SlideShare una empresa de Scribd logo

Manual de políticas de seguridad informática

G
grupo5proyectoiv

Para Estudio Posteriores

1 de 16
Descargar para leer sin conexión
República Bolivariana de Venezuela. Ministerio del Poder Popular para la Educación Universitaria. Instituto Universitario de Tecnología del Oeste Mariscal Sucre Tecnología Programa Nacional de Formación en Informática (PNFI). Ingeniería en Informática MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA, DE LA POLÍTICAS PLATAFORMA TECNOLÓGICA DE RED, ENTRE EL CONSEJO COMUNAL EL CARIBE Y OTROS CONSEJOS COMUNALES, ALEDAÑOS EN LA ZONA DE ALTAVISTA CATIA. Integrantes: TSU Cervantes Antonio TSU Orta Edinxon TSU Miquilena Rubén TSU Villarreal Félix SECCIÓN: 7022. Caracas, Enero de 2012 1
Tabla de contenido INTRODUCCIÓN ....................................................................................... 3 OBJETIVO GENERAL ............................................................................... 4 OBJETIVOS ESPECIFICOS ...................................................................... 5 ALCANCE .................................................................................................. 6 JUSTIFICACIÓN ........................................................................................ 6 LA POLÍTICA DE SEGURIDAD ................................................................ 6 Seguridad de la Información ........................................................................... 7 ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA ................................. 7 POLÍTICAS Y ESTÁNDARES DE SEGURIDAD ....................................... 7 SEGURIDAD ORGANIZACIONAL ................................................................. 8 Seguridad asociada al Personal .................................................................. 9 Entrenamiento de Usuarios ......................................................................... 9 SEGURIDAD LÓGICA .................................................................................... 9 Control de Accesos ..................................................................................... 9 Administración del Acceso de Usuarios. ................................................... 10 Responsabilidades del Usuario ................................................................. 11 Uso de correo electrónico: ........................................................................ 11 Protección Contra Software Malicioso....................................................... 11 Administración y Seguridad de Medios de Almacenamiento..................... 12 SEGURIDAD FÍSICA .................................................................................... 12 Seguridad Física y Ambiental.................................................................... 12 Seguridad de los equipos .......................................................................... 12 Controles Generales ................................................................................. 13 GLOSARIO DE TERMINOS .................................................................... 14 2
INTRODUCCIÓN En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar, esto no por razones técnicas, mas bien por razones organizativas, coordinar todos los esfuerzos encaminados para asegurar un entorno informático institucional, mediante la simple administración de recurso humano y tecnológico, sin un adecuado control que integre los esfuerzos y conocimiento humano con las técnicas depuradas de mecanismos automatizados, tomará en la mayoría de los casos un ambiente inimaginablemente hostil, para ello es necesario emplear mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la institución. El documento que se presenta como normas y políticas de seguridad, integra estos esfuerzos de una manera conjunta. Éste pretende, ser el medio de comunicación en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la institución, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Las normas y políticas expuestas en este documento sirven de referencia, en ningún momento pretenden ser normas absolutas, las mismas están sujetas a cambios realizables en cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad. Toda persona que utilice los servicios que ofrece la red, deberá conocer y aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la seguridad de la información o de la red institucional. 3
OBJETIVO GENERAL Desarrollar las políticas de seguridad que deberán ser aplicadas en los Consejos Comunales de EL Caribe, Refugio, Cutira y los Refugios de Vivienda, con la finalidad de velar por la consecución de las normas y procedimientos que regirán a la administración de los servicios de transporte, procesamiento de datos para así certificar la confiabilidad y control de la información que se propagara a través de la red. 4
OBJETIVOS ESPECIFICOS Establecer soluciones que permitan proteger la confidencialidad y la integridad de la información. Definir roles operativos de los usuarios y personal de sistemas que interactúan con la administración de la red. Establecer las lineamientos de seguridad para protegerse de las amenazas internas y externas a través de controles adecuados. Registrar las faltas de seguridad que pueda afectar a esta organización, ya que la mayoría de las instituciones que manejan sistemas informáticos, conectados a redes públicas como Internet, pueden presentar ciertas vulnerabilidades. Detallar los niveles de seguridad adaptables en la red de datos, para que el personal responsable pueda tomar de decisiones de manera correcta al presentarse una contingencia. Autenticar la autenticidad de los datos, de los mensajes y resguardar a los sistemas de ataques internos o externos. Elaborar un plan de acción para la aplicación de las herramientas de administración y seguridad. 5
ALCANCE El documento está dirigido al personal de Consejo Comunal El Caribe, ya que ellos serán los encargados del cumplimiento de las normas y procedimientos que en este manual se refieren, con la finalidad de resguardar la información que se manipula en dicho Consejo Comunal, protegiendo la confidencialidad, disponibilidad y seguridad de la información de los sistemas. JUSTIFICACIÓN El Consejo Comunal El Caribe, son quienes controlan el acceso a la información de las aplicaciones con las que cuentan actualmente, por esta razón debe tener un manual donde se encuentre todas las normas y procedimientos que sistematizan el acceso a la red y al personal de dicha organización continuando con los pasos del personal encargado. Por esta razón este manual representa un aporte importante para la institución, ya a que constituye las medidas de seguridad que se deben aplicar, suscitando la utilización efectiva y eficaz de la red. LA POLÍTICA DE SEGURIDAD Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y 6
servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos. Seguridad de la Información Son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA Vocero de Ciencia y Tecnología: Autoridad de nivel superior que integra el comité de seguridad. Bajo su administración están la aceptación y seguimiento de las políticas y normativa de seguridad en concordancia con las autoridades de nivel superior. Administrador de Red: Persona dotada de conciencia técnica, encargada de velar por la seguridad de la información, realizar auditorías de seguridad, elaborar documentos de seguridad como, políticas, normas; y de llevar un estricto control con la ayuda de la unidad de informática referente a los servicios prestados y niveles de seguridad aceptados para tales servicios. Responsable de Activos: Personal dentro de los diferentes departamentos administrativos de la institución, que velará por la seguridad y correcto funcionamiento de los activos informáticos, así como de la información procesada en éstos, dentro de sus respectivas áreas o niveles de mando. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD 7
SEGURIDAD ORGANIZACIONAL Dentro del siguiente manual, se constituye el marco formal de la seguridad de la red que debe sustentarla el consejo comunal, incluyendo servicios o contrataciones externas a la infraestructura, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad. Art. 1. Los servicios de la red son de exclusivo uso interno del Consejo Comunal El Caribe y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada como política de seguridad en este documento. Art. 2. El Consejo Comunal El Caribe designara un representante de seguridad, que dé seguimiento a la consecución de la normativa, el cual tendrá las siguientes funciones: a) Gestionar y procesar información. b) Dar cumplimiento de políticas. c) Diseñar de planes de seguridad. d) Velar por la seguridad de los activos informáticos. e) Capacitar usuarios en temas de seguridad. f) Informar sobre problemas de seguridad a los voceros del consejo comunal. g) Crear planes de contingencia, que dé sustento o solución, a problemas de seguridad. Art. 3. El vocero de Ciencia y Tecnología es el encargado de mantener en buen estado los servidores dentro del consejo comunal. Art. 4. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio. Art. 5. Todo usuario de la red, gozará de absoluta privacidad sobre su información, o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red, sus servicios o cualquier otra red ajena al consejo comunal. 8
Seguridad asociada al Personal Referente a contratos: Art. 6. Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro del consejo comunal, en el momento en que se de por establecido su contrato laboral. El empleado: Art. 7. La información procesada, manipulada o almacenada por el empleado es de propiedad exclusiva del Consejo Comunal El Caribe. Entrenamiento de Usuarios Art. 8. Los usuarios de la red, serán entrenados en temas de seguridad de la información, según sea el área operativa. Art. 9. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar un entrenamiento a personal ajeno o propio, siempre y cuando se vea implicada la utilización de los servicios de red o se exponga material de importancia. SEGURIDAD LÓGICA Se Trata de instaurar y complementar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que contienen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso. Control de Accesos 9
Art. 10. El Administrador de la Red proporcionará toda la documentación necesaria para agilizar la utilización de los sistemas, referente a formularios, guías, controles, otros. Art. 11. Cualquier petición de información, servicio o acción proveniente de un determinado vocero, se deberá efectuar siguiendo los canales para realizar dicha acción; no dar seguimiento a esta política implica: a) Negar por completo la ejecución de la acción o servicio. b) Informe completo dirigido a comité de seguridad, mismo será realizado por la persona o el departamento al cual le es solicitado el servicio. Administración del Acceso de Usuarios. Art. 12. Son usuarios de la red todas aquellas personas, que tengan contacto directo como integrante del Consejo Comunal y utilice los servicios de la red. Art. 13. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario. Art. 14. Los voceros, son usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet y recursos compartidos de la red, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones. Art. 15. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relación con el consejo comunal fuera del ámbito de vocero y siempre que tenga una vinculación con los servicios de la red. Art. 16. El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente mediante firma impresa y documentación de aceptación de confidencialidad hacia el consejo comunal y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso. 10
Responsabilidades del Usuario Art. 17. El usuario es responsable exclusivo de mantener a salvo su contraseña. Art. 18. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. Art. 19. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro. Art. 20. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Administrador de la red, que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario. Art. 21. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos del consejo comunal, está obligado a reportarlo a los administradores de red o vocero de ciencia y tecnología. Uso de correo electrónico: Art. 22. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe hacer uso de él, acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a la red. Art. 23. El correo electrónico es de uso exclusivo, para los voceros del Consejo Comunal El Caribe. Art. 24. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema. Art. 25. El usuario será responsable de la información que sea enviada con su cuenta. Protección Contra Software Malicioso Art. 26. Se adquirirá y utilizará software únicamente de fuentes confiables. 11
Art. 27. En caso de ser necesaria la adquisición de software de fuentes no confiables, este se adquirirá en código fuente. Art. 28. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real. Administración y Seguridad de Medios de Almacenamiento Art. 29. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información del consejo comunal, serán etiquetados de acuerdo a la información que almacenan u objetivo que suponga su uso, detallando o haciendo alusión a su contenido. Art. 30. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda. Art. 31. Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja especial a la cual tendrá acceso únicamente, el administrador de la red o el vocero de ciencia y tecnología, esta caja no debería ser removible. Art. 32. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar información y su uso. SEGURIDAD FÍSICA Identifica las demarcaciones mínimas que se deben cumplir en cuanto a parametros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad Física y Ambiental Seguridad de los equipos 12
Art. 33. El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables, llámese a estos de corriente o energía eléctrica, para evitar interferencias. Art. 34. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware, deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser retirados sus medios de almacenamiento. Art. 35. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el administrador de red y las personas responsables por esos activos, quienes deberán poseer su debida identificación. Controles Generales Art. 36. Las estaciones de trabajo, con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles, que puedan facilitar el robo o manipulación de la información por terceros o personal que no deba tener acceso a esta información. Art. 37. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento correctivo que se les haga a los equipos. Art. 38. Toda visita a las oficinas de tratamiento de datos críticos e información (servidores entre otros) deberá ser registrada, para posteriores análisis del mismo. Art. 39. La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas de la unidad de informática o cualquier otra unidad, departamento o sala de recepción del personal, mediante una división en la unidad de informática, recubierta de material aislante o protegido contra el fuego. Art. 40. El abastecimiento de energía eléctrica debe hacerse a través de un circuito especial para los equipos de computación, o en su defecto el circuito que se utilice no debe tener conectados equipos que demandan grandes cantidades de energía. Art. 41. El suministro de energía eléctrica debe estar adecuadamente polarizado, no siendo beneficiosa la utilización de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarización. 13
Art. 42. Las instalaciones de los sitios de trabajo deben contar con una apropiada instalación eléctrica, y proveer del suministro de energía mediante una estación de alimentación ininterrumpida o UPS para poder salvaguardar la información. Art. 43. Las instalaciones físicas de procesamiento de información deberán poseer carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la información que ahí se procesa. GLOSARIO DE TERMINOS Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el contexto informático llámese activo a los bienes de información y procesamiento. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Administración Remota: Forma de administrar los equipos informáticos o servicios a través de terminales o equipos remotos, físicamente separados de la institución. Administrador de Red: Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la institución. Amenaza: Es un suceso que puede desatar un incidente en la organización, produciendo daños materiales o pérdidas en sus activos. ArchivoLog: Ficheros de registro o bitácoras de sistemas, en los que se recoge los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.) 14
Ataque: Eventualidad, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Confidencialidad: Resguardar la información de su revelación no autorizada. Esto expresa que la información debe estar protegida de ser copiada por cualquiera que no esté explícitamente acreditado por el propietario de dicha información. Cuenta: Módulo de identificación de un usuario, llámese de otra manera, al método de autenticación del usuario mediante procesos lógicos dentro de un sistema informático. Desastre o Contingencia: paralización de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un establecimiento. Disponibilidad: Los recursos de información sean accesibles, cuando estos sean exigidos. Encriptación: Es el proceso mediante el cual la información es cifrado de forma que el contenido sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para transmitir información sensible de la organización. Integridad: Proteger la información de variaciones no autorizadas por la organización. Impacto: consecuencia de la materialización de una amenaza. ISO (Organización Internacional de Estándares): Entidad certificada para normar en temas de estándares. Aceptadas y legalmente reconocidas. IEC(Comisión Electrotécnica Internacional): Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional. 15
Normativa de Seguridad ISO/IEC 17799: Estándar o norma internacional que vela por que se cumplan los requisitos mínimos de seguridad, que propicien un nivel de seguridad aceptable y acorde a los objetivos institucionales desarrollando buenas prácticas para la gestión de la seguridad informática. Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la institución. Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es responsable directo de mantener seguros los activos de cómputo e información. Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los procesos diarios que demanden información o comunicación de la institución. Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo en un Dominio o en toda la Organización. Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios informáticos de la red institucional y tenga una especie de vinculación académica o laboral con la institución. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. 16

Recomendados

Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionIngeniería de Sistemas e Informática
 
Instrumentos de auditoria informatica
Instrumentos de auditoria informaticaInstrumentos de auditoria informatica
Instrumentos de auditoria informaticaAURAVALENTINA1
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Sistemas tipicos en la etapa de inicio
Sistemas tipicos en la etapa de inicioSistemas tipicos en la etapa de inicio
Sistemas tipicos en la etapa de inicioDiana Fernanda Pedroza Escobar
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 

Recomendados

Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionIngeniería de Sistemas e Informática
 
Instrumentos de auditoria informatica
Instrumentos de auditoria informaticaInstrumentos de auditoria informatica
Instrumentos de auditoria informaticaAURAVALENTINA1
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Sistemas tipicos en la etapa de inicio
Sistemas tipicos en la etapa de inicioSistemas tipicos en la etapa de inicio
Sistemas tipicos en la etapa de inicioDiana Fernanda Pedroza Escobar
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoJoannamar
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informáticaMiguel Rodríguez
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasAna Julieta Gonzalez Garcia
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticos1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticosAlejandra Rios
 
Funciones de la Administración de Redes
Funciones de la Administración de RedesFunciones de la Administración de Redes
Funciones de la Administración de RedesJose Manuel Acosta
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAJosefernandezzafra
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 

Más contenido relacionado

La actualidad más candente

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoJoannamar
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informáticaMiguel Rodríguez
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticos1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticosAlejandra Rios
 
Funciones de la Administración de Redes
Funciones de la Administración de RedesFunciones de la Administración de Redes
Funciones de la Administración de RedesJose Manuel Acosta
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 

La actualidad más candente (20)

Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamiento
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informática
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticos1.7 principios aplicados a los auditores informaticos
1.7 principios aplicados a los auditores informaticos
 
Funciones de la Administración de Redes
Funciones de la Administración de RedesFunciones de la Administración de Redes
Funciones de la Administración de Redes
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 

Similar a Manual de políticas de seguridad informática

El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beayeniferbaez
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaLuisa Correa
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...solecito222
 
Seguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander EspinozaSeguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander Espinozaalexutmach
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redesmaryluz54
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticablegro
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 

Similar a Manual de políticas de seguridad informática (20)

El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hecho
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
 
Seguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander EspinozaSeguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander Espinoza
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redes
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 

Manual de políticas de seguridad informática

  • 1. República Bolivariana de Venezuela. Ministerio del Poder Popular para la Educación Universitaria. Instituto Universitario de Tecnología del Oeste Mariscal Sucre Tecnología Programa Nacional de Formación en Informática (PNFI). Ingeniería en Informática MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA, DE LA POLÍTICAS PLATAFORMA TECNOLÓGICA DE RED, ENTRE EL CONSEJO COMUNAL EL CARIBE Y OTROS CONSEJOS COMUNALES, ALEDAÑOS EN LA ZONA DE ALTAVISTA CATIA. Integrantes: TSU Cervantes Antonio TSU Orta Edinxon TSU Miquilena Rubén TSU Villarreal Félix SECCIÓN: 7022. Caracas, Enero de 2012 1
  • 2. Tabla de contenido INTRODUCCIÓN ....................................................................................... 3 OBJETIVO GENERAL ............................................................................... 4 OBJETIVOS ESPECIFICOS ...................................................................... 5 ALCANCE .................................................................................................. 6 JUSTIFICACIÓN ........................................................................................ 6 LA POLÍTICA DE SEGURIDAD ................................................................ 6 Seguridad de la Información ........................................................................... 7 ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA ................................. 7 POLÍTICAS Y ESTÁNDARES DE SEGURIDAD ....................................... 7 SEGURIDAD ORGANIZACIONAL ................................................................. 8 Seguridad asociada al Personal .................................................................. 9 Entrenamiento de Usuarios ......................................................................... 9 SEGURIDAD LÓGICA .................................................................................... 9 Control de Accesos ..................................................................................... 9 Administración del Acceso de Usuarios. ................................................... 10 Responsabilidades del Usuario ................................................................. 11 Uso de correo electrónico: ........................................................................ 11 Protección Contra Software Malicioso....................................................... 11 Administración y Seguridad de Medios de Almacenamiento..................... 12 SEGURIDAD FÍSICA .................................................................................... 12 Seguridad Física y Ambiental.................................................................... 12 Seguridad de los equipos .......................................................................... 12 Controles Generales ................................................................................. 13 GLOSARIO DE TERMINOS .................................................................... 14 2
  • 3. INTRODUCCIÓN En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar, esto no por razones técnicas, mas bien por razones organizativas, coordinar todos los esfuerzos encaminados para asegurar un entorno informático institucional, mediante la simple administración de recurso humano y tecnológico, sin un adecuado control que integre los esfuerzos y conocimiento humano con las técnicas depuradas de mecanismos automatizados, tomará en la mayoría de los casos un ambiente inimaginablemente hostil, para ello es necesario emplear mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la institución. El documento que se presenta como normas y políticas de seguridad, integra estos esfuerzos de una manera conjunta. Éste pretende, ser el medio de comunicación en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la institución, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Las normas y políticas expuestas en este documento sirven de referencia, en ningún momento pretenden ser normas absolutas, las mismas están sujetas a cambios realizables en cualquier momento, siempre y cuando se tengan presentes los objetivos de seguridad. Toda persona que utilice los servicios que ofrece la red, deberá conocer y aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la seguridad de la información o de la red institucional. 3
  • 4. OBJETIVO GENERAL Desarrollar las políticas de seguridad que deberán ser aplicadas en los Consejos Comunales de EL Caribe, Refugio, Cutira y los Refugios de Vivienda, con la finalidad de velar por la consecución de las normas y procedimientos que regirán a la administración de los servicios de transporte, procesamiento de datos para así certificar la confiabilidad y control de la información que se propagara a través de la red. 4
  • 5. OBJETIVOS ESPECIFICOS Establecer soluciones que permitan proteger la confidencialidad y la integridad de la información. Definir roles operativos de los usuarios y personal de sistemas que interactúan con la administración de la red. Establecer las lineamientos de seguridad para protegerse de las amenazas internas y externas a través de controles adecuados. Registrar las faltas de seguridad que pueda afectar a esta organización, ya que la mayoría de las instituciones que manejan sistemas informáticos, conectados a redes públicas como Internet, pueden presentar ciertas vulnerabilidades. Detallar los niveles de seguridad adaptables en la red de datos, para que el personal responsable pueda tomar de decisiones de manera correcta al presentarse una contingencia. Autenticar la autenticidad de los datos, de los mensajes y resguardar a los sistemas de ataques internos o externos. Elaborar un plan de acción para la aplicación de las herramientas de administración y seguridad. 5
  • 6. ALCANCE El documento está dirigido al personal de Consejo Comunal El Caribe, ya que ellos serán los encargados del cumplimiento de las normas y procedimientos que en este manual se refieren, con la finalidad de resguardar la información que se manipula en dicho Consejo Comunal, protegiendo la confidencialidad, disponibilidad y seguridad de la información de los sistemas. JUSTIFICACIÓN El Consejo Comunal El Caribe, son quienes controlan el acceso a la información de las aplicaciones con las que cuentan actualmente, por esta razón debe tener un manual donde se encuentre todas las normas y procedimientos que sistematizan el acceso a la red y al personal de dicha organización continuando con los pasos del personal encargado. Por esta razón este manual representa un aporte importante para la institución, ya a que constituye las medidas de seguridad que se deben aplicar, suscitando la utilización efectiva y eficaz de la red. LA POLÍTICA DE SEGURIDAD Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y 6
  • 7. servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos. Seguridad de la Información Son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA Vocero de Ciencia y Tecnología: Autoridad de nivel superior que integra el comité de seguridad. Bajo su administración están la aceptación y seguimiento de las políticas y normativa de seguridad en concordancia con las autoridades de nivel superior. Administrador de Red: Persona dotada de conciencia técnica, encargada de velar por la seguridad de la información, realizar auditorías de seguridad, elaborar documentos de seguridad como, políticas, normas; y de llevar un estricto control con la ayuda de la unidad de informática referente a los servicios prestados y niveles de seguridad aceptados para tales servicios. Responsable de Activos: Personal dentro de los diferentes departamentos administrativos de la institución, que velará por la seguridad y correcto funcionamiento de los activos informáticos, así como de la información procesada en éstos, dentro de sus respectivas áreas o niveles de mando. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD 7
  • 8. SEGURIDAD ORGANIZACIONAL Dentro del siguiente manual, se constituye el marco formal de la seguridad de la red que debe sustentarla el consejo comunal, incluyendo servicios o contrataciones externas a la infraestructura, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad. Art. 1. Los servicios de la red son de exclusivo uso interno del Consejo Comunal El Caribe y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada como política de seguridad en este documento. Art. 2. El Consejo Comunal El Caribe designara un representante de seguridad, que dé seguimiento a la consecución de la normativa, el cual tendrá las siguientes funciones: a) Gestionar y procesar información. b) Dar cumplimiento de políticas. c) Diseñar de planes de seguridad. d) Velar por la seguridad de los activos informáticos. e) Capacitar usuarios en temas de seguridad. f) Informar sobre problemas de seguridad a los voceros del consejo comunal. g) Crear planes de contingencia, que dé sustento o solución, a problemas de seguridad. Art. 3. El vocero de Ciencia y Tecnología es el encargado de mantener en buen estado los servidores dentro del consejo comunal. Art. 4. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio. Art. 5. Todo usuario de la red, gozará de absoluta privacidad sobre su información, o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red, sus servicios o cualquier otra red ajena al consejo comunal. 8
  • 9. Seguridad asociada al Personal Referente a contratos: Art. 6. Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro del consejo comunal, en el momento en que se de por establecido su contrato laboral. El empleado: Art. 7. La información procesada, manipulada o almacenada por el empleado es de propiedad exclusiva del Consejo Comunal El Caribe. Entrenamiento de Usuarios Art. 8. Los usuarios de la red, serán entrenados en temas de seguridad de la información, según sea el área operativa. Art. 9. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar un entrenamiento a personal ajeno o propio, siempre y cuando se vea implicada la utilización de los servicios de red o se exponga material de importancia. SEGURIDAD LÓGICA Se Trata de instaurar y complementar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que contienen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso. Control de Accesos 9
  • 10. Art. 10. El Administrador de la Red proporcionará toda la documentación necesaria para agilizar la utilización de los sistemas, referente a formularios, guías, controles, otros. Art. 11. Cualquier petición de información, servicio o acción proveniente de un determinado vocero, se deberá efectuar siguiendo los canales para realizar dicha acción; no dar seguimiento a esta política implica: a) Negar por completo la ejecución de la acción o servicio. b) Informe completo dirigido a comité de seguridad, mismo será realizado por la persona o el departamento al cual le es solicitado el servicio. Administración del Acceso de Usuarios. Art. 12. Son usuarios de la red todas aquellas personas, que tengan contacto directo como integrante del Consejo Comunal y utilice los servicios de la red. Art. 13. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario. Art. 14. Los voceros, son usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet y recursos compartidos de la red, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones. Art. 15. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relación con el consejo comunal fuera del ámbito de vocero y siempre que tenga una vinculación con los servicios de la red. Art. 16. El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente mediante firma impresa y documentación de aceptación de confidencialidad hacia el consejo comunal y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso. 10
  • 11. Responsabilidades del Usuario Art. 17. El usuario es responsable exclusivo de mantener a salvo su contraseña. Art. 18. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. Art. 19. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro. Art. 20. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Administrador de la red, que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario. Art. 21. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos del consejo comunal, está obligado a reportarlo a los administradores de red o vocero de ciencia y tecnología. Uso de correo electrónico: Art. 22. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe hacer uso de él, acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a la red. Art. 23. El correo electrónico es de uso exclusivo, para los voceros del Consejo Comunal El Caribe. Art. 24. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema. Art. 25. El usuario será responsable de la información que sea enviada con su cuenta. Protección Contra Software Malicioso Art. 26. Se adquirirá y utilizará software únicamente de fuentes confiables. 11
  • 12. Art. 27. En caso de ser necesaria la adquisición de software de fuentes no confiables, este se adquirirá en código fuente. Art. 28. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real. Administración y Seguridad de Medios de Almacenamiento Art. 29. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información del consejo comunal, serán etiquetados de acuerdo a la información que almacenan u objetivo que suponga su uso, detallando o haciendo alusión a su contenido. Art. 30. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda. Art. 31. Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja especial a la cual tendrá acceso únicamente, el administrador de la red o el vocero de ciencia y tecnología, esta caja no debería ser removible. Art. 32. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar información y su uso. SEGURIDAD FÍSICA Identifica las demarcaciones mínimas que se deben cumplir en cuanto a parametros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad Física y Ambiental Seguridad de los equipos 12
  • 13. Art. 33. El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables, llámese a estos de corriente o energía eléctrica, para evitar interferencias. Art. 34. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware, deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser retirados sus medios de almacenamiento. Art. 35. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el administrador de red y las personas responsables por esos activos, quienes deberán poseer su debida identificación. Controles Generales Art. 36. Las estaciones de trabajo, con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles, que puedan facilitar el robo o manipulación de la información por terceros o personal que no deba tener acceso a esta información. Art. 37. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento correctivo que se les haga a los equipos. Art. 38. Toda visita a las oficinas de tratamiento de datos críticos e información (servidores entre otros) deberá ser registrada, para posteriores análisis del mismo. Art. 39. La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas de la unidad de informática o cualquier otra unidad, departamento o sala de recepción del personal, mediante una división en la unidad de informática, recubierta de material aislante o protegido contra el fuego. Art. 40. El abastecimiento de energía eléctrica debe hacerse a través de un circuito especial para los equipos de computación, o en su defecto el circuito que se utilice no debe tener conectados equipos que demandan grandes cantidades de energía. Art. 41. El suministro de energía eléctrica debe estar adecuadamente polarizado, no siendo beneficiosa la utilización de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarización. 13
  • 14. Art. 42. Las instalaciones de los sitios de trabajo deben contar con una apropiada instalación eléctrica, y proveer del suministro de energía mediante una estación de alimentación ininterrumpida o UPS para poder salvaguardar la información. Art. 43. Las instalaciones físicas de procesamiento de información deberán poseer carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la información que ahí se procesa. GLOSARIO DE TERMINOS Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el contexto informático llámese activo a los bienes de información y procesamiento. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Administración Remota: Forma de administrar los equipos informáticos o servicios a través de terminales o equipos remotos, físicamente separados de la institución. Administrador de Red: Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la institución. Amenaza: Es un suceso que puede desatar un incidente en la organización, produciendo daños materiales o pérdidas en sus activos. ArchivoLog: Ficheros de registro o bitácoras de sistemas, en los que se recoge los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.) 14
  • 15. Ataque: Eventualidad, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Confidencialidad: Resguardar la información de su revelación no autorizada. Esto expresa que la información debe estar protegida de ser copiada por cualquiera que no esté explícitamente acreditado por el propietario de dicha información. Cuenta: Módulo de identificación de un usuario, llámese de otra manera, al método de autenticación del usuario mediante procesos lógicos dentro de un sistema informático. Desastre o Contingencia: paralización de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un establecimiento. Disponibilidad: Los recursos de información sean accesibles, cuando estos sean exigidos. Encriptación: Es el proceso mediante el cual la información es cifrado de forma que el contenido sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para transmitir información sensible de la organización. Integridad: Proteger la información de variaciones no autorizadas por la organización. Impacto: consecuencia de la materialización de una amenaza. ISO (Organización Internacional de Estándares): Entidad certificada para normar en temas de estándares. Aceptadas y legalmente reconocidas. IEC(Comisión Electrotécnica Internacional): Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional. 15
  • 16. Normativa de Seguridad ISO/IEC 17799: Estándar o norma internacional que vela por que se cumplan los requisitos mínimos de seguridad, que propicien un nivel de seguridad aceptable y acorde a los objetivos institucionales desarrollando buenas prácticas para la gestión de la seguridad informática. Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la institución. Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es responsable directo de mantener seguros los activos de cómputo e información. Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los procesos diarios que demanden información o comunicación de la institución. Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo en un Dominio o en toda la Organización. Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios informáticos de la red institucional y tenga una especie de vinculación académica o laboral con la institución. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. 16