POLITICAS
DE
SEGURIDAD
DE TI
diciembre 1
2013
Alex Delgado Altamirano
Jirvin Johnathan Gamarra Nicolás
Kreisler Umbo Ruiz
...
Auditoria en Sistemas de Información –2013
1
ÍNDICE
I. INTRODUCCIÓN..........................................................
Auditoria en Sistemas de Información –2013
2
 INTRODUCCIÓN
En la actualidad cuando escuchamos hablar sobre seguridad, en ...
Auditoria en Sistemas de Información –2013
3
 ALCANCE
La Política General de Seguridad de la Información de la empresa
CO...
Auditoria en Sistemas de Información –2013
4
finalidad dedar cumplimiento de la confidencialidad, integridad y
disponibili...
Auditoria en Sistemas de Información –2013
5
4.6. Procesos:
Un proceso es un conjunto de actividades o eventos (coordinado...
Auditoria en Sistemas de Información –2013
6
 RESPONSABILIDAD
El Gerente, Jefaturas de Áreas/Oficinas/Unidades Organizati...
Auditoria en Sistemas de Información –2013
7
sistemas o servicios; promover la difusión y apoyo a la seguridad de la
infor...
Auditoria en Sistemas de Información –2013
8
 Mantener sólo software legal en las computadoras y redes de
computación de ...
Auditoria en Sistemas de Información –2013
9
 DERECHOS DE LICENCIAS DE USO
 Definir normas y procedimientos para el cump...
Auditoria en Sistemas de Información –2013
10
b) Sobre las Medidas de Seguridad Física
Seguridad en el perímetro físico
 ...
Auditoria en Sistemas de Información –2013
11
 Todo elemento que ingrese a SISTESEG, debe ser
inspeccionado por la compañ...
Auditoria en Sistemas de Información –2013
12
 El correcto uso de UPS (Uninterruptable power suply), las
cuales se deben ...
Auditoria en Sistemas de Información –2013
13
 Es responsabilidad del usuario a quien esté asignado el equipo de
escritor...
Auditoria en Sistemas de Información –2013
14
 Cerciorarse de los archivos, las aplicaciones y programas que
se utilizan ...
Auditoria en Sistemas de Información –2013
15
quedar registro documentado de las acciones llevadas a cabo,
en el cual se d...
Auditoria en Sistemas de Información –2013
16
 Mejorar el rendimiento de la infraestructura, con servidores de cache,
ace...
Auditoria en Sistemas de Información –2013
17
deberá ser registrada de acuerdo a la reglamentación establecida
para ello.
...
Auditoria en Sistemas de Información –2013
18
autentificación del usuario. No se debe programar en el código
las cuentas d...
Auditoria en Sistemas de Información –2013
19
o Deberá permitir a los usuarios el cambio de contraseña o
provocar que el u...
Auditoria en Sistemas de Información –2013
20
seriamente a la organización cuya sanción será el retiro y
posteriormente un...
Auditoria en Sistemas de Información –2013
21
mismo que posea la Entidad incluirán avisos de derechos de autor
y propiedad...
Auditoria en Sistemas de Información –2013
22
 Para la información contenida en las computadoras personales los
medios pa...
Próxima SlideShare
Cargando en…5
×

Politicas de seguridad

355 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
355
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
17
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Politicas de seguridad

  1. 1. POLITICAS DE SEGURIDAD DE TI diciembre 1 2013 Alex Delgado Altamirano Jirvin Johnathan Gamarra Nicolás Kreisler Umbo Ruiz [COFISOM]
  2. 2. Auditoria en Sistemas de Información –2013 1 ÍNDICE I. INTRODUCCIÓN..................................................................................... 2 II. ALCANCE ............................................................................................... 2 III. OBJETIVOS............................................................................................ 3 IV. DEFINICIONES ....................................................................................... 4 V. RESPONSABILIDAD.............................................................................. 6 VI. POLITICAS GENERALES:..................................................................... 7 VII. POLITICAS Y LINEAMIENTOS ESPECIFICOS:.................................... 7 A) SOBRE LOS DERECHOS DE AUTOR, ADQUISICIÓN DE SOFTWARE Y LICENCIAS DE USO ..................................................................................................... 7 B) SOBRE LAS MEDIDAS DE SEGURIDAD FÍSICA............................................... 10 C) SOBRE LOS BIENES INFORMÁTICOS ........................................................... 12 D) SOBRE LA SEGURIDAD LÓGICA Y CONFIDENCIALIDAD DE LA INFORMACIÓN .... 13 E) SOBRE EL ACCESO A LA BASE DE DATOS EN PRODUCCIÓN. ......................... 14 F) SOBRE EL USO DE LOS SERVICIOS DE LA RED DE DATOS INSTITUCIONAL Y LAS CUENTAS DE LOS USUARIOS ..................................................................... 15 G) SOBRE CONEXIÓN A OTRAS REDES........................................................... 16 H) SOBRE EL DESARROLLO DE SISTEMAS Y OTROS SERVICIOS INFORMÁTICOS . 16 I) SOBRE LA SEGURIDAD A CONSIDERAR EN EL DESARROLLO DE SISTEMAS ..... 17 J) SOBRE LAS SANCIONES APLICABLES ......................................................... 19 K) SOBRE EL PERSONAL INFORMÁTICO .......................................................... 20 L) SOBRE LOS CONTRATOS CON PROVEEDORES DE BIENES O SERVICIOS INFORMÁTICOS......................................................................................... 20 M) SOBRE EL PROCESO DE ADQUISICIÓN E IMPLEMENTACIÓN........................... 20 N) POLÍTICAS DE BACKUPS............................................................................ 20 VIII. CONSIDERACIONES ........................................................................... 21
  3. 3. Auditoria en Sistemas de Información –2013 2  INTRODUCCIÓN En la actualidad cuando escuchamos hablar sobre seguridad, en general nos podemos imaginar que se refiere a alguna forma de mantener seguro algún objeto o a nosotros mismos como personas, pero existe otro tema muy importante que viene como consecuencia del uso de las tecnologías, deberíamos mencionar las formas en que podríamos mantener segura la información, los equipos que la contienen y por ende las personas que deben acceder a la información de nuestra organización. Lo más importante con lo que cuenta una empresa es la información y dependiendo de cuanta y de que sea la misma, es el valor que tiene. Personas ajenas pueden entrar a la empresa, acceder a esa información, y no podemos imaginar que intenciones tenga al salir de la empresa con parte de nuestros datos. Es ahí en que se comienzan a hacer uso de ciertas reglas internas que todo integrante de una empresa forzosamente debe cumplir, ese conjunto de reglas comúnmente llamadas “políticas” se crean por la necesidad de restringir accesos a los datos de los diversos departamentos que una empresa pueda tener. Sin embargo no todas las empresas están teniendo en cuenta el tema de la seguridad en informática, quizá será porque ellos desconocen que ya desde hace varios años atrás existen personas que pueden obtener su información con ayuda de programas informáticos. O algunos no lo hacen porque sus empresas son pequeños negocios y los directivos dicen: ¿Quién va a querer robarnos nuestra información? Y como no han tenido un problema así en su empresa pues no han colocado medidas preventivas en su organización.
  4. 4. Auditoria en Sistemas de Información –2013 3  ALCANCE La Política General de Seguridad de la Información de la empresa COFISOM E.I.R.L., se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información. La presente política debe ser conocida y cumplida por todo el personal de la empresa COFISOM E.I.R.L. (Gerente General, Administrador, Jefes de áreas y personal). Esta Política se aplica en todo el ámbito de la Institución, a sus recursos y a la totalidad de los procesos, internos y externos, vinculados a la entidad. De acuerdo a lo anterior, la información que genera y gestiona la institución constituye un activo estratégico clave para asegurar la continuidad del negocio, por lo que la Seguridad de la Información es una herramienta para garantizar su integridad, disponibilidad y confidencialidad.  OBJETIVOS 3.1. Objetivo General  Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información institucional relevante, con el objeto de asegurar la continuidad operacional de los procesos y servicios que desarrolla la empresa COFISOM E.I.R.L. 3.2. Objetivo Específicos  Analizar los activos, con mayor grado de riesgo potencial y el impacto que esta pueda tener frente a la organización, con la
  5. 5. Auditoria en Sistemas de Información –2013 4 finalidad dedar cumplimiento de la confidencialidad, integridad y disponibilidad de la información.  Establecer políticas de seguridad que permitan resguardar y proteger los activos de información de la empresa COFISOM E.I.R.L.  DEFINICIONES Para efectos del presente documento, serán de aplicación las siguientes definiciones: 4.1.Activo Estratégico: Los activos estratégicos son aquellos que brindan una ventaja competitiva duradera para la organización (información). 4.2. Confidencialidad: Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información. 4.3. Disponibilidad: Es la propiedad de la información, por la que debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida. 4.4. Integridad: Propiedad de la información, por la que debe ser debe ser completa, exacta y válida. 4.5. Información: Es un conjunto organizado de datos procesados, susceptibles de ser, distribuida y almacenada.
  6. 6. Auditoria en Sistemas de Información –2013 5 4.6. Procesos: Un proceso es un conjunto de actividades o eventos (coordinados u organizados) que se realizan o suceden (alternativa o simultáneamente) bajo ciertas circunstancias en un determinado lapso de tiempo. 4.7. Políticas: Son pautas generales para la acción establecidas por la administración para la empresa. Una política bien formulada se basa en objetivos, adhiere a verdades conocidas en la materia, es estable y flexible. 4.8. Programa Informático: Es un conjunto de instrucciones que una vez ejecutadas realizarán una o varias tareas en una computadora. 4.9. Seguridad: Se refiere a la ausencia de riesgo o también a la confianza en algo o alguien. 4.10. Seguridad Informática: Es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. 4.11. Tecnologías Es el conjunto de conocimientos técnicos, ordenados científicamente, que permiten diseñar y crear bienes y servicios que facilitan la adaptación al medio ambiente y satisfacer tanto las necesidades esenciales como los deseos de la humanidad.
  7. 7. Auditoria en Sistemas de Información –2013 6  RESPONSABILIDAD El Gerente, Jefaturas de Áreas/Oficinas/Unidades Organizativas, son responsables de la implementación de esta Política de Seguridad de la Información dentro de sus áreas de responsabilidad, así como del cumplimiento de dicha Política por parte de su equipo de trabajo. La Política de Seguridad de la Información es de aplicación obligatoria para todo el personal delaempresa COFISOM E.I.R.L., cualquiera sea su condición laboral, el área en la cual se encuentre laborando y cualquiera sea el nivel de las tareas que desempeñe. El Jefe de Sistemascumplirá la función de cubrir los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de la empresa COFISOM E.I.R.L. Por otra parte tendrá la función de efectuar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología de ciclo de vida de sistemas apropiada, y que contemple la inclusión de medidas de seguridad en los sistemas en todas las fases, asimismo verificará el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación dela empresacon sus empleados y con terceros. También se encargará de revisar y proponer a la Gerencia Generalpara la aprobación de la Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información; monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes; tomar conocimiento e investigar los incidentes relativos a la seguridad; proponer iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área, así proponer metodologías y procesos específicos relativos a seguridad de la información; garantizar que la seguridad sea parte del proceso de planificación de la información; evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos
  8. 8. Auditoria en Sistemas de Información –2013 7 sistemas o servicios; promover la difusión y apoyo a la seguridad de la información dentro de la empresa y coordinar el proceso de administración de la continuidad de las actividades de la institución. También, es responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan. Los usuarios de la información y de los sistemas utilizados para su procesamiento son responsables de dar a conocer, y hacer cumplir la Política de Seguridad de la Información vigente.  POLITICAS GENERALES: Toda persona que para el desempeño de sus funciones utilice o tenga acceso a los bienes o servicios informáticos que ofrece la empresa COFISOM E.I.R.L.deberá observar lo prescrito en el presente documento. El desconocimiento del mismo, no lo exonera de las responsabilidades asociadas con su cumplimiento. La Unidad de Informáticavigilará que se acaten las políticas informáticas vigentes.  POLITICAS Y LINEAMIENTOS ESPECIFICOS: a) Sobre los Derechos de Autor, Adquisición de Software y Licencias de Uso  DERECHO DEUSO Y ADQUISICION DE SOFTWARE  Adquirir, reproducir, transmitir y usar el software de computación en cumplimiento con las obligaciones de tratados internacionales y leyes de Perú.
  9. 9. Auditoria en Sistemas de Información –2013 8  Mantener sólo software legal en las computadoras y redes de computación de la empresa COFISOM E.I.R.L.  Todas las adquisiciones de hardware que incluyen un paquete de software serán documentadas e identificadas a la unidad de Informática, que verificará que la Agencia tenga una licencia apropiada para el uso de dicho paquete de software.  Ningún empleado puede usar o distribuir software que posea en forma personal en las computadoras o redes de la organización.  Se almacenará en una ubicación segura y central todas las licencias de softwareoriginales y documentación al recibir todo nuevo software, incluyendo copias de tarjetas de inscripción completas.  La unidad de Informática designara aquellos empleados autorizados para instalar software en las computadoras de la organización.  Ningún empleado instalará o distribuirá software si la organización carece de la licencia apropiada del mismo.  Ningún empleado instalará ninguna actualización de software en una computadora que no cuenta previamente con la versión original de dicho software.  La unidad de Informática responsable de la adquisición debe establecer y mantener un sistema de registro de las licencias del software, información de usuario, e información de revisión. Mantenga esta información en un lugar central, seguro.  La unidad de InformáticaAutorizará y controlará el uso de software o programas comerciales que no requieren de licencias de uso (freeware), o que son de prueba (shareware), estableciendo la finalidad de su uso, periodo de utilización y autorizaciones de fabricante.
  10. 10. Auditoria en Sistemas de Información –2013 9  DERECHOS DE LICENCIAS DE USO  Definir normas y procedimientos para el cumplimiento del derecho de propiedad intelectual de software que defina el uso legal de productos de información y de software.  Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.  Verificar que sólo se instalen productos con licencia y software autorizado.  Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias.  Llevar un inventariado y control de las licencias de software y el medio en el que se encuentran, adquiridas por la empresa COFISOM E.I.R.L. así como también se responsabilizará de su custodia, considerando licencias individuales, en uso, software preinstalado y corporativo.  Mediante acta de entrega de equipos y/o software, deberá informar al usuario de las licencias y programas instalados en el bien informático a su cargo, cuya adición de nuevos programas en el bien informático deberá ser registrado en el documento entregado previamente.
  11. 11. Auditoria en Sistemas de Información –2013 10 b) Sobre las Medidas de Seguridad Física Seguridad en el perímetro físico  El perímetro de seguridad debe ser claramente definido.  El sitio donde se ubiquen los recursos informáticos debe ser físicamente sólido, y protegido de accesos no autorizados factores naturales, usando mecanismos de control, barreras físicas, alarmas, barras metálicas etc.  Debe existir un área de recepción que solo permita la entrada de personal autorizado.  Todas las salidas de emergencia en el perímetro de seguridad deben tener alarmas sonoras y cierre automático . Seguridad en el control de acceso  Personal de la empresa, visitantes o terceras personas, que ingresen a un área definida como segura por la empresa COFISOM E.I.R.L., deberán poseer una identificación a la vista que claramente los identifique como tal y estas identificaciones monitoreadas.  No deberán existir señales, ni indicaciones de ningún tipo sobre la ubicación de los centros de procesamiento en la organización. Seguridad de personas ajenas a la empresa  Todos los visitantes o extraños deben ser acompañados durante su estadía en la empresa de COFISOM E.I.R.L., debido a la existencia de información confidencial o hurto.  Equipos como videograbadoras, cámaras fotográficas, grabadoras, sniffers, analizadores de datos, (ej: hardware especial) etc, no debe ser permitidos su uso dentro de las instalaciones de la empresa COFISOM E.I.R.L. a menos que exista una autorización formal por el oficial de seguridad o personal de seguridad.
  12. 12. Auditoria en Sistemas de Información –2013 11  Todo elemento que ingrese a SISTESEG, debe ser inspeccionado por la compañía de seguridad rigurosamente con el fin de identificar material peligroso y que coincida con su respetiva autorización de ingreso.  El material entrante o saliente debe ser registrado, con el fin de mantener el listado de inventario actualizado. Seguridad de los equipos  En todos los centros de procesamiento, sin excepción, deberán existir detectores de calor y humo, instalados en forma adecuada y en número suficiente como para detectar el más mínimo indicio de incendio. Los detectores deberán ser probados de acuerdo a las recomendaciones del fabricante o al menos una vez cada 6 meses y estas pruebas deberán estar previstas en los procedimientos de mantenimiento y de control del Manual de Seguridad Física.  Se deben tener extintores de incendios debidamente probados, y con capacidad de detener fuego generado por equipo eléctrico, papel o químicos especiales.  Las salas de procesamiento de la información deberán estar ubicadas en pisos a una altura superior al nivel de la calle a fin de evitar inundaciones.  El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.  Los equipos deben ser protegidos de fallas de potencia u otras anomalías de tipo eléctrico. Los sistemas de abastecimiento de potencia deben cumplir con las especificaciones de los fabricantes de los equipos.
  13. 13. Auditoria en Sistemas de Información –2013 12  El correcto uso de UPS (Uninterruptable power suply), las cuales se deben probar según las recomendaciones del fabricante, de tal forma que garanticen el suficiente tiempo para realizar las funciones de respaldo en servidores y aplicaciones.  Se deben tener interruptores eléctricos adicionales, localizados cerca de las salidas de emergencia, para lograr un rápido apagado de los sistemas en caso de una falla o contingencia. Las luces de emergencia deben funcionar en caso de fallas en la potencia eléctrica. c) Sobre los Bienes Informáticos BIENES TANGIBLES  Bajo ninguna circunstancia se deberá extraer ningún bien informático fuera de las instalaciones, sin previa autorización.  Los bienes que requieran atención por motivos de fuerza mayor, se registrará la hora y la fecha de salida y reingreso, así también, se deberá mencionar el motivo y el personal encargado que realiza la extracción.  Los usuarios deben proteger los bienes que están a su disposición, para prevenir desgaste y fallos.  El uso del equipo de cómputo será destinado únicamente para apoyar las funciones que son propias de la empresa COFISOM E.I.R.L.; así mismo el responsable del equipo tendrá el resguardo de todo el equipo y programas de cómputo autorizados, quien firmará el resguardo respectivo.  Antes de retirar el bien informático sujeto a reasignar o a dar de baja, el usuario deberá verificar que se le de formato al disco duro del equipo que entrega, así como el borrado de los archivos en el directorio temporal utilizado para restaurar la información al equipo asignado.
  14. 14. Auditoria en Sistemas de Información –2013 13  Es responsabilidad del usuario a quien esté asignado el equipo de escritorio o portátil, la información contenida en la misma. BIENES INTANGIBLES  Los usuarios no pueden modificar el software instalado en los equipos de cómputo.  Los usuarios no pueden realizar instalación de software que no esté contemplado en las políticas de la empresa.  Las modificaciones de software propio y de terceros que estén asociados a la organización serán realizadas de manera automática, después de realizar la documentación pertinente, dichos documentos deberán ser firmados por el Responsable del Área.  Queda estrictamente prohibida la instalación de programas de cómputo sin autorización por parte del personal.  El usuario deberá definir y preparar la información que se va a respaldar incluyendo todos sus archivos y carpetas de trabajo d) Sobre la Seguridad Lógica y Confidencialidad de la Información  La administración de los servidores debe realizarse únicamente por el personal aprobado por el Área de Informática, a fin de mantener consistencia con las Políticas de Seguridad.  Es necesario la utilización de sistemas de seguridad (Firewall), para detección de intrusos y el personal encargado de la administración del firewall deberá ser aprobado por el Área de Informática. Dicho sistema deberá de manejar bitácoras que registre intentos de acceso autorizados y no autorizados.  La administración de la contraseña del o los equipos de cómputo o servidores donde residen los sistemas que se comparten al SYSCOFISO es responsabilidad del Área de Informática.
  15. 15. Auditoria en Sistemas de Información –2013 14  Cerciorarse de los archivos, las aplicaciones y programas que se utilizan en la compañía se adaptan a las necesidades y se usan de manera adecuada por los empleados.  Se otorgan los privilegios mínimos a los usuarios del sistema informático. Es decir, sólo se conceden los privilegios que el personal necesita para desempeñar su actividad.  Controlar que la información que entra o sale de la empresa es íntegra y sólo está disponible para los usuarios autorizados.  Realizar chequeos de los correos electrónicos recibidos para comprobar que no suponen una amenaza para la entidad. e) Sobre el acceso a la Base de Datos en Producción.  Se debe contar con un DBA designado quien será el único responsable de la creación, modificación y eliminación de objetos de base de datos. Este podrá delegar algunas de esas tareas a personal calificado, restringiendo los permisos necesarios a sus cuentas de acceso a las bases de datos.  Se debe contar con mecanismos que permitan auditar las operaciones realizadas a los objetos de la base de datos. En la medida de lo posible, se debe contar con mecanismos que permitan determinar al usuario, proceso y fecha de última modificación de los registros en operaciones de tipo Insert y Update, así como con un historial sobre las de tipo Delete.  No se deben realizar modificaciones manuales a los datos de las bases de datos de Producción, salvo en los casos que por errores o necesidades urgentes del usuario no haya otra manera de solucionarse, para lo cual, invariablemente debe
  16. 16. Auditoria en Sistemas de Información –2013 15 quedar registro documentado de las acciones llevadas a cabo, en el cual se debe manifestar la autorización de las áreas involucradas.  Para acceder a los sistemas en los cuales se realicen operaciones de captura, modificación o eliminación, los sistemas deben contar con mecanismos para identificar y autentificar al usuario que desea realizar dichas operaciones. Este mecanismo puede implementarse mediante cuentas de acceso o algún otro que asegure la identificación y autentificación del usuario. No se debe programar en el código las cuentas de acceso. Las operaciones de consulta, pudiesen no tener dichos mecanismos si es que así lo solicita el área requirente del sistema. f) Sobre el Uso de los Servicios de la Red de Datos Institucional y las Cuentas de los Usuarios  Establecer las medidas y mecanismos de control, monitoreo y seguridad, tanto para los accesos a páginas o sitios de Internet, como para los mensajes de correo, con contenidos u orígenes Sospechosos.  Que las conexiones a Internet cuenten con elementos de prevención, detección de intrusos, filtros contra virus, manejo de contenidos, entre otros, que afectan la integridad de los sistemas y la información institucionales.  Reducir el tráfico de mensajes, paquetes o transacciones no permitidos, que saturan la infraestructura informática y generan actividad innecesaria en los servidores.
  17. 17. Auditoria en Sistemas de Información –2013 16  Mejorar el rendimiento de la infraestructura, con servidores de cache, aceleradores de servicio y accesos regionales a Internet.  Asignar la capacidad de memoria de almacenamiento a cada usuario en función del perfil establecido y la disponibilidad del recurso en los servidores g) Sobre Conexión a Otras Redes  La unidad de informática tiene la responsabilidad de difundir este reglamento para el uso de la red para su posterior cumplimiento.  La unidad de informática es el encargado de proporcionar a los usuarios el acceso a la red y por consiguiente a los recursos informáticos.  La unidad de informática debe verificar el uso responsable del acceso a la red del acuerdo al reglamento.  Todo equipo de cómputo que es conectado a la red deben sujetarse a los procedimientos de acceso.  Toda persona que requiera conectarse remotamente a algún sistema de información deberá llenar la solicitud de acceso remoto para su debida autorización.  Un empleado o usuario, quien se le concede el privilegio de acceso remoto, deberá estar consciente tanto de la conexión entre su hogar y la empresa COFISOM E.I.R.L. son extensiones de la red de la empresa, como de la responsabilidad que esto conlleva.  Toda conexión remota debe coordinarse con el área de informática h) Sobre el Desarrollo de Sistemas y Otros Servicios Informáticos  Todo desarrollo, invención o aplicación informática efectuada por funcionarios o por personal externo contratado, durante el desempeño de sus funciones, utilizando recursos institucionales, será propiedad intelectual de la empresa COFISOM E.I.R.L. y
  18. 18. Auditoria en Sistemas de Información –2013 17 deberá ser registrada de acuerdo a la reglamentación establecida para ello.  Todo desarrollo e implementación de sistemas informáticos deberá estar considerado en los planes y cronogramas de trabajo de la unidad de Informáticay se ejecutará de acuerdo a un orden de prioridades.  Evaluar periódicamente el comportamiento de los sistemas y el nivel de conformidad de los usuarios.  El código fuente de los programas deberán estar bajo la custodia del Jefe unidad de Informática, para ello se debe contar con un registro de actualizaciones.  El usuario está en la obligación de participar activamente en todas y cada una de las etapas del proceso de desarrollo de sistemas informáticos.  El usuario final se responsabilizará de los datos ingresados en los sistemas o servicios informáticos que le sean provistos, asi como también de la validación de los reportes. i) Sobre la Seguridad a Considerar en el Desarrollo de Sistemas Aspectos Generales de Seguridad  Para accesar a los sistemas en los cuales se realicen operaciones de captura, modificación o eliminación, los sistemas deben contar con mecanismos para identificar y autentificar al usuario que desea realizar dichas operaciones. Este mecanismo puede implementarse mediante cuentas de acceso o algún otro que asegure la identificación y
  19. 19. Auditoria en Sistemas de Información –2013 18 autentificación del usuario. No se debe programar en el código las cuentas de acceso.  Para sistemas clasificados como críticos, las claves de acceso deben almacenarse de forma encriptada en la base de datos, ya sea de forma nativa o mediante algoritmos de programación.  En los sistemas clasificados como críticos, los permisos de los usuarios se deben estructurar en perfiles o roles, y cada cuenta de usuario debe asociarse a un perfil, el cual permite realizar un conjunto de operaciones predefinidas dentro del sistema.  El sistema deberá garantizar que no se pueda definir un código de acceso operable, sin que esté asociado a los perfiles que le correspondan. Aspectos que debe Incluir el Modulo de Administración de la Seguridad en los Sistemas Todo sistema deberá contar con un modulo de seguridad que integre las siguientes funcionalidades: o Permitir el acceso a las funcionalidades del modulo de seguridad, solamente al personal registrado con el perfil de administrador de sistemas. o Proveer una contraseña inicial, asociada al código de acceso, que no se pueda identificar o predecir con facilidad. o Permitir cambiar la contraseña del administrador del módulo de seguridad. o Deberá obligar al usuario a cambiar su contraseña, la primera vez que ingresa al sistema, de manera que no pueda acceder a ninguna funcionalidad sin haber completado este paso.
  20. 20. Auditoria en Sistemas de Información –2013 19 o Deberá permitir a los usuarios el cambio de contraseña o provocar que el usuario tenga que realizar este cambio, cuando considere necesario o conveniente. o Deberá permitir asociar o desasociar perfiles de usuario, por parte del administrador del sistema, sin requerir cambiar el código de acceso. o El usuario deberá registrarse y utilizar la contraseña en forma encriptada. o No deberá permitir el acceso simultáneo de un usuario a dos o más estaciones de trabajo. o No deberá permitir reutilizar la misma contraseña en un periodo mínimo de un 6 meses. j) Sobre las Sanciones Aplicables Cualquier violación a las políticas y normas de seguridad serán sancionadas de acuerdo a reglamento emitido por el departamento informático. Las sanciones serán evaluadas de acuerdo a ello se valoraran si es una sanción es leve, moderado o grave. Las sanciones leves pueden ser desde una llamada de atención o informar al usuario la suspensión del servicio dependiendo de la gravedad de la falta. Constituyen sanciones moderadas aquellas faltas como la incorrecta utilización de los recursos informáticos que perjudiquen el proceso normal de la automatización de la información la cual será sancionada mediante una multa S/. 300.00 a más según la gravedad. Constituyen sanciones graves aquellas faltas como hurto de información, divulgación, perjuicios premeditados que perjudiquen
  21. 21. Auditoria en Sistemas de Información –2013 20 seriamente a la organización cuya sanción será el retiro y posteriormente una demanda ante las instituciones correspondientes. k) Sobre el Personal Informático  Se debe mantener el registro de acceso del personal autorizado y de ingresos con el objeto de facilitar procesos de investigación.  Como mecanismo de prevención todos los empleados y visitantes no deben comer, fumar o beber en el centro de cómputo o instalaciones con equipos tecnológicos, al hacerlo estarían exponiendo los equipos a daños eléctricos como a riesgos de contaminación sobre los dispositivos de almacenamiento. l) Sobre los Contratos con Proveedores de Bienes o Servicios Informáticos De Aplicación por Parte del Administrador de Sistemas Informáticos El jefe de la unidad de Informática estipulara que: de haber contratado dentro del calendario establecido y en los casos que sean necesarios, autorizará cambios en las fechas. m) Sobre el Proceso de Adquisición e Implementación  La empresa COFISOM E.I.R.L. debe contar en todo momento con un inventario actualizado del software de su propiedad, el comprado a terceros o desarrollado internamente, el adquirido bajo licenciamiento, el entregado y el recibido como datos. Las licencias se almacenarán bajo los adecuados niveles de seguridad e incluidas en un sistema de administración, efectuando continuos muestreos para garantizar la consistencia de la información allí almacenada. Igualmente, todo el software y la documentación del
  22. 22. Auditoria en Sistemas de Información –2013 21 mismo que posea la Entidad incluirán avisos de derechos de autor y propiedad intelectual.  La empresa COFISOM E.I.R.L deberá tener una metodología formal para el proceso de adquisición de software de misión crítica o prioritaria a través de terceros que incluya un contrato proforma con cláusulas básicas para la protección de la información y del software, así como para la documentación y los respaldos, que protejan los intereses institucionales frente a las cláusulas entregadas por el vendedor.  Cuando se adquiera una licencia de uso de software, a través de un proveedor o la contratación de software a la medida, el vendedor depositará en custodia en una empresa especializada una copia del software adquirido y su documentación técnica respectiva y sus correspondientes actualizaciones. Igualmente dejará una autorización por escrito para que la Entidad los pueda retirar, cuando por motivos de fuerza mayor el vendedor deje de existir en el mercado.  El contrato de adquisición deberá contar con los entregables del software incluido el código fuente del programa. n) Políticas de Backups  Las copias de seguridad de la base de datos en el servidor se realizarán todos los días, esta regla se debe cumplir obligatoriamente al finalizar el día laboral dentro de la empresa COFISOM EI.R.L.  La copia de seguridad de los códigos fuentes de los aplicativos se respaldarán cada vez que se realicen actualizaciones e implementaciones de cada aplicativo.  La copia de seguridad de archivos de ofimática se realizarán según el criterio del usuario, recomendable cada vez que realice significativas modificaciones de archivos de forma obligatoria deben realizar esta copia de seguridad mensualmente y deben ser entregados al departamento informático.
  23. 23. Auditoria en Sistemas de Información –2013 22  Para la información contenida en las computadoras personales los medios para guardar la copia de seguridad pueden ser cintas magnéticas o medios ópticos DVD de marcas reconocidas, según la naturaleza de la información.  Las unidades de almacenamiento de respaldo serán verificados semanalmente para comprobar su correcto estado y de ser necesario se cambiará de acuerdo a la tecnología de almacenamiento vigente.  Los backups de los sistemas de computación y redes deben ser almacenados en una zona de fuego diferente de donde reside la información original.  Consideraciones  COFISOM EI.R.L. maneja información importante dentro de los cuales debe ser protegida, sin importar como este guardada o como este digitada o donde este almacenada.  Los empleados deben estar en constante capacitación y estar pendiente de las nuevas tendencias que ofrece las tecnologías porque las concientización hacia los empleados es indispensable.  Deben tener en conocimiento de las políticas de seguridad todo aquel trabajador que es antiguo o nuevo en la organización.

×