SlideShare una empresa de Scribd logo

Ejemplo Politica de seguridad

Guiro Lin
Guiro Lin

Este documento presenta las políticas de seguridad informática propuestas por la Dirección de Telemática del CICESE. Estas políticas norman aspectos como la instalación, mantenimiento y actualización del equipo de cómputo, el control de accesos a áreas críticas, equipos y sistemas, así como el uso de la red y el software. El objetivo es proteger los recursos tecnológicos de la institución y garantizar la continuidad del servicio de manera segura.

Tecnología
1 de 16
Descargar para leer sin conexión
Política oficial de Seguridad Informática del CICESE Vigente a partir del 28 de mayo de 2001 Dirección de Telemática Carretera Tijuana-Ensenada Km. 107 Ensenada, B.C. (61) 74-5050 al 53 seguridad@cicese.mx
Contenido Exposición de motivos 1 I. Introducción 2 II. Políticas de seguridad: II.1 Equipo a) De la instalación de equipo de cómputo 3 b) Para el mantenimiento de equipo de cómputo 4 c) De la actualización del equipo 4 d) De la reubicación del equipo de cómputo 4 II.2 Control de accesos a) Del acceso a áreas críticas 5 b) Del control de acceso al equipo de cómputo 5 c) Del control de acceso local a la red 6 d) De control de acceso remoto 6 e) De acceso a los sistemas administrativos 6 f) Del WWW 7 II.3. Utilización de recursos de la red-CICESE 8 II.4 Software a) De la adquisición de software 8 b) De la instalación de software 9 c) De la actualización del software 10 d) De la auditoría de software instalado 10 e) Del software propiedad de la institución 10 f) Sobre el uso de software académico 11 g) De la propiedad intelectual 11 II.5 Supervisión y evaluación 11 III. Generales 12 IV. Sanciones 12 Referencias 12 Glosario 13 i
Exposición de motivos Ante el esquema de globalización que las tecnologías de la información han originado principalmente por el uso masivo y universal de la Internet y sus tecnologías, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informáticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologías se han esparcido, la severidad y frecuencia las han transformado en un contínuo riesgo, que obliga a las entidades a crear medidas de emergencia y políticas definitivas para contrarestar estos ataques y transgresiones. En nuestro país no existe una sola institución que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y están pendientes de éste, taratando de contrarestar y anular estas amenazas reales. Después del diagnóstico que llevó a cabo el proyecto de año 2000, se observó que cerca del 30% del equipo que se encuentra en la Institución no está en inventario. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa concientización, la falta de visión y las limitantes económicas han retrasado el plan rector de seguridad que se requiere. El objetivo principal de la Dirección de Telemática es brindar a los usuarios los recursos informáticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 días del año confiable. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que cuenta el Centro son de consideración y se requiere que se protejan para garantizar su buen funcionamiento. La seguridad de las instituciones en muchos de los países se ha convertido en cuestión de seguridad nacional, por ello contar con un documento de políticas de seguridad es imprecindible, y debe de plasmar mecanismos confiables que con base en la política institucional proteja los activos del Centro. Así pues, ante este panorama surge el siguiente proyecto de políticas rectoras que harán que la Dirección de Telemática pueda disponer de los ejes de proyección que en materia de seguridad la Institución requiere. 1
Resumen El presente es una propuesta de las políticas de seguridad que en materia de informática y de comunicaciones digitales de la Dirección de Telemática del CICESE, ha elaborado, para normar a la institución en estos rubros. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. I. Introducción Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados [1]. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales [2][3] desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática del CICESE emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten al Centro cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. 2
II. Políticas de seguridad La Dirección de Telemática está conformada por tres departamentos de servicio, y una dirección. Los departamentos son Informática, Cómputo, y Redes, estos se encargan de brindar servicio directo al usuario, por el ámbito de competencia que tiene cada uno de ellos en materia de informática, desde el equipamiento, instalación, alteración, cambio de lugar, programación, etc. Por lo que ha sido necesario emitir políticas particulares para la Red-CICESE, que es el nombre oficial de un conjunto de recursos y facilidades informáticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la Dirección de Telemática. Así pues este apartado contiene una clasificación de estas políticas, y son: II.1 Del equipo De la instalación de equipo de cómputo. 1. Todo el equipo de cómputo (computadoras, estaciones de trabajo, supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red- CICESE, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe de sujetarse a las normas y procedimientos de instalación que emite el departamento de Redes de la Dirección de Telemática. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los equipos propiedad del CICESE. 3. El equipo de la institución que sea de propósito específico y tenga una misión crítica asignada, requiere estar ubicado en una área que cumpla con los requerimientos de: seguridad física, las condiciones ambientales, la alimentación eléctrica, su acceso que la Dirección de Telemática tiene establecido en su normatividad de este tipo. 4. Los responsables de las áreas de apoyo interno de los departamentos deberán en conjunción con el departamento de Redes dar cabal cumplimiento con las normas de instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y todo aquello que implique movimientos en su ubicación, de adjudicación, sistema y misión. 5. La protección física de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de Mantenimiento, departamento de Cómputo, departamento de Control Patrimonial, y otros de competencia). 3
Del mantenimiento de equipo de cómputo. 1. Al departamento de Redes de la Dirección de Telemática, corresponde la realización del mantenimiento preventivo y correctivo de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros la Dirección de Telemática deberá normar al respecto. 3. El personal técnico de apoyo interno de los departamentos académicos se apegará a los requerimientos establecidos en las normas y procedimientos que el departamento de Redes emita. 4. Los responsables de las áreas de Cómputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Redes. 5. Corresponde al departamento de Redes dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento básico, a excepción de los atendidos por terceros. 6. Por motivos de normatividad expedidos por la SECODAM queda extrictamente prohíbido dar mantenimiento a equipo de cómputo que no es propiedad de la institución. De la actualización del equipo. 1. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo, supercomputadora y demás relacionados), y los de telecomunicaciones que sean propiedad del CICESE debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño. De la reubicación del equipo de cómputo. 1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y procedimientos que el departamento de Redes emita para ello. 2. En caso de existir personal técnico de apoyo de los departamentos académicos, éste notificará de los cambios tanto físicos como de software de red que realice al departamento de Redes, y en su caso si cambiará de responsable (el equipo) al departamento de Control Patrimonial de la Subdirección de Recursos Materiales y 4
Servicios. Notificando también los cambios de equipo inventariado (cambio de monitores, de impresoras etc.). 3. El equipo de cómputo a reubicar sea del CICESE o bien externo se hará únicamente bajo la autorización del responsable contando el lugar a donde se hará la ubicación con los medios necesarios para la instalación del equipo. II.2 Del control de accesos Del acceso a áreas críticas. 1. El acceso de personal se llevará acabo de acuerdo a las normas y procedimientos que dicta la Dirección de Telemática. 2. En concordancia con la política de la institución y debido a la naturaleza de estas áreas se llevará un registro permanente del tráfico de personal, sin excepción. 3. La Dirección de Telemática deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área. 4. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución. Del control de acceso al equipo de cómputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las áreas donde se tiene equipo de propósito general cuya misión es crítica estarán sujetas a los requerimientos que la Dirección de Telemática emita. 3. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo propósito reuna características de imprescindible y de misión crítica, deberán sujetarse también a las normas que establezca la Dirección de Telemática. 4. Los accesos a las áreas de críticas deberán de ser clasificados de acuerdo a las normas que dicte la Dirección de Telemática de común acuerdo con su comité de seguridad informática. 5
5. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Dirección de Telemática tiene la facultad de acceder a cualquier equipo de cómputo que no esten bajo su supervisión. Del control de acceso local a la red. 1. El departamento de Cómputo de la Dirección de Telemática es responsable de proporcionar a los usuarios el acceso a los recursos informáticos. 2. La Dirección de Telemática es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3. Dado el carácter unipersonal del acceso a la Red-CICESE, el departamento de Cómputo verificará el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cómputo. 5. Todo el equipo de cómputo que esté o sea conectado a la Red-CICESE, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cómputo. De control de acceso remoto. 1. La Dirección de Telemática es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles. 2. Para el caso especial de los recursos de supercómputo a terceros deberán ser autorizados por la Dirección General o por la Dirección de Vinculación. 3. El usuario de estos servicios deberá sujetarse al Reglamento de uso de la Red- CICESE y en concordancia con los lineamientos generales de uso de Internet. 4. El acceso remoto que realicen personas ajenas a la institución deberá cumplir las normas que emite la Dirección de Telemática. De acceso a los sistemas administrativos. 1. Tendrá acceso a los sistemas administrativos solo el personal del CICESE que es titular de una cuenta de gastos o bien tenga la autorización del responsable si se trata de personal de apoyo administrativo o técnico. 6
2. El manejo de información administrativa que se considere de uso restringido deberá ser cifrada con el objeto de garantizar su integridad. 3. Tendrá acceso al sistema de información de la Dirección de Estudios de Posgrado sólo aquellos usuarios de Red-CICESE o externos autorizados por dicha dirección. 4. La instalación y uso de los sistemas de información se rigen por el reglamento de uso de la Red-CICESE y por las normas y procedimientos establecidos por el departamento de Informática. 5. Los servidores de bases de datos administrativos son dedicados, por lo que se prohiben los accesos de cualquiera, excepto para el personal del departamento de Informática. 6. El control de acceso a cada sistema de información de la Dirección Administrativa será determinado por la unidad responsable de generar y procesar los datos involucrados. Del WWW. 1. En concordancia con la legislación federal y de común acuerdo con las políticas generales de informática, la Dirección de Telemática a través del departamento de Cómputo es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizados por la Dirección de Telemática. 2. El departamento de Cómputo deberá emitir las normas y los requerimientos para la instalación de servidores de páginas locales, de bases de datos, del uso de la Intranet institucional, así como las especificaciones para que el acceso a estos sea seguro. 3. Los accesos a las páginas de web a través de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red- CICESE. 4. A los responsables de los servidores de Web corresponde la verificación de respaldo y protección adecuada. 5. Toda la programación involucrada en la tecnología Web deberá estar de acuerdo con las normas y procedimientos que la Dirección de Telemática emita. 6. El material que aparezca en la página de Internet del CICESE deberá ser aprobado por la Dirección de Telemática, respetando la ley de propiedad intelectual (derechos de autor, créditos, permisos y protección, como los que se aplican a cualquier material impreso). 7
7. En concordancia con la libertad de investigación, se acepta que en la red del CICESE conectada a Internet pueda ponerse información individual sin autorización (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales), por ejemplo: corcho de difusión ("bulletin board"), página personal ("home page"), pero deberá llevar el enunciado siguiente: "Las expresiones, opiniones o comentarios que aquí aparecen pertenecen al autor individual y no necesariamente al CICESE"; no debe Ilevar el logotipo oficial del Centro y deberá siempre responder a un comportamiento profesional y ético. 9. Con referencia a la seguridad y protección de las páginas, así como al diseño de las mismas deberá referirse a las consideraciones de diseño de páginas electrónicas establecidas por la Dirección de Telemática. 10. La Dirección de Telemática tiene la facultad de llevar a cabo la revisión periódica de los accesos a nuestros servicios de información, y conservar información del tráfico. II.3 De utilización de los recursos de la red 1. Los recursos disponibles a través de la Red-CICESE serán de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro. 2. La Dirección de Telemática es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3. De acuerdo con las disposiciones de la SECODAM, corresponde a la Dirección de Telemática administrar, mantener y actualizar la infraestructura de la Red-CICESE. 4. La Dirección de Telemática debe propiciar el uso de las tecnologías de la información con el fin de contribuir con las directrices económicas y ecológicas de la institución. 5. Dado el carácter confidencial que involucra el correo electrónico el Comité de informática del Centro emite su reglamentación. II.4 Del Software De la adquisición de software. 1. En concordancia con la política de la institución, el Comité de Informática y la Dirección de Telemática son los organismos oficiales del Centro para establecer los mecanismos de procuración de sistemas informáticos. 8
2. Del presupuesto de los proyectos que se otorga a las diferentes áreas del CICESE una cantidad deberá ser aplicada para la adquisición de programación con licencia. 3. De acuerdo con el Programa Nacional de Informática, la Dirección General en conjunto con el Comité de Informática y la Dirección de Telemática, propiciará la adquisición de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economías de escala y de acorde al plan de austeridad del gobierno de la república. 4. Corresponderá a la Dirección de Telemática emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificación y vigencia. 5. De acuerdo a los objetivos globales de la Dirección de Telemática se deberá propiciar la adquisición y asesoramiento en cuanto a software de vanguardia. 6. En cuanto a la paquetería sin costo deberá respetarse la propiedad intelectual intrínseca del autor. 7. La Dirección de Telemática promoverá y propiciará que la adquisición de software de dominio público provenga de sitios oficiales y seguros. 8. La Dirección de Telemática deberá promover el uso de sistemas programáticos que redunden en la independencia de la institución con los proveedores. De la instalación de software. 1. Corresponde al departamento de Cómputo emitir las normas y procedimientos para la instalación y supervisión del software básico para cualquier tipo de equipo. 2. En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. Los departamentos de Cómputo y de Informática son los responsables de brindar asesoría y supervisión para la instalación de software informático, asímismo el departamento de Redes para el software de telecomunicaciones. 4. La instalación de software que desde el punto de vista de la Dirección de Telemática pudiera poner en riesgo los recursos de la institución no está permitida. 9
5. Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cómputo. De la actualización del software. 1. La adquisición y actualización de software para equipo especializado de cómputo y de telecomunicaciones se llevará a cabo de acuerdo a la calendarización que anualmente sea propuesta por la Dirección de Telemática. 2. Corresponde a la Dirección de Telemática autorizar cualquier adquisición y actualización del software. 3. Las actualizaciones del software de uso común o más generalizado se llevarán a cabo de acuerdo al plan de actualización desarrollado por la Dirección de Telemática. De la auditoría de software instalado. 1. El departamento de Contraloría Interna del CICESE es el responsable de realizar revisiones periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución. 2. La Dirección de Telemática propiciará la conformación de un grupo especializado en auditoría de sistemas de cómputo y sistemas de información. 3. Corresponderá al grupo especializado dictar las normas, procedimientos y calendarios de auditoría. Del software propiedad de la institución. 1. Toda la programática adquirida por la institución sea por compra, donación o cesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los paquetes de programación propiedad del CICESE. 10
3. Todos los sistemas programáticos (programas, bases de datos, sistemas operativos, interfases) desarrollados con o a través de los recursos del CICESE se mantendrán como propiedad de la institución respetando la propiedad intelectual del mismo. 4. Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institución que debe preservarse. 5. Los datos, las bases de datos, la información generada por el personal y los recursos informáticos de la institución deben estar resguardados. 6. Corresponderá a la Dirección de Telemática promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programáticos. 7. La Dirección de Telemática en conjunto con el Dirección de Vinculación propiciará la gestión de patentes y derechos de creación de software propiedad de la institución. 8. La Dirección de Telemática administrará los diferentes tipos de licencias de software y vigilará su vigencia en concordancia con la política informática. Sobre el uso de software académico. 1. Cualquier software que requiera ser instalado para trabajar sobre la Red-CICESE deberá ser evaluado por la Dirección de Telemática. 2. Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos relacionados con las actividades del Centro. De la propiedad intelectual. 1. Corresponde a la Dirección de Telemática procurar que todo el software instalado en la Red-CICESE esté de acuerdo a la ley de propiedad intelectual a que dé lugar. II.5 De supervisión y evaluación 1. Cada uno de los departamentos de la Dirección de Telemática donde esté en riesgo la seguridad en la operación, servicio y funcionalidad del departamento, deberá emitir las normas y los procedimientos que correspondan. 2. Las auditorías de cada actividad donde se involucren aspectos de seguridad lógica y física deberán realizarse periódicamente y deberá sujetarse al calendario que establezca la Dirección de Telemática y/o el grupo especializado de seguridad. 11
3. Para efectos de que la institución disponga de una red con alto grado de confiabilidad, será necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologías de la Internet e Intranet disponen. 4. Los sistemas considerados críticos, deberán estar bajo monitoreo permanente. III. Generales. 1. Cada uno de los departamentos deberán de emitir los planes de contingencia que correspondan a las actividades críticas que realicen. 2. Debido al caracter confidencial de la información, el personal de la Dirección de Telemática deberá de conducirse de acuerdo a los códigos de ética profesional y normas y procedimientos establecidos. IV. Sanciones. 1. Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al reglamento emitido por la Dirección de Telemática. 2. Las sanciones pueden ser desde una llamada de atención o informar al usuario hasta la suspención del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que ésta manifiesta. 3. Corresponderá al Comité de Informática hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en materia de informática de la institución. 4. Todas las acciones en las que se comprometa la seguridad de la Red-CICESE y que no estén previstas en esta política, deberán ser revisadas por la Dirección General y la Dirección de Telemática para dictar una resolución sujetándose al estado de derecho. Referencias 1. Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia. 2. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies. 12
Notas 1. Esta política de seguridad deberá seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros. 2. El documento que contiene la política de seguridad deber ser difundido a todo el personal involucrado en la definición de estas políticas. Glosario. Departamento de Cómputo. Es la entidad encargada del buen uso de las tecnologías de la computación, organización y optimización de los recursos computacionales de la institución. Departamento de Redes. Es la entidad encargada de desarrollar el plan estrategico de conectividad del centro (CICESE) que favoresca la prestación de servicios eficientes, eficaces y de utilidad en la transmisión de datos, voz y video para apoyar efectivamente los requerimientos del usuario. Departamento de Informática. Es la entidad encargada de ofrecer sistemas de información administrativa integral permitiendo en forma oportuna satisfacer necesidades de información, como apoyo en el desarrollo de las actividades propias del centro. Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de programas para accesarlos. Una recopilación de datos estructurados y organizados de una manera disciplinada para que el acceso a la información de interés sea rápida. WWW (World Wide Web). Es una convergencia de conceptos computacionales para presentar y enlazar información que se encuentra dispersa a través de internet en una forma fácilmente accesible. Sistema avanzado para navegar a través de internet. Area Crítica. Es el area física donde se encuentra instalado el equipo de cómputo y telecomunicaciones que requiere de cuidados especiales y son indispensables para el funcionamiento contínuo de los sistemas de comuncación del centro. ( o del CICESE). 13
Equipo de Telecomunicaciones. Todo dispositivo capaz de transmitir y/o recibir señales digitales o analógicas para comunicación de voz, datos y video, ya sea individualmente o de forma conjunta. Equipo de Cómputo. Dispositivo con la capacidad de aceptar y procesar información en base a programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a una red de equipos o computadoras para compartir datos y recursos, entregando resultados mediante depliegues visuales, impresos o audibles. Bulletin Board System. Es un nombre elegante para un sistema electrónico de mensajes operado en una microcomputadora y que permite leer o dejar mensajes. El sistema es como una pizarra física de boletín. De ahí es de donde viene el nombre. Algunas personas llaman a los sistemas de pizarra de boletin sistemas de correo electronico. SECODAM - Secretaria de Contraloria y Desarrollo Administrativo. IP - Internet Protocol. Parte de la familia de protocolos TCP/IP, que describe el sofware que supervisa las direcciones de nodo internet, encamina mensajes salientes y reconoce los mensajes entrantes. Dirección de INTERNET. Identificador único de 32 bits para una computadora principal TCP/IP en una RED. También llamada un Protocolo Intenet o direccion IP. Las direcciones IP están normalmente impresas en una forma decimal de puntos, tal como 150.123.50.334 Auditoría. Llevar a cabo una inspección y examen independiente de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la política establecida y procedimientos operativos, y para recomendar cualquier cambio que se estime necesario. Control de Acceso. 1. Técnica usada para definir el uso de programas o limitar la obtención y almacenamiento de datos a una memoria. 2. Una característica o técnica en un sistema de comunicaciones para permitir o negar el uso de algunos componentes o algunas de sus funciones. 14

Recomendados

Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Fabián Descalzo
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
Blanca Melida Oliva Amaya
 
Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informatica
Favio Meneses
 
Seguridad ,logica y fisica
Seguridad ,logica y fisicaSeguridad ,logica y fisica
Seguridad ,logica y fisica
Diana Amaya
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
Fernando Alfonso Casas De la Torre
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 

Recomendados

Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Fabián Descalzo
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
Blanca Melida Oliva Amaya
 
Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informatica
Favio Meneses
 
Seguridad ,logica y fisica
Seguridad ,logica y fisicaSeguridad ,logica y fisica
Seguridad ,logica y fisica
Diana Amaya
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
Fernando Alfonso Casas De la Torre
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
IsaacDaniel20
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Arquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesArquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesSergio Castillo Yrizales
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Fase de implementación de sistemas de información
Fase de implementación de sistemas de informaciónFase de implementación de sistemas de información
Fase de implementación de sistemas de informaciónNAHAMA19
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Problemas de seguridad de la informacion
Problemas de seguridad de la informacionProblemas de seguridad de la informacion
Problemas de seguridad de la informacionxitlalli janet ignacio cruz
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticos
Allan Rayo
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
DarbyPC
 
Política oficial de seguridad
Política oficial de seguridadPolítica oficial de seguridad
Política oficial de seguridadcoronadoinfante
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
jose_calero
 

Más contenido relacionado

La actualidad más candente

Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
IsaacDaniel20
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Arquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesArquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesSergio Castillo Yrizales
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Fase de implementación de sistemas de información
Fase de implementación de sistemas de informaciónFase de implementación de sistemas de información
Fase de implementación de sistemas de informaciónNAHAMA19
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticos
Allan Rayo
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
DarbyPC
 

La actualidad más candente (20)

Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Arquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesArquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móviles
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de software
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Fase de implementación de sistemas de información
Fase de implementación de sistemas de informaciónFase de implementación de sistemas de información
Fase de implementación de sistemas de información
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
 
Problemas de seguridad de la informacion
Problemas de seguridad de la informacionProblemas de seguridad de la informacion
Problemas de seguridad de la informacion
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticos
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 

Similar a Ejemplo Politica de seguridad

Política oficial de seguridad
Política oficial de seguridadPolítica oficial de seguridad
Política oficial de seguridadcoronadoinfante
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
jose_calero
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
MiguelAmutio1
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
Isidro Emmanuel Aguilar López
 
Parcial Recuperacion
Parcial RecuperacionParcial Recuperacion
Parcial Recuperacion
pacoronadoc
 
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.pptTaller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
OsmelRegeiferos
 
Tipos de auditoria informatica
Tipos de auditoria informatica Tipos de auditoria informatica
Tipos de auditoria informatica
everttyb21
 
TENABLE OT.pdf
TENABLE OT.pdfTENABLE OT.pdf
TENABLE OT.pdf
JimmyTovar4
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
Reuniones Networking TIC
 
mapa mental - previo 2.pptx
mapa mental - previo 2.pptxmapa mental - previo 2.pptx
mapa mental - previo 2.pptx
MauricioArceBolados1
 

Similar a Ejemplo Politica de seguridad (20)

Política oficial de seguridad
Política oficial de seguridadPolítica oficial de seguridad
Política oficial de seguridad
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Parcial
ParcialParcial
Parcial
 
Parcial
ParcialParcial
Parcial
 
Parcial
ParcialParcial
Parcial
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
 
Fintech - Leia
Fintech - LeiaFintech - Leia
Fintech - Leia
 
Parcial
ParcialParcial
Parcial
 
Parcial Recuperacion
Parcial RecuperacionParcial Recuperacion
Parcial Recuperacion
 
Parcial ij
Parcial ijParcial ij
Parcial ij
 
Parcial ij
Parcial ijParcial ij
Parcial ij
 
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.pptTaller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
Taller Nueva Metodolog_a el Plan Seguridad Inform_ticaESTE.ppt
 
Tipos de auditoria informatica
Tipos de auditoria informatica Tipos de auditoria informatica
Tipos de auditoria informatica
 
TENABLE OT.pdf
TENABLE OT.pdfTENABLE OT.pdf
TENABLE OT.pdf
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
mapa mental - previo 2.pptx
mapa mental - previo 2.pptxmapa mental - previo 2.pptx
mapa mental - previo 2.pptx
 
Pol.seg.infor
Pol.seg.inforPol.seg.infor
Pol.seg.infor
 

Más de Guiro Lin

Libro de Oracle 11g
Libro de Oracle 11gLibro de Oracle 11g
Libro de Oracle 11g
Guiro Lin
 
Leithold el calculo en español 7a.edición
Leithold el calculo en español 7a.ediciónLeithold el calculo en español 7a.edición
Leithold el calculo en español 7a.edición
Guiro Lin
 
Estructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listasEstructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listas
Guiro Lin
 
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-352705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3Guiro Lin
 
subconsultas en oracle
subconsultas en oraclesubconsultas en oracle
subconsultas en oracle
Guiro Lin
 
Tutorial básico de my sql
Tutorial básico de my sqlTutorial básico de my sql
Tutorial básico de my sql
Guiro Lin
 
Tutorial mysql-basico
Tutorial mysql-basicoTutorial mysql-basico
Tutorial mysql-basico
Guiro Lin
 
Añadir host a gns3
Añadir host a gns3Añadir host a gns3
Añadir host a gns3
Guiro Lin
 
Javascript
JavascriptJavascript
Javascript
Guiro Lin
 
Jquery
JqueryJquery
Jquery
Guiro Lin
 
Manual struts2-espanol
Manual struts2-espanolManual struts2-espanol
Manual struts2-espanol
Guiro Lin
 
Configurar dhcp en router cisco
Configurar dhcp en router ciscoConfigurar dhcp en router cisco
Configurar dhcp en router cisco
Guiro Lin
 
Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11
Guiro Lin
 
Consultoria empresarial
Consultoria empresarialConsultoria empresarial
Consultoria empresarial
Guiro Lin
 
programación en visual basic.net
programación en visual basic.netprogramación en visual basic.net
programación en visual basic.net
Guiro Lin
 
Comandos para router cisco
Comandos para router ciscoComandos para router cisco
Comandos para router cisco
Guiro Lin
 
Correo multidomino
Correo multidominoCorreo multidomino
Correo multidomino
Guiro Lin
 
Configurar Bind
Configurar BindConfigurar Bind
Configurar Bind
Guiro Lin
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
Guiro Lin
 

Más de Guiro Lin (19)

Libro de Oracle 11g
Libro de Oracle 11gLibro de Oracle 11g
Libro de Oracle 11g
 
Leithold el calculo en español 7a.edición
Leithold el calculo en español 7a.ediciónLeithold el calculo en español 7a.edición
Leithold el calculo en español 7a.edición
 
Estructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listasEstructura de datos, pilas, árboles, colas, listas
Estructura de datos, pilas, árboles, colas, listas
 
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-352705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
52705482 estructura-de-datos-c-pilas-colas-listas-arboles-3
 
subconsultas en oracle
subconsultas en oraclesubconsultas en oracle
subconsultas en oracle
 
Tutorial básico de my sql
Tutorial básico de my sqlTutorial básico de my sql
Tutorial básico de my sql
 
Tutorial mysql-basico
Tutorial mysql-basicoTutorial mysql-basico
Tutorial mysql-basico
 
Añadir host a gns3
Añadir host a gns3Añadir host a gns3
Añadir host a gns3
 
Javascript
JavascriptJavascript
Javascript
 
Jquery
JqueryJquery
Jquery
 
Manual struts2-espanol
Manual struts2-espanolManual struts2-espanol
Manual struts2-espanol
 
Configurar dhcp en router cisco
Configurar dhcp en router ciscoConfigurar dhcp en router cisco
Configurar dhcp en router cisco
 
Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11Tutorial dhcp ubuntu11
Tutorial dhcp ubuntu11
 
Consultoria empresarial
Consultoria empresarialConsultoria empresarial
Consultoria empresarial
 
programación en visual basic.net
programación en visual basic.netprogramación en visual basic.net
programación en visual basic.net
 
Comandos para router cisco
Comandos para router ciscoComandos para router cisco
Comandos para router cisco
 
Correo multidomino
Correo multidominoCorreo multidomino
Correo multidomino
 
Configurar Bind
Configurar BindConfigurar Bind
Configurar Bind
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 

Último

EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 

Último (20)

EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 

Ejemplo Politica de seguridad

  • 1. Política oficial de Seguridad Informática del CICESE Vigente a partir del 28 de mayo de 2001 Dirección de Telemática Carretera Tijuana-Ensenada Km. 107 Ensenada, B.C. (61) 74-5050 al 53 seguridad@cicese.mx
  • 2. Contenido Exposición de motivos 1 I. Introducción 2 II. Políticas de seguridad: II.1 Equipo a) De la instalación de equipo de cómputo 3 b) Para el mantenimiento de equipo de cómputo 4 c) De la actualización del equipo 4 d) De la reubicación del equipo de cómputo 4 II.2 Control de accesos a) Del acceso a áreas críticas 5 b) Del control de acceso al equipo de cómputo 5 c) Del control de acceso local a la red 6 d) De control de acceso remoto 6 e) De acceso a los sistemas administrativos 6 f) Del WWW 7 II.3. Utilización de recursos de la red-CICESE 8 II.4 Software a) De la adquisición de software 8 b) De la instalación de software 9 c) De la actualización del software 10 d) De la auditoría de software instalado 10 e) Del software propiedad de la institución 10 f) Sobre el uso de software académico 11 g) De la propiedad intelectual 11 II.5 Supervisión y evaluación 11 III. Generales 12 IV. Sanciones 12 Referencias 12 Glosario 13 i
  • 3. Exposición de motivos Ante el esquema de globalización que las tecnologías de la información han originado principalmente por el uso masivo y universal de la Internet y sus tecnologías, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informáticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologías se han esparcido, la severidad y frecuencia las han transformado en un contínuo riesgo, que obliga a las entidades a crear medidas de emergencia y políticas definitivas para contrarestar estos ataques y transgresiones. En nuestro país no existe una sola institución que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y están pendientes de éste, taratando de contrarestar y anular estas amenazas reales. Después del diagnóstico que llevó a cabo el proyecto de año 2000, se observó que cerca del 30% del equipo que se encuentra en la Institución no está en inventario. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa concientización, la falta de visión y las limitantes económicas han retrasado el plan rector de seguridad que se requiere. El objetivo principal de la Dirección de Telemática es brindar a los usuarios los recursos informáticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 días del año confiable. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que cuenta el Centro son de consideración y se requiere que se protejan para garantizar su buen funcionamiento. La seguridad de las instituciones en muchos de los países se ha convertido en cuestión de seguridad nacional, por ello contar con un documento de políticas de seguridad es imprecindible, y debe de plasmar mecanismos confiables que con base en la política institucional proteja los activos del Centro. Así pues, ante este panorama surge el siguiente proyecto de políticas rectoras que harán que la Dirección de Telemática pueda disponer de los ejes de proyección que en materia de seguridad la Institución requiere. 1
  • 4. Resumen El presente es una propuesta de las políticas de seguridad que en materia de informática y de comunicaciones digitales de la Dirección de Telemática del CICESE, ha elaborado, para normar a la institución en estos rubros. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. I. Introducción Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados [1]. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales [2][3] desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática del CICESE emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten al Centro cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. 2
  • 5. II. Políticas de seguridad La Dirección de Telemática está conformada por tres departamentos de servicio, y una dirección. Los departamentos son Informática, Cómputo, y Redes, estos se encargan de brindar servicio directo al usuario, por el ámbito de competencia que tiene cada uno de ellos en materia de informática, desde el equipamiento, instalación, alteración, cambio de lugar, programación, etc. Por lo que ha sido necesario emitir políticas particulares para la Red-CICESE, que es el nombre oficial de un conjunto de recursos y facilidades informáticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la Dirección de Telemática. Así pues este apartado contiene una clasificación de estas políticas, y son: II.1 Del equipo De la instalación de equipo de cómputo. 1. Todo el equipo de cómputo (computadoras, estaciones de trabajo, supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red- CICESE, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe de sujetarse a las normas y procedimientos de instalación que emite el departamento de Redes de la Dirección de Telemática. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los equipos propiedad del CICESE. 3. El equipo de la institución que sea de propósito específico y tenga una misión crítica asignada, requiere estar ubicado en una área que cumpla con los requerimientos de: seguridad física, las condiciones ambientales, la alimentación eléctrica, su acceso que la Dirección de Telemática tiene establecido en su normatividad de este tipo. 4. Los responsables de las áreas de apoyo interno de los departamentos deberán en conjunción con el departamento de Redes dar cabal cumplimiento con las normas de instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y todo aquello que implique movimientos en su ubicación, de adjudicación, sistema y misión. 5. La protección física de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de Mantenimiento, departamento de Cómputo, departamento de Control Patrimonial, y otros de competencia). 3
  • 6. Del mantenimiento de equipo de cómputo. 1. Al departamento de Redes de la Dirección de Telemática, corresponde la realización del mantenimiento preventivo y correctivo de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros la Dirección de Telemática deberá normar al respecto. 3. El personal técnico de apoyo interno de los departamentos académicos se apegará a los requerimientos establecidos en las normas y procedimientos que el departamento de Redes emita. 4. Los responsables de las áreas de Cómputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Redes. 5. Corresponde al departamento de Redes dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento básico, a excepción de los atendidos por terceros. 6. Por motivos de normatividad expedidos por la SECODAM queda extrictamente prohíbido dar mantenimiento a equipo de cómputo que no es propiedad de la institución. De la actualización del equipo. 1. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo, supercomputadora y demás relacionados), y los de telecomunicaciones que sean propiedad del CICESE debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño. De la reubicación del equipo de cómputo. 1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y procedimientos que el departamento de Redes emita para ello. 2. En caso de existir personal técnico de apoyo de los departamentos académicos, éste notificará de los cambios tanto físicos como de software de red que realice al departamento de Redes, y en su caso si cambiará de responsable (el equipo) al departamento de Control Patrimonial de la Subdirección de Recursos Materiales y 4
  • 7. Servicios. Notificando también los cambios de equipo inventariado (cambio de monitores, de impresoras etc.). 3. El equipo de cómputo a reubicar sea del CICESE o bien externo se hará únicamente bajo la autorización del responsable contando el lugar a donde se hará la ubicación con los medios necesarios para la instalación del equipo. II.2 Del control de accesos Del acceso a áreas críticas. 1. El acceso de personal se llevará acabo de acuerdo a las normas y procedimientos que dicta la Dirección de Telemática. 2. En concordancia con la política de la institución y debido a la naturaleza de estas áreas se llevará un registro permanente del tráfico de personal, sin excepción. 3. La Dirección de Telemática deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área. 4. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución. Del control de acceso al equipo de cómputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las áreas donde se tiene equipo de propósito general cuya misión es crítica estarán sujetas a los requerimientos que la Dirección de Telemática emita. 3. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo propósito reuna características de imprescindible y de misión crítica, deberán sujetarse también a las normas que establezca la Dirección de Telemática. 4. Los accesos a las áreas de críticas deberán de ser clasificados de acuerdo a las normas que dicte la Dirección de Telemática de común acuerdo con su comité de seguridad informática. 5
  • 8. 5. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Dirección de Telemática tiene la facultad de acceder a cualquier equipo de cómputo que no esten bajo su supervisión. Del control de acceso local a la red. 1. El departamento de Cómputo de la Dirección de Telemática es responsable de proporcionar a los usuarios el acceso a los recursos informáticos. 2. La Dirección de Telemática es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3. Dado el carácter unipersonal del acceso a la Red-CICESE, el departamento de Cómputo verificará el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cómputo. 5. Todo el equipo de cómputo que esté o sea conectado a la Red-CICESE, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cómputo. De control de acceso remoto. 1. La Dirección de Telemática es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles. 2. Para el caso especial de los recursos de supercómputo a terceros deberán ser autorizados por la Dirección General o por la Dirección de Vinculación. 3. El usuario de estos servicios deberá sujetarse al Reglamento de uso de la Red- CICESE y en concordancia con los lineamientos generales de uso de Internet. 4. El acceso remoto que realicen personas ajenas a la institución deberá cumplir las normas que emite la Dirección de Telemática. De acceso a los sistemas administrativos. 1. Tendrá acceso a los sistemas administrativos solo el personal del CICESE que es titular de una cuenta de gastos o bien tenga la autorización del responsable si se trata de personal de apoyo administrativo o técnico. 6
  • 9. 2. El manejo de información administrativa que se considere de uso restringido deberá ser cifrada con el objeto de garantizar su integridad. 3. Tendrá acceso al sistema de información de la Dirección de Estudios de Posgrado sólo aquellos usuarios de Red-CICESE o externos autorizados por dicha dirección. 4. La instalación y uso de los sistemas de información se rigen por el reglamento de uso de la Red-CICESE y por las normas y procedimientos establecidos por el departamento de Informática. 5. Los servidores de bases de datos administrativos son dedicados, por lo que se prohiben los accesos de cualquiera, excepto para el personal del departamento de Informática. 6. El control de acceso a cada sistema de información de la Dirección Administrativa será determinado por la unidad responsable de generar y procesar los datos involucrados. Del WWW. 1. En concordancia con la legislación federal y de común acuerdo con las políticas generales de informática, la Dirección de Telemática a través del departamento de Cómputo es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizados por la Dirección de Telemática. 2. El departamento de Cómputo deberá emitir las normas y los requerimientos para la instalación de servidores de páginas locales, de bases de datos, del uso de la Intranet institucional, así como las especificaciones para que el acceso a estos sea seguro. 3. Los accesos a las páginas de web a través de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red- CICESE. 4. A los responsables de los servidores de Web corresponde la verificación de respaldo y protección adecuada. 5. Toda la programación involucrada en la tecnología Web deberá estar de acuerdo con las normas y procedimientos que la Dirección de Telemática emita. 6. El material que aparezca en la página de Internet del CICESE deberá ser aprobado por la Dirección de Telemática, respetando la ley de propiedad intelectual (derechos de autor, créditos, permisos y protección, como los que se aplican a cualquier material impreso). 7
  • 10. 7. En concordancia con la libertad de investigación, se acepta que en la red del CICESE conectada a Internet pueda ponerse información individual sin autorización (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales), por ejemplo: corcho de difusión ("bulletin board"), página personal ("home page"), pero deberá llevar el enunciado siguiente: "Las expresiones, opiniones o comentarios que aquí aparecen pertenecen al autor individual y no necesariamente al CICESE"; no debe Ilevar el logotipo oficial del Centro y deberá siempre responder a un comportamiento profesional y ético. 9. Con referencia a la seguridad y protección de las páginas, así como al diseño de las mismas deberá referirse a las consideraciones de diseño de páginas electrónicas establecidas por la Dirección de Telemática. 10. La Dirección de Telemática tiene la facultad de llevar a cabo la revisión periódica de los accesos a nuestros servicios de información, y conservar información del tráfico. II.3 De utilización de los recursos de la red 1. Los recursos disponibles a través de la Red-CICESE serán de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro. 2. La Dirección de Telemática es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3. De acuerdo con las disposiciones de la SECODAM, corresponde a la Dirección de Telemática administrar, mantener y actualizar la infraestructura de la Red-CICESE. 4. La Dirección de Telemática debe propiciar el uso de las tecnologías de la información con el fin de contribuir con las directrices económicas y ecológicas de la institución. 5. Dado el carácter confidencial que involucra el correo electrónico el Comité de informática del Centro emite su reglamentación. II.4 Del Software De la adquisición de software. 1. En concordancia con la política de la institución, el Comité de Informática y la Dirección de Telemática son los organismos oficiales del Centro para establecer los mecanismos de procuración de sistemas informáticos. 8
  • 11. 2. Del presupuesto de los proyectos que se otorga a las diferentes áreas del CICESE una cantidad deberá ser aplicada para la adquisición de programación con licencia. 3. De acuerdo con el Programa Nacional de Informática, la Dirección General en conjunto con el Comité de Informática y la Dirección de Telemática, propiciará la adquisición de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economías de escala y de acorde al plan de austeridad del gobierno de la república. 4. Corresponderá a la Dirección de Telemática emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificación y vigencia. 5. De acuerdo a los objetivos globales de la Dirección de Telemática se deberá propiciar la adquisición y asesoramiento en cuanto a software de vanguardia. 6. En cuanto a la paquetería sin costo deberá respetarse la propiedad intelectual intrínseca del autor. 7. La Dirección de Telemática promoverá y propiciará que la adquisición de software de dominio público provenga de sitios oficiales y seguros. 8. La Dirección de Telemática deberá promover el uso de sistemas programáticos que redunden en la independencia de la institución con los proveedores. De la instalación de software. 1. Corresponde al departamento de Cómputo emitir las normas y procedimientos para la instalación y supervisión del software básico para cualquier tipo de equipo. 2. En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. Los departamentos de Cómputo y de Informática son los responsables de brindar asesoría y supervisión para la instalación de software informático, asímismo el departamento de Redes para el software de telecomunicaciones. 4. La instalación de software que desde el punto de vista de la Dirección de Telemática pudiera poner en riesgo los recursos de la institución no está permitida. 9
  • 12. 5. Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cómputo. De la actualización del software. 1. La adquisición y actualización de software para equipo especializado de cómputo y de telecomunicaciones se llevará a cabo de acuerdo a la calendarización que anualmente sea propuesta por la Dirección de Telemática. 2. Corresponde a la Dirección de Telemática autorizar cualquier adquisición y actualización del software. 3. Las actualizaciones del software de uso común o más generalizado se llevarán a cabo de acuerdo al plan de actualización desarrollado por la Dirección de Telemática. De la auditoría de software instalado. 1. El departamento de Contraloría Interna del CICESE es el responsable de realizar revisiones periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución. 2. La Dirección de Telemática propiciará la conformación de un grupo especializado en auditoría de sistemas de cómputo y sistemas de información. 3. Corresponderá al grupo especializado dictar las normas, procedimientos y calendarios de auditoría. Del software propiedad de la institución. 1. Toda la programática adquirida por la institución sea por compra, donación o cesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los paquetes de programación propiedad del CICESE. 10
  • 13. 3. Todos los sistemas programáticos (programas, bases de datos, sistemas operativos, interfases) desarrollados con o a través de los recursos del CICESE se mantendrán como propiedad de la institución respetando la propiedad intelectual del mismo. 4. Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institución que debe preservarse. 5. Los datos, las bases de datos, la información generada por el personal y los recursos informáticos de la institución deben estar resguardados. 6. Corresponderá a la Dirección de Telemática promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programáticos. 7. La Dirección de Telemática en conjunto con el Dirección de Vinculación propiciará la gestión de patentes y derechos de creación de software propiedad de la institución. 8. La Dirección de Telemática administrará los diferentes tipos de licencias de software y vigilará su vigencia en concordancia con la política informática. Sobre el uso de software académico. 1. Cualquier software que requiera ser instalado para trabajar sobre la Red-CICESE deberá ser evaluado por la Dirección de Telemática. 2. Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos relacionados con las actividades del Centro. De la propiedad intelectual. 1. Corresponde a la Dirección de Telemática procurar que todo el software instalado en la Red-CICESE esté de acuerdo a la ley de propiedad intelectual a que dé lugar. II.5 De supervisión y evaluación 1. Cada uno de los departamentos de la Dirección de Telemática donde esté en riesgo la seguridad en la operación, servicio y funcionalidad del departamento, deberá emitir las normas y los procedimientos que correspondan. 2. Las auditorías de cada actividad donde se involucren aspectos de seguridad lógica y física deberán realizarse periódicamente y deberá sujetarse al calendario que establezca la Dirección de Telemática y/o el grupo especializado de seguridad. 11
  • 14. 3. Para efectos de que la institución disponga de una red con alto grado de confiabilidad, será necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologías de la Internet e Intranet disponen. 4. Los sistemas considerados críticos, deberán estar bajo monitoreo permanente. III. Generales. 1. Cada uno de los departamentos deberán de emitir los planes de contingencia que correspondan a las actividades críticas que realicen. 2. Debido al caracter confidencial de la información, el personal de la Dirección de Telemática deberá de conducirse de acuerdo a los códigos de ética profesional y normas y procedimientos establecidos. IV. Sanciones. 1. Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al reglamento emitido por la Dirección de Telemática. 2. Las sanciones pueden ser desde una llamada de atención o informar al usuario hasta la suspención del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que ésta manifiesta. 3. Corresponderá al Comité de Informática hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en materia de informática de la institución. 4. Todas las acciones en las que se comprometa la seguridad de la Red-CICESE y que no estén previstas en esta política, deberán ser revisadas por la Dirección General y la Dirección de Telemática para dictar una resolución sujetándose al estado de derecho. Referencias 1. Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia. 2. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies. 12
  • 15. Notas 1. Esta política de seguridad deberá seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros. 2. El documento que contiene la política de seguridad deber ser difundido a todo el personal involucrado en la definición de estas políticas. Glosario. Departamento de Cómputo. Es la entidad encargada del buen uso de las tecnologías de la computación, organización y optimización de los recursos computacionales de la institución. Departamento de Redes. Es la entidad encargada de desarrollar el plan estrategico de conectividad del centro (CICESE) que favoresca la prestación de servicios eficientes, eficaces y de utilidad en la transmisión de datos, voz y video para apoyar efectivamente los requerimientos del usuario. Departamento de Informática. Es la entidad encargada de ofrecer sistemas de información administrativa integral permitiendo en forma oportuna satisfacer necesidades de información, como apoyo en el desarrollo de las actividades propias del centro. Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de programas para accesarlos. Una recopilación de datos estructurados y organizados de una manera disciplinada para que el acceso a la información de interés sea rápida. WWW (World Wide Web). Es una convergencia de conceptos computacionales para presentar y enlazar información que se encuentra dispersa a través de internet en una forma fácilmente accesible. Sistema avanzado para navegar a través de internet. Area Crítica. Es el area física donde se encuentra instalado el equipo de cómputo y telecomunicaciones que requiere de cuidados especiales y son indispensables para el funcionamiento contínuo de los sistemas de comuncación del centro. ( o del CICESE). 13
  • 16. Equipo de Telecomunicaciones. Todo dispositivo capaz de transmitir y/o recibir señales digitales o analógicas para comunicación de voz, datos y video, ya sea individualmente o de forma conjunta. Equipo de Cómputo. Dispositivo con la capacidad de aceptar y procesar información en base a programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a una red de equipos o computadoras para compartir datos y recursos, entregando resultados mediante depliegues visuales, impresos o audibles. Bulletin Board System. Es un nombre elegante para un sistema electrónico de mensajes operado en una microcomputadora y que permite leer o dejar mensajes. El sistema es como una pizarra física de boletín. De ahí es de donde viene el nombre. Algunas personas llaman a los sistemas de pizarra de boletin sistemas de correo electronico. SECODAM - Secretaria de Contraloria y Desarrollo Administrativo. IP - Internet Protocol. Parte de la familia de protocolos TCP/IP, que describe el sofware que supervisa las direcciones de nodo internet, encamina mensajes salientes y reconoce los mensajes entrantes. Dirección de INTERNET. Identificador único de 32 bits para una computadora principal TCP/IP en una RED. También llamada un Protocolo Intenet o direccion IP. Las direcciones IP están normalmente impresas en una forma decimal de puntos, tal como 150.123.50.334 Auditoría. Llevar a cabo una inspección y examen independiente de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la política establecida y procedimientos operativos, y para recomendar cualquier cambio que se estime necesario. Control de Acceso. 1. Técnica usada para definir el uso de programas o limitar la obtención y almacenamiento de datos a una memoria. 2. Una característica o técnica en un sistema de comunicaciones para permitir o negar el uso de algunos componentes o algunas de sus funciones. 14