Manual politicas de seguridad

2,298 views
2,008 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,298
On SlideShare
0
From Embeds
0
Number of Embeds
68
Actions
Shares
0
Downloads
81
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Manual politicas de seguridad

  1. 1. Manual de Políticas de SeguridadRedes y Comunicaciones REDES Y COMUNICACIONES VI CICLO Documento: Administracion de la Seguridad Informatica para la Infraestructura Fisica y Logica de la sede del Instituto SISE “Sede Santa Beatriz” Estudiante: Gustavo Chuque Vega Profesor: Waldir Cruz
  2. 2. Manual de Políticas de SeguridadRedes y ComunicacionesCONCEPTOS:La seguridad informática es una disciplina que se relaciona a diversastécnicas, aplicaciones y dispositivos encargados de asegurar laintegridad y privacidad de la información de un sistema informático ysus usuarios.¿QUE SON POLÍTICAS DE SEGURIDAD INFORMÁTICA?Una política de Seguridad Informática es una forma de comunicarsecon el personal y/o usuarios. Las PSI establecen el canal formal deactuación del personal, en relación con los recursos y serviciosinformático, importantes de la organización.Es un conjunto de requisitos definidos por los responsables de unsistema que indica en términos generales que esta y que no estápermitido en el área de seguridad durante la operación general delsistema.
  3. 3. Manual de Políticas de SeguridadRedes y ComunicacionesMANUAL DE POLITICAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE1.- Objetivos GeneralesLas políticas y estándares de Seguridad Informática tienen por objetoestablecer medidas técnicas y de organización de las tecnologías deinformación y de las personas que interactúan haciendo uso de losservicios informáticos que proporciona la Empresa y contribuyendo conla función informática a la mejora y complimiento de metasinstitucionales. Es aplicable a los usuarios en general de servicios detecnologías de información centro de Estudios.De igual forma será una herramienta quedifunde las políticas yestándares de seguridad informática a todo el personal de laInstitución Superior EducativaAsegurara: Mayor integridad, confidencialidad y confiabilidad de lainformación generada por el Centro, al personal, los datos y elhardware y software disponibles.1.1 Objetivos EspecíficosElaborar un manual de políticas de seguridad informática para elPersonal del Centro adaptado a las necesidades y activos tecnológicosdel instituto así como la naturaleza de la información que se maneja enel mismo.
  4. 4. Manual de Políticas de SeguridadRedes y Comunicaciones2.- BeneficiosLas políticas y estándares de seguridad informática establecidas dentrode este manual son la base para la protección de los activostecnológicos e información de la Institución Educativa.3.-Existen 3 tipos de criterios de seguridad informática:  Seguridad Organizativa: Asegura el cumplimiento de normas, estándares y procedimientos físico- técnicos.  Seguridad Lógica: Actúan directa o indirectamente sobre la información procesada por los equipos.  Seguridad Física: Actúan directamente sobre la parte tangible, la parte física.4.-Los niveles de seguridad fueron organizados constatando un enfoqueobjetivode la situación real de la institución, desarrollando cada política concuidadosobre qué activo proteger, de qué protegerlo cómo protegerlo y por quéprotegerlo;Los mismos se organizan siguiendo el esquema, normativo de seguridad,ISO17799 y que a continuación se detalla: a) Nivel de Seguridad Organizativo:  Seguridad Organizacional  Políticas de Seguridad  Clasificación y Control de Activos
  5. 5. Manual de Políticas de SeguridadRedes y Comunicaciones  Seguridad Ligada al Personal b) Nivel de Seguridad Física:  Seguridad Física  Seguridad Física y Ambiental c) Nivel de Seguridad Lógico:  Control de Accesos  Administración del Acceso de Usuarios  Control de Acceso a la Red, Aplicaciones  Desarrollo y Mantenimiento de Sistemas d) Se tiene también un cuarto Nivel de Seguridad Legal, el cual lo nombramos también, ya que se encuentra dentro de la ISO 17799, no cuenta con relación del todo en la seguridad informática, pero se menciona:Nivel de Seguridad Legal  Cumplimiento de aspectos legales
  6. 6. Manual de Políticas de SeguridadRedes y Comunicaciones5.- Vigencia:El presente manual entrara en vigencia, previa aprobación deautoridades del Instituto SISE correspondientes y previéndose losmedios de difusión entre todo el personal de la Institución.Todo cambio referente a la infraestructura tecnológica, naturaleza delas aplicaciones u otros causados por exigencias del Instituto haránecesario efectuar una revisión y actualizaciones del presentedocumento, estas actualizaciones y revisiones están previstas dentrodel control de cambios adjunto al documento.6.- SancionesLas sanciones a aplicarse al personal que incumpla las normas de estemanual quedan bajo el criterio de las autoridades de la InstituciónSuperior.
  7. 7. Manual de Políticas de SeguridadRedes y Comunicaciones POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISEPOLITICAS:El sistema de la Institución es de uso solo académico, de investigación,técnico ypara casos administrativos, cualquier alteración en la norma de uso de los mismos,será expresa y adecuada como política de seguridad en este manual.Obligaciones del PersonalEs responsabilidad del Personal de Equipos y Servicios tecnológicos del Institutocumplir las políticas y normal del Manual de Políticas de Seguridad para el CentroSuperior.Entrenamiento y Capacitación en SeguridadInformática:Todo empleado de la Institución de nuevo ingreso deberá contar con la inducciónsobre el Manual de Políticas de Seguridad Informática donde se den a conocer lasobligaciones para los usuarios y las sanciones que pueden existir tras elincumplimiento.Responsabilidades:El administrador de Sistemas es el encargado de mantener en buen estado losservidores dentro de la red Institucional.
  8. 8. Manual de Políticas de SeguridadRedes y Comunicaciones1. Se tendrá acceso a internet, siempre y cuando se cumpla las medidas mínimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institución.2. Las actividades como exámenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat , internet) se le podrá indicar que abandone el laboratorio, si así fuese necesario.Responsabilidad por Los Activos: 1.- La persona encargada de cada área de trabajo tendrá la responsabilidad sobre el Hardware y Medios Físicos (Aire Acondicionado, Servidores, activo de Información como Base de Datos, Documentos,etc. y Activos de software (aplicaciones, software desistemas, herramientas y programas de desarrollo 2.- Los administradores del Sistema son los responsables de lo que se almacena y su seguridad en estos recursos.SEGURIDAD AL PERSONALTodo empleado y colaborador del Instituto SISE, que debido a sus funciones debemanipular y utilizar equipos y servicios tecnológicos de la infraestructura decomunicación de esta, independientemente de su jerarquía en la Institución, debefirmar un convenio en el que acepte, condiciones de Confidencialidad y Manejo deinformación digital generada en sus funciones, el manejo adecuado de los recursosinformáticos, así como el apego a las normal y políticas del presente manual.Usuarios Nuevos:Todo el personal nuevo de la Institución Superior, deberá ser notificado ante elárea de Sistemas y Tecnología para dar los derechos correspondientes, por el áreade Recursos Humanos vía correo electrónico. Registro en el Sistema de Asistencia Equipo de Computo Derechos de acceso al servidor
  9. 9. Manual de Políticas de SeguridadRedes y Comunicaciones Correo electrónico institucional (nuevousuario@sise.edu.pe) Agregar cuenta de correo al grupo (GRUPSISE) Alta de Bitácora de inventario de hardware (Esto en caso de que el equipo vayaestar bajo su resguardo) Capacitación dentro del uso de manual.SEGURIDAD FISICA Y AMBIENTAL:En la seguridad Informática se suele dejar bastante de lado la seguridad Física, yaque suceden incidentes el cual debemos estar siempre prevenidos y atentos a supronta resolución.En nuestro Caso para La institución SISE se plantea hace una clara tendencia alsiguiente razonamiento: 1) Proteger bienes de Carácter Informáticos. (Datos Importantes, Confidenciales) 2) Las amenazas que dichos bienes pueden sufrir, proceden del medio informático. (Copia o Backup no autorizada de esos datos) 3) Por tanto, los mecanismos de protección también deben ser informáticos. (Restricciones de acceso a dichos datos)Esto debemos relacionarlo al concepto de seguridad informático, como pueden seraccesos restringidos al Sistema, denegación de Privilegios como lectura yModificación de Ficheros, cifrados de las comunicaciones, o protección de las redesmediante firewall.Tanto por esto nuestro sistema queda expuesto ante amenazas que en algunoscasos no dependen de su configuración, para eso no nos serviría de nada tener losmejores mecanismos de control de acceso a nuestros ordenadores, ya que tal vezun simple accidente de una persona como el encargado de mantenimiento puedehacer que el equipo acabe tirado por el suelo o que la información en el quedeirrecuperable, o también si una persona trabaja con estos datos y se los lleva a sudomicilio para trabajar con ellos y en el camino sufren un robo.
  10. 10. Manual de Políticas de SeguridadRedes y ComunicacionesLa seguridad física de los sistemas informáticos consiste en la aplicación debarreras físicas y procedimientos de control como medidas de prevención ycontramedidas contra las amenazas a los recursos y la información confidencial,destinados a proteger desde un simple teclado hasta una cinta de backup con todala información que hay en el sistema, pasando por la propia CPU de la máquina.Las medidas de seguridad física servirán para proteger nuestros equipos einformación frente a usos inadecuados, accidentes, robos, atentados ycualesquiera otros agentes que atenten directamente contra la integridad física.Amenazas de seguridad física:Está claro que son muchos los factores que pueden acabar con el buenfuncionamiento de nuestro hardware o incluso hacerlo desaparecer (un robo, unincendio). Es obvio que mantener con buena funcionamiento nuestro equipamientoresulta ventajoso. Para eso a continuación detallaremos los posibles agentes quepueden ocasionar daños a las instalaciones:Robos, acciones vandálicas y accesos físicos noautorizados:Existe el riesgo ciertamente más preocupante de que personas ocasionen daños osustracciones a los equipos, a la información contenida en ellos o a los datosalmacenados en otros soportes. Debido a su tamaño y su valor, los ordenadoresson muy apreciados por los ladrones, sobre todo por la facilidad con la queposteriormente pueden ser revendidos.AccidentesPor ejemplo, comer, beber o fumar mientras se está trabajando con un ordenadores causa de muchos de los pequeños accidentes que se sufren.La protección de los datosHay que considerar la importancia de la seguridad de las copias de respaldo, nosólo porque pueden constituir una forma apetecible de apropiarse de lainformación codiciada, sino porque la sustracción nos dejaría en posiciónvulnerable frente a otros desastres. Los soportes del respaldo deben protegerseen la misma medida que los equipos cuyos datos reproducen, y además deben seralmacenados en lugar diferente para evitar ser objeto de las mismascontingencias, como robos o desastres naturales.
  11. 11. Manual de Políticas de SeguridadRedes y ComunicacionesLa protección de los equiposEs natural que lo primero que nos debamos plantear a la hora de planificar laseguridad física de una instalación consiste en determinar cuáles son las barrerasque impiden o restringen el acceso físico a los equipos o su manipulaciónindebida: anclajes, cerraduras, blindajes, servicios de vigilancia, cámaras de vídeoo alarmas de cualquier clase. La limitación del acceso físico a los equipos debeser planificada de distinta manera para el horario normal de trabajo y para cuandonadie puede o debe acceder a los mismos.El plan de Seguridad FísicaPara esto primero se debe pensar en cada lugar concretamente, adecuándose asus características físicas y a los agentes circundantes que pueden suponer unaamenaza para los sistemas. La segunda es que existe una cantidad muy grandede variables a considerar, por el gran número de posibles amenazas. Elplanteamiento de la seguridad física determina una mayor dificultad en laresolución de los problemas.Por ello es absolutamente necesario que el primer paso sea asegurar físicamentenuestras instalaciones en un plan escrito de las necesidades de seguridad física yde las medidas destinadas a cubrirlas en el futuro.Debe incluir nuestro plan lo siguiente: Descripción del área física en el que están localizados esos dispositivos. Descripción del perímetro de seguridad y de sus posibles agujeros. Descripción de las amenazas contra las que nos queremos proteger, incluyendo una estimación de su probabilidad. Descripción de los dispositivos físicos a proteger, incluyendo ordenadores, periféricos, cables, conexiones, soportes de datos, etc. Enumeración de los medios para mejorarlas. Estimación del coste de las mejoras. Descripción de nuestras defensas.
  12. 12. Manual de Políticas de SeguridadRedes y ComunicacionesDescripciones y/o ejemplos de Seguridad Física Seguridad física en el cableadoLa seguridad física del cableado es bastante sencilla aunque difícil de asegurar.La principal preocupación para un técnico de seguridad física es que el cableadopueda fallar o que pueda ser seccionado por un intruso malintencionado. Los armarios,racks, gabinetes deben tener seguridadEn concreto se decidirá que máquinas se incluyen en los racks y lo mismo para losdispositivos de red, o gabinetes. Esto evitará que un supuesto intruso o usuariomalintencionado que intente reconectar las máquinas o dispositivos del rack pararealizar acciones no permitidas lo tenga más difícil. Contraseña de Seguridad en la BIOSAgregando password en la BIOS es una manera de proteger tanto el acceso a laPc como el acceso al SETUP de la propia BIOS mediante una contraseña, deforma que nadie pueda manipular la computadora ni desconfigurar los valores dela BIOS. También asegurar el Case del computador para que no realicen unRESET a la BIOS. Personal de Seguridad y CámarasHacer cumplir el reglamento interior de la Institución con la función de revisar quetodos los objetos que sean extraídos de la empresa cuenten con su pase de salidarespectivo, con la firmas de los ejecutivos autorizados y supervisar que no sesustraiga objetos dentro del Centro.
  13. 13. Manual de Políticas de SeguridadRedes y ComunicacionesDescripción de la seguridad de la infraestructura deRed del Instituto SISEPodemos describirla, según especificaciones de la siguiente manera:Seguridad Física:1. En cada aula los proyectores se encuentran cerrados en una protección de metal con llave y solo puede ser operado por el docente o personal de mantenimiento.2. Los Switches de cada laboratorio no se encuentran debidamente protegidos ya que se encuentran libres encima de una repisa.3. No todas las BIOS de los equipos cuentan con una contraseña de seguridad.4. La sede cuenta con personal seguridad solo en las entradas principales.5. El momento de ingreso a la sede se presenta una identificación (SISECARD) en el caso de los alumnos y su ID en el caso del personal. En el caso de personas ajenas a la institución, estos acceden presentando su DNI en la entrada.6. Una de las políticas de seguridad de SISE, indica que el docente no tiene que dejar el laboratorio cuando se encuentra en clase, cosa que siempre no se cumple.Seguridad Interna Lógica7. Cada usuario cuenta con un cierto nivel de administración de la PC, así como por ejemplo los usuarios de laboratorio no tiene permisos administrativos para poder instalar programas, en cambio el usuario del área de soporte sí puede.8. Cuenta con un Firewall que cumple la función de administrar los paquetes entrantes y salientes de la red.9. Cuenta con un proxy como delimitador de navegación. Pero este no está bien configurado ya que algunas veces se pueden acceder a páginas que supuestamente están bloqueados con el proxy.
  14. 14. Manual de Políticas de SeguridadRedes y Comunicaciones10. Cuenta con un controlador de dominio en la cual se detallan las políticas de seguridad. Se tiene conocimiento que este no cuenta con un DC de respaldo.Lista de Políticas de Seguridad para la Mejora delInstituto SISE:Más Cantidad de Cámaras de Seguridad:Se cabe recordar que el Instituto cuenta con el servicio de cámaras de seguridad ytodo empleador, como estudiante está siendo grabado las 24 horas del díamientras se encuentre en la institución y se tiene la sustentación de esta, comoprueba; cuando amerite una situación sospechosa o acción dentro de nuestraSEDE.Gabinetes de Seguridad en las Salas de LaboratorioEn los laboratorios del Instituto se tiene asegurado con candados los gabinetesdonde se encuentra el hardware importante de la red de la sala, se debe tenercuidado y no cometer ningún tipo de acto que afecte estos gabinetes.Personal de Seguridad para Ambos Sexos:Se declara que el instituto cuenta con Personal de Seguridad de Ambos Sexos,para la protección, verificaciones y revisión de todo empleador o estudiante almomento de su salida para el control de esta.Y también con el propósito de que las Señoritas Estudiantes o empleadorastambién puedan ser revisadas correctamente y no por un Hombre, sino por unapersona de su mismo sexo y no tenga ningún tipo de altercado.Implementación de Software Complejo en AntivirusCon la finalidad de mejorar la seguridad de cada PC en cada laboratorio, seimplementara un software antivirus (MCAFEE) único que trabaje con la plataformaWindows 7 y server 2003 que permita:Analizar y diagnosticar simultáneamente los programas maliciosos: gusanos,troyanos, malware, rootkits y spyware.
  15. 15. Manual de Políticas de SeguridadRedes y ComunicacionesPolíticas Nueva de Seguridad para el Uso delaboratorios del InstitutoSe implementara nuevas políticas de seguridad en el uso de los laboratorios deSISE; se mencionan a continuación:1. Los alumnos solo pueden ingresar al laboratorio si es que no tuvieran clases programadas, podrán hacer uso de internet EXCLUSIVAMENTE para hacer sus TRABAJOS y/o alguna otra actividad que se les haya asignado. Más no para uso personal.2. En los laboratorios se deberá mantener orden y cordura como en una sala de estudios, deberá permanecer sentado, por lo tanto, el alumno debe demostrar buen comportamiento dentro del mismo.3. Antes de ingresar al laboratorio la persona tiene que verificar la disponibilidad según el horario publicado en la puerta de cada laboratorio, el ingreso será para clases o prácticas libres.4. Se prohíbe totalmente el ingreso de alimentos, bebidas y el uso de celulares en el laboratorio de cómputo.5. Los alumnos deberán acatar explícitamente las instrucciones del docente o del auxiliar de laboratorio en lo referente a la utilización del equipo así como los programas destinados al uso de las clases.6. La instalación de software necesario en clases deberá ser solicitada formalmente por el docente en el Área de Soporte y Área de Atención al Docente (por lo menos 48 horas antes).7. Queda estrictamente prohibido cambiar la configuración del equipo y de los programas contenidos en el mismo así como instalar software que no se encuentre autorizado.8. En caso de que el equipo presente algún tipo de falla, el usuario deberá de hacerlo presente al docente para que de aviso al personal de soporte para que vengan a verificar el problema.9. Se prohíbe el movimiento de cualquier dispositivo de laboratorio, así como el intercambio de dispositivos.
  16. 16. Manual de Políticas de SeguridadRedes y ComunicacionesPOLÍTICAS Y ESTÁNDARES DECONTROLES DE ACCESO- Cada docente o Personal Administrativo es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, como su identificador de usuario y contraseña necesarios para acceder a recursos de la red con permisos y a la infraestructura tecnológica de la Institución Superior, por lo cual deberá mantenerlo de forma confidencial.- Los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones.- Se asignará una cuenta de acceso a los sistemas de la intranet, a todo estudiante y docente de la red institucional, siempre y cuando se identifique previamente con el código dado por la institución, su ID.- Todo usuario que tenga la sospecha de que su contraseña es conocido por otra Persona, deberá cambiarlo inmediatamente.- Todo uso indebido del servicio de correo electrónico corporativo, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema.- El docente será responsable de la información que sea enviada con su cuenta de correo de la InstituciónControl de Privilegios de Acceso:- Cualquier cambio en la configuración, a la cuenta brindada con privilegios administrativos será responsabilidad del usuario y docente y deberán ser Notificar al Área de Soporte, para el cambio de privilegios, previamente Autorizado por el jefe de área y vuelva a su configuración inicial. Control de Acceso al Sistema Operativo- Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo, dejarlo de manera correcta y en estado óptimo para su nueva utilización.
  17. 17. Manual de Políticas de SeguridadRedes y ComunicacionesMANTENIMIENTO- El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de informática, o del personal de soporte técnico.- Se llevará un registro global del mantenimiento efectuado sobre los equipos de laboratorios y cambios realizados desde su instalación.CUMPLIMIENTO DE SEGURIDADINFORMATICA Y ASPECTOS LEGALESCumplimiento Seguridad Informática- La dirección del Instituto SISE emitirá y revisara el cumplimiento de las políticas y normal de seguridad informática que permiten realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnología del Instituto- El mal uso de los recursos informáticos detectado por la Dirección de Informática será reportado conformo a los indicado en la política de Seguridad Personal.Cumplimiento de Aspectos Legales- El instituto SISE deja en claro que el software comercial utilice para sus estudiantes o uso interno, deberá está legalmente registrado, en los contratos de arrendamiento de software con las respectivas licencias.- El software comercial como el libre son propiedadexclusiva de sus programadores, la Institución Superior respeta lapropiedad intelectual y se rige por el contrato de licencia de sus autores.- Cualquier cambio en la política de utilización de software comercial osoftware libre, se hará documentado y en base a las disposiciones de larespectiva licencia.-

×