1. Universidad Tecnológica de Santiago
Utesa
Manual de Seguridad de Información ISO27002
Materia:
Seguridad Informática
Sustentantes:
Ezequiel Fco. Rodríguez
Gerson S. Ortega
Jamaly Severino
Asesor :
Ing. Juan José Nerio
Santo Domingo, R.D
2. Procedimiento
PR-US-01
Fecha: 10/08/2015
Política creación de Usuario
Versión: 1
Página:
Unidad Administrativa: Tecnología de la Información y
Comunicación
Área Responsable: Gerencia de Seguridad
Propósito del procedimiento
Garantizar la seguridad lógica y física del departamento de IT comoel acceso a los datos y equipos
informáticos.
Alcance
Este procedimiento aplica para todo del Departamento de TI y Data Center
Inicio: Con la solicitud de un colaborador del Departamento de TI, mediante el sistema de ticketsen el
SpiceWork.
Fin: Con la solución del requerimiento y el cierre del ticket.
Referencia
N/A
Responsabilidades:
Gerencia de Seguridad
Definiciones
Hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o un sistema
informático (monitor, teclado, mouse,impresora, scanner, bocinas,etc.).
Software: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas.
Freeware: Define un tipo de software privativo que se distribuye sin costo, disponible para su uso y por
tiempoilimitado
Usuario: es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema
informático.
SpiceWork: Es un sistema informático para registro y control de solicitudes; además de manejar el
inventario de IT.
Periférico: Es un dispositivoelectrónico físico que se conecta o acopla a una computadora.
Los periféricos sirven para comunicar la computadora con el exterior.
Software Libre: Son sistemas informáticos de licenciamiento libre que por lo general se encuentran gratis o
al costo.
TI: Tecnología de la Información.
3. Procedimiento
PR-US-01
Fecha: 10/08/2015
Política creación de Usuario
Versión: 1
Página:
Unidad Administrativa: Tecnología de la Información y
Comunicación
Área Responsable: Gerencia de Seguridad
Políticas y Lineamientos
Las siguientes políticas son para garantizar un buen servicio y funcionamiento de los equipos informáticos,
en el Departamento de IT y Data Center.
Se prohíbe: El uso de medios de almacenamiento extraíbles (memorias USB, reproductores de música,
celulares, Discos externos, entre otros) con la finalidad de evitar virus y robo de información. En caso de ser
necesario el uso de alguno de estos dispositivos debe estar previamente autorizado por la Gerencia de
Seguridad.
El acceso a archivos y/o datos pertenecientes a otros usuarios sin su previo consentimiento.
Visualizar las contraseñas de los usuarios.
Modificar la configuración del hardware y/o software que este bajo su res-guardo.
Guardar cualquierinformación personal enlas PC o servidores de la institución.
Ingerir cualquier clase de alimentos y bebidas cerca de los equipos de cómputo, ya que en caso de que se
derrame algún líquido sobre este, podría provocar daños irreparables, pérdida de la garantía y pérdida de
información.
Modificar contraseña a menos que sea solicitada por el propietario de la misma.
Seguridad lógica. El departamento de Gestión Humana deberá informar vía correo todos los cambios de
personal. (Movimientos, destituciones y nuevosingresos) para garantizarla seguridad de los datos.
Actualizaciones e instalaciones de aplicaciones de uso general. Se realizarán mediante la aplicación de
políticas a través del controlador de dominio.
Respaldo de Datos. Los Respaldos de Datos deben ser solicitados a la Gerencia de Seguridad vía correo y
justificando el porqué se desea respaldar estos datos.
Cintas magnéticas. Se debe realizar una copia a las 8:00 AM y otra a las 6:30 PM, dichas cintas deben ser
almacenadasen la librería de cintas de la institución.
4. Procedimiento
PR-US-01
Fecha: 10/08/2015
Política creación de Usuario
Versión: 1
Página:
Unidad Administrativa: Tecnología de la Información y
Comunicación
Área Responsable: Gerencia de Seguridad
Descripción de actividades
Paso Responsable Actividad Documento
de trabajo
(Clave)
1 Empleado Solicitala creación de un Usuario
2 Supervisor de IT Recibe la solicitud del usuario mediante el sistema de Ticket
(SpiceWork).
SpiceWork
3 Supervisor de IT Verifica la a que área pertenece el Tickets. SpiceWork
4 Seguridad de
Informacióny
Usuarios
Verifica la solicitud y determina si es un cambio de
contraseña, respaldo de datos, eliminación o creación de
usuario, limitar acceso o conceder acceso a una información,
acceso a internet, o si hay alguna falla en los servidores.
5 Seguridad de
Informacióny
Usuarios y
encargado de
TIC
Fallas de software y hardware: procede a analizar y se le da
solución, en caso de requerir comprar algún dispositivo de
hardware debe ser autorizado porel encargado de TIC.
6 Seguridad de
Informacióny
Usuarios y
encargado de TI
Instalación de software: verifica si contamos con las licencias
del software solicitado si contamos con la misma y la
instalación del software no interfiere con las labores diarias
de la institución se procede de inmediato de lo contrario
debe realizarse en horario no laborable o coordinar con las
áreas afectadas, siempre con la autorización del encargado
de TIC.
7 Seguridad de
Informacióny
Usuarios
Cambio de hardware: si el cambio del hardware nointerfiere
con las labores diarias de la institución se procede de
inmediato de lo contrario debe realizarse en horario no
laborable o coordinar con las áreas afectadas, siempre con
la autorización del encargado de TIC.
5. Procedimiento
PR-US-01
Fecha: 10/08/2015
Política creación de Usuario
Versión: 1
Página:
Unidad Administrativa: Tecnología de la Información y
Comunicación
Área Responsable: Gerencia de Seguridad
8 Seguridad de
Informacióny
Usuarios
Cambio de contraseña: debe ser solicitado por el propietario
de la cuenta de lo contrario noes posible realizarel cambio.
9 Seguridad de
Informacióny
Usuarios
Eliminación o creación de usuarios, se hacen al recibir la
comunicación de Recursos Humanos con los cambios de
personal.
Correo
10 Seguridad de
Informacióny
Usuarios
Limitar o conceder acceso a información e internet: debe ser
solicitado por el Director del área a través de una
comunicación justificandola solicitud.
Correo
11 Seguridad de
Informacióny
Usuarios
Respaldo de Datos: los respaldos de datos se programan
para ser ejecutados en horario no laborable para no cargar
los servidores ni entorpecer las labores diarias de la
institución.
12 Soporte
Técnico,
Usuario,
Encargado de IT
Fin o Cierre de la Solicitud: cierra el Ticket, en caso de que el
usuario no esté conforme con la solución puede reabrir el
ticket y el caso esescalado al encargado de IT.
SpiceWork
Este Manual se Ha Creado Utilizando la Certificación de seguridad de la información ISO 27002