Este documento presenta las políticas de seguridad para los sistemas de telecomunicaciones de una institución. Incluye políticas sobre la instalación, mantenimiento y actualización de equipos, control de acceso físico y remoto, uso de recursos de red, y políticas para el software, incluyendo su adquisición, instalación y actualización. El objetivo es proteger los equipos y la información de la institución a través de estas políticas de seguridad.
Factores ecosistemas: interacciones, energia y dinamica
Proyecto manual de la seguridad de telecomunicaciones
1. Seguridad de la
información.
Profesor: Lic. Ricardo Luna
Santos
Materia: Seguridad de la
Información.
Grado: 10°
Grupo: “A”
Elaborado por:
Monserrath Salas González
Juan Carlos Bonilla Hernández
Miguel Angel Salgado Cruz
Diana Laura Hernández Cruz
Fecha de elaboración:
26/09/2016
Universidad Tecnológica de
Xicotepec de Juárez
2. Manual de Políticas de un sistema de telecomunicaciones
1
Índice
Contenido
1.-Introducción................................................................................................................................... 2
2.-Políticas de instalación de Equipos.............................................................................................. 3
2.1-Instalación de equipo de cómputo.............................................................................................. 3
2.2.-Mantenimiento de equipo de cómputo ...................................................................................... 4
2.3.- De la actualización del equipo.................................................................................................. 5
2.4.-De la reubicación del Equipo..................................................................................................... 5
3.-Políticas de Acceso....................................................................................................................... 6
3.1.-De acceso a la institución:......................................................................................................... 6
3.2.-Del control de acceso al equipo: ............................................................................................... 6
3.3.-Del control de acceso local a la red. ......................................................................................... 7
3.4.-De control de acceso remoto..................................................................................................... 7
3.5.-De acceso a los sistemas administrativos. ............................................................................... 8
4.-Utilización de recursos de la red .................................................................................................. 8
5.-Software ........................................................................................................................................ 9
5.1.-De la adquisición de software.................................................................................................... 9
5.2.-De la instalación de software..................................................................................................... 9
5.3.-De la actualización del software................................................................................................ 9
5.4.-De la auditoría del software instalado: .................................................................................... 10
5.5.-Del software propiedad de la institución:................................................................................. 10
5.6.-Sobre el uso de software académico: ..................................................................................... 10
5.7.-De la propiedad intelectual: ...................................................................................................... 11
7.-Sanciones .................................................................................................................................... 11
6.-Recomendaciones .......................................................................................................................12
7.-Conclusión ...................................................................................................................................12
8.-Bibliografía ...................................................................................................................................13
3. Manual de Políticas de un sistema de telecomunicaciones
2
1.-Introducción
Se define Tecnología de la Información (TI), a las herramientas y métodos utilizados
para recabar, retener, manipular o distribuir información, la cual se encuentra por lo
general relacionada con las computadoras y las tecnologías afines aplicadas a la toma
de decisiones.
Hoy en día la seguridad es algo que no tenemos que dejar a la ligera si no que debemos
de especializarnos más para estar al tanto de lo que realizamos sea seguro. La
seguridad de los equipos de cómputo de la institución debe contar con políticas de
seguridad que avalen que los equipos de cómputo estarán seguros. Este manual servirá
para concientizar acerca de la importancia y sensibilidad de la información y equipos de
cómputo.
El proponer estas políticas requieren de un alto compromiso con la institución y con las
personas involucradas, agudeza técnica para establecer y detectar fallas o deficiencias
para que el personal que le de mantenimiento pueda corregir los errores o deficiencias
encontradas dentro de las políticas.
Este manual deberá ser aplicado a cada laboratorio u oficina que cuente con equipos de
cómputo de la institución, para que lleve un control y una estandarización en la
seguridad de los equipos de cómputo donde restringa el uso de software sin licencia o
de software pirata dado que estos pueden dañar los equipos ya que podría incurrir en
problemas legales para la institución. El personal que aplique este manual deberá
aplicar el mantenimiento correspondiente actualización y reubicación de los equipos
conforme a lo establecido en el presente documento.
4. Manual de Políticas de un sistema de telecomunicaciones
3
2.-Políticas de instalación de Equipos
2.1-Instalación de equipo de cómputo.
1. Todo el equipo (computadoras, servidores, etc.) que esté conectado a la red y
que sea propiedad de la institución debe sujetarse a las normas y procedimientos
de instalación que emita el departamento.
2. El departamento de “SOPORTE” en coordinación con el departamento de
LOGISTICA deberán tener un registro de todos los equipos que sean propiedad
de la institución.
3. El equipo de la institución requerirá que este ubicado en un área que cumpla con
los requerimientos de: Seguridad física, condiciones ambientales, electricidad y la
normatividad para el acceso de equipos que El departamento de SOPORTE
implante (como no entrar con comida, bebidas, no desconectar los equipos,
manipulación de equipos sin el conocimiento, entre otros).
4. Los encargados de la oficina de SOPORTE deberán dar cumplimiento a las
normas como: instalación, actualizaciones, reubicación, reasignación, y todo
aquello que implique movimientos en su ubicación.
5. La protección física de los equipos de cómputo corresponderá a quien en un
principio se le hayan sido asignada ya que deberá notificar los movimientos en
caso de que exista a las autoridades correspondientes de la oficina de
SOPORTE.
6. Utilizar los equipos de protección contra variaciones de corriente (regulador, tierra
física y no break) para regula la energía eléctrica de tu equipo, suprime los picos
de corriente eléctrica, el no break: es un aparato, que tiene funciones de un
regulador te permite almacenar energía para tu equipo de cómputo.
7. El equipo de cómputo deberá ser manipulado con el debido cuidado para evitar
algún posible daño.
8. Al instalar el equipo de cómputo se deben de colocar todas sus piezas originales
para evitar fallos.
5. Manual de Políticas de un sistema de telecomunicaciones
4
9. Se tendrá en cuenta el espacio de trabajo y las condiciones de energía eléctrica y
red para la ubicación.
10.La Institución brindarán la infraestructura y material necesario para la instalación
y buena operación de los equipos de cómputo conforme se indica:
a) Corriente eléctrica adecuada y debidamente estabilizada y tomacorriente con
línea a tierra.
b) El ambiente en el cual se instalen los equipos deberá ser ventilado y estar exento
de polvo.
c) Los equipos de cómputo deberán estar protegidos de los rayos solares en forma
directa.
d) Los equipos no deben estar sujetos a vibraciones que pueden descalibrar los
dispositivos internos.
2.2.-Mantenimiento de equipo de cómputo
1. La oficina de SOPORTE de la institución corresponderá darles instrucciones a los
encargados de los equipos, la tarea del mantenimiento preventivo y correctivo de
los mismos.
2. Los equipos asignados a los encargados quedarán bajo su responsabilidad y al
mismo tiempo deberán coordinarse con la oficina de SOPORTE para darle un
cuidado adecuado.
3. Corresponderá a la oficina de SOPORTE dar a conocer un listado de las
personas encargadas que pueden darles mantenimiento a los equipos.
4. Los encargados no podrán dar ningún tipo de mantenimiento a equipos que no
sean de la institución.
5. Los encargados de los equipos de cómputo deberán llevar una bitácora del tipo
de mantenimiento que realizo y a que equipo.
6. Deberá de llenarse una solicitud en caso de que algún trabajador requiera
mantenimiento en su equipo de cómputo donde especifique el tipo de falla.
6. Manual de Políticas de un sistema de telecomunicaciones
5
2.3.- De la actualización del equipo
1. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo y
demás relacionados) que sean propiedad de la institución debe ser actualizado
adquiriendo las nuevas tendencias para conservar e incrementar la calidad del
servicio que presta.
2. Se llevarán a cabo de acuerdo al plan establecido por la oficina de SOPORTE las
actualizaciones del software de uso común para el correcto funcionamiento de los
equipos
2.4.-De la reubicación del Equipo
1. Para reubicar un equipo de cómputo el personal responsable deberá llenar una
solicitud de reubicación misma que será analizada por el área de SOPORTE para
una futura aprobación.
2. Se tendrá en cuenta el espacio de trabajo y las condiciones de energía eléctrica y
red para la reubicación.
3. En la solicitud el interesado deberá especificar los motivos por el cual desea dicha
reubicación considerando el nuevo espacio que será asignado.
4. Si el responsable del equipo de cómputo realiza la reubicación sin la autorización
del departamento de TELECOMUNICACIONES será sancionado.
5. Quienes realicen cambios tanto físicos como de software del equipo de cómputo
deberán notificarlos a la oficina de SOPORTE y LOGISTICA para adjuntarlos al
inventario.
6. El equipo de cómputo a reubicar de la institución o externo se hará solo con
autorización del responsable contando el lugar hacia donde se hará la ubicación
con los medios necesarios para su instalación.
7. La reubicación deberá de hacerse de acuerdo a la instalación correspondiente
que se menciona en el apartado 2. Políticas de Instalación de Equipos
7. Manual de Políticas de un sistema de telecomunicaciones
6
3.-Políticas de Acceso
3.1.-De acceso a la institución:
1. Para el acceso a la institución se deberá portar una identificación oficial y el
empleado deberá registrar su entrada y salida, sin importar la jerarquía de su
puesto.
2. El encargado del área de SOPORTE deberá dar de alta a los empleados en el
sistema de control de seguridad.
3. Cuando un empleado sea despedido deberá ser dado de baja del sistema de
control de seguridad inmediatamente.
4. En caso de que a un empleado se le olvidara llevar su identificación no podrá
accesar a la institución por seguridad.
5. Si una persona ajena a la institución desea entrar a la misma, esta deberá
registrarse en una bitácora de control de acceso a terceros proporcionando una
identificación al encargado de seguridad misma que será devuelta a la salida de
la institución.
3.2.-Del control de acceso al equipo:
1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es
de su competencia hacer buen uso de los mismos de lo contrario se les
sancionara.
2. Quedará registrado en un control al responsable de cada equipo de computo
3. En caso de que se trate de equipos asignados para un propósito (Racks,
servidores) serán manipulados por personal responsable de la administración del
equipo.
4. Solo el personal que ofrece soporte técnico tiene acceso a todo el equipo de la
institución siempre y cuando presente una identificación.
8. Manual de Políticas de un sistema de telecomunicaciones
7
3.3.-Del control de acceso local a la red.
1. La oficina de TELECOMUNICACIONES es la encargada de administrar las redes
informáticas de la institución asignando un ancho de banda correspondiente a
cada área.
2. El personal que desee conectar otro dispositivo ajeno a la institución deberá
notificarlo a la oficina de TELECOMUNICACIONES para que esta pueda darlo de
alta en la red de la institución.
3. La oficina de TELECOMUNICACIONES es la única autorizada para dar
mantenimiento a la red informática en caso de una falla.
4. Se asignara un ancho de banda según sea la jerarquía del personal que labora en
la institución por el área de TELECOMUNICACIONES.
5. La red será monitoreada por el área de TELECOMUNICACIONES por motivo del
uso adecuado de la red.
6. Los dispositivos que no sean propiedad de la institución y estén conectados a la
red solo recibirán un ancho de banda limitado para evitar la congestión de la red.
3.4.-De control de acceso remoto.
1. La oficina de SOPORTE es la responsable de proporcionar el servicio de
acceso remoto y las normas de acceso a los recursos informáticos
disponibles.
2. Si un área determinada quiere tener acceso remoto de algún servidor deberá
de llenar una solicitud correspondiente al área de TELECOMUNICACIONES
para que le sea asignado un permiso especial de acceso.
3. El acceso remoto siempre será monitoreado por el área de
telecomunicaciones para evitar un mal uso de la información.
4. En la solicitud emitida por el interesado de accesar remotamente a un
servidor deberá especificar qué información utilizara y para qué.
5. Cualquier solicitud emitida por interesados deberá ser analizada
detalladamente por el personal de TELECOMUNICACIONES.
9. Manual de Políticas de un sistema de telecomunicaciones
8
3.5.-De acceso a los sistemas administrativos.
1. Solo tendrán acceso a la información personal autorizado de cada área
correspondiente de la institución.
2. La información que sea de uso restringido deberá ser cifrada por los encargados
de manipularla por seguridad de la misma
3. Las bases de datos y acceso a servidores solo serán manipuladas por personal
autorizado y de la oficina de TELECOMUNICACIONES
4. Se determinará un control del personal que pueda tener acceso a cierta
información con el fin de proporcionar la seguridad de la misma.
4.-Utilización de recursos de la red
1. Los recursos disponibles mediante la red de la institución serán utilizados solo y
exclusivamente para asuntos relacionados con la institución.
2. Las cuentas de ingreso a la red son propiedad de la institución y se usarán
exclusivamente para actividades relacionadas con la misma.
3. Es responsabilidad de la oficina de REDES realizar y actualizar el reglamento
para el uso de la red.
4. La oficina de REDES es la encargada de que las redes inalámbricas de la
institución cuenten con métodos de autenticación para evitar accesos no
autorizados.
5. Todo usuario que utilice los recursos de la red tiene la obligación de respetar la
información y el trabajo de otras personas que utilizan de forma compartida los
mismos recursos.
10. Manual de Políticas de un sistema de telecomunicaciones
9
5.-Software
5.1.-De la adquisición de software
1. Todo el software adquirido por el departamento de SOPORTE deberá contar con
sus licencias correspondientes para evitar sanciones legales.
2. El software deberá ser adquirido de sitios legales y seguros para evitar problemas
de seguridad.
3. Cualquier área que necesite de un software en específico deberá notificar sus
requerimientos a la oficina de SOPORTE mediante una solicitud misma que
deberá ser analizada para emitir una respuesta de aprobación.
4. En caso de que la institución adquiera software de distribución gratuita se deberá
de respetar la propiedad del autor.
5.2.-De la instalación de software
1. El área de SOPORTE solo permitirá la instalación de software con licencia original
para evitar problemas legales a futuras auditorias.
2. No se permitirá la instalación de software ajeno a los establecidos por cada área
de ser así la persona responsable será sancionada.
3. Todos los equipos de cómputo de la institución deberán contar con un software de
antivirus que proteja a los equipos de todo tipo de amenazas cibernéticas.
5.3.-De la actualización del software
1. En caso de necesitar la actualización de algún software, deberá notificar al área
de SOPORTE de no ser así será sancionado ya que pone en riesgo la seguridad
del equipo de cómputo.
2. El área de SOPORTE realizara la actualización de todo el software de acuerdo a
los periodos establecidos.
3. Todo el software de antivirus deberá estar actualizado por seguridad de los
quipos de cómputo.
11. Manual de Políticas de un sistema de telecomunicaciones
10
5.4.-De la auditoría del software instalado:
1. El departamento de Control Interno de la institución tiene la responsabilidad de
realizar revisiones periódicas, para asegurar que los programas instalados en las
computadoras de la misma cuenten con licencias.
2. El departamento de Control, formará un grupo con conocimientos en auditoría de
sistemas de cómputo y sistemas de información.
3. El grupo asignado tendrá la responsabilidad de dictar las normas, procedimientos
y calendarios para realizar las auditorias.
5.5.-Del software propiedad de la institución:
1. Todo tipo de programa que haya sido comprado, donado o cedido a la institución
es propiedad de la misma y mantendrá los derechos que la otorgue la ley de
propiedad intelectual.
2. El departamento de SOPORTE en coordinación con el área de LOGISTICA tienen
la responsabilidad de tener un registro de todos los programas propiedad de la
institución.
3. Todos los programas, bases de datos, sistemas operativos e interfaces que hayan
sido desarrollados con recursos de la institución, se mantendrán como propiedad
de la misma, respetando la propiedad intelectual.
4. Todo usuario que maneje gran volumen de información de la institución, tiene la
obligación de realizar el respaldo correspondiente ya que es un activo que debe
preservarse.
5. La información generada por el personal de la institución, así como bases de
datos deben permanecer resguardados.
6. El departamento de SOPORTE es el responsable de promover y difundir los
métodos que se utilizaran para respaldar y salvaguardar los datos y programas de
la institución.
7. Es responsabilidad del departamento de SOPORTE administrar los distintos tipos
de licencia y estar al pendiente de su vigencia.
5.6.-Sobre el uso de software académico:
1. Todo software que necesite ser instalado en los equipos de cómputo para trabajar
deberá ser evaluado por el departamento de soporte.
2. El software instalado se deberá utilizar solo para la actividad académica.
3. El uso del software instalado implica la aceptación de las condiciones de uso del
fabricante.
12. Manual de Políticas de un sistema de telecomunicaciones
11
5.7.-De la propiedad intelectual:
1. El departamento de soporte deberá asegurarse que el software este protegido por
la empresa que lo está brindando y que cumpla correctamente con su
funcionamiento.
2. La empresa distribuidora del software deberá otorgar las licencias necesarias a la
institución.
7.-Sanciones
1. Las sanciones pueden ser desde una llamada de atención hasta la suspensión
del servicio dependiendo de la gravedad de la falta y/o el número de llamadas de
atención y de la malicia que ésta manifiesta.
I. La primera vez que el usuario haya incumplido una de las Políticas, el área
que esté a cargo notificará por escrito al responsable de la falta y le
recordará las políticas vigentes.
II. De presentarse un segundo incumplimiento en las Políticas, el área que
esté a cargo notificará por escrito al Director del área correspondiente,
informándole el tipo y contenido de la falta, suspendiendo el servicio
temporalmente al usuario responsable hasta que el Director del área
apruebe por escrito la restauración del servicio.
III. En caso de presentarse un tercer incumplimiento en las Políticas por parte
del mismo usuario, causara suspensión inmediata e indefinida del servicio,
si la seguridad se ve comprometida y el caso se turnará a la Dirección
general de la empresa para determinar si es necesario aplicar sanciones
administrativas adicionales.
2. Si la falta es muy grave puede llegar hasta el despido del personal responsable
y/o a la consignación con las autoridades correspondientes.
3. Si el equipo de la institución es dañado por descuido o mal intención la persona
responsable deberá pagar por los daños y será remitida a las autoridades
correspondientes.
4. Si se detecta un mal uso de la información la persona responsable será remitida a
las autoridades correspondientes.
5. Si se detecta un mal uso de la red con fines ajenos a los establecidos en cada
área, la persona responsable será sancionada y bloqueada de la red de la
institución
13. Manual de Políticas de un sistema de telecomunicaciones
12
6.-Recomendaciones
Estas son algunas de las normas que le ayudarán a aprovechar al máximo el uso de los
servicios:
• Ser respetuoso con los compañeros de trabajo y de su trabajo.
• Evitar dañar la computadora y la red de comunicación.
• No interferir con la operación de la red mediante instalaciones de cualquier
software.
• Respetar los derechos de autor y de propiedad intelectual.
• No compartir su propia contraseña de acceso con ninguna persona.
• No acceder a los archivos ni al trabajo de otras personas.
• Si se encuentra por accidente algún material ilegal u ofensivo, avisar
inmediatamente a la Gerencia de Informática.
• Asumir la responsabilidad por sus propias acciones y por la pérdida de sus
privilegios si hay alguna infracción de las políticas.
7.-Conclusión
Este manual servirá para llevar un control de instalación de equipos de cómputo de la
institución correspondiente así como también para el acceso del personal.
Siguiendo esta propuesta de políticas tendremos una mejor manera de operar los
equipos de cómputo con seguridad y de esta manera aumentar la calidad en los
servicios que brinda para la comodidad de los usuarios que la utilicen. Así como también
una correcta instalación de los equipos de cómputo dentro de cualquier institución para
garantizar posibles fallos del equipo de cómputo por una instalación llena de errores,
cabe mencionar que con las políticas establecidas se busca que la institución que los
aplique tenga herramientas para realizar una buena instalación de sus equipos de
cómputo, así como del mantenimiento y reubicación de los mismos.
Contar con el acceso correcto servirá para que la institución lleve un control sobre sus
empleados, y que sepan cómo deben de actuar conforme a la seguridad de la empresa.
Así como también tener un control de las personas que tienen acceso a los equipos de
cómputo de la institución.
La finalidad principal de los recursos de una red dentro de una institución es compartir
información y hacer más fácil y eficiente el manejo de la misma, y así brindar un buen
servicio a los usuarios que la manejan protegiendo los equipos de futuros ataques
cibernéticos o mal intencionados; de esto, se deriva la importancia de declarar ciertas
políticas para el uso de estos recursos.
14. Manual de Políticas de un sistema de telecomunicaciones
13
8.-Bibliografía
Manual de políticas de tecnología de la información de la DIGEIG. (octubre 2012).
Recuperado de http://www.oas.org/juridico/pdfs/mesicic4_repdom_manTI.pdf
José de Caldas, F. (s.f.). Seguridad de la información: políticas para la seguridad de la
información de la Universidad Distrital. [Versión 0.0.0.11]. Recuperado de
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seguridad/ar
chivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
Política oficial de Seguridad Informática del CICESE (28 de mayo 2001) Recuperado de
http://aulatic.utxj.edu.mx/pluginfile.php/17768/mod_resource/content/1/poli-segu.pdf