SlideShare una empresa de Scribd logo

Manual seguridad informatica

Eder Fernando Bolaño Rocha
Eder Fernando Bolaño Rocha

manual de seguridad informatica - SENA SEGURIDAD Y REDES proyecto final

Educación
1 de 11
Descargar para leer sin conexión
MANUAL DE SEGURIDAD INFORMATICA EN-CORE
CAPITULO 1 GENERALIDADES: OBJETIVOS Y ALCANCE ARTÍCULO 1: En-core es una empresa de investigación tecnológica con sede principal en la ciudad de Medellín, el objetivo principal del manual de seguridad de la información es gestionar la integridad, disponibilidad y confidencialidad de los datos aplicando los estándares necesarios para permitir alcanzar los logros de la organización evitando inconvenientes en el manejo de datos. ARTÍCULO 2: La seguridad de la información es el conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías de información. ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de manejo de datos conforme a la legislación colombiana y las recomendaciones internacionales en el manejo de la seguridad de la información. ARTÍCULO 4: La información, documentos u otros datos que se procese, intercambie, reproduzca y conserve a través de los medios técnicos de computación es propiedad intelectual de En-Core. Por lo tanto se considerará llevar a medidas judiciales el robo o salida de información sin permiso alguno de las personas a cargo de los productos de información e investigación.
CAPITULO II POLÍTICAS Y PLANES DE SEGURIDAD INFORMÁTICA Y DE CONTINGENCIA SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN Y PLAN DE CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN EN- CORE. ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y sistemas establecerá las regulaciones que rijan sobre la seguridad de la información que sea procesada, intercambiada, reproducida o almacenada a través de las tecnologías de información, determinando los tipos de información y recursos para su protección. También se creará los mecanismos de control para garantizar el cumplimiento de las regulaciones previstas en este manual. ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de red y usuarios con el fin de mantener actualizada las políticas de la seguridad de la información en EN-CORE en casos como:  Cambios en físicos o de organización.  Cambios o nuevos flujo de la información.  Cambio o nuevos recursos de tecnologías de información disponibles.  Nuevos usuarios.  Nuevas herramientas para velar por la seguridad e integridad de la red. ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de procedimientos y garantizar los conocimientos mediantes lecciones aprendida donde se reflejan las políticas, estructura de gestión y el sistema de medidas, para la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los análisis de riesgos y vulnerabilidad realizados.
ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán objeto de aprobación y control por parte de los directivos de EN-CORE. ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante posibles amenazas a la seguridad de la información que impidan cumplir con la disponibilidad, integridad y confidencialidad. ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en caso de desastres, la evacuación, preservación y traslado, de los medios y soportes destinados al procesamiento, intercambio y conservación de información clasificada o sensible (Ver anexo: Análisis de riesgo). ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de aprobación y control por parte de las distintas instancias de EN-CORE. SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN, EXCLUSIVAS Y GESTIÓN DOCUMENTAL ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese, intercambie, reproduzca y conserve información vital con cualquier recurso tecnológico. En las áreas de producción se aplicarán contaran con las siguientes características:  Serán áreas cerradas donde se manejen equipos con protección de sobre carga de tensión, riesgo de inundaciones o derrame de líquidos.  En caso ventanas que se comuniquen con el exterior se debe velar por una posición adecuada que evite que la información y recursos fiscos sean dañados por acción de vientos o humedad. ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en correspondencia con el nivel de acceso a la información clasificada que se les haya otorgado a las personas. En el caso del personal de servicios, mantenimiento de equipos u otro que eventualmente precise permanecer en el área, lo hará siempre en presencia de las personas responsables y con la identificación visible. En caso de visitantes deberán registrarse en la entrada de EN-CORE para permitir registrar su entrada o salida dentro de la empresa.
ARTÍCULO 14: El control e seguridad física incluye también la protección de puntos de datos mediante asociación de direcciones MAC al puerto. Sin embargo se podrá permitir el acceso de otros dispositivos mediante la solicitud al departamento de tecnología y sistemas de EN-CORE, la política de acceso físico a la red sea inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your Own Device). ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de almacenamiento y procesamiento de la información están ubicados, esta área incluye el cuarto de datos donde encuentren los servidores, y otros elementos de la red. Las características de las áreas serán las siguientes:  Protección a descargar eléctricas o sobre voltajes así como el manejo de energía mediante UPS para evitar el riesgo de pérdida de información ante apagones o problemas de la red eléctrica.  Suelo falso para evitar problemas de estática en los elementos.  Control físico de acceso mediante la seguridad de puertas de ingreso.  Control de la temperatura de los elementos mediante acondicionamiento de refrigeración. ARTÍCULO 16: La entrada o permanencia de las personas en las áreas exclusivas debe ser controlada, requiriéndose la autorización expresa de la persona facultada para ello. En el caso del personal de servicio, mantenimiento de equipos u otro que eventualmente precise permanecer en el área lo hará siempre en presencia de las personas responsables. ARTÍCULO 17: Todos los documentos físicos que contengan información clasificada serán controlados y conservados en la oficina de control de la información clasificada o en el área responsabilizada, según lo establecido para su protección y conservación. En lo posible se requerirá la gestión documental para la digitalización de documentos y la conservación de soportes vitales que requieran soporte físico según la ley.
SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de implementación a nivel de software y hardware y estarán en correspondencia directa con las políticas y modelos de seguridad que para la información se determinados por los directivos de EN-CORE. ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u otros dispositivos) en que se procese, intercambie, reproduzca y conserve información clasificada o sensible, se les implementarán mecanismos para identificar y autenticar los usuarios. ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de control (software de gestión de usuarios) que permitan contar con una traza o registro de los principales eventos que se ejecuten y puedan ser de interés para la detección o esclarecimiento ante violaciones de la Seguridad Informática. ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de tecnología y sistemas serán instaladas o utilizadas en cada dispositivo destinado al procesamiento de información clasificada o sensible, reunirán los requisitos siguientes:  Registro de control de aplicación, licencias y funcionalidad.  Cuadro de niveles manejo de la información que permita la aplicación del control, acorde a los niveles de acceso otorgado a los sujetos informáticos;  Capacidad de registrar todas las operaciones principales, realizadas en el tratamiento de bases de datos que contengan información clasificada o sensible. ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o alteraciones no autorizadas, a los mecanismos de seguridad técnica que se apliquen, tanto a nivel de sistema operativo como de aplicaciones. ARTÍCULO 23: La copias de respaldo de la información se realizaran diariamente luego cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de pérdida, destrucción o modificación males intencionados o fortuitos, de acuerdo a la clasificación o importancia de la información que protegen.
ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que permita la trazabilidad dentro de la empresa así como los aplicativos requeridos por cada usuario. SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al procesamiento de información clasificada se realizará una vez borrada físicamente la información. La nueva instalación del equipo se restaura según la hoja de vida del recurso tecnológico y los permisos del usuario a los procesos. ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de herramientas de Seguridad Informática que no cuenten con la aprobación del personal encargado en EN-CORE. El escaneo y manejo de red solo debe ser manejado por el personal asignado e incluso la persona dedicada dicha tarea, cualquier software que se use en la organización puede generar una gran ventana de vulnerabilidad y riesgo. Las únicas herramientas autorizadas para supervisar los servicios de red serán las designadas por el PSI autorizado. Se utilizan exclusivamente SATAN y NETLOG. La gestión de la integridad se realizara únicamente con el software COP, por lo tanto no se permiten otro tipo de software para el manejo de la integridad de la red SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD INFORMATICA. ARTÍCULO 27: EN-CORE designará a una persona con la experiencia y confiabilidad suficiente para ser Responsable de la Seguridad Informática. Cuando las características propias de la entidad y el volumen y dispersión de las tecnologías de información instaladas, así lo aconsejen, se podrá designar más de un responsable para la atención de la Seguridad Informática en las diferentes áreas de trabajo. ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en cada entidad las siguientes:
 Ser responsable de la aplicación y mantenimiento de los planes de seguridad informática y de contingencia.  Comunicar a la dirección de EN-CORE cuando en ella no se posean los productos de seguridad informática actualizados y certificados, de acuerdo a las normas recogidas en el presente Reglamento, y a las condiciones de trabajo del área.  Apoyar el trabajo del área de tecnología y sistemas y la área administrativa, en cuanto al estudio y aplicación del sistema de seguridad a los sistemas informáticos, con el fin de determinar las causas y condiciones que propician violaciones en el uso y conservación de estos sistemas y en la información que se procese en ellos;  Proponer y controlar la capacitación del personal vinculado a esta actividad, con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el Plan de Seguridad Informática (Ver anexo: gestión de usuarios). ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la existencia de un Administrador de red que tendrá entre sus funciones básicas:  Vigilar la aplicación de mecanismos que implementen las políticas de seguridad definidas en la red;  Velar porque la misma sea utilizada para los fines que fue creada;  Activar los mecanismos técnicos y organizativos de respuesta ante los distintos tipos de acciones nocivas que se identifiquen. SECCIÓN 6: TRABAJO EN REDES ARTÍCULO 30: Se prohíbe la conexión de dispositivos a elementos de la red en el área exclusiva, solo puede ser utilizado por el personal a cargo de dicha área. ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad de los cuales están provistas las redes de datos; así como de aquellos que permitan filtrar o depurar la información que se intercambie, de acuerdo a los intereses predeterminados por cada una de ellas.
CAPITULO III PRESTACIÓN DE SERVICIOS DE SEGURIDAD INFORMATICA A TERCEROS. ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad Informática a terceros aquellas entidades que cuenten con el correspondiente contrato vigente con EN-CORE según la naturaleza de la empresa de ofrecer servicios tecnológicos de investigación.
ANEXO: ANÁLISIS DE RIESGO NOMBRE RIESGO (R) IMPORTANCIA (W) RIESGO EVALUADO (RXW) DETALLE BASE DE DATOS 10 10 100 Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa. SERVIDOR WEB 8 10 80 Es un Equipo costoso por el tema de los servicios que están montados. SWICTH 3 5 15 El swicth es un equipo activo que se puede cambiar, resetear y volver a configurar. PC 7 3 21 Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente. IMPRESORA 2 1 2 Recurso para la elaboración de trabajos lo cual si se daña se cambia con facilidad.
VER ANEXO: GESTIÓN DE USUARIOS NOMBRE SERVICIO GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS Base de Datos Empleados y Administración Local Solo Lectura Base de Datos Clientes, Producto y Presupuesto Local Solo Lectura Acceso a Internet Usuario Local Solo Lectura Servidor Pagina Web Técnicos de Mantenimiento Local Lectura y Escritura. Acceso a Servidor, Router y Switch Administradores de red Local y Remoto Lectura y Escritura Acceso a Equipos Técnicos de Sistemas Local Todos

Recomendados

Proyecto de diseño de centro de computo
Proyecto de diseño de centro de computoProyecto de diseño de centro de computo
Proyecto de diseño de centro de computojersonvera
 
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOINVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOMarlen Jiménez
 
Implementación de un Centro de computo
Implementación de un Centro de computoImplementación de un Centro de computo
Implementación de un Centro de computoJepeto Ediciones
 
Proyecto final centro de computo
Proyecto final centro de computoProyecto final centro de computo
Proyecto final centro de computoRaysaGodoy
 
Dimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de informaciónDimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de informaciónRoiser Bustamante Fernández
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Diseño de un Centro de Computo
Diseño de un Centro de ComputoDiseño de un Centro de Computo
Diseño de un Centro de ComputoVíctor H Castillo J
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 

Recomendados

Proyecto de diseño de centro de computo
Proyecto de diseño de centro de computoProyecto de diseño de centro de computo
Proyecto de diseño de centro de computojersonvera
 
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOINVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTO
INVESTIGACIÓN DE ADMINISTRACIÓN DE CENTROS DE COMPUTOMarlen Jiménez
 
Implementación de un Centro de computo
Implementación de un Centro de computoImplementación de un Centro de computo
Implementación de un Centro de computoJepeto Ediciones
 
Proyecto final centro de computo
Proyecto final centro de computoProyecto final centro de computo
Proyecto final centro de computoRaysaGodoy
 
Dimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de informaciónDimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de informaciónRoiser Bustamante Fernández
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Diseño de un Centro de Computo
Diseño de un Centro de ComputoDiseño de un Centro de Computo
Diseño de un Centro de ComputoVíctor H Castillo J
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Mantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pcMantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pcyiseladaza
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Ley de delitos informáticos en el perú
Ley de delitos informáticos en el perúLey de delitos informáticos en el perú
Ley de delitos informáticos en el perúKass Samamé
 
Introducción a la Informática Jurídica
Introducción a la Informática JurídicaIntroducción a la Informática Jurídica
Introducción a la Informática JurídicaHayde Ramos UPT
 
4. Requisitos
4. Requisitos4. Requisitos
4. RequisitosDCU_MPIUA
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
Legislación informatica
Legislación informaticaLegislación informatica
Legislación informaticaPatricio Guanipatin
 
SOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORASSOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORASNandita You Friend
 
Diseño de un Centro de Computo
Diseño de un Centro de ComputoDiseño de un Centro de Computo
Diseño de un Centro de ComputoVíctor H Castillo J
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Merkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio ElectrónicioMerkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio ElectrónicioMerkatu
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAJosefernandezzafra
 
Tendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacionTendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacionCarlos De Palma Cruz
 
Manual de usuario para un centro de computo
Manual de usuario para un centro de computoManual de usuario para un centro de computo
Manual de usuario para un centro de computosoldevilla1005
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Mantenimiento de computadoras
Mantenimiento de computadorasMantenimiento de computadoras
Mantenimiento de computadoraslizbethtv
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Norberto Figuerola (PMP, ITIL,CGBSS, CSM)
 
..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIEStatianachitan
 
Aspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacionAspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacionnissae
 
Politicas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdfPoliticas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdfrobert
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica1416nb
 

Más contenido relacionado

La actualidad más candente

Mantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pcMantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pcyiseladaza
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Ley de delitos informáticos en el perú
Ley de delitos informáticos en el perúLey de delitos informáticos en el perú
Ley de delitos informáticos en el perúKass Samamé
 
Introducción a la Informática Jurídica
Introducción a la Informática JurídicaIntroducción a la Informática Jurídica
Introducción a la Informática JurídicaHayde Ramos UPT
 
4. Requisitos
4. Requisitos4. Requisitos
4. RequisitosDCU_MPIUA
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
SOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORASSOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORASNandita You Friend
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Merkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio ElectrónicioMerkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio ElectrónicioMerkatu
 
Tendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacionTendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacionCarlos De Palma Cruz
 
Manual de usuario para un centro de computo
Manual de usuario para un centro de computoManual de usuario para un centro de computo
Manual de usuario para un centro de computosoldevilla1005
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Mantenimiento de computadoras
Mantenimiento de computadorasMantenimiento de computadoras
Mantenimiento de computadoraslizbethtv
 
..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIEStatianachitan
 
Aspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacionAspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacionnissae
 

La actualidad más candente (20)

Mantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pcMantenimiento preventivo y correctivo del pc
Mantenimiento preventivo y correctivo del pc
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y Sistemas
 
Ley de delitos informáticos en el perú
Ley de delitos informáticos en el perúLey de delitos informáticos en el perú
Ley de delitos informáticos en el perú
 
Introducción a la Informática Jurídica
Introducción a la Informática JurídicaIntroducción a la Informática Jurídica
Introducción a la Informática Jurídica
 
4. Requisitos
4. Requisitos4. Requisitos
4. Requisitos
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Legislación informatica
Legislación informaticaLegislación informatica
Legislación informatica
 
SOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORASSOPORTE TECNICO EN COMPUTADORAS
SOPORTE TECNICO EN COMPUTADORAS
 
Diseño de un Centro de Computo
Diseño de un Centro de ComputoDiseño de un Centro de Computo
Diseño de un Centro de Computo
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Merkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio ElectrónicioMerkatu - Casos Prácticos Reales de Comercio Electrónicio
Merkatu - Casos Prácticos Reales de Comercio Electrónicio
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
Tendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacionTendencias futuras-de-los-sistemas-de-informacion
Tendencias futuras-de-los-sistemas-de-informacion
 
Manual de usuario para un centro de computo
Manual de usuario para un centro de computoManual de usuario para un centro de computo
Manual de usuario para un centro de computo
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Mantenimiento de computadoras
Mantenimiento de computadorasMantenimiento de computadoras
Mantenimiento de computadoras
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery
 
..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES
 
Aspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacionAspectos éticos y sociales en los sistemas de informacion
Aspectos éticos y sociales en los sistemas de informacion
 

Similar a Manual seguridad informatica

Politicas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdfPoliticas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdfrobert
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica1416nb
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimhgio_vani
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemasDIANA221
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemasDIANA221
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 

Similar a Manual seguridad informatica (20)

Politicas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdfPoliticas y Estandares de Seguridad.pdf
Politicas y Estandares de Seguridad.pdf
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica
 
Ea u2 gimh
Ea u2 gimhEa u2 gimh
Ea u2 gimh
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemas
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemas
 
Mp v01
Mp v01Mp v01
Mp v01
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
Introduccion
IntroduccionIntroduccion
Introduccion
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
 
5to dominio.
5to dominio.5to dominio.
5to dominio.
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
5to dominio.
5to dominio.5to dominio.
5to dominio.
 
Politicas de un site
Politicas de un sitePoliticas de un site
Politicas de un site
 
Sistemas operativos modernos
Sistemas operativos modernosSistemas operativos modernos
Sistemas operativos modernos
 
Alexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestreAlexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestre
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 

Más de Eder Fernando Bolaño Rocha

Más de Eder Fernando Bolaño Rocha (13)

ISO27002 plan de mejora
ISO27002 plan de mejoraISO27002 plan de mejora
ISO27002 plan de mejora
 
SGI Mapamental
SGI Mapamental SGI Mapamental
SGI Mapamental
 
Mango's City 2014
Mango's City 2014Mango's City 2014
Mango's City 2014
 
SATUTS
SATUTSSATUTS
SATUTS
 
Preguntados
PreguntadosPreguntados
Preguntados
 
Seguridad de redes wifi 802
Seguridad de redes wifi 802Seguridad de redes wifi 802
Seguridad de redes wifi 802
 
Seminario
SeminarioSeminario
Seminario
 
Gestión documental
Gestión documentalGestión documental
Gestión documental
 
Evolucion telefonia movil celular
Evolucion telefonia movil celularEvolucion telefonia movil celular
Evolucion telefonia movil celular
 
Biomasa
BiomasaBiomasa
Biomasa
 
Red Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSIRed Digital de Servicios Integrados-RDSI
Red Digital de Servicios Integrados-RDSI
 
Kalman_Filtros
Kalman_FiltrosKalman_Filtros
Kalman_Filtros
 
El origen de la vida
El origen de la vidaEl origen de la vida
El origen de la vida
 

Último

SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticosisabeltrejoros
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 

Último (20)

SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticos
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 

Manual seguridad informatica

  • 2. CAPITULO 1 GENERALIDADES: OBJETIVOS Y ALCANCE ARTÍCULO 1: En-core es una empresa de investigación tecnológica con sede principal en la ciudad de Medellín, el objetivo principal del manual de seguridad de la información es gestionar la integridad, disponibilidad y confidencialidad de los datos aplicando los estándares necesarios para permitir alcanzar los logros de la organización evitando inconvenientes en el manejo de datos. ARTÍCULO 2: La seguridad de la información es el conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías de información. ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de manejo de datos conforme a la legislación colombiana y las recomendaciones internacionales en el manejo de la seguridad de la información. ARTÍCULO 4: La información, documentos u otros datos que se procese, intercambie, reproduzca y conserve a través de los medios técnicos de computación es propiedad intelectual de En-Core. Por lo tanto se considerará llevar a medidas judiciales el robo o salida de información sin permiso alguno de las personas a cargo de los productos de información e investigación.
  • 3. CAPITULO II POLÍTICAS Y PLANES DE SEGURIDAD INFORMÁTICA Y DE CONTINGENCIA SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN Y PLAN DE CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN EN- CORE. ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y sistemas establecerá las regulaciones que rijan sobre la seguridad de la información que sea procesada, intercambiada, reproducida o almacenada a través de las tecnologías de información, determinando los tipos de información y recursos para su protección. También se creará los mecanismos de control para garantizar el cumplimiento de las regulaciones previstas en este manual. ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de red y usuarios con el fin de mantener actualizada las políticas de la seguridad de la información en EN-CORE en casos como:  Cambios en físicos o de organización.  Cambios o nuevos flujo de la información.  Cambio o nuevos recursos de tecnologías de información disponibles.  Nuevos usuarios.  Nuevas herramientas para velar por la seguridad e integridad de la red. ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de procedimientos y garantizar los conocimientos mediantes lecciones aprendida donde se reflejan las políticas, estructura de gestión y el sistema de medidas, para la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los análisis de riesgos y vulnerabilidad realizados.
  • 4. ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán objeto de aprobación y control por parte de los directivos de EN-CORE. ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante posibles amenazas a la seguridad de la información que impidan cumplir con la disponibilidad, integridad y confidencialidad. ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en caso de desastres, la evacuación, preservación y traslado, de los medios y soportes destinados al procesamiento, intercambio y conservación de información clasificada o sensible (Ver anexo: Análisis de riesgo). ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de aprobación y control por parte de las distintas instancias de EN-CORE. SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN, EXCLUSIVAS Y GESTIÓN DOCUMENTAL ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese, intercambie, reproduzca y conserve información vital con cualquier recurso tecnológico. En las áreas de producción se aplicarán contaran con las siguientes características:  Serán áreas cerradas donde se manejen equipos con protección de sobre carga de tensión, riesgo de inundaciones o derrame de líquidos.  En caso ventanas que se comuniquen con el exterior se debe velar por una posición adecuada que evite que la información y recursos fiscos sean dañados por acción de vientos o humedad. ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en correspondencia con el nivel de acceso a la información clasificada que se les haya otorgado a las personas. En el caso del personal de servicios, mantenimiento de equipos u otro que eventualmente precise permanecer en el área, lo hará siempre en presencia de las personas responsables y con la identificación visible. En caso de visitantes deberán registrarse en la entrada de EN-CORE para permitir registrar su entrada o salida dentro de la empresa.
  • 5. ARTÍCULO 14: El control e seguridad física incluye también la protección de puntos de datos mediante asociación de direcciones MAC al puerto. Sin embargo se podrá permitir el acceso de otros dispositivos mediante la solicitud al departamento de tecnología y sistemas de EN-CORE, la política de acceso físico a la red sea inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your Own Device). ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de almacenamiento y procesamiento de la información están ubicados, esta área incluye el cuarto de datos donde encuentren los servidores, y otros elementos de la red. Las características de las áreas serán las siguientes:  Protección a descargar eléctricas o sobre voltajes así como el manejo de energía mediante UPS para evitar el riesgo de pérdida de información ante apagones o problemas de la red eléctrica.  Suelo falso para evitar problemas de estática en los elementos.  Control físico de acceso mediante la seguridad de puertas de ingreso.  Control de la temperatura de los elementos mediante acondicionamiento de refrigeración. ARTÍCULO 16: La entrada o permanencia de las personas en las áreas exclusivas debe ser controlada, requiriéndose la autorización expresa de la persona facultada para ello. En el caso del personal de servicio, mantenimiento de equipos u otro que eventualmente precise permanecer en el área lo hará siempre en presencia de las personas responsables. ARTÍCULO 17: Todos los documentos físicos que contengan información clasificada serán controlados y conservados en la oficina de control de la información clasificada o en el área responsabilizada, según lo establecido para su protección y conservación. En lo posible se requerirá la gestión documental para la digitalización de documentos y la conservación de soportes vitales que requieran soporte físico según la ley.
  • 6. SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de implementación a nivel de software y hardware y estarán en correspondencia directa con las políticas y modelos de seguridad que para la información se determinados por los directivos de EN-CORE. ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u otros dispositivos) en que se procese, intercambie, reproduzca y conserve información clasificada o sensible, se les implementarán mecanismos para identificar y autenticar los usuarios. ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de control (software de gestión de usuarios) que permitan contar con una traza o registro de los principales eventos que se ejecuten y puedan ser de interés para la detección o esclarecimiento ante violaciones de la Seguridad Informática. ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de tecnología y sistemas serán instaladas o utilizadas en cada dispositivo destinado al procesamiento de información clasificada o sensible, reunirán los requisitos siguientes:  Registro de control de aplicación, licencias y funcionalidad.  Cuadro de niveles manejo de la información que permita la aplicación del control, acorde a los niveles de acceso otorgado a los sujetos informáticos;  Capacidad de registrar todas las operaciones principales, realizadas en el tratamiento de bases de datos que contengan información clasificada o sensible. ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o alteraciones no autorizadas, a los mecanismos de seguridad técnica que se apliquen, tanto a nivel de sistema operativo como de aplicaciones. ARTÍCULO 23: La copias de respaldo de la información se realizaran diariamente luego cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de pérdida, destrucción o modificación males intencionados o fortuitos, de acuerdo a la clasificación o importancia de la información que protegen.
  • 7. ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que permita la trazabilidad dentro de la empresa así como los aplicativos requeridos por cada usuario. SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al procesamiento de información clasificada se realizará una vez borrada físicamente la información. La nueva instalación del equipo se restaura según la hoja de vida del recurso tecnológico y los permisos del usuario a los procesos. ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de herramientas de Seguridad Informática que no cuenten con la aprobación del personal encargado en EN-CORE. El escaneo y manejo de red solo debe ser manejado por el personal asignado e incluso la persona dedicada dicha tarea, cualquier software que se use en la organización puede generar una gran ventana de vulnerabilidad y riesgo. Las únicas herramientas autorizadas para supervisar los servicios de red serán las designadas por el PSI autorizado. Se utilizan exclusivamente SATAN y NETLOG. La gestión de la integridad se realizara únicamente con el software COP, por lo tanto no se permiten otro tipo de software para el manejo de la integridad de la red SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD INFORMATICA. ARTÍCULO 27: EN-CORE designará a una persona con la experiencia y confiabilidad suficiente para ser Responsable de la Seguridad Informática. Cuando las características propias de la entidad y el volumen y dispersión de las tecnologías de información instaladas, así lo aconsejen, se podrá designar más de un responsable para la atención de la Seguridad Informática en las diferentes áreas de trabajo. ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en cada entidad las siguientes:
  • 8.  Ser responsable de la aplicación y mantenimiento de los planes de seguridad informática y de contingencia.  Comunicar a la dirección de EN-CORE cuando en ella no se posean los productos de seguridad informática actualizados y certificados, de acuerdo a las normas recogidas en el presente Reglamento, y a las condiciones de trabajo del área.  Apoyar el trabajo del área de tecnología y sistemas y la área administrativa, en cuanto al estudio y aplicación del sistema de seguridad a los sistemas informáticos, con el fin de determinar las causas y condiciones que propician violaciones en el uso y conservación de estos sistemas y en la información que se procese en ellos;  Proponer y controlar la capacitación del personal vinculado a esta actividad, con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el Plan de Seguridad Informática (Ver anexo: gestión de usuarios). ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la existencia de un Administrador de red que tendrá entre sus funciones básicas:  Vigilar la aplicación de mecanismos que implementen las políticas de seguridad definidas en la red;  Velar porque la misma sea utilizada para los fines que fue creada;  Activar los mecanismos técnicos y organizativos de respuesta ante los distintos tipos de acciones nocivas que se identifiquen. SECCIÓN 6: TRABAJO EN REDES ARTÍCULO 30: Se prohíbe la conexión de dispositivos a elementos de la red en el área exclusiva, solo puede ser utilizado por el personal a cargo de dicha área. ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad de los cuales están provistas las redes de datos; así como de aquellos que permitan filtrar o depurar la información que se intercambie, de acuerdo a los intereses predeterminados por cada una de ellas.
  • 9. CAPITULO III PRESTACIÓN DE SERVICIOS DE SEGURIDAD INFORMATICA A TERCEROS. ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad Informática a terceros aquellas entidades que cuenten con el correspondiente contrato vigente con EN-CORE según la naturaleza de la empresa de ofrecer servicios tecnológicos de investigación.
  • 10. ANEXO: ANÁLISIS DE RIESGO NOMBRE RIESGO (R) IMPORTANCIA (W) RIESGO EVALUADO (RXW) DETALLE BASE DE DATOS 10 10 100 Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa. SERVIDOR WEB 8 10 80 Es un Equipo costoso por el tema de los servicios que están montados. SWICTH 3 5 15 El swicth es un equipo activo que se puede cambiar, resetear y volver a configurar. PC 7 3 21 Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente. IMPRESORA 2 1 2 Recurso para la elaboración de trabajos lo cual si se daña se cambia con facilidad.
  • 11. VER ANEXO: GESTIÓN DE USUARIOS NOMBRE SERVICIO GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS Base de Datos Empleados y Administración Local Solo Lectura Base de Datos Clientes, Producto y Presupuesto Local Solo Lectura Acceso a Internet Usuario Local Solo Lectura Servidor Pagina Web Técnicos de Mantenimiento Local Lectura y Escritura. Acceso a Servidor, Router y Switch Administradores de red Local y Remoto Lectura y Escritura Acceso a Equipos Técnicos de Sistemas Local Todos