Memoria del proyecto

1. POLÍTICAS DE SEGURIDAD DE ACCESOS A REDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Madrid, Mayo de 2011

2. POLÍTICAS DE SEGURIDAD DE ACCESOS A REDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Proyecto de Fin de Máster presentado por: Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Directora: Santamaría, Pilar. Madrid, Mayo de 2011

3. Resumen Las políticas de control de acceso de usuarios y refuerzo de dichas políticas en el servidor de aplicaciones web, tienen como finalidad el control, gestión, seguimiento y mantenimiento de toda la infraestructura del entorno corporativo. Actualmente en la empresa Grupo Seidor, S.A. no existen políticas de control de acceso para sus usuarios. La finalidad de estas políticas que se desarrollaran para este trabajo de fin de master es de servir como punto de referencia para el departamento de seguridad de la empresa, para el inicio de un plan de acciones que lleven a un control de la plataforma, tecnológica resguardando los datos de la empresa. iii

4. Abstract The access control policies for users and reinforcement of such policies on the applications web server have as a purpose the control, management, tracking, and maintenance of the entire corporate infrastructure environment. Actually on the company Grupo Seidor, S.A. there are none access control policies for users. The purpose of these policies that will be developed for this thesis is to serve as a reference point for the IT security department of the company, for the beginning of an action plan that lead to the control of the technological platform of the company safeguarding its data. iv

5. Agradecimientos A nuestra tutora Pilar Santamaría por su ofrecimiento inicial a llevar a cabo este proyecto, así como a su dedicación y seguimiento en el transcurso del desarrollo del mismo. A mi padre Ramón Daniel Villanueva Fernández, y a mis hermanos Karin y Moncho por ayudarme siempre que lo necesite. (Alejandro) A mis padres María y Eloy, y especialmente a mi madre, que sufre una gran enfermedad, por haberme ayudado a llegar a este punto de mi vida y a mi esposa María, por ayudarme a compaginar mis estudios con el trabajo. (Jesús) A mi Madre María Teresa Rosales y mi cuñado (Padre) Gustavo Pineda quienes con su ejemplo de lucha y vida me dieron un gran ejemplo de superación y sabiduría. A mis hermanos(as) Ricardo, Libia Jazmín quienes con sus cuidados y crianza fueron guías en mi formación profesional. Especialmente a mi esposa por su paciencia, apoyo y amor incondicional, te amo Mi Nena. (Peter) A toda mi familia y amigos por su gran apoyo, pero en especial a mi madre Manuela Gutiérrez Hondal, por estar siempre ahí, escucharme y apoyarme en todo lo que hago y por inculcarme su espíritu de superación cada día, no sé qué haría sin ella. Gracias por todo mamá, te quiero. (Nadia) v

6. Índice de Capítulos y Anexos Página Resumen……………………………………………………………...... iii Abstract………………………………………………………………... iv Agradecimientos………………………………………………….……. v Índice de Capítulos y Anexos...……………..…………………………. vi Índice de Tablas………………………………………………………... vii Índice de Figuras………………………………………………………. xiv Capítulo I Introducción…………………….……………………...…... 15 Capítulo II Estado de la Cuestión.…………………………………….. 17 Capítulo III Descripción del Problema...………………………………. 18 Capítulo IV Solución Propuesta………………………………………. 20 Capítulo V Conclusiones………………………………………………. 103 Capítulo VI Trabajos Futuros…………………………………………. 104 Apéndices……………………………………………………………… 105 I Bibliografía……………………….………………...………………... 106 II Antecedentes………………………………………………………… 107 III Organigrama de la Empresa………………………………………… 112 IV Cisco 2010 Global Threat Report…………………………………… 113 V Forrester Consulting Paper about the Value of Corporate Secrets…… 120 vi

7. Índice de Tablas Página Tabla 1. Historial de Política: Sistema Operativo Cliente…………… 20 Tabla 2. Historial de Política: Sistema de antivirus………………….. 21 Tabla 3. Historial de Política: Sistema de control y admisión de estaciones de trabajo………………………...……………………………………. 22 Tabla 4. Historial de Política: Red de cuarenta……..……………….. 23 Tabla 5. Historial de Política: Actualización Automática del Sistema Operativo………………………………………………………….….. 24 Tabla 6. Historial de Política: Perfiles de admisión de los usuarios……………………………………………………………….. 25 Tabla 7. Historial de Política: Red de invitados……………….…….. 26 Tabla 8. Historial de Política: Control de acceso a proveedores externo………………………………………………………………… 27 Tabla 9. Historial de Política: Administración de las aplicaciones de control y admisión…………………………………………………. 28 Tabla 10. Historial de Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos…………………………… 29 Tabla 11. Historial de Política: Servidores de control y admisión.... 30 vii

8. Tabla 12. Historial de Política: Control de admisión de usuarios…. 31 Tabla 13. Historial de Política: Actualización de los sistemas operativos de los clientes…………………………………………… 32 Tabla 14. Historial de Política: Administración de los dispositivos de electrónica de red……………………………………………….. 33 Tabla 15. Historial de Política: Admisión y control de Servidores en la red corporativa………………………………………………. 34 Tabla 16. Historial de Política: Sistema de control de gestión y alertas. 35 Tabla 17. Historial de Política: Renovación de los equipos de electrónica de red…………………………………………………… 36 Tabla 18. Historial de Política: Sistema de monitorización de la electrónica de red…………………………………………………… 37 Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa. 38 Tabla 20. Historial de Política: Actualización de las aplicaciones tecnológicas………………………………………………………………. 39 Tabla 21. Historial de Política: Se debe especificar el control de acceso de los usuarios al sistema………………………………………………… 40 Tabla 22. Historial de Política: Gestión y creación de contraseñas……. 41 Tabla 23. Historial de Política: Uso adecuado del sistema…………….. 42 viii

9. Tabla 24. Historial de Política: Respaldo de la información…………… 43 Tabla 25. Historial de Política: Uso de correo electrónico……………… 44 Tabla 26. Historial de Política: Roles de los usuarios en la Intranet…… 45 Tabla 27. Historial de Política: Contenidos de la página principal de la Intranet……………………………………………………………… 46 Tabla 28. Historial de Política: Publicación de contenidos en la Intranet. 47 Tabla 29. Historial de Política: Responsable del avance de la Intranet…. 48 Tabla 30. Historial de Política: Clasificación de los contenidos publicados en la Intranet…………………………………………………. 49 Tabla 31. Historial de Política: Control de descarga de aplicaciones…. 50 Tabla 32. Historial de Política: Notificación de incidentes en la Intranet.. 51 Tabla 33. Historial de Política: Formación del personal sobre seguridad en la Intranet……………………………………………………………… 52 Tabla 34. Historial de Política: Responsables de seguridad de la Intranet…………………………………………………………………… 53 Tabla 35. Historial de Política: Integridad en los contenidos de la Intranet…………………………………………………………………… 54 Tabla 36. Historial de Política: Disponibilidad de la Intranet…………. 55 ix

10. Tabla 37. Historial de Política: Acuerdos de confidencialidad………… 56 Tabla 38. Historial de Política: Autorización para procesar la Información……………………………………………………………… 57 Tabla 39. Historial de Política: Auditabilidad de la Intranet………….. 58 Tabla 40. Historial de Política: Etiquetado de la información de la Intranet…………………………………………………………………. 59 Tabla 41. Historial de Política: Identificación de los riesgos de la Intranet…………………………………………………………………. 60 Tabla 42. Historial de Política: Funciones y responsabilidades de los empleados respecto al uso de la Intranet………………………………. 61 Tabla 43. Historial de Política: Proceso disciplinario para los empleados por el mal uso de la Intranet……………………………………………. 62 Tabla 44. Historial de Política: Retirada y modificación de los derechos de acceso a la Intranet……………………………………….... 63 Tabla 45. Historial de Política: Controles de la red interna……………. 64 Tabla 46. Historial de Política: Control sobre el intercambio de información………………………………………………………………… 65 Tabla 47. Historial de Política: Registro de auditorías de la Intranet…… 66 Tabla 48. Historial de Política: Registro de administración de la Intranet. 67 x

11. Tabla 49. Historial de Política: Registro de usuarios de la Intranet…… 68 Tabla 50. Historial de Política: Equipo de usuario con acceso a la Intranet desatendido…………………………………………………….. 69 Tabla 51. Historial de Política: Uso de servicios en red………………. 70 Tabla 52. Historial de Política: Identificación de los equipos en la Intranet…………………………………………………………………. 71 Tabla 53. Historial de Política: Desconexión automática de sesión en la Intranet………………………………………………………………. 72 Tabla 54. Historial de Política: Controles contra código malicioso….. 73 Tabla 55. Historial de Política: Controles contra códigos móviles…… 74 Tabla 56. Historial de Política: Controles de redes…………………… 75 Tabla 57. Historial de Política: Seguridad de los servicios de la red….. 76 Tabla 58. Historial de Política: Registro de auditoría…………………. 77 Tabla 59. Historial de Política: Uso del sistema de monitorización.…… 78 Tabla 60. Historial de Política: Protección del registro de información. 79 Tabla 61. Historial de Política: Registros del administrador y operador. 80 Tabla 62. Historial de Política: Registro de fallos………………………. 81 xi

12. Tabla 63. Historial de Política: Política de control de acceso………. 82 Tabla 64. Historial de Política: Registro de usuario…………………. 83 Tabla 65. Historial de Política: Gestión de privilegios………………. 84 Tabla 66. Historial de Política: Gestión de las claves secretas de los Usuarios………………………………………………………………. 85 Tabla 67. Historial de Política: Revisión de los derechos de acceso del usuario……………………………………………………………. 86 Tabla 68. Historial de Política: Uso de claves secretas……………… 87 Tabla 69. Historial de Política: Equipo desatendido…………………. 88 Tabla 70. Historial de Política: Uso de los servicios de red…………. 89 Tabla 71. Historial de Política: Computación y comunicaciones Móviles……………………………………………………………….... 90 Tabla 72. Historial de Política: Control de vulnerabilidades………… 91 Tabla 73. Historial de Política: Reporte de eventos………………….. 92 Tabla 74. Historial de Política: Reporte de las debilidades en la Seguridad……………………………………………………………… 93 Tabla 75. Historial de Política: Realización de revisiones y evaluaciones Web………………………………………………………………………… 94 xii

13. Tabla 76. Historial de Política: Log Management…………………………... 95 Tabla 77. Historial de Política: Copia en red de los Log…………………… 96 Tabla 78. Historial de Política: Revisión de políticas de seguridad y cumplimiento técnico………………………………………………………… 97 Tabla 79. Historial de Política: Auditorías de sistemas……………………… 98 Tabla 80. Historial de Política: Monitorización de administración de sistemas. 99 Tabla 81. Historial de Política: Monitorización de uso del sistema………… 100 Tabla 82. Historial de Política: Protección y respaldo de los Log…………. 101 xiii

14. Índice de Figuras Página Organigrama de la Empresa………………………………………….... 112 xiv

15. CAPITULO I INTRODUCCIÓN El Grupo Seidor es una empresa española cuyo origen data del año 1982 en Cataluña, con un capital 100 % español y que ha estado siempre entre las 50 mejores empresas TIC españolas. Desde el año 2005 ha experimentado una expansión a pasos acelerados en toda España y Latinoamérica, fundamentalmente por la comercialización de los sistemas SAP, donde es el líder en España llegando a lograr importantes premios a nivel nacional e internacional. El grupo Seidor en la actualidad disponen de sistemas que administran, controlan y monitorean los principales servicios y aplicaciones de su red local corporativa, todo esto ha llevado al desarrollo de su infraestructura y un crecimiento acelerado de sus procesos tecnológicos. Con la finalidad de controlar y gestionar cada uno de los sistemas que componen la estructura tecnología del Grupo Seidor en especial la seguridad en tecnología de la información y comunicaciones conocida por sus siglas TIC, se han desarrollado en este trabajo de fin de master una serie de políticas que contribuyen al control, supervisión, mantenimiento, auditoria y gestión de los sistemas en el Grupo Seidor. Teniendo en cuenta lo antes expuesto dichas políticas llevan un control y gestión de los accesos a las aplicaciones, validaciones, servicios, servidores, estaciones de trabajo y en general toda la plataforma que soporta la infraestructura. El Grupo Seidor, tomando en cuenta la seguridad en las TIC, entiende que no es necesario tener como único punto un responsable o un gran departamento de seguridad, sino políticas que regulen a estas personas en sí mismas o a estos departamentos involucrados. 15

16. Uno de los principales temores dentro del Grupo Seidor es que en la actualidad por no contar con políticas de seguridad en sus redes locales, han experimentado fugas de datos que han arrojado reflejan pérdidas económicas millonarias. Un ejemplo muy parecido de estas fugas de información se han visto últimamente como el de la empresa Sony donde su producto estrella PlayStation por un fallo en su seguridad interna (posiblemente por no contar con políticas definidas), que se ha traducido en una fuga de datos de los suscriptores de esta red de usuarios, en la mayoría personas que jugaban y tenían datos personales en los servidores de la compañía. Como reflexión decimos que las políticas de seguridad en muchos casos son subestimadas por las empresas, no obstante tienen el poder de crear conciencia en las personas, como en todo sistema eco ambiental donde interactúa el hombre y los sistemas las políticas son como las leyes en los países, marcan la pauta del comportamiento y actuación de las personas en determinadas situaciones. Pero al igual que las leyes en algunos casos son mal interpretadas o simplemente no se cumplen. Debemos tener siempre presente que las políticas de seguridad son necesarias si queremos tener una organización con parámetros que permitan regular el funcionamiento adecuado de los ambientes y plataformas informáticas garantizando un verdadero control del recurso humano y de los sistemas. 16

17. CAPITULO II ESTADO DE LA CUESTIÓN Al momento del desarrollo de este trabajo no existían dentro de la organización Grupo Seidor Políticas de Control y Acceso a la red local, esto tenía como consecuencia la fuga de información de todos los desarrollos correspondientes a nuevos proyectos que se desarrollaban en el departamento de Desarrollo de Negocios. La finalidad de este trabajo es poder brindar los medios al departamento de seguridad de poder mitigar la fuga de información y tener un control de los usuarios que acceden a los recursos de la red local, pudiendo así tener la supervisión, la trazabilidad y la auditoria de toda la información de carácter sensible y confidencial que circula dentro de la red. La protección de los datos es de alta importancia para el departamento de desarrollo de negocios y por ello ha pedido al departamento de seguridad de la organización la creación de políticas de seguridad que permitan el control y mitigación de los posibles fallos no humanos y humanos que puedan estar desarrollándose en Grupo Seidor. Es un punto a destacar que la organización está experimentando un crecimiento exponencial de clientes lo que ha llevado el último año de operaciones a crecer el personal de consultores y administrativos, en muchos casos han venido personal de la competencia y en pro de proteger la fuga de la información han pedido la implementación de políticas de seguridad. Casos que se han desarrollado en otras corporaciones como Sony Corporation con el caso de su producto estrella Play Station Network 1 , donde un fallo de seguridad permitió la fuga de millones de datos de sus suscriptores ha encendido la alerta no solo a la gerencia de seguridad de Grupo Seidor sino a todos los departamentos de Seguridad de todas las empresas a nivel mundial. 1 2011. “Comunicado de Prensa de Sony Online Entertainment sobre cuestiones de seguridad”. “blog.es.playstation.com”. (Consultada: 05/05/2011) 17

18. CAPITULO III DESCRIPCIÓN DEL PROBLEMA La empresa Grupo Seidor S.A. en la actualidad no cuenta con políticas de seguridad para el control de los usuarios y a sus servidores de aplicaciones web, en los últimos años se ha incrementado el robo de información digital por parte de los usuarios internos por no tener control sobre sus servidores web, al no existir políticas de seguridad que regulen los accesos y lleven un control de los usuarios que accedan de manera regulada a la información alojada en sus servidores de aplicaciones web. La sustracción y robo de información clasificada le ha llevado a la pérdida de negocios y clientes en valores monetarios superiores a 800.000 euros por año, lo que representa una cuarta parte del ingreso anual en ventas solo en servicios de consultoría. Estas políticas de seguridad serán reguladas, administradas y puesta en marcha por el departamento de seguridad y redes de la empresa, teniendo como primera misión el poder regular los accesos a los usuarios internos y a los servidores de aplicaciones web. Los servidores de aplicaciones web, contienen los sistemas financieros, contables y administrativos soportados todos ellos en los sistemas ERP de SAP 2 Business One. Estos módulos gestionan el 80 % de las operaciones de la organización. 2 2011. “SAP España, Pequeñas y Medianas Empresas” . http://www.sap.com/spain /sme/solutions/businessmanagement/businessone/index.epx. (Consultada: 16/03/2011) 18

19. El requerimiento para la elaboración y estructuración de unas políticas de seguridad que aplique el entorno organizacional interno con el fin de resguardar la información crítica para la empresa como son sus clientes y proveedores externos. Estas políticas a ser implementadas llevaran un control para la prevención no solo de este tipo de ataques que se vinculan al factor humano sino también a los informáticos que día a día se desarrollan incrementalmente trayendo en ocasiones perdidas millonarias y paradas inesperadas a las organizaciones. 19

20. CAPITULO IV SOLUCIÓN PROPUESTA Políticas de admisión y control de usuarios: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 1. Historial de Política: Sistema Operativo Cliente. Política: Sistema Operativo Cliente. Comentario: Con esta política se pretende especificar el tipo de sistema operativo que se autoriza para acceder a la red corporativa. El sistema operativo cliente será el indicado por el responsable del departamento de seguridad y no se podrá operar con ningún otro sistema operativo que no esté autorizado por el responsable del departamento de seguridad. Políticas relacionadas: “Sistema operativo cliente”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 20

21. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 2. Historial de Política: Sistema de antivirus. Política: Sistema de antivirus. Comentario: Esta política establece los equipos corporativos deberán de tener un sistema operativo el cual será actualizado periódicamente por los servidores que prestan el servicio de actualización de huellas, este antivirus será administrado y controlado por el departamento de seguridad. Políticas relacionadas: “Sistema Antivirus”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 21

22. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 3. Historial de Política: Sistema de control y admisión de estaciones de trabajo. Política: Sistema de control y admisión de estaciones de trabajo. Comentario: Esta política específica que las estaciones de trabajo que se conectan a la red corporativa solo recibirán los servicios si pertenece a un grupo específico del entorno tecnológico y cumpla con las reglas definidas por el departamento de seguridad de la corporación. Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 22

23. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 4. Historial de Política: Red de cuarenta. Política: Red de cuarenta. Comentario: Esta política especifica qué las estaciones de trabajo que no cumplan con las reglas definidas por el departamento de seguridad de la corporación, pasar a una red de cuarentena con servicios limitados que serán definidos previamente por el departamento de seguridad de la corporación. Políticas relacionadas: “Control y Admisión”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 23

24. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 5. Historial de Política: Actualización Automática del Sistema Operativo. Política: Actualización Automática del Sistema Operativo. Comentario: Esta política establece que las estaciones de trabajo y servidores contaran con un sistema automatizado para la actualización y parcheo de sus sistemas operativos, dicho sistema será administrado y controlado por el departamento de seguridad de la corporación y contara con la supervisión del responsable del departamento Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 24

25. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 6. Historial de Política: Perfiles de admisión de los usuarios. Política: Perfiles de admisión de los usuarios. Comentario: Esta política establece los perfiles de los usuarios en la red corporativa, el usuario tendrá acceso a los sistemas de la corporación de acuerdo al rol y las funciones que desempeñe en la organización, de esta manera se establecerán niveles de acceso para cada aplicación, base de datos, sistema web o cualquiera que aplique en el entorno corporativo. Estos niveles serán establecidos por el departamento de seguridad de la organización. Políticas relacionadas: “Perfiles de los usuarios”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 25

26. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 7. Historial de Política: Red de Invitados. Política: Red de invitados. Comentario: Se contara con una red de invitados la cual tendrá una conectividad totalmente aislada a la red corporativa y cuyo acceso será solo autorizado por el departamento de seguridad de la corporación. Políticas relacionadas: “Control y Admisión”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 26

27. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 8. Historial de Política: Control de acceso a proveedores externos. Política: Control de acceso a proveedores externos. Comentario: Para evitar que los equipos portátiles y electrónicos de proveedores externos que se conectan a la red corporativa, dicha autorización y chequeo previo será exclusivamente autorizado por el departamento de seguridad de la corporación, con el fin de evitar que dichos equipos puedan contener software malicioso o no cumplan con las políticas establecidas anteriormente. Políticas relacionadas: “Control y admisión”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 27

28. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 9. Historial de Política: Administración de las aplicaciones de control y admisión. Política: Administración de las aplicaciones de control y admisión. Comentario: Es necesario tener un responsable que se encargue de administrar los dispositivos, servidores y aplicaciones que control, autoricen y administren el acceso a la red corporativa y sus recursos asociados. Este responsable será el encargado de dar un reporte y alertar de las posibles vulnerabilidades e irregularidades que pueda sufrir la organización. Este administrador dependerá directamente del responsable del departamento de seguridad. Políticas relacionadas: “Responsables del sistema de control y admisión”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 28

29. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 10. Historial de Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos. Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos. Comentario: Solo se permitirán la implementación de equipos de electrónica de red que cumplan con el protocolo 802.1X para garantizar que dichos equipos tendrán la capacidad de operar bajo normas establecidas por el departamento de seguridad, garantizando el control y administración de los equipos que se conecten a la red corporativa. Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 29

30. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 11. Historial de Política: Servidores de control y admisión. Política: Servidores de control y admisión. Comentario: Se deberá contar con servidores que presten los servicios de admisión y control en la red corporativa. Estos servidores deberán cumplir con las normas establecidas anteriormente y serán capaces de ser administrados de manera autónoma con la mínima intervención del personal del departamento de seguridad Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 30

31. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 12. Historial de Política: Control de admisión de usuarios. Política: Control de admisión de usuarios. Comentario: Los usuarios que se conecten a la red corporativa deberán cumplir con las normas establecidas por el departamento de seguridad de la organización, y bajo ningún concepto podrán saltarse los procedimientos de admisión y control a la red corporativa Políticas relacionadas: “Control de usuarios”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 31

32. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 13. Historial de Política: Actualización de los sistemas operativos de los clientes. Política: Actualización de los sistema operativos de los clientes. Comentario: La actualización de los sistemas operativos de las estaciones de trabajo estará a cargo del departamento de tecnología de la organización, bajo la supervisión del departamento de seguridad. Ambos departamento se coordinaran para tomar en cuenta cuáles serán los sistemas operativos implicados en el momento de su actualización. Políticas relacionadas: “Sistemas operativos”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 32

33. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 14. Historial de Política: Administración de los dispositivos de electrónica de red. Política: Administración de las dispositivos de electrónica de red. Comentario: Se contara con un responsable de administrar y controlar los dispositivos de electrónica de red que interconectan la red corporativa, dicho responsable dependerá del departamento de seguridad de la organización. Políticas relacionadas: “Personal Administrativo”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 33

34. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 15. Historial de Política: Admisión y control de Servidores en la red corporativa. Política: Admisión y control de Servidores en la red corporativa. Comentario: Solo se permitirán la instalación de servidores que cumplan con las normas establecidas por el departamento de seguridad y sean compatibles con el protocolo 802.1X, todos los servidores que se conecten a la electrónica de red deben de tener la capacidad de auto gestionarse con la mínima intervención de los administradores. Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 34

35. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 16. Historial de Política: Sistema de control de gestión y alertas. Política: Sistema de control de gestión y alertas. Comentario: Se contara con un sistema de gestión y alertas que permita notificar a los responsables del departamento de seguridad y tecnología en caso de alguna contingencia o alarma preventiva. Estas alertas serán pre configuradas en el sistema de acuerdo a las aplicaciones que se alojen en cada servidor y tomando en cuenta su criticidad para la organización. Políticas relacionadas: “Sistema de gestión y alertas”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 35

36. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 17. Historial de Política: Renovación de los equipos de electrónica de red. Política: Renovación de los equipos de electrónica de red. Comentario: Se renovaran y se sacaran de su vida útil todos los equipos de electrónica de red que no cumplan con el protocolo 802.1X, esto con el fin de tener un equipamiento estándar que cumpla con los mínimos requerimientos para la gestión de la plataforma tecnológica de la corporación. Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 36

37. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 18. Historial de Política: Sistema de monitorización de la electrónica de red. Política: Sistema de monitorización de la electrónica de red. Comentario: Se debe contar con un sistema de monitorización que permita ver en tiempo real el funcionamiento y desempeño de los equipos de electrónica de red. Dicho sistema tiene que cumplir con las normas establecidas por el departamento de seguridad de la corporación, bajo la aprobación del responsable de seguridad. Políticas relacionadas: “Sistema de monitorización”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 37

38. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa. Política: Solicitud de acceso a la red corporativa. Comentario: Todo equipo electrónico, dispositivo, portátil y/o servidor que cumpla una función critica dentro de la organización deberá ser autorizado previamente por el departamento de seguridad de la corporación antes de ser conectado a la plataforma tecnológica. Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 38

39. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 20. Historial de Política: Actualización de las aplicaciones tecnológicas. Política: Actualización de las aplicaciones tecnológicas. Comentario: Solo se permitirán la implementación de aplicaciones tecnológicas compatibles con los sistemas de admisión y control descritos anteriormente, bajo ningún concepto se implementaran aplicaciones que no sean compatibles con la plataforma tecnológica de la corporación Políticas relacionadas: “Admisión y control”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 39

40. Políticas de protección de la Intranet y sus contenidos: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de seguridad Autor: Nadia González Tabla 21. Historial de Política: Se debe especificar el control de acceso de los usuarios al sistema. Política: Se debe especificar el control de acceso de los usuarios al sistema. Comentario: Con esta política se pretende especificar como deben acceder los usuarios al sistema, desde dónde y de qué forma deben autentificarse. El control de acceso está ligado la autentificación, ya que para poder acceder al sistema es necesario autentificarse. Mediante el control de acceso el usuario deberá introducir su nombre de usuario y contraseña y de esta forma tendrá acceso a los recursos de la intranet. Todos los usuarios deberán acceder al sistema utilizando algún programa que permita una comunicación segura y cifrada. Políticas relacionadas: “Autentificación de personal”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 40

41. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 22. Historial de Política: Gestión y creación de contraseñas. Política: Gestión y creación de contraseñas. Comentario: Esta política establece qué persona asignará la contraseña, la longitud que debe tener, su formato, la forma en que debe ser comunicada, etc. Las contraseñas son el método de autentificación más común y con todas estas medidas se pretende que los usuarios se autentifiquen de manera segura y así garantizar la protección contra ataques en la intranet. Políticas relacionadas: “Asignación de contraseñas”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 41

42. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 23. Historial de Política: Uso adecuado del sistema. Política: Uso adecuado del sistema. Comentario: Esta política específica lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de información. Está prohibido entre otras cosas el ejecutar programas que intenten adivinar contraseñas alojadas en las máquinas locales o remotas. Políticas relacionadas: “Normas del sistema de información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 42

43. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 24. Historial de Política: Respaldo de la información. Política: Respaldo de la información. Comentario: Esta política especifica qué información debe respaldarse, qué medios de respaldo utilizar, cada cuanto tiempo debe respaldarse, cómo deberá ser respaldada la información, dónde deberán almacenarse los respaldos etc. Un ejemplo sería que el administrador del sistema es el responsable de realizar los respaldos de la información. Cada mes deberá efectuarse un respaldo completo del sistema y cada día deberán ser respaldados todos los archivos que fueron modificados o creados. La información respaldada deberá ser almacenada en un lugar seguro y distante del sitio de trabajo. Políticas relacionadas: “Métodos de respaldo de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 43

44. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 25. Historial de Política: Uso de correo electrónico. Política: Uso de correo electrónico. Comentario: Esta política establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y obligaciones que el usuario debe conocer y cumplir al respecto. Un ejemplo es que el usuario es la única persona autorizada para leer su propio correo, a menos que él autorice explícitamente a otra persona para hacerlo, o bien que su cuenta esté involucrada en algún incidente de seguridad de la empresa. Políticas relacionadas: “Obligaciones de los usuarios con el correo electrónico”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 44

45. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 26. Historial de Política: Roles de los usuarios en la Intranet. Política: Roles de los usuarios en la intranet. Comentario: Esta política establece los permisos de los usuarios en el acceso y en los contenidos de la intranet. Es decir, dependiendo del rol que se le haya asignado, el usuario tendrá acceso a una determinada información, ya que no todos los usuarios pueden tener el mismo nivel jerárquico dentro de la empresa. Políticas relacionadas: “Permisos de los usuarios”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 45

46. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 27. Historial de Política: Contenidos de la página principal de la Intranet. Política: Contenidos de la página principal de la Intranet. Comentario: La página principal de la Intranet es el espacio más demandado del sitio en cada área de la empresa, ya que todos tienen enlace directo a su información. Cada equipo de la Intranet debe tener establecido lo que tiene que estar publicado y lo que no en la página principal. Políticas relacionadas: “Acceso a la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 46

47. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 28. Historial de Política: Publicación de contenidos en la Intranet. Política: Publicación de contenidos en la Intranet. Comentario: Para evitar que la Intranet se convierta en “un vertedero de documentos de segunda mano” es importante que la información que ya haya sido comunicada al personal a través de cualquier mecanismo como el correo electrónico no vuelva a ser publicada en la Intranet. Políticas relacionadas: “Acceso a la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 47

48. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 29. Historial de Política: Responsable del avance de la Intranet. Política: Responsable del avance de la Intranet. Comentario: Es necesario tener un responsable para impulsar el avance de la Intranet, el desarrollo de sus estrategias y la gestión de los elementos clave del sitio. Esto es necesario para que la Intranet sea consistente, coherente y eficaz. El responsable del avance de la Intranet tiene que intentar mejorarla en todo momento, utilizar una serie de estrategias para su mejora y gestionar elementos como la página principal, la búsqueda etc. Políticas relacionadas: “Responsables de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 48

49. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 30. Historial de Política: Clasificación de los contenidos publicados en la Intranet. Política: Clasificación de los contenidos publicados en la Intranet. Comentario: No todos los contenidos de la Intranet deben ser publicados, ya que la información se clasifica en distintos niveles de seguridad, puede ser pública, privada o confidencial, y esto ha de tenerse en cuenta a la hora de la publicación de contenidos. Habrá cierta información pública, es decir, accesible a todos los usuarios de la Intranet, la privada, a la que sólo tendrán acceso ciertos usuarios, dependiendo de su rol, y la confidencial que no es conveniente que sea publicada en la Intranet, pero en caso de serlo solo debe tener acceso la persona con los permisos necesarios. Políticas relacionadas: “Clasificación de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 49

50. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 31. Historial de Política: Control de descarga de aplicaciones. Política: Control de descarga de aplicaciones. Comentario: Es necesario tener un control de las aplicaciones que se descarguen los empleados de Internet, ya que las aplicaciones pueden contener malware que infecte los ordenadores, de forma que cuando el empleado acceda a la Intranet ese malware sea transmitido y por tanto perjudique al resto de equipos de la empresa. Políticas relacionadas: “Control de aplicaciones”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 50

51. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 32. Historial de Política: Notificación de incidentes en la Intranet. Política: Notificación de incidentes en la Intranet. Comentario: Todos los usuarios de la Intranet deben informar al departamento de Seguridad de la empresa de cualquier incidencia dentro de la Intranet, tanto errores como el mal uso de la misma, además de los fallos en la disponibilidad del sitio. Políticas relacionadas: “Notificación de incidencias”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 51

52. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 33. Historial de Política: Formación del personal sobre seguridad en la Intranet. Política: Formación del personal sobre seguridad en la Intranet. Comentario: Dentro de la empresa deben impartirse cursos sobre seguridad a todos los empleados, para concienciar de los peligros que hay por la red y de esta forma evitar vulnerabilidades producidas por errores humanos. Con todo esto se pretende evitar el mal uso de la Intranet por parte de los usuarios así como los problemas que eso supone. Políticas relacionadas: “Formación del personal”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 52

53. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 34. Historial de Política: Responsables de seguridad de la Intranet. Política: Responsables de seguridad de la Intranet. Comentario: En la empresa deben existir unas figuras claras de autoridad respecto de la seguridad de la Intranet, esto quiere decir que estas personas serán las encargadas de establecer una serie de normas de uso seguro para los usuarios, además de ser los responsables si existe algún problema de seguridad en la Intranet. Políticas relacionadas: “Responsables de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 53

54. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 35. Historial de Política: Integridad en los contenidos de la Intranet. Política: Integridad en los contenidos de la Intranet. Comentario: Todos los contenidos publicados en la Intranet deben ser íntegros, es decir, que no puedan ser modificados por una persona que no tenga los permisos necesarios para ello. Con esto se pretende que la información publicada sea veraz. Políticas relacionadas: “Integridad de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 54

55. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 36. Historial de Política: Disponibilidad de la Intranet. Política: Disponibilidad de la Intranet. Comentario: La Intranet debe estar en todo momento disponible para que los usuarios puedan acceder a ella, ya que es totalmente necesaria para realizar el trabajo de la empresa. En caso de no estar disponible, deberá ser reparada en el menor tiempo posible para no obstaculizar las labores diarias de la empresa. Políticas relacionadas: “Disponibilidad de los servicios web”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 55

56. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 37. Historial de Política: Acuerdos de confidencialidad. Política: Acuerdos de confidencialidad. Comentario: Es necesario identificar y revisar los requerimientos de confidencialidad de la Intranet, así como los acuerdos de no divulgación de contenidos, para proteger la información contenida en la Intranet y garantizar la confidencialidad de la información de la empresa. Políticas relacionadas: “Confidencialidad de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 56

57. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 38. Historial de Política: Autorización para procesar la información. Política: Autorización para procesar la información. Comentario: Cada vez que sea necesario procesar la información de la Intranet, tal como añadir, modificar o eliminar información, será necesario solicitar a los responsables de seguridad una autorización para llevar a cabo dicho proceso. Con esto se pretende tener un control sobre la información y así evitar su pérdida y mantener su integridad y confidencialidad. Solicitar una autorización a los responsables de seguridad de la empresa evita al personal la toma de decisiones sobre seguridad que pueden provocar algún daño en el sistema de información al no tener experiencia en ese campo. Políticas relacionadas: “Autorización de recursos”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 57

58. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 39. Historial de Política: Auditabilidad de la Intranet. Política: Auditabilidad de la Intranet. Comentario: La Intranet debe ser totalmente auditable, ya que para proteger todos sus contenidos es necesario realizar auditorías de seguridad cada cierto tiempo y así descubrir las vulnerabilidades del sitio. Auditar la Intranet es un punto crucial de la seguridad de la información, ya que los contenidos de ésta son únicamente de la empresa y por ello no pueden ser vistos ni modificados por personas ajenas a ella. De la auditabilidad depende que el sistema mejore y sea más seguro. Políticas relacionadas: “Auditabilidad del sistema de información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 58

59. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 40. Historial de Política: Etiquetado de la información de la Intranet. Política: Etiquetado de la información de la Intranet. Comentario: Desarrollo e implementación de una serie de procedimientos para etiquetar y manejar la información siguiendo el esquema adoptado por la empresa. El etiquetado de información es importante para su clasificación y para su intercambio. La información será etiquetada mediante una serie de mecanismos electrónicos y será clasificada como sensible, crítica, privada, pública... según su relevancia para la empresa. Políticas relacionadas: “Etiquetado y manejo de la información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 59

60. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 41. Historial de Política: Identificación de los riesgos de la Intranet. Política: Identificación de los riesgos de la Intranet. Comentario: Para poder tener una Intranet segura, hay que identificar todos los riesgos a los que se encuentra expuesta y así poder desarrollar las medidas de protección contra tales riesgos. Uno de los principales riesgos es el acceso de terceros, por lo que una de las medidas será proteger la información contra terceras personas ajenas a la empresa que no tengan permiso para acceder a ella. La identificación de riesgos proporcionará a la empresa un mayor control sobre la Intranet y sobre la información que ésta contiene. Políticas relacionadas: “Riesgos del sistema de información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 60

61. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 42. Historial de Política: Funciones y responsabilidades de los empleados respecto al uso de la Intranet. Política: Funciones y responsabilidades de los empleados respecto al uso de la Intranet. Comentario: El personal tendrá definidas una serie de normas de uso de la Intranet que deberán ser cumplidas en todo momento. Además cada empleado tendrá una serie de responsabilidades que cumplir y asumir, ya que si se produce algún incidente bien sea por accidente o intencionadamente los responsables de seguridad deben saber en todo momento la causa por la que se ha producido y la persona que lo ha causado. Cada empleado tendrá una función definida y tendrá que cumplirla sin sobrepasar los límites permitidos. Por todo esto es muy importante concienciar a los empleados de que deben cumplir las normas e informar de cualquier incidencia lo antes posible. Políticas relacionadas: “Normas de uso de la Intranet”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 61

62. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 43. Historial de Política: Proceso disciplinario para los empleados por el mal uso de la Intranet. Política: Proceso disciplinario para los empleados por el mal uso de la Intranet. Comentario: Debe existir un proceso disciplinario en la empresa para todos los empleados que hayan provocado alguna violación de la seguridad de la Intranet. Como se ha definido en otras políticas sobre las normas de los empleados, se abrirá un proceso disciplinario a todo empleado que incumpla las normas y que por tanto perjudique a la seguridad de la Intranet. Cada proceso disciplinario dependerá de la gravedad de la violación de seguridad cometida y de la intencionalidad de la misma, ya que no se tratará igual un caso de un empleado que lo realizase conscientemente como un caso de un empleado que lo hiciese de forma accidental. Políticas relacionadas: “Normas de uso de la Intranet”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 62

63. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 44. Historial de Política: Retirada y modificación de los derechos de acceso a la Intranet. Política: Retirada y modificación de los derechos de acceso a la Intranet. Comentario: Cada vez que un empleado abandone su puesto de trabajo o bien se le asigne otro diferente, sus derechos de acceso serán modificados de igual forma. Esto quiere decir que habrá una serie de pautas definidas para eliminar los derechos de acceso de antiguos empleados a la Intranet y para la modificación de estos derechos en caso de cambiar de puesto de trabajo dentro de la misma empresa. Con esto se pretende tener un control sobre el acceso a la Intranet, ya que el personal varía continuamente y no se puede permitir que una persona que no siga en la empresa siga teniendo un control de acceso a la Intranet de la misma, al igual que una persona que varíe de puesto de trabajo dentro de la empresa no puede tener el mismo control de acceso que tenía anteriormente, ya que su perfil ha cambiado. Políticas relacionadas: “Control de acceso”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 63

64. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 45. Historial de Política: Controles de la red interna. Política: Controles de la red interna. Comentario: Toda la red interna debe estar correctamente controlada y gestionada, para poder mantener la seguridad de los sistemas y de las aplicaciones frente a las amenazas. Toda la información que circula por la red interna de la empresa debe estar controlada en todo momento, ya que se puede producir un ataque en cualquier momento y esa información necesita estar segura y protegida. Políticas relacionadas: “Controles de red del sistema de información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 64

65. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 46. Historial de Política: Control sobre el intercambio de información. Política: Control sobre el intercambio de información. Comentario: Todo el intercambio de información que se maneja a través de la Intranet deberá ser controlado mediante una serie de recursos de comunicación para evitar que la información circule sin control ninguno por la empresa y en algunos casos fuera de ella. Con esta serie de recursos y mecanismos se pretende que la información esté siempre protegida, de forma que no todo el personal tenga acceso a ella y mucho menos personas ajenas a la empresa. Políticas relacionadas: “Control de la información del sistema”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 65

66. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 47. Historial de Política: Registro de auditorías de la Intranet. Política: Registro de auditorías de la Intranet. Comentario: Cada vez que se realice una auditoría de la Intranet, se deben realizar registros de las actividades de los empleados que usan la Intranet, y las excepciones y eventos de seguridad de la misma. Estos registros se deben mantener durante un período de tiempo acordado por los responsables de seguridad de la empresa para servir como prueba en futuras auditorías o investigaciones sobre incidencias de seguridad, y además para supervisar el control de acceso. Políticas relacionadas: “Auditabilidad del sistema de información”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 66

67. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 48. Historial de Política: Registro de administración de la Intranet. Política: Registro de administración de la Intranet. Comentario: Cada vez que el administrador de la Intranet acceda al sistema, se debe guardar un registro de accesos y de operaciones que ha realizado. Con todo esto se pretende llevar un control sobre las acciones realizadas dentro de la Intranet y comprobar si es realmente el administrador el que accede al sistema o si es alguien que ha conseguido las claves y está suplantando su identidad. Políticas relacionadas: “Registro de accesos al sistema”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 67

68. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 49. Historial de Política: Registro de usuarios de la Intranet. Política: Registro de usuarios de la Intranet. Comentario: Debe establecerse un procedimiento de registro y eliminación de usuarios para conceder y revocar el acceso al sistema y por tanto a sus servicios. De esta forma se pretende llevar un control sobre el acceso de los usuarios a la Intranet, de forma que cada vez que se asignen permisos de acceso y se revoquen haya un registro que lo muestre, y así cada cierto tiempo se comprobará dicho registro controlando que todas las operaciones se han realizado correctamente. Políticas relacionadas: “Registro de accesos al sistema”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 68

69. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 50. Historial de Política: Equipo de usuario con acceso a la Intranet desatendido. Política: Equipo de usuario con acceso a la Intranet desatendido. Comentario: Cuando el usuario acceda a los servicios de la Intranet, deberá cerrar la sesión o bloquear el equipo cada vez que necesite ausentarse de su puesto. En caso contrario cualquier persona podría utilizar el acceso para obtener información privada que se encuentre en la Intranet y manipularla, además de información personal del usuario en el equipo. De esta forma se consigue proteger el acceso no autorizado a la Intranet y a los equipos de otros usuarios que pueden contener información importante para la empresa. Políticas relacionadas: “Responsabilidades de los usuarios”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 69

70. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 51. Historial de Política: Uso de servicios en red. Política: Uso de los servicios en red. Comentario: Se debe proporcionar a los usuarios únicamente el acceso a los servicios para los que hayan sido autorizados, es decir, dependiendo de los permisos que tengan asignados podrán usar una serie de servicios u otros. De esta forma se controlará el uso de recursos por parte de los usuarios, de forma que los responsables de seguridad tengan un control sobre la información que se proporciona a los usuarios. Políticas relacionadas: “Control de acceso a la red”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 70

71. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 52. Historial de Política: Identificación de los equipos en la Intranet. Política: Identificación de los equipos en la Intranet. Comentario: Se debe considerar la identificación automática de los equipos de la Intranet como un medio de autentificación de las conexiones provenientes de localizaciones y equipos específicos. Así se controlará el acceso a la Intranet, ya que todos los equipos estarán identificados y si se produce algún incidente se podrá saber el equipo implicado además de su localización. Si algún equipo no identificado accede a la red interna quedará constancia de ello y se podrán tomar medidas al respecto. Políticas relacionadas: “Control de acceso a la red”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 71

72. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 53. Historial de Política: Desconexión automática de sesión en la Intranet. Política: Desconexión automática de sesión en la Intranet. Comentario: Se configurará la desconexión automática de la sesión de los usuarios en la Intranet para evitar que alguien acceda a ésta con una sesión iniciada por otro usuario que se ha ausentado de su equipo. Esto se configurará para que cuando pase un cierto tiempo de inactividad del usuario dentro de las aplicaciones y recursos de la Intranet, la sesión de éste se cierre y se proteja de esta forma toda la información contenida en la Intranet. El usuario deberá volver a autentificarse cada vez que pase un cierto tiempo de inactividad, ya que su sesión expirará. Políticas relacionadas: “Control de acceso a la red”. Política dirigida a: Todos. Ambientes de seguridad: Todos. 72

73. Políticas de seguridad para redes WIFI: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 54. Historial de Política: Controles contra código malicioso. Política: Controles contra código malicioso. Comentario: El objetivo de esta política es definir una serie de controles para proteger a los sistemas de la empresa contra posibles ataques que pudieran producirse por efectos de código mal intencionado, estos controles se definirán según el ámbito, en primer lugar para los dispositivos móviles como IPAD, IPOD o cualquier Smartphone, se debe realizar un chequeo de seguridad del dispositivo, para verificar que este cuente con la última versión de software instalada, adicionalmente se bloqueara en cualquier momento la conexión a la red si se detecta la ejecución de algún software con comportamiento sospechoso, en lo que respecta a los computadores personales o portátiles, se debe realizar una comprobación del sistema para determinar que cuenta con los últimos parches de seguridad, así como se debe realizar un chequeo del dispositivo para determinar si dispone de software antivirus, de igual manera se monitorizará para determinar cualquier programa con comportamiento sospechoso y se terminara la conexión a la red de forma inmediata de darse el caso. 73

74. De no cumplirse estos requerimientos se negara el acceso a la red corporativa, adicionalmente al momento de acceder a la red se mostrara al usuario los términos y condiciones para el uso de la red, los cuales debe aceptar para poder hacer uso de la misma. Política dirigida a: Departamento de Seguridad. Ambientes de seguridad: Todos. 74

75. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 55. Historial de Política: Controles contra códigos móviles. Política: Controles contra códigos móviles. Comentario: La ejecución de códigos transferibles dentro de la red WIFI corporativa queda terminantemente prohibida, deben tomarse las medias necesarias para bloquear cualquier ejecución de código transferible en cualquier dispositivo conectado a la red WIFI, bloqueando el acceso a la red a cualquier dispositivo que intente la ejecución de dichos códigos, por ende, las actividades en la red deben encontrarse monitorizadas. Políticas relacionadas: Controles contra códigos maliciosos. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 75

76. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 56. Historial de Política: Controles de redes. Política: Controles de redes. Comentario: Los administradores de la red deben implementar medias para el monitorización de las actividades dentro de la misma, verificando los usuarios conectados, analizando el tráfico de la red, y aplicando medidas preventivas para proteger la integridad del sistema bajo cualquier imprevisto. Políticas relacionadas: Controles contra código malicioso y Controles contra códigos móviles. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 76

77. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 57. Historial de Política: Seguridad de los servicios de la red. Política: Seguridad de los servicios de la red. Comentario: Los administradores de la red deben monitorizar constantemente la capacidad de los sistemas proveedores de servicios para evitar comprometer la disponibilidad de los servicios de red por sobrecarga de sistemas, o la disminución de la seguridad de la misma, se deben aplicar todas las herramientas de hardware y software para poder mantener una alta disponibilidad de los servicios de acuerdo a la capacidad deseada y el nivel de seguridad requerida en la misma. Políticas relacionadas: Controles de Redes. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 77

78. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 58. Historial de Política: Registro de auditoría. Política: Registro de auditoria. Comentario: Se debe mantener un registro de todas las actividades dentro de la red, como intentos fallidos de acceso, ataques, peticiones de archivos, bloqueos de servicio (Denegación de Servicio), o cualquier otra excepción que ocurra dentro de la red, para ayudar a investigaciones futuras. La aplicación de los registros y la monitorización de actividades se enmarcara dentro de la legislación vigente en el país que resida la sede de la empresa a aplicar la política. Políticas relacionadas: Controles de Redes. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 78

79. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 59. Historial de Política: Uso del sistema de monitorización. Política: Uso del sistema de monitorización. Comentario: Se deberán revisar y analizar periódicamente los resultados de los procedimientos de monitorización de actividades para buscar anomalías o posibles fallas de seguridad que puedan comprometer el sistema, además para verificar el correcto uso de la red y prevenir problemas posteriores. Políticas relacionadas: Registro de Auditoria. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 79

80. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 60. Historial de Política: Protección del registro de información. Política: Protección del registro de información. Comentario: Deben implementarse medias para proteger el registro de información relacionada con las actividades de monitorización y uso de los sistemas relacionados a estas, evitando el borrado de los archivos, la modificación, sobre-escritura, la copia o sustracción de los archivos de forma no autorizada. Políticas relacionadas: Registro de Auditoria, Uso del Sistema de Monitorización. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 80

81. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 61. Historial de Política: Registros del administrador y operador. Política: Registros del administrador y operador. Comentario: Se deben registrar todas las actividades del administrador y de los operadores de sistemas, con la finalidad de realizar investigaciones futuras en caso de ocurrir alguna incidencia. Se debe tomar en cuenta la fecha y hora en la que ocurre el evento, los responsables implicados en el proceso relacionado, y la descripción del mismo. Políticas relacionadas: Uso del Sistema de Monitorización. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 81

82. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 62. Historial de Política: Registro de fallos. Política: Registro de fallas. Comentario: Se debe registrar en un LOG especial debidamente protegido todos los fallos o incidencias que ocurran en el sistema, tomando en cuenta los sistemas de monitorización y control contra software malicioso, así como los servicios suministrados, esto a efectos de control de calidad y del servicio y de retroalimentación para el análisis de seguridad con la finalidad de mejorar la seguridad de la red. Políticas relacionadas: Registro de Auditoria, Controles de Redes, Controles contra código malicioso y móviles. Política dirigida a: Departamento de seguridad. Ambientes de seguridad: Todos. 82

Memoria del proyecto

Estás leyendo una previsualización.

Eche un vistazo a continuación

Memoria del proyecto

Más Contenido Relacionado

Presentaciones para usted (18)

A los espectadores también les gustó (6)

Similares a Memoria del proyecto (20)

Más de Peter Diaz (20)

Más reciente (20)