TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
Politicas de seguridad informatica itla (generales)
1. Políticas de Seguridad Informática
ITLA
Saira Isaac Hernández
Soporte de Seguridad Informática
Sisaac@itla.edu.do
Ext. 228
2. 1.1 Rol de la Información y los Sistemas de Información
El ITLA depende críticamente de la información y los sistemas
de información. Si información importante fuese entregada a las
personas inapropiadas, la Institución y sus clientes podrían
sufrir serias pérdidas. La buena reputación del ITLA está
relacionada directamente a la forma en que la institución
maneja tanto la información como los sistemas de información
disponibles.
3. 1.2 Esfuerzo en Equipo
Para ser efectiva, la seguridad de la información debe ser un
esfuerzo de equipo envolviendo la participación y el soporte a
cada empleado del ITLA que trate con información (de cualquier
tipo) y con los sistemas de información.
4. 1.3 Personas Involucradas
Cada empleado del ITLA debe cumplir con las políticas
de seguridad de la información encontradas en este y
cualquier otro documento relacionado a la seguridad
de la información. Los empleados que
deliberadamente violen ésta u otras declaraciones de
políticas de seguridad de la información estarán
sujetos a acciones disciplinarias.
5. 1.4 Sistemas Involucrados
Esta política aplica a todas las computadoras y redes de
información en posesión o bajo la administración del ITLA.
Estas políticas aplican para todos los sistemas operativos,
tipos de computadoras y sistemas de aplicaciones. Las
políticas cubren sólo la información manejada a través de
computadoras y redes, en sentido general.
6. 1.5 Categorías de Responsabilidad
Para coordinar un esfuerzo en equipo, el ITLA ha establecido
tres categorías, de las cuales al menos una deberá aplicar a
cada empleado de la Institución. Estas categorías son
Propietario, Custodio y Usuario, las cuales definen las
responsabilidades generales con respecto a la seguridad de la
información.
7. 1.5.1 Responsabilidad del Propietario
Los Propietarios de información son aquellos responsables
de departamento, miembros del equipo ejecutivo, o sus
delegados en el ITLA, quienes se hacen responsables por
la adquisición, desarrollo y mantenimiento de aplicaciones
de producción que procesen la información de la
institución. Para cada tipo de información, los Propietarios
designarán la clasificación de sensibilidad relevante,
designarán el apropiado nivel de criticidad, definirán a
cuales usuarios se les dará acceso y aprobarán los pedidos
para las diferentes formas en que la información será
utilizada
8. 1.5.2 Responsabilidad del Custodio
Los Custodios son quienes están en posesión física o lógica de
cualquier información del ITLA o información que haya sido
confiada al ITLA. Mientras que los miembros del Departamento
de TIC son claramente Custodios, los administradores del
sistema local también son Custodios. Cada tipo de aplicación de
producción en sistemas de información tiene que tener
designado uno o más Custodios responsables de salvaguardar
la información, incluyendo la implementación de sistemas de
control de acceso para prevenir la divulgación inapropiada de
información, a la vez que hacen backups para que la
información crítica no sea perdida.
9. 1.5.3 Responsabilidades del Usuario
Los usuarios son responsables de familiarizarse y cumplir con
todas las políticas, procedimientos y estándares del ITLA que
traten con la seguridad de la información. Las preguntas sobre
el apropiado manejo de un tipo específico de información
deben ser dirigidas ya sea al Custodio o al Propietario de la
información involucrada.
10. 1.6 Manejo Consistente de la Información
La información del ITLA, y la información que ha sido
confiada al ITLA, tienen que ser protegidas en una manera
conmensurada con su sensibilidad y criticidad. Las
medidas de seguridad tienen que ser empleadas sin
importar el medio digital en el cual la información esté
almacenada, los sistemas que la procesen, o los métodos
por los cuales ésta ha sido movida o modificada.
11. 1.7 Designaciones de Clasificación de los Datos
El ITLA ha adoptado un sistema de clasificación que categoriza la
información dentro de cuatro agrupaciones. Toda información
bajo el control de ITLA, ya sea generada internamente o
externamente, cae dentro de una de estas categorías: Secreta,
Confidencial, Uso Interno, o Pública. Para propósitos de las
políticas, “información sensible” es la información que cae en las
categorías de Secreta y Confidencial.
12. 1.8 Etiquetado de Clasificación de los Datos
Si la información es sensible, desde el momento en fue
creada hasta el momento que es destruida o desclasificada,
tiene que ser etiquetada con una designación apropiada de
clasificación de los datos. Esta marca debe aparecer en todas
las manifestaciones de la información. La gran mayoría de la
Información del ITLA cae en la categoría de información
Pública, por tal razón no es necesario aplicar una etiqueta a
la información Pública.
13. 1.9 Necesidad de Saber
El acceso a la información en posesión, o bajo el control del
ITLA tiene que ser provisto basado en la necesidad de saber.
La información tiene que ser divulgada sólo a personas que
tengan una necesidad legítima de negocio o interés adecuado
y sustentable en la información. Al mismo tiempo, los
empleados no pueden negar el acceso a la información
cuando el Propietario de la información instruye que sea
compartida.
14. 1.10 ID de Usuarios y Contraseñas
Para implementar el proceso de necesidad-de-saber, el ITLA
requiere que cada empleado que acceda a sistemas de
información de múltiples usuarios tenga un único ID de usuario y
una contraseña privada. Estos ID de usuario tienen que ser
aplicados para restringir privilegios a los sistemas basado en los
puestos de trabajo, responsabilidades de proyectos y otras
actividades de trabajo en la institución. Cada empleado es
personalmente responsable por el uso de su ID de usuario y
contraseña, y por cualquier inconveniente que surja a partir del
mismo.
15. 1.11 ID de Usuarios Anónimos
Los usuarios tienen prohibido iniciar sesión en un sistema o red
del ITLA de manera anónima. Acceso anónimo puede, por
ejemplo, involucrar el uso de un ID de usuario “guest” o
“invitado”. Cuando los usuarios utilicen sistemas de comandos
que les permitan cambiar su ID de usuario activo para ganar
ciertos privilegios, tiene que inicialmente haber iniciado sesión
empleando un ID de Usuario que claramente indique su
identidad.
16. 1.12 Contraseñas Difíciles de Adivinar
Los usuarios tienen que elegir una contraseña que sea difícil de
adivinar. Esto significa que las contraseñas no pueden ser
relacionadas con las labores que desempeñan o con su vida
personal, ya que resultan fácilmente deducibles por personas
que deseen apropiarse de un usuario que no les pertenezca.
Esto también incluye palabras encontradas en un diccionario o
alguna otra forma oral de uso común en el vocabulario habitual.
17. 1.13 Contraseñas Fáciles de recordar
Los usuarios pueden elegir contraseñas fáciles de recordar
que sean al mismo tiempo difíciles de adivinar para un tercero
si:
• Combinan varias palabras con números y signos.
• Cambian una letra con la que esté ubicada arriba, abajo, o
a los lados en el teclado.
• Transforman palabras con distintos métodos, ya sea
cambiando la letra por el número de posición en la que se
encuentra.
• Combinan signos de puntuación y números con una
palabra.
• Crean acrónimos, utilizan las palabras de una canción o de
un poema, o cualquier otra secuencia de palabras.
• Deliberadamente escriben una palabra mal.
• Combinan diferentes preferencias, como el color favorito
con el helado que más le gusta.
18. 1.14 Patrones de Contraseñas Repetidas
Los usuarios no deben construir contraseñas con una secuencia
básica de caracteres que sea cambiada parcialmente cada vez
que sea necesaria una nueva contraseña, o usando
contraseñas idénticas o similares a anteriores utilizadas en el
pasado no inmediato.
19. 1.15 Restricción de Contraseñas
Las contraseñas tienen que tener mínimo 8 caracteres de
largo. Las contraseñas tienen y deben ser cambiadas por
lo menos cada 3 meses. Siempre que un empleado
sospeche que su contraseña se ha dado a conocer a otra
persona, esa contraseña tiene que ser inmediatamente
cambiada.
20. 1.16 Almacén de Contraseñas
Las contraseñas no pueden ser almacenadas de forma
legible donde personas no-autorizadas puedan tener
acceso a las mismas, ya sea en la computadora personal
del usuario, en su escritorio de trabajo, en archivos de
texto, papeles o documentos, u otro medio físico o
electrónico fácilmente obtenible por parte de terceros.
21. 1.17 Compartir Contraseñas
Aunque los ID de usuarios pueden ser compartidos para la
comunicación por correo electrónico y otros propósitos, las
contraseñas nunca pueden ser compartidas o reveladas a otros.
Ni los administradores de sistemas ni el Personal de Soporte
Técnico deben de preguntarle a un empleado su contraseña
personal. El único momento cuando una contraseña tiene que
ser conocida por otro es cuando la misma es entregada. Estas
contraseñas temporales deben ser cambiadas al momento que
el usuario autorizado accede al sistema por primera vez.
22. 1.18 Declaración de Cumplimientos
Todos los empleados que deseen usar los sistemas de
computación de múltiples usuarios deben firmar una
declaración de cumplimiento antes de recibir su ID de
usuario. La firma de este documento de declaración de
cumplimiento indica que el usuario involucrado entiende y
acepta las políticas y procedimientos relacionados a
computadoras y redes de datos del ITLA, incluyendo las
instrucciones contenidas en esta política.
23. 1.19 Entrega de Información a Terceros
No obstante la norma en el ITLA es que la información sea
pública, toda información que sea considerada lo contrario,
según los parámetros establecidos en las presentes políticas,
debe ser protegida de divulgación a terceros, a quienes se
les podría ceder acceso a la información interna no pública
sólo cuando exista una necesidad de saber. Si la información
sensible es perdida, divulgada sin autorización a otros, o se
sospecha que esto haya sucedido, su Propietario y el
Departamento de Seguridad Informática deberán ser
notificados inmediatamente.
24. 1.20 Solicitud de Información del ITLA por terceros
Al menos que un empleado haya sido autorizado por el
Propietario de la información a hacer una divulgación
pública, todas las solicitudes de obtención de información
interna no pública del ITLA deben ser canalizadas a
través de la Oficina de Acceso a la Información (OAI),
siguiendo los procedimientos específicos establecidos por
dicha Oficina para estos fines.
25. 1.21 Seguridad Física para el Control de Acceso a la
Información
El acceso a toda oficina, cuarto de computadoras, y cualquier
otra área de trabajo del ITLA que contenga información sensible
tiene que ser físicamente restringida a las personas sin
necesidad de saber. Cuando la información sensible no esté en
uso debe ser protegida de divulgación no-autorizada. Cuando la
información sensible en papel sea dejada en un entorno sin
vigilancia, la misma tiene que estar bajo llave en un contenedor
apropiado.
26. 1.22 Conexiones de Redes Internas
Todas las computadoras del ITLA que almacenen información
sensible y que están permanentemente o intermitentemente
conectadas a las redes internas de la institución, tienen que
tener sistemas de control de acceso basados en contraseña
aprobadas por el Departamento de Seguridad Informática.
Aparte de las conexiones de red, toda computadora autónoma
que maneje información sensible tiene que también emplear
sistemas de control de acceso basados en contraseña.
27. 1.23 Conexiones de Redes Externas
Todas las sesiones de conexión hacia el ITLA provenientes
de fuera tienen que ser protegidas con un sistema de
control de acceso de contraseñas dinámicas aprobado por
el Departamento de Seguridad Informática.
28. 1.24 Cambios en las Red
Con la excepción de situaciones de emergencia, todos los
cambios a las redes de datos del ITLA deben ser debidamente
documentados en una solicitud de orden de trabajo, y
aprobados con anterioridad por el Departamento de
Tecnologías de la Información y Comunicación (TIC). Todos los
cambios de emergencia al ITLA tienen que ser realizados
únicamente por personas que hayan sido autorizadas por el
Departamento de Tecnología de la Información y Comunicación
(TIC).
29. 1.25 Teletrabajo
A discreción de la Rectoría, algunos empleados calificados
pueden realizar parte de su trabajo desde o en sus
hogares. El permiso para teletrabajos debe ser concedido
por el supervisor inmediato de cada empleado. El
chequeo periódico del correo electrónico mientras se esté
en el camino o desde el hogar no es considerado
teletrabajo
30. 1.26 Acceso al Internet
Los empleados son provistos con acceso a Internet para
realizar sus funciones, pero este acceso puede serles
removido en cualquier momento a discreción del
supervisor del empleado. El acceso a Internet es
monitoreado para asegurar que los empleados no estén
visitando sitios no relacionados con su trabajo, además de
asegurar que los mismos continúen estando en
cumplimiento de las políticas de seguridad.
31. 1.27 Correo Electrónico
A todo empleado del ITLA que utilice una computadora en
el curso de su labor de trabajo se le concederá una
dirección de correo electrónico y privilegios relacionados.
Todas las comunicaciones de trabajo del ITLA enviadas
por correo electrónico tienen que ser enviadas y recibidas
usando exclusivamente este correo electrónico.
Todas las comunicaciones de trabajo y profesionales
remitidas a través de correo electrónico deben ser
debidamente corregidas antes de ser enviadas en tono y
apariencia. Adicionalmente, todo el Staff del ITLA deberá
emplear una firma estándar de correo electrónico que
incluya su nombre completo, su puesto, la dirección de la
institución y su número de teléfono de la institución con
su respectiva extensión
32. 1.28 Escaneo del Virus de Computadora
Todos los usuarios con computadoras portátiles no-
institucionales están obligados a mantenerlas protegidas
con antivirus de versiones recomendadas por el
Departamento de Seguridad Informática. Los usuarios no
deben abortar los procesos automáticos de actualización de
la firma de antivirus. Los antivirus tienen que ser usados
para escanear todos los datos y programas provenientes de
un tercero. Los empleados no pueden dejar pasar, cancelar
o apagar el proceso de escaneo que previene el ataque de
virus de computadoras.
33. 1.29 Erradicación del Virus de Computadora
Si algún empleado sospecha de una infección por un virus de
computadora, éste debe inmediatamente detener el uso del
equipo y llamar al Personal de Soporte Técnico. Cualquier
medio de almacenamiento que haya sido utilizado al momento
de la presunta infección o posteriormente a la misma no
podrá ser usado con otra computadora hasta que el virus sea
completamente erradicado del disco duro.
34. 1.30 Fuente de los Programas
Las computadoras y redes del ITLA no pueden correr
programas que provengan de fuentes diferentes al
Departamento de Tecnologías de la Información y
Comunicación (TIC), al menos que sea autorizado de
manera diferente por la Rectoría.
35. 1.31 Documentaciones Escritas por Propietarios
Todo programa desarrollado por el equipo interno, dirigido a
procesar información crítica o sensible del ITLA, debe tener
documentaciones formalmente escritas. Estas
documentaciones tienen que incluir discusiones sobre
riesgos de seguridad y controles, incluyendo sistemas de
control de acceso y planes de contingencia.
36. 1.32 Aprobación de Nuevos Sistemas
Antes de ser usados en proceso de producción, los
sistemas de aplicación nuevos o substancialmente
cambiados tienen que recibir una aprobación por
escrito del Departamento de Seguridad Informática,
para que los controles necesarios sean empleados.
Este requerimiento aplica para computadoras
personales tanto como a los sistemas más grandes.
37. 1.33 Control de Cambios Formales
Todas las computadoras y sistemas de comunicación usados en
producción tienen que emplear una documentación del proceso
controlado de cambios que es usado para asegurar que solo
cambios autorizados son realizados. Este procedimiento de
control de cambios tiene que ser usado para cualquier cambio
significativo que se realice en los sistemas de producción,
programas, máquinas, redes y procedimientos.
38. 1.34 Licencias Adecuadas
El Departamento de Tecnologías de la Información y
Comunicación (TIC) en conjunto con el departamento que lo
requiera, deben de formalizar los contratos
correspondientes con los proveedores de software para las
licencias adicionales que sean necesarias para la actividad
de la institución. Todo software debe ser adquirido a través
del Departamento de Compras, siguiendo los
procedimientos establecidos por el mismo para estos fines.
39. 1.35 Copias Sin Autorización
Los usuarios de la institución no pueden copiar los programas
provistos por el ITLA en ningún medio de almacenamiento,
transferirlos a otras computadoras o equipos, o facilitar estos
programas a terceros sin la previa autorización de su gerente.
Los respaldos (backups) ordinarios son una excepción a esta
política.
40. 1.36 Responsabilidad de Respaldo (backup)
Los usuarios de computadoras personales tienen que
regularmente respaldar la información de sus computadoras
personales, o asegurarse que alguien más lo está haciendo por
ellos. Para computadoras de múltiples usuarios y sistemas de
comunicación, el administrador del sistema es responsable de
hacer respaldos periódicos.
El Departamento de TIC tiene que instalar, o proveer asistencia
técnica para la instalación de respaldos de programas y máquinas.
El usuario debe seguir las instrucciones del Departamento de TIC
para los fines de backup.
41. 1.37 Protección de Robos
El Departamento de Tecnologías de la Información y
Comunicación (TIC) es el responsable de asegurar
físicamente todas las computadoras y equipos de redes
del ITLA con equipos anti-robos, si están ubicados en una
oficina abierta. Los servidores de red de área local (LAN)
y otros sistemas de múltiples usuarios tienen que ser
ubicados en gabinetes, closets, o cuartos de
computadoras, todos bajo llave.
Las computadoras portátiles tienen que ser aseguradas
con cables, gabinetes, o cualquier otro sistema asegurado
bajo llave, cuando estas se encuentren en una oficina
abierta y no estén en uso.
42. 1.38 Divulgación Externa de Información de Seguridad
La información sobre medidas de seguridad para los sistemas
de computadoras y redes del ITLA es confidencial y no puede
ser entregada a personas que no son usuarios autorizados del
sistema, al menos que esto sea aprobado por el
Departamento de Seguridad Informática.
Por ejemplo, publicar el número de teléfono de algún modem
u otro sistema de acceso a la información en directorios tanto
públicos como privados está terminante e irrevocablemente
prohibido. La entrega pública de los correos electrónicos está
permitida.
43. 1.39 Derechos al Material Desarrollado
Mientras se estén realizando servicios para el ITLA, los
empleados deben concederle al ITLA derechos exclusivos a
las patentes, derechos de autor, invenciones o cualquier otra
propiedad intelectual que estos originen o desarrollen dentro
de la Institución en el desarrollo de sus labores y haciendo
uso de los recursos institucionales.
Todos los programas y documentaciones generadas por, o
provistas por empleados para el beneficio del ITLA son de la
propiedad del ITLA.
44. 1.40 Derecho a Buscar y Monitorear
El Departamento de Seguridad Informática se reserva el
derecho de monitorear, inspeccionar o buscar en cualquier
momento en todos los sistemas de información. Todas las
búsquedas de esta naturaleza tienen que ser conducidas sólo
después de recibir la aprobación de Rectoría.
Como las computadoras y redes del ITLA han sido provistas
para propósitos de trabajo exclusivamente, los empleados no
tienen que tener expectativas de privacidad asociadas con la
información que estos almacenan o envían a través de estos
sistemas de información.
45. 1.41 Uso Personal
Los sistemas de información del ITLA están destinados
para los propósitos de trabajo exclusivamente. Uso
personal incidental es permitido sólo si:
• El mismo no consume más de un monto trivial de
recursos que pudieran de otra manera ser usados para
propósitos de la institución; y
• Si no interfiere con la productividad del empleado.
46. 1.42 Conducta Propia
La Rectoría y/o el encargado de área se reservan el
derecho de revocar del sistema los privilegios de cualquier
usuario en cualquier momento.
La conducta que interfiera con el funcionamiento normal y
apropiado de los sistemas de información del ITLA, que
afecte negativamente la capacidad de otros para usar estos
sistemas de información, o que sea dañino u ofensivo para
otros, no es permitida.
47. 1.43 Herramientas que Comprometan la Seguridad
Al menos que sea específicamente autorizado por el
Departamento de Seguridad Informática, los
empleados del ITLA no pueden adquirir, poseer,
intercambiar, o usar equipos o programas que
puedan ser empleados para evaluar o comprometer
la seguridad de los sistemas de información.
Sin este tipo de aprobación, los empleados tienen
completamente prohibido el uso de equipos o
programas que monitoreen el tráfico en una red o la
actividad en una computadora.
48. 1.44 Actividades Prohibidas
Los usuarios no deben probar, o intentar comprometer una
computadora o las medidas de seguridad de un sistema de
comunicación al menos que haya sido específicamente
aprobado previamente y por escrito por Rectoría, conjunto al
Departamento de Seguridad Informática.
Los incidentes que involucren sistemas no aprobados de
hackeo, adivinación de contraseñas, desencriptación de
archivos, o intentos similares de comprometer las medidas de
seguridad serán considerados como una seria violación a las
políticas internas del ITLA.
49. 1.45 Reportes Mandatorios
Toda sospecha de violación a las políticas, sistemas de
intrusión, infestaciones de virus, y otras condiciones que
puedan arriesgar las información del ITLA o los sistemas de
información del ITLA, tienen que inmediatamente ser
reportados al Departamento de Seguridad Informática a la
Ext.: 228 y al correo electrónico segi@itla.edu.do.