1. MANUAL DE POLÍTICAS DE
SEGURIDAD
(INAMUJER)
Autores:
Roxny González C.I. 15.948.990
Frank Guevara C.I. 17.477.998
Robert Jiménez C.I. 17.145.374
IUTOMS
Caracas, Mayo de 2011
2. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Introducción
En la actualidad al momento de hablar de cual sistema de información
quizás el aspecto más importante que saldrá a relucir es la seguridad de los
datos que se manejan, y de los componentes que intervienen en el normal
funcionamiento de dicho sistema informático.
Es importante hacer énfasis en el hecho de que en una organización la
seguridad en el ámbito informático abarca muchos factores, entre los cuales
destacan: Seguridad Física, Seguridad Lógica, Controles de Acceso,
Permisologías de Usuarios y Grupos, Normativas de Acceso, etc. Tomando
esto en consideración es que surge la necesidad de la creación de documentos
que indiquen a los usuarios y administradores de las distintas áreas las
políticas de seguridad que se deben manejar a nivel institucional con el fin de
que estas se conviertan en estándares organizacionales.
Este Manual de Seguridad establece las normas y controles pertinentes
que deben ser tomadas en consideración por el Instituto Nacional de la Mujer
(INAMUJER) para prevenir y proteger el activo más importante de cualquier
organización, el cual es la información.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 2
3. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Tabla de contenido
Introducción
.....................................................................................................................................................2
Objetivo........................................................................................................................................5
Alcance.........................................................................................................................................5
SEGURIDAD FÍSICA DE LA INFORMACIÓN.....................................................................................6
1.CENTROS DE DATOS (DATA CENTER).....................................................................................6
1.1.CLIMATIZACIÓN MEDIANTE EL USO DE AIRES ACONDICIONADOS ................................6
1.2.SISTEMA DE ENERGÍA ININTERRUMPIDA.......................................................................7
1.3.RACKS DE SEGURIDAD ...................................................................................................7
1.4.PISO FALSO ....................................................................................................................8
1.5.NORMATIVA DEL CABLEADO ESTRUCTURADO PARA LA RED DE DATOS .......................8
1.6.SEGURIDAD CONTRA INCENDIOS...................................................................................8
1.7.LUCES DE EMERGENCIAS................................................................................................9
1.8.ACCESO AL CENTRO DE DATOS.......................................................................................9
1.9.CÁMARAS DE SEGURIDAD..............................................................................................9
1.10.INSTALACIONES ELÉCTRICAS......................................................................................10
2.ESTACIONES DE TRABAJO....................................................................................................11
2.1.PROTECCIÓN ELECTRICA...............................................................................................11
2.2.CONTROL Y ACTUALIZACIÓN DE HARWARE EXISTENTE................................................11
2.3.SELLADO DE LOS EQUIPOS DE COMPUTO....................................................................12
2.4.DISPOSITIVOS DE ALMACENAMIENTO..........................................................................13
SEGURIDAD LÓGICA DE LA INFORMACIÓN.................................................................................13
1.CONTROLES DE ACCESO......................................................................................................13
1.1.SERVIDORES LOCALES...................................................................................................13
1.2.CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACIÓN Y ESTACIONE DE TRABAJO 14
1.3.CONTROL DE ACCESOS REMOTOS................................................................................14
2.GESTIÓN DE RESPALDOS (BACKUPS) ..................................................................................15
2.1.PROCEDIMIENTO DE RESPALDOS.................................................................................16
2.1.1.PROCEDIMIENTO DE RESPALDOS A NIVEL DE DATA CENTER.....................................16
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 3
4. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
2.1.2.PROCEDIMIENTO DE RESPALDOS A NIVEL DE USUARIO............................................17
3.ADMINISTRACIÓN DE EQUIPOS...........................................................................................18
3.1.SERVIDORES..................................................................................................................18
3.2.ESTACIONES DE TRABAJO.............................................................................................18
4.ADMINISTRACIÓN DE LA SEGURIDAD DE LA RED................................................................19
5.CORREO ELECTRONICO INSTITUCIONAL..............................................................................20
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 4
5. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Objetivo
Establecer el conjunto de normas, procedimientos y estándares
necesarios para resguardar la información con la cual labora el Instituto
Nacional de la Mujer, y asegurar la continuidad de los procesos administrativos
que dependan de los servicios informáticos que se brindan en la organización.
Alcance
Los procedimientos descritos en este manual son aplicables al
resguardo de la información en todos los procesos tecnológicos internos y
externos que se manejan en de la institución.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 5
6. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
SEGURIDAD FÍSICA DE LA INFORMACIÓN
La Seguridad Física es aquella que identifica los requerimientos
mínimos que deben ser tomados en consideración en cuanto al perímetro de
seguridad, de forma que se puedan establecer controles en el manejo de
equipos, transferencia de información y control de acceso a las distintas áreas
tecnológicas con base en la importancia de los activos.
1. CENTROS DE DATOS (DATA CENTER)
Los distintos Centros de Datos deben estar diseñados de una manera
funcional y segura, con el fin de obtener la mayor eficiencia operacional posible
y de asegurar la vida del Hardware que se posee o se desee adquirir. De
acuerdo a lo planteado se requiere contar con un conjunto de componentes
básicos para poder asegurar la vida de los equipos informáticos, entre los
cuales destacan:
1.1. CLIMATIZACIÓN MEDIANTE EL USO DE AIRES
ACONDICIONADOS
Con el fin de preservar una mayor vida útil de los equipos (Servidores y
Equipos de Red) que se encuentren físicamente en los Centro de Datos de las
distintas sedes de INAMUJER, se debe contar con aires acondicionados
especializados con el fin de poder mantener dichas salas de servidores en un
clima idóneo para el correcto funcionamiento de los distintos tipos de Hardware
con que se cuente. Para tal fin se recomiendan que se garanticen los
siguientes puntos:
Temperaturas de 21°C ±3°C.
Humedad relativa de 45% ±5%
Continuidad del Sistema de climatización las 24 horas al día de los
365 días del año.
Verificar que exista una correcta circulación de aire.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 6
7. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
1.
1.1.
1.2. SISTEMA DE ENERGÍA ININTERRUMPIDA
Los Centros de Datos de las distintas sedes de INAMUJER deben ser
alimentadas por energía eléctrica limpia y estable, en los cuales para garantizar
la existencia de un sistema de energía ininterrumpido se deben usar UPSs o
Bancos de Baterías, las cuales deben poseer las siguientes características:
Sistema en línea mediante el uso de energía de líneas comerciales, y
uso de la carga en caso de presentarse algún fallo o existir ruido
eléctrico.
Soporte de sobretensión de hasta un 10% adicional a la carga total.
Tiempo de autonomía a plena con carga mínimo de 5 a 10 minutos.
1.2.
1.3. RACKS DE SEGURIDAD
Con el fin de garantizar la protección física y poseer un mayor control de
los Equipos de Red y Servidores, se debe contar con Racks de Seguridad, los
cuales deben contar con las siguientes características:
Deben permitir el flujo correcto de entrada y salida de aire, con el fin
de evitar recalentamientos.
Deben contar con la posibilidad de que estos estén cerrados con
llave, evitando que intrusos no autorizados hagan uso de los equipos
instalados en dicho Rack.
Se establece el uso de Racks de 42U para albergar los distintos tipos
de Hardware, con el fin de aprovechar el espacio físico disponible.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 7
8. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
1.4. PISO FALSO
Se debe contar con un piso falso instalado en los Centros de Datos,
debido a que este facilita en gran medida la protección y distribución del
cableado eléctrico y de red, esto debido a que oculta los mismos del personal
que labora en dichas instalaciones.
Otro de los factores más importantes que son tomados en cuenta al
momento de instalar un Piso Falso, es que este permite la distribución del área
acondicionado por las distintas áreas de los Centros de Datos, algo de gran
valía en la actualidad.
1.5. NORMATIVA DEL CABLEADO ESTRUCTURADO PARA LA RED
DE DATOS
El cableado estructurado que va a ser utilizado para la interconexión de
los distintos equipos de Red y Servidores deberá ser al menos Categoría 5e,
basándose en estándares EIA/TIA 568B.
Se establece que todo el Cableado de Red debe estar separado del
cableado eléctrico con el fin de proteger la red de datos de posibles fallos que
se puedan presentar en el tendido eléctrico.
1.6. SEGURIDAD CONTRA INCENDIOS
Debe existir un Sistema de Detección de Humo e Incendios que abarque
toda el área del Data Center.
El Sistema de Detección de Humo e Incendios debe activar una alarma
que avisara al personal de las instalaciones para que proceda con la
evacuación.
No deben existir materiales inflamables en las áreas del Data Center.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 8
9. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Se debe contar con por lo menos dos extintores de incendios en el
Centro de Datos y en áreas cercanas.
1.7. LUCES DE EMERGENCIAS
En los Distintos Centro de Datos se debe contar con luces de
emergencia alimentadas con baterías, las cuales deben ser activadas en caso
de ocurrir una falta de energía eléctrica.
1.8. ACCESO AL CENTRO DE DATOS
El acceso al Centro de Datos deberá ser controlado mediante tarjetas
magnéticas, teclado para especificar contraseñas, y si es posible mediante
reconocimiento de huellas dactilares.
No se debe permitir el acceso de invitados al Data Center sin ningún tipo
de autorización, y en caso de que sea requerido el acceso de personal externo
a la institución al Centro de Datos, se procederá a crear un registro de acceso
de dicha persona, y se procederá a acompañar a dicha persona durante todo el
tiempo que la misma permanezca en las instalaciones tecnológicas.
El personal de la institución que no laboren directamente en el Data
Center debe notificar su ingreso al personal de seguridad y al encargado de la
sala, con el fin de llevar un registro de ingreso.
Queda prohibida la entrada al Data Center de alimentos, bebidas, y
cigarrillos a cualquier persona, ya sean internas o externas a la institución.
1.9. CÁMARAS DE SEGURIDAD
Se establece el uso de cámaras de seguridad en las áreas internas y
externas del Data Center, con el fin de que el personal de seguridad que se
encuentre de guardia pueda observar en tiempo real las actividades que
ocurran, y en caso de presentarse algún ilícito o infracción se puedan tomar las
medidas pertinentes.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 9
10. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
1.10.INSTALACIONES ELÉCTRICAS
La energía que llega al Centro de Datos debe provenir de un circuito
eléctrico independiente, el cual debe ser tomado del tablero principal de todo el
edificio.
Cada Centro de Datos que se encuentre en las instalaciones de
INAMUJER debe contar con un tablero protector, el cual debe permitir realizar
cortes de energía eléctrica en caso de presentarse fallos como sobre voltaje.
En caso de presentarse un fallo general en el servicio de energía
eléctrica se debe contar con UPSs o Bancos de Baterías de gran capacidad
que permitan el normal funcionamiento de los Servidores, dispositivos de Red,
y aires acondicionados por un tiempo suficiente para solventar la falla eléctrica,
o en su defecto dar de baja los servicios que se manejan, todo esto sin
comprometer la integridad de la información, y sin poner en peligro los equipos
informáticos.
Debe existir un sistema de puesta a tierra, para evitar que se dañen los
equipos en caso de una corriente transitoria peligrosa.
Se debe realizar balanceo de carga en los equipos con el fin de asegurar
la continuidad del servicio, y evitar sobrecargas.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 10
11. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
2. ESTACIONES DE TRABAJO
2.1. PROTECCIÓN ELECTRICA
Se deben instalar circuitos eléctricos independientes para cada oficina
donde se encuentren PCs, Impresoras, escáneres, etc; esto con el fin de
segmentar la carga eléctrica e impedir que existan fallos generales.
Se instalaran UPSs ó en su defecto regletas eléctricas con el fin de
proteger los equipos de sobre cargas, bajas o ruidos eléctricos.
Deben instalar tomacorrientes dobles con puesta a tierra. Es importante
considerar que debe existir una correcta distribución de dichas tomas eléctricas
con el fin de evitar el uso de extensiones eléctricas, ya que las últimas
mencionadas pueden causar fallos como cortos eléctricos.
Cualquier instalación eléctrica que sea necesaria realizar debe ser
notificada al departamento de infraestructura con el fin de que sea el personal
de dicha área quien realice el trabajo eléctrico necesario.
2.
2.1.
2.2. CONTROL Y ACTUALIZACIÓN DE HARWARE EXISTENTE
Se debe llevar un control detallado de cada uno de los componentes y
periféricos que posee cada estación de trabajo con el fin conocer en todo
momento el Hardware en los clientes de los distintos servicios.
Es necesario que periódicamente se realicen inspecciones a los equipos
con el fin de detectar el estatus de los mismos e identificar cualquier cambio no
notificado. En caso de presentarse alguna irregularidad debe levantarse un
acta o formulario de irregularidades.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 11
12. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Al detectarse alguna falla en alguno de los componentes de las
estaciones de trabajo, se debe proceder a asentar la misma en un informe de
fallos y proceder a la actualización del elemento sujeto a cambio, o al cambio
del equipo según sea el caso.
Es importante acotar que ante cualquier cambio que se deba realizar
sobre las estaciones de trabajo, se debe realizar un respaldo previo de los
datos con el fin de evitar posibles pérdidas de información, y también para
poder recuperar la última condición estable conocida de la data que se maneja.
Al realizarse cualquier cambio en los equipos se procederá a ejecutar
una serie de pruebas de hardware con el fin de garantizar el correcto
funcionamiento de dicha estación de trabajo. Posteriormente, se procederá a
hacer la entrega junto con un documento llamado “Planilla de Entrega”, el cual
deberá ser firmado por tanto por el jefe o coordinador del área tecnológica,
como del jefe del departamento al que estará asignado el equipo informático.
1.
2.
2.1.
2.2.
2.3. SELLADO DE LOS EQUIPOS DE COMPUTO
Los PCs que se encuentren en las estaciones de trabajo deberán ser
sellados con candado u otro medio a fin de certificar que no sean cambiados
ninguno de los componentes internos de los mismos.
1.
2.4. DISPOSITIVOS DE ALMACENAMIENTO
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 12
13. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Se prohíbe el uso de dispositivos de almacenamiento como Pen Drives o
Disco Duros Externos en las estaciones de trabajo sin la autorización del
personal a cargo, esto con el fin de evitar pérdidas o robos de información y
evitar el traslado de virus a los equipos.
SEGURIDAD LÓGICA DE LA INFORMACIÓN
La Seguridad Lógica consiste en la aplicación de barreras y
procedimientos que resguarden el acceso a los datos y sólo se permita acceder
a ellos a las personas autorizadas, para tal fin se establecen las siguientes
medidas de reguardo:
1. CONTROLES DE ACCESO
Al momento de hablar de controles de acceso es importante que se
hagan periódicamente auditorias a los usuarios y perfiles que se manejen tanto
en servidores, red, y estaciones de trabajo, con el fin de evitar que se
encuentren usuarios de personas no autorizadas o que quizás ya no laboren en
la institución.
1.1. SERVIDORES LOCALES
Debe existir por lo menos un Administrador de Servidores que garantice
los niveles de acceso a los distintos usuarios que requieran ingresar a los
servidores.
Se requiere que se creen perfiles de usuario, siendo los que
determinaran que se podrá o no hacer de acuerdo a los privilegios existentes.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 13
14. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Se asignaran estos perfiles a los usuarios del Servidor, a fin de asignar
las perisologías adecuadas.
1.2. CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACIÓN Y
ESTACIONE DE TRABAJO
Dependiendo del Sistema que se esté laborando, debe existir un
administrador del mismo el cual realizara o delegara la creación y actualización
de los usuarios que se requieran, a su vez esta persona deberá asignar los
perfiles de usuario correspondientes tomando en consideración la vista de
usuario que se desee otorgar.
Se deben crear usuarios específicos para cada persona, los cuales
tendrán el siguiente formato: “Primera Letra del Primer Nombre” + “Primer
apellido”, y en caso de ya existir un usuario con el mismo nombre se procederá
a crearlo de la forma descrita a continuación: “Primera Letra del Primer
Nombre” + “Primera Letra del Segundo Nombre” + “Primer apellido”. + “Primera
Letra del Segundo Apellido”.
De olvidarse el Usuario o Contraseña de acceso a los sistemas de
informa
1.3. CONTROL DE ACCESOS REMOTOS
Para poder ingresar de forma remota a la Red de INAMUJER, y sus
recursos compartidos se deberá ser otorgar algún medio como Conexiones
VPN (Redes Privadas Virtuales) o SSH, siempre y cuando la conexión sea
segura y la información viaje encriptado.
Se deben establecer como política de los administradores de la Red
Corporativa el cierre de todos los puertos de protocolos inseguros como telnet
o FTP, y aperturar los puertos de los demás protocolos dependiendo del
Servicio que se requiera ofrecer.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 14
15. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Queda completamente prohibido el acceso a los recursos compartidos
de la red a personas ajenas a la institución, por lo cual se establece que el
Departamento de Informática debe ser el garante de los Servicios que se
brinden en la Red Corporativa y de la administración de la misma en todos los
niveles de seguridad.
Al momento que se determine que algún trabajador de la institución
requiera acceso a la Red Corporativa este debe hacer llegar un oficio firmado
por su supervisor inmediato a fin de analizar si será o no viable la propuesta.
El Departamento de Informática deberá instalar y configurar sistemas de
monitoreo de la Red a fin de analizar si se presentan conexiones no
autorizadas, y aplicar las medidas correctivas.
2. GESTIÓN DE RESPALDOS (BACKUPS)
Como medida para salvaguardar la información más importante y
sensible de la organización de se llevarán a cabo respaldos periódicos con la
herramienta que se considere más adecuada según sea el caso y tomando
siempre en consideración los siguientes puntos:
Se deben realizar respaldos tanto por el Administrador de Servidores
como por el Administrador de cada uno de los Servicios.
Se establece que se deben realizar respaldos diarios, semanales,
mensuales ó anuales en cada departamento de informática, y dicha
planificación debe ser asentada en un documento llamado
“Procedimiento de Creación de Respaldos”.
Los procedimientos o rutinas de Respaldos deben ser verificadas
constantemente a fin de garantizar que los Backups obtenidos tomen en
consideración en todo momento la información vital de la organización.
Anualmente o cada vez que existan grandes cambios, se deben entregar
al Gerente o Director de Informática en CDs o DVDs los últimos
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 15
16. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
respaldos estables que se posean de los distintos Sistemas de
Información, Usuarios de la Red, Usuarios del Correo Institucional, etc.
Todo esto a fin de que sean almacenados en una caja fuerte a fin de
tener un medio adicional de seguridad de la información.
Al momento de que sea necesaria la recuperación de un respaldo
específico el Director de Informática debe notificar al Administrador de
Servidores, o en su defecto el Administrador del Servicio la fecha del
respaldo que necesita.
Al menos dos veces al año se deben verificar que los respaldos que se
estén generando son correctos, esto se hará realizando una
recuperación de un respaldo específico y verificando que se obtenga
toda la información que se requiera.
2.1. PROCEDIMIENTO DE RESPALDOS
2.1.1.PROCEDIMIENTO DE RESPALDOS A NIVEL DE DATA CENTER
Los responsables son el Coordinador de Telecomunicaciones,
Coordinador de Servidores, y Administradores de los Servicios; y el
procedimiento es el siguiente:
Obtener un respaldo por lo mínimo semanalmente, esto de acuerdo a lo
establecido en el Procedimiento de Creación de Respaldos de cada
Departamento.
Almacenar los respaldos generados en equipos o dispositivos de
almacenamientos destinados para tal fin a los que tengan acceso cada
uno de los responsables según sea el caso, ejemplo: SAN (Storage Area
Network), Sistemas de respaldos en Cinta, Servidores, etc.
Se debe notificar al Coordinador o Persona a cargo mediante el correo
institucional sobre los respaldos que se estén generando, y su ubicación
fisica.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 16
17. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Debe existir una persona encargada de revisar los respaldos que se
estén generando y elaborar un plan de recuperación de cada uno de los
respaldos.
2.1.2.PROCEDIMIENTO DE RESPALDOS A NIVEL DE USUARIO
Los responsables son el Coordinador de Soporte, y usuarios de cada
estación de trabajo; donde el procedimiento a seguir para la generación de los
Respaldos es el siguiente:
Cada usuario es responsable debe tener dentro de sus funciones el
crear copias de seguridad en las estaciones de trabajo de la información
que maneja.
En el caso de gerentes y directores de áreas, se debe respaldar de
manera remota o local los datos que maneja cada una de estas
personas, esto de acuerdo a un cronograma establecido por el
Coordinador de Soporte.
El coordinador de Soporte debe garantizar que los respaldos que se
ejecuten no afecten el normal desempeño de las funciones que se
realicen.
La información debe ser almacenada en Dispositivos de
Almacenamiento como Disco Duros Externos que se encuentren en
custodia de la Unidad Tecnológico.
Se debe entregar en una copia de la información al propietario de la
misma, para casos de contingencias.
Debe existir una persona encargada de revisar los respaldos que se
estén generando y elaborar un plan de recuperación de cada uno de los
respaldos.
3. ADMINISTRACIÓN DE EQUIPOS
3.1. SERVIDORES
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 17
18. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
Realizar verificaciones con el fin de garantizar que los equipos
servidores poseen las capacidades de almacenamiento requeridas para
manejar la información presente y futura.
La capacidad de almacenamiento de los servidores no debe exceder el
85% de la partición de mayor uso (Ejemplo: /var/ en un servidor de Base
de Datos que corra en SO Linux)
Verificar que la capacidad de procesamiento de los equipos servidores
no sobrepase el 75 % de uso de recursos.
Se restringe el acceso de los usuarios no administradores a la
instalación de nuevos aplicativos o librerías.
Debe instalarse una herramienta de monitoreo de las capacidades y
comportamientos de los equipos Servidores, el cual debe generar alertas
en caso de fallos, o de que los recursos estén al limite de sus
capacidades.
Las alertas que levante el sistema de monitoreo deben ser enviadas por
correo electrónico ó SMS a las administradores y personal a cargo.
Se deben centralizar los Logs de los Servidores en varios equipos que
posean instalados sistemas como Syslog a fin de realizar un análisis
exhaustivo de los Logs cada vez que se requiera, y a su vez para que
esto sirva como otro medio de monitoreo.
3.2. ESTACIONES DE TRABAJO
Se establece que se usara preferiblemente como Sistema Operativo a
GNU Linux, tomando en consideración los estipulado en de Decreto
3390 publicado en Gaceta Oficial N. 38095.
Indiferentemente del Sistema Operativo que se encuentre instalado, se
debe crear un directorio estándar llamado “documentos_inamujer” en el
escritorio de la maquina, donde deben ser almacenados todos los
archivos que se generen en el ejercicio de las funciones de cada
usuario.
Se deben realizar tareas preventivas con el fin de evitar que la partición
en uso de las estaciones no sobrepase el 90% de su capacidad, con el
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 18
19. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
fin de evitar que se vuelva lento o existan errores en el Sistema
Operativo.
Si existen maquinas Windows se deben hacer periódicamente análisis
con el fin solucionar errores en el registro del sistema, eliminar archivos
temporales, y desfragmentar los disco duros.
Se prohíbe la instalación de Software no autorizado, por lo cual se
deben realizar periódicamente procesos de auditoria a las estaciones de
trabajo.
De encontrarse Software no autorizado en las estaciones de trabajo, se
debe proceder a desinstalar el mismo inmediatamente, y en caso de
reincidir el usuario en este tipo de fallo se debe generar un informe
administrativo reportando la irregularidad.
Los juegos y herramientas de chateo que vienen preinstaladas en el
Sistema Operativo deben ser desinstalados.
Cualquier irregularidad deberá ser notificada inmediatamente al personal
a cargo, con el fin de que se apliquen las medidas correctivas
pertinentes al caso.
4. ADMINISTRACIÓN DE LA SEGURIDAD DE LA RED
La seguridad de la red está establecida en una seguridad perimetral
interna basada en dispositivos y herramientas para cubrir un correcto nivel de
seguridad de la red, entre estas podemos destacar:
- Firewalls ó cortafuegos.
- Servidor Antivirus para maquinas windows.
- Servidor de Actualizaciones.
- Herramientas de monitoreo de la red.
Los responsables de instalar y monitorear las herramientas antes
expuestas son el Administrador de Servidores y el Administrador de la Red.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 19
20. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
5. CORREO ELECTRONICO INSTITUCIONAL
El mantenimiento y la administración del Sistema de Correo Electrónico
Institucional están a cargo del Departamento de Informática, y sera el unico
ente responsable de definir las políticas de seguridad y de almacenamiento que
se utilizaran.
Al momento de necesitarse o requerirse la creación de nuevos usuarios
del Sistema de Correo Electrónico Institucional se debe enviar un oficio al
Departamento de Informática realizando dicha solicitud.
Los usuarios creados tendrán el siguiente patrón: “Primera letra del
primer nombre” + “Primera letra del segundo nombre” + “Primer apellido”.
Al crearse una nueva cuenta de correo se generara una contraseña
genérica, la cual debe ser cambiada por el usuario, y en caso de no hacerse
queda a responsabilidad del propietario de dicha cuenta de correo.
Se debe restringir el tipo de archivos adjuntos que se envíen desde las
cuentas del Sistema de Correo Institucional. (Ejemplo: .exe)
Se prohíbe el envío de correos cadenas desde las cuentas del Sistema
de Correo Electrónico Institucional.
Toda información que sea enviada desde el correo institucional quedara
a responsabilidad del usuario, ya que el uso inadecuado del correo institucional
puede acarrear sanciones administrativas y legales.
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 20
21. MANUAL DE POLÍTICAS DE SEGURIDAD (INAMUJER)
INGENIERÍA EN INFORMÁTICA
IUTOMS - 2011 Página 21