26
POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO .................... 32
BIBLIOGRAFIA ..............................................................................................................................
35
INDICE Contenido INTRODUCCION ..............................................................................................................................
3
OBJETIVOS ......................................................................................................................................
5
Terminología ....................................................................................................................................
6
Política...........................................................................................................................................
6
................ ................. .................. ................. .................. ................. .................. ............... 6 Estándar ................
¿Por qué tener políticas por escrito? .......................................................................................
8
Etapas en el desarrollo de una política de seguridad informática ....................................
8
Practicas recomendadas para escribir una política ........................................................... 14 Elementos de una Política de Seguridad Informática .................................................... 15 Parámetros para Establecer Políticas de Seguridad ...................................................... 16 Razones que Impiden la Aplicación de las Políticas de Seguridad Informática ..... 17 COMITÉ DE SEGURIDAD........................................................................................................
18
Seguridad Organizacional................ ................. .................. ................. .................. ................ 19 Seguridad Física y ambiental ................................................................................................ 19 Seguridad Lógica .....................................................................................................................
19
Seguridad Legal ........................................................................................................................
20
Seguridad de operaciones y comunicaciones ................................................................. 20 1.
POLITICAS Y ESTANDARES DE SEGURIDAD DEL PERSONAL ............................... 21
2.
POLITICAS Y ESTANDARES DE SEGURIDAD FISICA Y AMBIENTAL ..................... 22
3. POLÍTICAS, ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO ................................................................................................. 4.
26
POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO .................... 32
BIBLIOGRAFIA ..............................................................................................................................
35
INTRODUCCION Actualmente, es muy habitual que las personas involucradas en seguridad informática tengan una noción muy pobre sobre lo que significa desarrollar las políticas de seguridad, ya que no basta con escribirlas y pretender ponerlas en práctica. Muchas veces existe la asignación de responsables para con las mismas, se realizan actividades para dar a conocerlas y, quizá, se supervise su cumplimiento, Pero esto aún no basta. Muchas políticas de seguridad informática fallan ya que se desconoce lo que implica realmente desarrollarlas.
Es de plena importancia hacer énfasis, en que una política de seguridad tiene un ciclo de vida completo mientras esta vigente. Este ciclo de vida incluye un esfuerzo de investigación, la difícil tarea de redactarlas, lograr que las directivas de la organización la acepten, conseguir que sea aprobada, lograr que sea diseminada a través de la empresa, consensar a los usuarios de la importancia de la política, conseguir que la acaten, hacerle seguimiento, garantizar que este actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar políticas que no sean muy tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, sobrantes o irrelevantes.
La seguridad informática hoy en día con el aumento de la información y su nivel de valuó ha tomado un auge muy grande, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. Con el aumento de las conexiones a internet, los cambios a plataformas que se usan por medio de las redes las cuales permiten conectarse a otras ciudades, a otros países, incluso entre continentes, lo antes mencionado, ha traído también nuevas amenazas y riesgos dentro de los sistemas computaciones y por ende los peligros que puede presentar la información dentro de las empresas.
Estas amenazas y riesgos han llevado a que las empresas e instituciones elabores documentos los cuales normen todo lo relacionado con los sistemas y computadoras así como una orientación adecuada de los mismos para obtener las mejores ventajas de las tecnologías, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. Por lo antes mencionado surgen las políticas de seguridad informática como una herramienta de organización y uso adecuado para concientizar a los colaboradores, empleados, jefes y tercera personas que puedan acceder a estaciones de trabajo dentro de la empresa sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Sobre esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Todo esto conlleva a un buen uso de los recursos informático de la empresa o institución, y a lograr eficiencia dentro de estos.
OBJETIVOS General
Conocer los pasos y metodología aplicada en la creación de políticas de seguridad informáticas, con conocimiento práctico de aplicación dentro de un entorno real. Así como las diferentes consideraciones que se deben tomar en el momento de su aplicación.
Específicos
Presentar los pasos y metodología aplicada en la creación de políticas de seguridad informáticas.
Exponer las consideraciones a tomar referente al área de prevención y gestión al momento de crear las políticas de seguridad informática.
Mencionar la necesidad de la concienciación a las personas involucradas en la gestión de equipo informático, sobre la importancia de cumplir las políticas de seguridad informática dentro de una institución.
Conocer un método práctico de aplicación sobre la implementación de las políticas de seguridad en un entorno real.
Terminología Es de vital importancia conocer de manera clara algunos términos, que al ponerlos en contraste nos ayudan a definir lo que es en sí una política. Términos como: Política, Estándar, Guía, Mejores Prácticas o procedimiento. Son comúnmente usados en seguridad Informática a diario, pero algunas veces son utilizados correctamente, y muchas otras no.
Política Declaración general de principios que presenta la posición de la administración para un área de control definida. Estas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por la directivas de la entidad o empresa, y deben ofrecer direccionamientos a toda la organización o a un conjunto importantes de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para cumplir una política exige que se apruebe una excepción.
Estándar Regla que especifica una acción o respuesta que se debe seguir a una situación específica dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Estos sirven como especificaciones para la implementación de las políticas diseñados para promover su cumplimiento.
Mejor Práctica Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consiente de seguridad a través de la organización.
Guía Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas o mejores prácticas. Las guías son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.
Procedimiento Los procedimientos definen específicamente como las políticas, estándares, mejores prácticas y guías serán implementadas en una situación específica dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente
los
procedimientos
son
desarrollados,
implementados
y
supervisados por el responsable del proceso o del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustaran a los
requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos son aplicados.
¿Por qué tener políticas por escrito? Hay muchas razones por las cuales es recomendable tener políticas escritas en una organización. A continuación se presenta una lista de algunas de estas razones. 1. Para cumplir con regulaciones legales o técnicas. 2. Sirve como guía para el comportamiento profesional y personal. 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares. 4. Permite recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo. 5. Permite encontrar las mejores prácticas en el trabajo. 6. Para hacer referencia directa a un medio de control específico.
Etapas en el desarrollo de una política de seguridad informática Existen 11 etapas que deben realizarse a través del “ciclo de vida” de una política. Estas etapas pueden ser agrupadas en 4 fases. 1. Fase de desarrollo: Durante esta fase la política es creada, revisada y aprobada. 2. Fase de implementación: En esta fase la política es comunicada y acatada (o no cumplida por alguna excepción).
3. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). 4. Fase de eliminación: La política se retira cuando no se requiera más.
Diagrama de clasificación de fases.
Creación: Planificación, investigación, documentación, y coordinación de la política.
El primer paso en la fase de desarrollo de una apolítica es la planificación, la investigación y la redacción de la política o, tomando todo junto, la creación. La creación de una política implica identificar porque se necesita una política (Por ejemplo,
requerimientos
legales,
regulaciones
técnicas,
contractuales
u
operacionales); determinar el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de su implementación. La creación de una política también incluye la investigación para determinar los requerimientos organizacionales para desarrollar las políticas (es decir, que autoridades debe aprobarla, con quien se de coordinar el desarrollo y estándares del formato de redacción), y la investigación de las mejores prácticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la organización, al igual que la coordinación con las entidades internas y externas que la política afectara, para obtener y su aceptación. En general, la creación de una política es la función más fácil de entender en el ciclo de desarrollo de una política.
Revisión: Evaluación independiente de la política. La revisión de la política es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la documentación de la política ha sido creada y la coordinación inicial ya ha comenzado, esta debe ser remitida a un grupo (o un individuo) independientemente para su evaluación antes de su aprobación final. Hay varios beneficio de la revisión independiente: una política más viable a través del escrutinio de individuos que tienen una perspectiva diferente o más vasta que la persona que redacto la política; apoyo más amplio para la política a través de un incremento en el número de involucrados; aumento de credibilidad en la política gracias a la información recibida de diferentes especialistas del grupo de revisión. Propio de esta etapa es la presentación de la política a los revisores, ya sea de manera formal o informal exponiendo cualquier punto que puede ser importante para la revisión, explicando su objetivo, el contexto y los beneficios potenciales de la política y justificando porque es necesaria. Como parte de esa función, se espera que el creador de la política recopile los comentarios y las recomendaciones para obtener una versión final de la política lista para la aprobación por las directivas.
Aprobación: Obtener la aprobación de la política por parte de las directivas. El paso final en la fase de desarrollo de la política es la aprobación. El objetivo de esta etapa es obtener el apoyo de la administración de la organización, a través de la firma de una persona ubicada en una posición de autoridad. La aprobación permite iniciar la implementación de la política. Requiere que el proponente de la política haga una selección adecuada de la autoridad de aprobación, que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisión y haga el esfuerzo para que sea aceptada por la administración. Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una aprobación temporal.
Comunicación: Difundir la política. Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a los miembros de la comunidad organizacional o a quienes sean afectados directamente por la política (Contratistas, Proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política (es posible que tengan que tenerse en cuenta factores como la ubicación geográfica, el idioma, la cultura y línea de mando que será utilizada para comunicar la política). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad e interpretación de la política.
Cumplimiento: Implementar la política. La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con todas las áreas de la organización. Para interpretar cual es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieran implementarla, monitorearla, hacerle seguimiento, reportar regularmente su
cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades esta la elaboración de informes a la administración del estados de la implementación de la política.
Excepciones: Gestionar las situaciones donde la implementación no es posible. Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al principio. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas áreas o personal el no complimiento de la política. Debe establecerse un proceso para garantizar que las actitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la excepción. El proceso también debe permitir excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de corta duración.
Concienciación: Garantiza la concienciación continuada de la política. La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas están conscientes de la política y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de concienciación de los diversos grupos de audiencia dentro de la organización (directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la política, determinar los métodos de concienciación más efectivos para cada grupo de audiencia (es decir, reuniones informáticas, cursos de entrenamiento, mensajes de correo, etc.); y desarrollo y difusión de material de concienciación (Presentaciones, afiches, circulantes, etc.). La etapa de concienciación también incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento. La tarea final es decir la conciencia que tienen los miembros de la comunidad organizacional de la política y ajustar los esfuerzos de acuerdo con los resultados de las actividades medidas.
Monitoreo: Seguimiento y reporte del cumplimiento de la política. Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de los involucrados en el cumplimiento de las políticas mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de las desobediencias y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la política a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas.
Garantía de cumplimiento: Afrontar las desobediencias de la política. La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la administración a actos u omisiones que tengan como resultado desacatos de la política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez un desacato sea identificado, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucradas en el desacato con el fin de reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir información sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciación.
Mantenimiento: Asegurar que la política este actualizada. La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etc.) que pueda afectar la política; recomendando y coordinando modificaciones resultado de los cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la
política a través de un control de versiones efectivas. Cuando se requieran cambios a la política, las etapas realizadas antes deben ser re-revisadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento.
Retiro: Prescindir de la política cuando no se use más. Después de que la política ha cumplido con su finalidad y ya no es necesaria (por ejemplo, La empresa cambio la tecnología a la cual aplicaba o se creó una nueva política que la reemplazo) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminación del ciclo de la vida de la política, y es la etapa final del ciclo. Esta función implica retirar una política superflua del inventario e políticas activas para evitar confusión, archivarla apara futuras referencias y documentar la información sobre la decisión de retirar l apolítica (es decir, la justificación, quien lo autorizo, la fecha, etc.).
Practicas recomendadas para escribir una política 1. Declaración de la política (cuál es la posición de la administración o que es lo que se desea regular) 2. Nombre y cargo de quien autoriza o aprueba la política. 3. Nombre de la dependencia, del grupo o de la persona quien es el autor o el proponente de la política. 4. Debe especificarse quien debe acatar la política (es decir, a quien está dirigida) y quien es el responsable de garantizar su cumplimiento. 5. Indicadores para saber si se cumple no la política. 6. Referencias a otras políticas y regulaciones en las cuales se soporta o con las cuales tiene relación. 7. Enunciar el proceso para solicitar excepciones. 8. Describir los pasos para solicitar cambios o actualizaciones a la política. 9. Explicar que pasos se seguirán en caso de incumplir la política.
10. Fecha a partir de la cual entra en vigencia la política. 11. Fecha cuando se revisara la conveniencia o la obsolescencia de la política. 12. Incluir la dirección de correo electrónico, la página web y el teléfono de la persona o personas que se pueden contactar en caso de preguntas o sugerencias.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.
Elementos de una Política de Seguridad Informática Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.
Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área.
Monitorear periódicamente los procedimientos y operaciones de la
empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas". Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía. Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.
COMITÉ DE SEGURIDAD Será responsabilidad de la institución conformar un comité de seguridad el cual velará porque las políticas sean cumplidas dentro de las instalaciones. Y estos serán los encargados de realizar las siguientes actividades:
Realizar el monitoreo de los riegos y amenazas que dentro de la institución se tienen, para así crear las medidas pertinentes
Aprobar las todas aquellas reglas, medidas y normas que se crean convenientes para mejorar la seguridad de la información
Divulgar estas normas o reglas en toda la institución y que estas sean de conocimiento del personal
Velar por que se cumplan todos los normativos.
Aplicar sanciones si estas reglas no son cumplidas.
El comité de seguridad una vez conformado deberá asegurar, una vez creadas las políticas de seguridad de la institución, sean estas las que rijan el comportamiento dentro de la institución en materia de seguridad informática, tanto datos como los
procesos por los cuales estos datos pasan para generar resultados, y todos los equipos informáticos que se poseen. Una vez conformado del comité, deberá verificar:
Seguridad organizacional (del personal).
Seguridad física y ambiental.
Seguridad lógica.
Seguridad legal.
Seguridad de comunicaciones y operaciones.
Seguridad Organizacional Se establece el marco formal de seguridad que debe sustentarla institución, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.
Seguridad Física y ambiental Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.
Seguridad Lógica Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de
seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.
Seguridad Legal Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional, en este se deberán contemplar, todos aquellos ámbitos legales en los cuales incurre, tanto sean empleados, usos de software, hardware, u técnicas que se necesite respaldas por medio de seguros, o adquisición de licencias para uso de los antes mencionados.
Seguridad de operaciones y comunicaciones Verificar que todas las operaciones en las cuales se trabaja con información crucial para la institución se realicen con las debidas normas de seguridad, y vigilar los que se poseen para mejorar esos nexos, realizar revisiones de equipos de comunicación así como las conexiones a exteriores, ya sean este internet, teléfonos o faxes.
1. POLITICAS Y ESTANDARES DE SEGURIDAD DEL PERSONAL
Política
Todo usuario de bienes y servicios informáticos se comprometen a conducirse bajo los principios de confidencialidad de la información y de uso adecuado de los recursos informáticos, así como el estricto apego al Manual de Políticas y Estándares de Seguridad Informática para Usuarios.
Obligaciones de Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir las Políticas y Estándares de Seguridad
los usuarios
Informática para Usuarios del
presente manual.
Acuerdos uso
de Todos los usuarios de bienes y servicios informáticos de la institución deberán y conducirse conforme a los principios de confidencialidad y uso adecuado de
confidencialidad los recursos informáticos y de información, así como comprometerse a cumplir con lo establecido en el Manual de Políticas y Estándares de Seguridad informática para Usuarios
Procedimientos y entrenamiento
Todo empleado de nuevo ingreso deberá: Leer el Manual de Políticas y Estándares de Seguridad Informática para Usuarios, el cual se encuentra disponible en medios físicos o digitales, donde se dan a conocer las obligaciones para los usuarios y las sanciones que pueden aplicar en caso de incumplimiento.
Sanciones
Cuando la Dirección identifique el incumplimiento al presente Manual remitirá el reporte o denuncia correspondiente al comité de políticas de seguridad para los efectos de su competencia y atribuciones. Haciendo uso de llamados de atención, o si se sigue incumpliendo la respectiva modificación en expediente.
2. POLITICAS Y ESTANDARES DE SEGURIDAD FISICA Y AMBIENTAL
Política
Los mecanismos de control y acceso físico para el personal y terceros deben permitir el acceso a las instalaciones y áreas restringidas, solo a personas autorizadas para salvaguarda de los equipos de cómputo y de comunicaciones, así como las instalaciones y los diferentes Centros de Cómputo.
Obligaciones de El usuario deberá reportar de manera inmediata al comité de Políticas de los usuarios
seguridad, o en su ausencia al jefe inmediato, cuando detecte que existen riesgos reales o potenciales para equipos de cómputo o comunicaciones, ya sean estos, fugas de agua, fugas de gas provocando incendios, polvo, etc.
El usuario tiene la obligación de proteger los CD´s, DVD´s, memorias USB, memorias flash, discos externos, computadoras y cualquier dispositivos portátil que se encuentre bajo su administración, aun cuando no se utilicen, y contengan información reservada o confidencial
Es responsabilidad del usuario evitar en todo momento la fuga de la información que se encuentre almacenada en los equipos de cómputo personal que tenga asignados.
Control acceso físico
de Cualquier persona que tenga acceso a las instalaciones deberá registrar en el Sistema de Ingreso (cuando ya se encuentre instalado), el equipo de cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la institución, el cual podrán retirar el mismo día, sin necesidad de trámite alguno.
En caso de que el equipo que no es propiedad de la institución, permanezca
dentro de la institución más de un día hábil, es necesario que el responsable de la unidad en el que trabaja el dueño del equipo, elabore y firme oficio de autorización de salida.
Seguridad en el Los Centros de Cómputo son áreas restringidas, por lo que sólo el personal área de trabajo Protección
autorizado por la Dirección puede acceder a ellos.
y Ningún usuario debe mover o reubicar cualquier equipo informático o de
ubicación de los comunicación, instalar o desinstalar dispositivos, sin la debida autorización de equipos
su jefe inmediato o del comité de políticas. Y debiendo solicitar a estos si es necesario o requerido. El área de soporte técnico de la Dirección será la encargada de generar el resguardo y recabar la firma del usuario informático como responsable de los activos informáticos que se le asignen y de conservarlos en la ubicación autorizada por la Dirección. El equipo de cómputo asignado, deberá ser para uso exclusivo de las funciones asignadas al usuario. Será responsabilidad del usuario solicitar la capacitación necesaria para el manejo de las herramientas informáticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al máximo las mismas. Es responsabilidad de los usuarios almacenar su información únicamente en el directorio de trabajo que se le asigne, ya que los otros están destinados para archivos de programas y sistema operativo. Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos, a menos que sea en botellas de plástico.
Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del gabinete. Se debe mantener el equipo informático en un entorno limpio y sin humedad. El usuario debe asegurarse que los cables de conexión no sean pisados o aplastados al colocar otros objetos encima o contra ellos. Cuando se requiera realizar cambios múltiples del equipo de cómputo derivado de reubicación de lugares físicos de trabajo, éstos deberán ser notificados con una semana de anticipación a la Dirección a través de un plan detallado de movimientos debidamente autorizados por el titular del área que corresponda. Queda prohibido que el usuario abra o desarme los equipos de cómputo, porque con ello perdería la garantía que proporciona el proveedor de dicho equipo.
Mantenimiento
Únicamente el personal autorizado de la Dirección podrá llevar a cabo los
de equipo
servicios y reparaciones al equipo informático, por lo que los usuarios deberán solicitar la identificación del personal designado antes de permitir el acceso a sus equipos. Los usuarios deberán asegurarse de respaldar la información que considere relevante cuando el equipo sea enviado a reparación y borrar aquella información sensible que se encuentre en el equipo previendo así la pérdida involuntaria de información, derivada de proceso de reparación, solicitando la asesoría del personal de la Dirección.
Perdida
o El usuario que tenga bajo su resguardo algún equipo de cómputo será
trasferencia de responsable de su uso y custodia; en consecuencia, responderá por dicho bien equipos
de acuerdo a la normatividad vigente en los casos de robo, extravío o pérdida del mismo.
El resguardo para las laptops, tiene el carácter de personal y será intransferible. Por tal motivo, queda prohibido su préstamo.
El usuario deberá dar aviso de inmediato a la Dirección de la desaparición, robo o extravío del equipo de cómputo o accesorios bajo su resguardo
Uso de
El uso de los grabadores de discos compactos es exclusivo para respaldos de
dispositivos
información que por su volumen así lo justifiquen.
especiales La asignación de este tipo de equipo será previa justificación por escrito y autorización del titular o jefe inmediato correspondiente.
El usuario que tenga bajo su resguardo este tipo de dispositivos será responsable del buen uso que se le dé.
Los módems internos deberán existir solo en las computadoras portátiles y no se deberán utilizar dentro de las instalaciones de la institución para conectarse a ningún servicio de información externo, excepto cuando lo autorice la Dirección.
Procedimientos
El Comité de Políticas de seguridad será el encargado de realizar las sesiones
y entrenamiento
o charlas necesarias, para que los empleados de la institución obtengan los conocimientos para el uso de los equipos informativos y sus periféricos.
Sanciones
El equipo de cómputo o cualquier recurso de tecnología de información que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deberá cubrir el valor de la reparación o reposición del equipo o
accesorio afectado. Para tal caso la determinará la causa de dicha descompostura.
3. POLÍTICAS, ESTÁNDARES DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO
Política
Los usuarios deberán utilizar los mecanismos institucionales para proteger la información que reside y utiliza la infraestructura. De igual forma, deberán proteger la información reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna o hacia redes externas como internet. Los usuarios que hagan uso de equipo de cómputo, deben conocer y aplicar las medidas para la prevención de código malicioso como pueden ser virus, m a l w a r e o s p y w a r e . El usuario puede acudir a la Dirección, o al representante de ésta en su zona, para solicitar asesoría.
Uso de medios Toda solicitud para utilizar un medio de almacenamiento de información de
compartido, deberá contar con la autorización jefe inmediato del usuario y del
almacenamiento titular del área dueña de la información.
Dicha solicitud deberá explicar en forma clara y concisa los fines para los que se otorgará la autorización, ese documento se presentará con sello y firma del titular de área a la Dirección o al representante de ésta en su zona.
Los usuarios deberán respaldar de manera periódica la información sensible y crítica que se encuentre en sus computadoras personales o estaciones de trabajo, solicitando asesoría de la Dirección o al representante de ésta en su zona, para que dichos asesores determinen el medio en que se realizará dicho
respaldo. En caso de que por el volumen de información se requiera algún respaldo en CD, este servicio deberá solicitarse por escrito al Titular de la Dirección, y deberá contar con la firma del titular del área de adscripción del solicitante. Las actividades que realicen los usuarios en la infraestructura de Tecnología de la Información son registradas y susceptibles de auditoría.
Instalación Software
de Los usuarios que requieran la instalación de software que no sea propiedad de la institución, deberán justificar su uso y solicitar su autorización a la Dirección, a través de un oficio firmado por el titular del área de su adscripción, indicando el equipo de cómputo donde se instalará el software y el período que permanecerá dicha instalación, siempre y cuando el dueño del software presente la factura de compra de dicho software.
Si el dueño del software no presenta la factura de compra del software, el personal asignado por la Dirección procederá de manera inmediata a desinstalar dicho software.
Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red, que no esté autorizado por la Dirección.
Uso de correo Los usuarios no deben usar cuentas de correo electrónico asignadas a otras electrónico personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien más (mientras esta persona se encuentra fuera o ausente), el usuario ausente debe redireccionar el correo a otra cuenta de correo interno.
Los usuarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información que es propiedad de la intuición. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor.
Los usuarios podrán enviar información reservada y/o confidencial exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones, a través del correo institucional que le proporcionó la Dirección.
La institución, se reserva el derecho de acceder y revelar todos los mensajes enviados por este medio para cualquier propósito y revisar las comunicaciones vía correo electrónico de personal que ha comprometido la seguridad violando políticas de Seguridad Informática o realizado acciones no autorizadas.
Como la información del correo electrónico institucional es privada, la única forma en la que puede ser revelada es mediante una orden judicial.
El usuario debe de utilizar el correo electrónico única y exclusivamente para los recursos que tenga asignados y las facultades que les hayan sido atribuidas para el desempeño de su empleo, cargo o comisión, quedando prohibido cualquier otro uso distinto.
La asignación de una cuenta de correo electrónico externo, deberá solicitarse por escrito a la Dirección o al representante de ésta en su zona, señalando los
motivos por los que se desea el servicio. Esta solicitud deberá contar con el visto bueno del titular del área que corresponda.
Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrónico.
Controles Para prevenir infecciones por virus informáticos, los usuarios deben evitar contra código hacer uso de cualquier clase de software que no haya sido proporcionado y malicioso validado por la Dirección.
Los usuarios, deben verificar que la información y los medios de almacenamiento, considerando al menos memorias USB, discos flexibles, CD´s, estén libres de cualquier tipo de código malicioso, para lo cual deben ejecutar el software antivirus autorizado por la Dirección.
El usuario debe verificar mediante el software de antivirus autorizado por la Dirección que estén libres de virus todos los archivos de computadora, bases de datos, documentos u hojas de cálculo, etc. que sean proporcionados por personal externo o interno, considerando que tengan que ser descomprimidos.
Ningún usuario debe intencionalmente escribir, generar, compilar, copiar, propagar, ejecutar o tratar de introducir código de computadora diseñado para auto replicarse, dañar o en otros casos impedir el funcionamiento de cualquier memoria de computadora, archivos de sistema o software. Tampoco debe probarlos en cualquiera de los ambientes o plataformas. El incumplimiento de este estándar será considerado una falta grave.
Ningún usuario ni o personal externo podrá bajar o descargar software de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería instantánea y redes de comunicaciones externas, sin previa autorización.
Cualquier usuario que sospeche de alguna infección por virus de computadora, deberá dejar de usar inmediatamente el equipo y llamar a la Dirección para la detección y erradicación del virus.
Cada usuario que tenga bajo su resguardo algún equipo de cómputo personal portátil, será responsable de solicitar de manera periódica a la Dirección las actualizaciones del software de antivirus.
Los usuarios no deberán alterar o eliminar las configuraciones de seguridad para detectar y/o prevenir la propagación de virus que sean implantadas por la Dirección. Debido a que algunos virus son extremadamente complejos, ningún debe intentar erradicarlos de las computadoras, lo indicado es llamar al personal de la Dirección para que sean ellos quienes lo solucionen.
Permisos
de El acceso a internet provisto a los usuarios es exclusivamente para las
uso de internet
actividades relacionadas con las necesidades del puesto y función que desempeña.
La asignación del servicio de internet, deberá solicitarse por escrito a la Dirección, señalando los motivos por los que se desea el servicio. Esta solicitud deberá contar con el visto bueno del titular del área correspondiente.
Todos los accesos a internet tienen que ser realizados a través de los canales de acceso provistos por el comité de Políticas de seguridad y los encargados de la red institucional.
Los usuarios con servicio de navegación en internet al utilizar el servicio aceptan que:
Serán sujetos de monitoreo de las actividades que realizan en internet.
Saben que existe la prohibición al acceso de páginas no autorizadas.
Saben que existe la prohibición de transmisión de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibición de descarga de software sin la autorización de la Dirección.
La utilización de internet es para el desempeño de su función y puesto y no para propósitos personales.
Sanciones
Será el comité de Políticas de seguridad el encargado de decidir las posibles amonestaciones, si estas reglas son infringidas, o no son respetadas, yendo desde amonestaciones verbales hasta la modificación del record personal de cada empleado.
4. POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO LÓGICO
Política
Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contraseña (password) necesarios para acceder a la información y a la infraestructura tecnológica, por lo cual deberá mantenerlo de forma confidencial.
El comité de políticas de seguridad, es el único que puede otorgar la autorización para que se tenga acceso a la información que se encuentra en la infraestructura tecnológica, otorgándose los permisos mínimos necesarios para el desempeño de sus funciones. Controles acceso lógico
de El acceso a la infraestructura tecnológica para personal externo debe ser autorizado al menos por un encargado de área, quien deberá notificarlo por oficio a la Dirección, quien lo habilitará.
Está prohibido que los usuarios utilicen la infraestructura tecnológica para obtener acceso no autorizado a la información u otros sistemas de información.
Todos los usuarios de servicios de información son responsables por su identificador de usuario y contraseña que recibe para el uso y acceso de los recursos.
Todos los usuarios deberán autenticarse por los mecanismos de control de acceso provistos por la Dirección antes de poder usar la infraestructura
tecnológica. Los usuarios no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnológica, a menos que se tenga autorización de la Dirección.
Cada usuario que accede a la infraestructura tecnológica debe contar con un identificador de usuario único y personalizado, por lo cual no está permitido el uso de un mismo identificador de usuario por varios usuarios.
Los usuarios tienen prohibido compartir su identificador de usuario y contraseña, ya que todo lo que ocurra con ese identificador y contraseña será responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le fueron usurpados esos controles.
Los usuarios tienen prohibido usar el identificador de usuario y contraseña de otros, aunque ellos les insistan en usarlo.
Administración del
uso
contraseñas
La asignación de la contraseña para acceso a la red y la contraseña para
de acceso a sistemas, debe ser realizada de forma individual, por lo que queda prohibido el uso de contraseñas compartidas está prohibido.
Cuando un usuario olvide, bloquee o extravíe su contraseña, deberá reportarlo por escrito a la Dirección, indicando si es de acceso a la red o a módulos de sistemas desarrollados por la Dirección, para que se le proporcione una nueva contraseña.
La obtención o cambio de una contraseña debe hacerse de forma segura; el usuario deberá acreditarse ante la Dirección como empleado.
Está prohibido que los identificadores de usuarios y contraseñas se encuentren de forma visible en cualquier medio impreso o escrito en el área de trabajo del usuario, de manera de que se permita a personas no autorizadas su conocimiento. Todo usuario que tenga la sospecha de que su contraseña es conocida por otra persona, tendrá la obligación de cambiarlo inmediatamente.
Los usuarios no deben almacenar las contraseñas en ningún programa o sistema que proporcione esta facilidad.
Los cambios o desbloqueo de contraseñas solicitados por el usuario a la Dirección serán solicitados mediante oficio sellado y firmado por el jefe inmediato del usuario que lo requiere.
View more...
Comments
