Este documento presenta las políticas de seguridad de la información de la Universidad Nacional Autónoma de Honduras en el Valle de Sula. Establece las responsabilidades del departamento de TI con respecto al hardware, software y activos informáticos. También cubre políticas para el uso del correo electrónico, compra de software, traslado de equipos, robos y más. El objetivo es proteger los activos de información de acuerdo con normas internacionales de seguridad.
Manual de Políticas de Seguridad de Información UNAH-VS
1. 0
UNIVERSIDAD NACIONAL AUTONOMA
DE HONDURAS EN EL VALLE DE SULA
MANUAL POLITICAS DE SEGURIDAD
ING. Guillermo Brand
GRUPO #10
INTEGRANTES
OBED ISAI CASTRO 20122003116
JOSE CARLOS ROJAS 20102005514
EDUARDO MARADIAGA 20112001635
HECTOR FRANCISCO TREJO 20112003217
2. 1
ÍNDICE
0.Introduccion ……………...……………………….……………………………………………………….....2
1. Objetivos……………………………………………………………….…………………………..…….….….3
2. Alcance………………………………………………………………………………….………………..……...3
3. Definiciones………..……………………..………………………………………..…………….…..……….4
4. Responsabilidades del Departamento de TI con respecto al Hardware………………5
5. Responsabilidades del Departamento de TI con respecto al Software………….……7
6. Custodia y Asignación de los Activos Informáticos ……..…………………………………..8
7. TRASLADO DE ACTIVOS INFORMÁTICOS FUERA DE LA INSTITUCIÓN …………….…10
8. Robo o Pérdida de Equipo Informático …………………………………………….…………….11
9. Compra de Software …………………………………………………………………………………….. 11
10. Políticas para Uso y seguridad de Correo Electrónico …………………………………..12
11. MODIFICACIÓN O INSTALACIÓN DE SOFTWARE (PROGRAMAS) …………………..14
12. SOPORTE TÉCNICO A LOS EQUIPOS ASIGNADOS ………………………………………...14
13. PLAN DE CONTINGENCIA ……………………………………………………………………………15
14. ASIGNACIÓN DE USUARIO ………………………………………………………………………...16
15. SEGURIDAD DE LA INFORMACIÓN ……………………………………………………………..17
16. CONCLUSION …………………………………………………………………………………………….19
3. 2
INTRODUCCIÓN
La información corresponde a un activo, el cual se expone a riesgos y
amenazas dinámicas, que pueden provenir desde dentro o fuera de la
organización, y pueden ser intencionales o accidentales. Su ocurrencia puede
provocar pérdidas materiales y económicas, daños en la imagen institucional y
en la confianza de los clientes, infracciones legales, incumplimiento regulatorio,
vulneración de derechos de colaboradores o de terceros. Dado lo anterior, es
importante proteger adecuadamente los activos de información de la
organización.
Por ello, para la Institución la Seguridad de la Información es un proceso
continúo destinado a proteger sus activos de información contra las amenazas
que pongan en riesgo su integridad, disponibilidad o confidencialidad.
Toda información de la empresa, independiente de la forma en que se
documente (soporte), debe ser protegida adecuadamente a través de la
implementación de un conjunto de controles, que se definen en políticas,
normas y procedimientos de Seguridad de la Información.
En vista de lo anterior, el Directorio de la Institución apoya los objetivos
estratégicos de Seguridad de la Información y vela para que se encuentren
alineados con las estrategias y los objetivos del negocio.
Las políticas de Seguridad de la Información de la Institución están basadas
en la norma ISO 27002 vigente, correspondiendo el presente documento al
punto de dicha norma: “Políticas de Seguridad de la Información”.
4. 3
OBJETIVOS
La Política de Seguridad de la Información tiene como objetivos:
1. Establecer los criterios y directrices generales sobre la gestión de
Seguridad de la Información, aplicables en la Institución, en los cuales se
basan las demás políticas, normas y procedimientos.
2. Orientar las acciones sobre la Gestión de Seguridad de la Información
que adopte y comprometa la Administración de la Institución, para que
estén alineadas con los objetivos del negocio.
ALCANCE
Esta Política de Seguridad de la Información aplica a todos los activos de
información de la Empresa, cualquiera sea la forma de soporte, así como los
procesos y sistemas que los apoyan.
Por tanto, es responsabilidad de todos los colaboradores de la Institución,
además, de los proveedores y clientes, cuando corresponda, conocer, cumplir y
hacer cumplir cabalmente las disposiciones de esta Política.
5. 4
Definición de Políticas de Seguridad Informática
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya
que las mismas establecen un canal formal de actuación del personal, en relación con
los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción
técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de
los empleados, es más bien una descripción de los que deseamos proteger y él por qué
de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a
reconocer la información como uno de sus principales activos, así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de
seguridad deben concluir en una posición consciente y vigilante del personal por el uso
y limitaciones de los recursos y servicios informáticos.
Elementos de una Política de Seguridad Informática
Como una política de seguridad debe orientar las decisiones que se toman en relación
con la seguridad, se requiere la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes
elementos:
aplica.
ntos involucrados en su
definición.
todos los niveles de la organización.
6. 5
Responsabilidades del Departamento de TI con respecto
al Hardware
La responsabilidad de TI ante la adquisición, instalación, mantenimiento y buen
funcionamiento de los equipos, dispositivos de la Institución son las siguientes:
Deberá vigilar y llevar un inventario detallado de la infraestructura de
Hardware de la Institución, acorde con las necesidades existentes de la misma.
Será la única responsable de hacer requerimientos de los activos informáticos
que hayan sido proyectados, según las necesidades que se presenten en cada
área de trabajo.
Deberá determinarla vida útil de los equipos de informática, con la finalidad de
optimizar su uso.
Deberá participar en los contratos de adquisición de bienes y/o servicios,
donde se incluyan equipos informáticos como parte integrante o
complementaria de otros.
Deberá confirmar que los equipos de informática cumplan con las
especificaciones indicadas en las solicitudes de compra, de no ser así se
encargará de la devolución de los mismos.
Deberá realizar el mantenimiento técnico preventivo de todos los equipos
informáticos de la Institución.
Será responsable de instalar los equipos y programas informáticos utilizados en
la Institución.
Será responsable de evaluar el área física donde se instalará un nuevo equipo
informático, confirmando que el área este óptima para la instalación de los
mismos.
Verificará que los equipos tecnológicos tengan: disponibilidad de energía
eléctrica, cableado estructurado y mantengan las condiciones físicas aceptables
y adecuadas de temperatura, entre otros.
7. 6
Deberá solicitar al Departamento Administrativo y Financiero las
infraestructuras o servicios de disponibilidades eléctricas, previamente a la
instalación de los equipos informáticos requeridos.
Velará por el adecuado uso de las instalaciones eléctricas requerida para el
funcionamiento de los equipos tecnológicos
Verificará el inventario de los equipos y programas informáticos que sean
instalados, con la finalidad de llevar un control de los mismos
Instalará todas las aplicaciones de los equipos y programas informáticos
utilizados por la Institución
Instruirá al Usuario sobre el uso y manejo adecuado de los equipos y programas
informáticos instalados. Verificará que los suplidores de programas de
computadoras suministren los manuales correspondientes al funcionamiento
de los equipos o programas especializados.
8. 7
Responsabilidades del Departamento de TI con respecto
al Software
RESPONSABILIDAD DE TI
TI, es responsable ante la institución de la instalación, actualización y modificación de
los programas de computadoras utilizados por la misma.
Llevará inventario del software (programas) instalados en la Institución.
Velará porque todo el software instalado en la Institución, este legalmente
licenciado.
Tendrá la custodia y almacenamiento de todos los programas informáticos de
la Institución.
Definirá los discos de Red de todas las áreas, para poder fragmentar el acceso
a la información y una mejor organización.
Establecerá configuraciones automatizadas para que los usuarios guarden toda
su información en los discos de red y se puedan facilitar las copias de seguridad
(Backup).
Restringirá el acceso a los equipos tecnológicos fuera de horario de trabajo, a
aquellos usuarios que no cuenten con una autorización previa de su superior
inmediato para laborar fuera de horario.
RESPONSABILIDAD DE USUARIOS
Los recursos informáticos asignados a los usuarios, deben usarse adecuadamente, con
responsabilidad acorde a los siguientes lineamientos:
Solo podrán utilizar los equipos asignados para ejecutar las actividades o tareas
Institucionales
No podrán usar equipos tecnológicos personales como: laptops, dispositivo
informático, etc., en el área de trabajo.
No podrá traer ni efectuar solicitudes a TI, de reparación de equipos
tecnológicos personales.
Solicitará a TI un levantamiento de los equipos informáticos necesarios que
requiera el área
9. 8
Prohibicionesde los Usuarios
El software existente en los equipos asignados a los usuarios estará regido por los
siguientes lineamientos:
Está prohibido instalar y/o descargar juegos, videos, música ni aplicaciones de
ningún tipo de las páginas del Internet, que no guarden relación con la
Institución.
Está prohibido tener en los discos de Red archivos que no tengan o guarden
relación con la Institución
Deberá informar a TI, en caso de presentarse cualquier problema de virus en su
equipo informático.
Los encargados deberán informar a TI cuales empleados de su área están
autorizados para laborar fuera de horario de trabajo
Seguridad del Área de Informática
Todos los sistemas de informática deberán estar resguardados dentro del área
asignada a TI.
Todos los sistemas de informática deberán estar resguardados dentro del área
asignada a TI.
Solo podrán acceder al área de infraestructura informática los empleados de TI.
10. 9
Custodia y Asignaciónde los Activos Informáticos
RESPONSABILIDAD DE TI
El uso indebido de los recursos informáticos puede afectar negativamente el
funcionamiento de los equipos de oficina (PC), la red, los servidores por tanto TI:
Custodiará todos los activos informáticos de la Institución.
Asignará los equipos informáticos a todos los usuarios, de acuerdo con los
requerimientos de las áreas.
Verificará que no le sea asignado un mismo activo informático a más de un
Usuario.
Llevará el control de los equipos informáticos portátiles (Laptop) asignados al
personal gerencial que realice trabajos fuera de la Institución.
RESPONSABILIDAD DE LOS USUARIOS
Al ser asignado un activo a un usuario todo lo concerniente al mismo será de su
responsabilidad por lo cual:
Será responsable de la custodia de los equipos informáticos asignados (PC´s,
monitores, teclados, impresoras, USB, etc.
Notificará, vía electrónica o cualquier otra vía los inconvenientes o anomalías
presentada con los equipos, accesorios, impresoras, sistemas, entre otros.
11. 10
TRASLADO DE ACTIVOS INFORMÁTICOS FUERA DE LA
INSTITUCIÓN
RESPONSABILIDAD DE TI
Al momento de recibir una solicitud de las áreas, para el traslado de un equipo
informático fuera de la institución, el compromiso de TI, es el siguiente:
Verificará el estado de los equipos tecnológicos a ser entregados a las áreas, a
través del Formulario Movimientos de Activos (Equipos), aprobado por el Dpto.
Administrativo y Financiero, para comprobar su salida y recepción en buen
estado.
Verificará con el Dpto. Administrativo y Financiero que el plazo otorgado a los
equipos tecnológicos que serán utilizados fuera de la Institución no sea mayor
de los días establecidos en el documento.
RESPONSABILIDAD DE LOS USUARIOS
El compromiso de los usuarios al momento de solicitar el traslado de un equipo
informático fuera de la institución son los siguientes:
Deberá llenar completamente hasta la casilla “Descripción del Equipo” en el
Formulario Movimientos de Activos (Equipos)el cual debe ser aprobado por el
Dpto. Administrativo y Financiero
Si el equipo tecnológico facilitado llegara a cumplir el plazo solicitado mediante
el Formulario Movimientos de Activos (Equipos)deberá de efectuar otra
solicitud la cual será evaluada por TI, y el Dpto. Administrativo y Financiero
Deberá reportar cualquier daño o/y deterioro de los equipos informáticos
facilitados.
12. 11
Robo o Pérdida de Equipo Informático
A partir de las políticas definidas, el Dpto. Administrativo y Financiero,
determinara los pasos a seguir para el inventario de los equipos que se
reporten como sustraídos
A partir de las políticas definidas, el Dpto. Administrativo y Financiero,
determinara los pasos a seguir para el inventario de los equipos que se
reporten como sustraídos
El Dpto. Administrativo y Financiero se encargará de realizar los procesos
pertinentes para que se establezca responsabilidad ante dicha pérdida.
Ante el caso de que se determine responsabilidad por parte del usuario de
dicha perdida, se empoderara a la Dirección Ejecutiva como a la Sección de
Recursos Humanos de la institución para que se proceda con la aplicación de
las medidas que se consideren correspondientes.
Compra de Software
RESPONSABILIDAD DE TI
La procedencia del software utilizado y adquirido por la Institución, deberá estar
acorde a las especificaciones técnicas que requiera la disponibilidad de la tecnología
que disponga la institución.
Velará que el software incluya información de instalación y mantenimiento,
para facilitar la labor del personal de soporte técnico.
Deberá requerirles a los proveedores, el entrenamiento en el uso del software
especializado.
13. 12
Políticas para Uso y seguridad de Correo Electrónico
Usar su cuenta con fines laborales de acuerdo con su función
Usar un lenguaje apropiado en sus mensajes.
El correo (e-mail) no tiene garantía de ser privado. Recuerde que existen
personas que se dedican a tratar de "capturar" información que viaja a través
de Internet, por lo tanto, nunca ponga en un mensaje de correo información
que no pondría en un sobre.
En general, se aconseja al menos revisar el asunto (subject) antes de responder
un mensaje y asegúrese que los mensajes que responda vayan dirigidos a usted
Sea cuidadoso cuando envíe su correo. Hay algunas direcciones que pueden ir a
un grupo, pero que parece ser la de una persona. Cerciórese a quién le manda
datos o información.
Sea cuidadoso cuando envíe su correo. Hay algunas direcciones que pueden ir a
un grupo, pero que parece ser la de una persona. Cerciórese a quién le manda
datos o información.
Las expectativas para comportarse por medio de e-mail, dependen de las
relaciones con una persona y el contenido de la comunicación. Las normas
aprendidas en un ambiente de e-mail particular, no necesariamente aplican en
general a los mensajes a través del Internet. Sea cuidadoso con los vulgarismos
o acrónimos locales.
No use sucuenta para finescomerciales
No se debe transmitirvirusoprogramasde uso mal intencionado.
Los usuariosnodebenleercorreo ajenoni generaroenviarcorreoselectrónicosa
nombre de otra personasinautorizaciónosuplantándola.
No se debe introducirsoftware maliciosoenlaredo enlosservidores(virus,worms,
ráfagas de correo electróniconosolicitado,etcétera).
No revele laclave ocódigode su cuenta,ni permitasuuso a tercerospara actividades
ajenas
14. 13
El usuariodebe evitarsuscribirse acualquierlistade correoque genere mensajescuyo
contenidonotengaque vercon lasfuncionesde sutrabajo
Se prohíbe el uso del correoelectrónicoconel finde realizaralgúntipode acoso,
difamación,calumnia,conintenciónde intimidar,insultarocualquierotraformade
actividadhostil,sinimportarel idioma,laperiodicidadotamañodel mensaje.
0. Se prohíbe hacerofrecimientosfraudulentosde productososervicioscuyoorigen
seanlosrecursoso serviciospropiosde sutrabajo
Se prohíbe realizaractividadesque contravenganlaseguridadde lossistemasoque
genereninterrupcionesde laredo de losservicios.
Se prohíbe el uso de comandoso programas o el envíode mensajesde cualquiertipo
con el propósitode interferirodeshabilitarunasesiónde usuarioatravésde cualquier
medio,local oremoto(InternetoIntranet).
Se prohíbe el envíode mensajesde correonosolicitados,incluyendojunkmail
(material publicitarioenviadoporcorreo) ocualquierotrotipode anunciocomercial a
personasque nuncahan solicitadoese tipode materia
15. 14
MODIFICACIÓN O INSTALACIÓN DE SOFTWARE
(PROGRAMAS)
RESPONSABILIDAD DE TI
Evaluará todas las modificaciones propuestas al software (programas) actuales,
tomando en cuenta el buen funcionamiento y costo en beneficio de la
Institución.
Modificará o Instalará los sistemas de Información acorde a las necesidades de
los usuarios, que busquen mejorar los procesos automatizados de la Institución
SOPORTE TÉCNICO A LOS EQUIPOS ASIGNADOS
RESPONSABILIDAD DE TI
Las responsabilidades descritas constituyen la normativa ante las solicitudes recibidas
para la asistencia de soporte técnico a los equipos asignados a los usuarios.
Todas las solicitudes de Soporte Técnico, deberán ser remitidas, vía correo
electrónico al Encargado de Informática, quien le dará las instrucciones
necesarias al personal técnico bajo su cargo.
Deberá dar un tiempo de respuesta a cada una de las solicitudes que hayan
sido notificadas por los usuarios.
Cuando TI considere que el reporte de avería es mínimo, se podrá proceder
con la reparación de inmediato.
Deberá de asegurar que el usuario este satisfecho con el servicio prestado.
Deberá recibir e instalar los equipos tecnológicos solicitados por las
diferentes áreas de la Institución.
Se encargará de revisar todos los equipos, accesorios, programas, entre
otros.
Dará soporte técnico solamente a los equipos informáticos de la Institución.
16. 15
RESPONSABILIDAD DE LOS USUARIOS
La responsabilidad de los usuarios ante la solicitud de asistencia del área de
informática es la siguiente:
Solicitará, vía correo electrónico a TI, las solicitudes de modificaciones o
servicio técnico, así como cualquier anormalidad en su equipo, con copia a su
superior inmediato.
Solicitará todos los servicios de soporte tecnológicos, a través de correo
electrónico con copia a su superior inmediato. En caso que el equipo no
responda, será efectuada, vía telefónica.
PLAN DE CONTINGENCIA
RESPONSABILIDAD DE TI
El propósito de un Plan de Contingencia en la informática, busca reanudar las
actividades ante un desastre a fin de que la institución pueda mitigar los efectos del
mismo, para lo cual TI:
Deberá tener siempre en caso de fallas un Plan de Contingencia que permita
recuperar en corto tiempo todas las informaciones contenidas en la Red.
Deberá programar una vez al año un simulacro, con la finalidad de examinar la
efectividad del Plan de Contingencia establecido.
RESPONSABILIDAD DE LOS USUARIOS
Deberán respetar los lineamientos establecidos en el Plan de Contingencia y
abocarse a colaborar con el mismo.
Ante la advertencia de un desastre deberá apoyar a TI en la protección de los
equipos.
17. 16
ASIGNACIÓN DE USUARIO
RESPONSABILIDAD DE TI
El objetivode laasignaciónde usuarioscorresponde aestablecerel accesoalosequipos
informáticosde lainstitución,aaquellaspersonasque formanparte de lamisma,otorgándole
el derechoyel privilegiode iniciode sesiónenlaredde la institución.
Recibirálasinformacionesrequeridasparaevaluarlassolicitudesde creacióno
modificaciónde usuariosenlossistemasde informaciónporparte de laSecciónde
RecursosHumanos.
Deberácrear el usuariode losnuevosempleados,conlafinalidadde otorgarleel
acceso al dominiode laredde laInstitución.
Deberáinformara laSecciónde RecursosHumanosla creaciónde nuevosusuariosen
el dominiode lared.
Velaráporque los datosde los usuariosenel dominiode ladataseanlos
correspondientesalanomenclaturaasignadaporel Jefe de Sistemas
Se asegurará de que lascuentasde usuarioscreadaspara el usode personasexternas
a la Empresa(consultores,asesores,auditores,entre otros) siempreserán de tipo
temporal,porloque RRHH al momentode solicitarlacreaciónde la cuentadeberá
indicarla fechade caducidadde la misma.
Deberáenfunciónde laslicenciasdisponiblesyde la informaciónsuministradapor
RecursosHumanos,evaluarlaposibilidadde aprobarlassolicitudesde creacióno
modificaciónde usuariosenlossistemasde informática.
Deberámonitoreartodaanomalíadetectadaenlaaprobaciónde creacióno
modificaciónde usuariosenel sistemade información.
Los empleadosendisfrute de vacacionesolicenciasmédicas,noserándeshabilitados
de la data.
Se deshabilitarálosusuariosde losempleadosque hayanfinalizadosucontratode
trabajo,segúninformaciónremitida,víacorreoelectrónicoporparte de Recursos
Humanos.
Suspenderáel permisoalared a todo empleadoque se encuentre bajoinvestigación
internaporhaber cometidoalgunainfracciónenel usode latecnologíae informaráal
superiorinmediatode dichasuspensión.
18. 17
SEGURIDAD DE LA INFORMACIÓN
RESPONSABILIDAD DE TI
Se prevén medidas de seguridad a ser seguidas por todos los miembros que componen
la institución con el propósito de proteger la información y normar los niveles de
acceso y confidencialidad, a ser observadas y cumplidas por los involucrados en el uso
y mantenimiento de los activos de informáticas de la organización.
Deberá establecer un plan de análisis de riesgo institucional.
Velará para que los equipos estén libres de vulnerabilidades a fin de reducir los
riesgos a que puedan someterse.
Conformara un equipo de seguridad de la información con un miembro de cada
departamento que pueda velar por la aplicación de las medidas de seguridad.
Velará por la seguridad de la información que se genere día a día.
Deberá almacenar en un lugar seguro todos los backups o copia de seguridad
ejecutados, preferiblemente fuera de la institución.
Se encargará de monitorear el uso indebido de todos los equipos tecnológicos
por parte de los usuarios de la institución.
Velará por la instalación de programas que garanticen la seguridad de la
información en los archivos compartidos.
Asegurará que los encargados de áreas que manejan plataformas de datos
electrónicos, se rijan por las políticas establecidas en este manual.
Realizará auditorías continuas a las carpetas con informaciones compartidas en
el disco público, lo que permitirá determinar responsabilidad cuando sean
reportadas informaciones como borradas.
Programará el sistema para que les notifique cada 3 meses a los usuarios el
registro de cambio de contraseña.
19. 18
RESPONSABILIDAD DE LOS USUARIOS
Solo utilizará el correo electrónico Institucional para recibir y/o enviar
correspondencia relacionadas con su trabajo.
Los usuarios deberán revisar y responder día a día todos los correos
electrónicos internos como externos relacionados con las actividades de la
Institución.
Deberá manejar todas las informaciones institucionales exclusivamente a
través de los correos internos que dispone la organización.
Se asegurará de salvar y proteger la información que maneja.
No podrá transferir a terceros informaciones consideradas como confidenciales
sin autorización previa.
Guardará la información de trabajo en los discos de red asignados por usuario,
garantizando así la integridad de la información.
Deberá borrar todos aquellos correos que no deban permanecer en los
buzones ni en la papelera.
Deberá crear una contraseña privada, con la finalidad de acceder a los datos,
servicios y programas de su equipo, asegurándose que tenga las siguientes
características: Ocho (8) ó más caracteres Combinar letras mayúsculas,
minúsculas y números Fácil de recordar y difícil de adivinar
No deberá compartir la contraseña creada para acceder al Equipo Informático
asignado
No hará uso indebido de la información institucional que maneja.
20. 19
CONCLUSION
Para nadie es un secreto la importancia de implementar un programa completo
de seguridad de la información. Lo más efectivo es utilizar una metodología
comprobada que diseñe el programa de seguridad con base en las necesidades
de su empresa, recordando que cada empresa es diferente.
La clave para desarrollar con éxito un programa efectivo de seguridad de la
información consiste en recordar que las políticas, estándares y procedimientos
de seguridad de la información son un grupo de documentos interrelacionados.
La relación de los documentos es lo que dificulta su desarrollo, aunque es muy
poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta
interrelación en un esfuerzo por simplificar el proceso de desarrollo.
Sin embargo, estas mismas relaciones son las que permiten que las
organizaciones exijan y cumplan los requerimientos de seguridad.