República Bolivariana de Venezuela.       Ministerio del Poder Popular para la Educación Universitaria.      Instituto Uni...
Tabla de contenidoINTRODUCCIÓN ....................................................................................... 3OB...
INTRODUCCIÓN  En una organización la gestión de seguridad puede tornarse compleja ydifícil de realizar, esto no por razone...
OBJETIVO GENERAL  Desarrollar las políticas de seguridad que deberán ser aplicadas en losConsejos Comunales de EL Caribe, ...
OBJETIVOS ESPECIFICOS      Establecer soluciones que permitan proteger la confidencialidad y laintegridad de la informació...
ALCANCE  El documento está dirigido al personal de Consejo Comunal El Caribe, yaque ellos serán los encargados del cumplim...
servicios informáticos de la organización. Estas a su vez establecen las reglasy procedimientos que regulan la forma en qu...
SEGURIDAD ORGANIZACIONAL  Dentro del siguiente manual, se constituye el marco formal de la seguridadde la red que debe sus...
Seguridad asociada al Personal  Referente a contratos:  Art. 6. Se entregará al contratado, toda la documentación necesari...
Art. 10. El Administrador de la Red proporcionará toda la documentaciónnecesaria para agilizar la utilización de los siste...
Responsabilidades del Usuario  Art. 17. El usuario es responsable exclusivo de mantener a salvo sucontraseña.  Art. 18. El...
Art. 27. En caso de ser necesaria la adquisición de software de fuentes noconfiables, este se adquirirá en código fuente. ...
Art. 33. El cableado de red, se instalará físicamente separado de cualquierotro tipo de cables, llámese a estos de corrien...
Art. 42. Las instalaciones de los sitios de trabajo deben contar con unaapropiada instalación eléctrica, y proveer del sum...
Ataque: Eventualidad, exitoso o no, que atenta sobre el buen funcionamientodel sistema.Confidencialidad: Resguardar la inf...
Normativa de Seguridad ISO/IEC 17799: Estándar o norma internacional quevela por que se cumplan los requisitos mínimos de ...
Upcoming SlideShare
Loading in …5
×

Manual de políticas de seguridad informática

1,575 views
1,476 views

Published on

Para Estudio Posteriores

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,575
On SlideShare
0
From Embeds
0
Number of Embeds
64
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Manual de políticas de seguridad informática

  1. 1. República Bolivariana de Venezuela. Ministerio del Poder Popular para la Educación Universitaria. Instituto Universitario de Tecnología del Oeste Mariscal Sucre Tecnología Programa Nacional de Formación en Informática (PNFI). Ingeniería en Informática MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA, DE LA POLÍTICASPLATAFORMA TECNOLÓGICA DE RED, ENTRE EL CONSEJO COMUNALEL CARIBE Y OTROS CONSEJOS COMUNALES, ALEDAÑOS EN LA ZONA DE ALTAVISTA CATIA. Integrantes: TSU Cervantes Antonio TSU Orta Edinxon TSU Miquilena Rubén TSU Villarreal Félix SECCIÓN: 7022. Caracas, Enero de 2012 1
  2. 2. Tabla de contenidoINTRODUCCIÓN ....................................................................................... 3OBJETIVO GENERAL ............................................................................... 4OBJETIVOS ESPECIFICOS ...................................................................... 5ALCANCE .................................................................................................. 6JUSTIFICACIÓN ........................................................................................ 6LA POLÍTICA DE SEGURIDAD ................................................................ 6 Seguridad de la Información ........................................................................... 7 ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA ................................. 7POLÍTICAS Y ESTÁNDARES DE SEGURIDAD ....................................... 7 SEGURIDAD ORGANIZACIONAL ................................................................. 8 Seguridad asociada al Personal .................................................................. 9 Entrenamiento de Usuarios ......................................................................... 9 SEGURIDAD LÓGICA .................................................................................... 9 Control de Accesos ..................................................................................... 9 Administración del Acceso de Usuarios. ................................................... 10 Responsabilidades del Usuario ................................................................. 11 Uso de correo electrónico: ........................................................................ 11 Protección Contra Software Malicioso....................................................... 11 Administración y Seguridad de Medios de Almacenamiento..................... 12 SEGURIDAD FÍSICA .................................................................................... 12 Seguridad Física y Ambiental.................................................................... 12 Seguridad de los equipos .......................................................................... 12 Controles Generales ................................................................................. 13GLOSARIO DE TERMINOS .................................................................... 14 2
  3. 3. INTRODUCCIÓN En una organización la gestión de seguridad puede tornarse compleja ydifícil de realizar, esto no por razones técnicas, mas bien por razonesorganizativas, coordinar todos los esfuerzos encaminados para asegurar unentorno informático institucional, mediante la simple administración de recursohumano y tecnológico, sin un adecuado control que integre los esfuerzos yconocimiento humano con las técnicas depuradas de mecanismosautomatizados, tomará en la mayoría de los casos un ambienteinimaginablemente hostil, para ello es necesario emplear mecanismosreguladores de las funciones y actividades desarrolladas por cada uno de losempleados de la institución. El documento que se presenta como normas y políticas de seguridad,integra estos esfuerzos de una manera conjunta. Éste pretende, ser el mediode comunicación en el cual se establecen las reglas, normas, controles yprocedimientos que regulen la forma en que la institución, prevenga, proteja ymaneje los riesgos de seguridad en diversas circunstancias. Las normas y políticas expuestas en este documento sirven de referencia,en ningún momento pretenden ser normas absolutas, las mismas están sujetasa cambios realizables en cualquier momento, siempre y cuando se tenganpresentes los objetivos de seguridad. Toda persona que utilice los servicios que ofrece la red, deberá conocer yaceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, noexonera de responsabilidad al usuario, ante cualquier eventualidad queinvolucre la seguridad de la información o de la red institucional. 3
  4. 4. OBJETIVO GENERAL Desarrollar las políticas de seguridad que deberán ser aplicadas en losConsejos Comunales de EL Caribe, Refugio, Cutira y los Refugios de Vivienda,con la finalidad de velar por la consecución de las normas y procedimientosque regirán a la administración de los servicios de transporte, procesamientode datos para así certificar la confiabilidad y control de la información que sepropagara a través de la red. 4
  5. 5. OBJETIVOS ESPECIFICOS Establecer soluciones que permitan proteger la confidencialidad y laintegridad de la información. Definir roles operativos de los usuarios y personal de sistemas queinteractúan con la administración de la red. Establecer las lineamientos de seguridad para protegerse de lasamenazas internas y externas a través de controles adecuados. Registrar las faltas de seguridad que pueda afectar a esta organización,ya que la mayoría de las instituciones que manejan sistemas informáticos,conectados a redes públicas como Internet, pueden presentar ciertasvulnerabilidades. Detallar los niveles de seguridad adaptables en la red de datos, para queel personal responsable pueda tomar de decisiones de manera correcta alpresentarse una contingencia. Autenticar la autenticidad de los datos, de los mensajes y resguardar alos sistemas de ataques internos o externos. Elaborar un plan de acción para la aplicación de las herramientas deadministración y seguridad. 5
  6. 6. ALCANCE El documento está dirigido al personal de Consejo Comunal El Caribe, yaque ellos serán los encargados del cumplimiento de las normas yprocedimientos que en este manual se refieren, con la finalidad de resguardarla información que se manipula en dicho Consejo Comunal, protegiendo laconfidencialidad, disponibilidad y seguridad de la información de los sistemas. JUSTIFICACIÓN El Consejo Comunal El Caribe, son quienes controlan el acceso a lainformación de las aplicaciones con las que cuentan actualmente, por estarazón debe tener un manual donde se encuentre todas las normas yprocedimientos que sistematizan el acceso a la red y al personal de dichaorganización continuando con los pasos del personal encargado. Por estarazón este manual representa un aporte importante para la institución, ya a queconstituye las medidas de seguridad que se deben aplicar, suscitando lautilización efectiva y eficaz de la red. LA POLÍTICA DE SEGURIDAD Son una forma de comunicación con el personal, ya que las mismasconstituyen un canal formal de actuación, en relación con los recursos y 6
  7. 7. servicios informáticos de la organización. Estas a su vez establecen las reglasy procedimientos que regulan la forma en que una organización previene,protege y maneja los riesgos de diferentes daños, sin importar el origen deestos.Seguridad de la Información Son todas aquellas medidas preventivas y reactivas del hombre, de lasorganizaciones y de los sistemas tecnológicos que permitan resguardar yproteger la información buscando mantener la confidencialidad, ladisponibilidad e integridad de la misma.ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA Vocero de Ciencia y Tecnología: Autoridad de nivel superior que integra el comité de seguridad. Bajo su administración están la aceptación y seguimiento de las políticas y normativa de seguridad en concordancia con las autoridades de nivel superior. Administrador de Red: Persona dotada de conciencia técnica, encargada de velar por la seguridad de la información, realizar auditorías de seguridad, elaborar documentos de seguridad como, políticas, normas; y de llevar un estricto control con la ayuda de la unidad de informática referente a los servicios prestados y niveles de seguridad aceptados para tales servicios. Responsable de Activos: Personal dentro de los diferentes departamentos administrativos de la institución, que velará por la seguridad y correcto funcionamiento de los activos informáticos, así como de la información procesada en éstos, dentro de sus respectivas áreas o niveles de mando. POLÍTICAS Y ESTÁNDARES DE SEGURIDAD 7
  8. 8. SEGURIDAD ORGANIZACIONAL Dentro del siguiente manual, se constituye el marco formal de la seguridadde la red que debe sustentarla el consejo comunal, incluyendo servicios ocontrataciones externas a la infraestructura, Integrando el recurso humano conla tecnología, denotando responsabilidades y actividades complementariascomo respuesta ante situaciones anómalas a la seguridad. Art. 1. Los servicios de la red son de exclusivo uso interno del ConsejoComunal El Caribe y para gestiones administrativas, cualquier cambio en lanormativa de uso de los mismos, será expresa y adecuada como política deseguridad en este documento. Art. 2. El Consejo Comunal El Caribe designara un representante deseguridad, que dé seguimiento a la consecución de la normativa, el cual tendrálas siguientes funciones: a) Gestionar y procesar información. b) Dar cumplimiento de políticas. c) Diseñar de planes de seguridad. d) Velar por la seguridad de los activos informáticos. e) Capacitar usuarios en temas de seguridad. f) Informar sobre problemas de seguridad a los voceros del consejo comunal. g) Crear planes de contingencia, que dé sustento o solución, a problemas de seguridad. Art. 3. El vocero de Ciencia y Tecnología es el encargado de mantener en buen estado los servidores dentro del consejo comunal. Art. 4. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio. Art. 5. Todo usuario de la red, gozará de absoluta privacidad sobre su información, o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red, sus servicios o cualquier otra red ajena al consejo comunal. 8
  9. 9. Seguridad asociada al Personal Referente a contratos: Art. 6. Se entregará al contratado, toda la documentación necesaria paraejercer sus labores dentro del consejo comunal, en el momento en que se depor establecido su contrato laboral. El empleado: Art. 7. La información procesada, manipulada o almacenada por el empleadoes de propiedad exclusiva del Consejo Comunal El Caribe.Entrenamiento de Usuarios Art. 8. Los usuarios de la red, serán entrenados en temas de seguridad de lainformación, según sea el área operativa. Art. 9. Se deben tomar todas las medidas de seguridad necesarias, antes derealizar un entrenamiento a personal ajeno o propio, siempre y cuando se veaimplicada la utilización de los servicios de red o se exponga material deimportancia. SEGURIDAD LÓGICA Se Trata de instaurar y complementar los mecanismos y procedimientos,que permitan monitorear el acceso a los activos de información, que contienenlos procedimientos de administración de usuarios, definición deresponsabilidades, perfiles de seguridad, control de acceso a las aplicaciones ydocumentación sobre sistemas, que van desde el control de cambios en laconfiguración de los equipos, manejo de incidentes, selección y aceptación desistemas, hasta el control de software malicioso.Control de Accesos 9
  10. 10. Art. 10. El Administrador de la Red proporcionará toda la documentaciónnecesaria para agilizar la utilización de los sistemas, referente a formularios,guías, controles, otros. Art. 11. Cualquier petición de información, servicio o acción proveniente deun determinado vocero, se deberá efectuar siguiendo los canales para realizardicha acción; no dar seguimiento a esta política implica: a) Negar por completo la ejecución de la acción o servicio. b) Informe completo dirigido a comité de seguridad, mismo será realizadopor la persona o el departamento al cual le es solicitado el servicio.Administración del Acceso de Usuarios. Art. 12. Son usuarios de la red todas aquellas personas, que tengan contactodirecto como integrante del Consejo Comunal y utilice los servicios de la red. Art. 13. Se asignará una cuenta de acceso a los sistemas de la intranet, atodo usuario de la red, siempre y cuando se identifique previamente el objetivode su uso o permisos explícitos a los que este accederá, junto a la informaciónpersonal del usuario. Art. 14. Los voceros, son usuarios limitados, estos tendrán accesoúnicamente a los servicios de Internet y recursos compartidos de la red,cualquier cambio sobre los servicios a los que estos tengan acceso, serámotivo de revisión y modificación de esta política, adecuándose a las nuevasespecificaciones. Art. 15. Se consideran usuarios externos o terceros, cualquier entidad opersona natural, que tenga una relación con el consejo comunal fuera delámbito de vocero y siempre que tenga una vinculación con los servicios de lared. Art. 16. El acceso a la red por parte de terceros es estrictamente restrictivo ypermisible únicamente mediante firma impresa y documentación de aceptaciónde confidencialidad hacia el consejo comunal y comprometido con el usoexclusivo del servicio para el que le fue provisto el acceso. 10
  11. 11. Responsabilidades del Usuario Art. 17. El usuario es responsable exclusivo de mantener a salvo sucontraseña. Art. 18. El usuario será responsable del uso que haga de su cuenta deacceso a los sistemas o servicios. Art. 19. Se debe evitar el guardar o escribir las contraseñas en cualquierpapel o superficie o dejar constancia de ellas, a menos que ésta se guardadaen un lugar seguro. Art. 20. El usuario es responsable de eliminar cualquier rastro dedocumentos proporcionados por el Administrador de la red, que contengainformación que pueda facilitar a un tercero la obtención de la información desu cuenta de usuario. Art. 21. Cualquier usuario que encuentre un hueco o falla de seguridad enlos sistemas informáticos del consejo comunal, está obligado a reportarlo a losadministradores de red o vocero de ciencia y tecnología.Uso de correo electrónico: Art. 22. El servicio de correo electrónico, es un servicio gratuito, y nogarantizable, se debe hacer uso de él, acatando todas las disposiciones deseguridad diseñadas para su utilización y evitar el uso o introducción desoftware malicioso a la red. Art. 23. El correo electrónico es de uso exclusivo, para los voceros delConsejo Comunal El Caribe. Art. 24. Todo uso indebido del servicio de correo electrónico, será motivo desuspensión temporal de su cuenta de correo o según sea necesario laeliminación total de la cuenta dentro del sistema. Art. 25. El usuario será responsable de la información que sea enviada consu cuenta.Protección Contra Software Malicioso Art. 26. Se adquirirá y utilizará software únicamente de fuentes confiables. 11
  12. 12. Art. 27. En caso de ser necesaria la adquisición de software de fuentes noconfiables, este se adquirirá en código fuente. Art. 28. Los servidores, al igual que las estaciones de trabajo, tendráninstalado y configurado correctamente software antivirus actualizable y activadala protección en tiempo real.Administración y Seguridad de Medios de Almacenamiento Art. 29. Los medios de almacenamiento o copias de seguridad del sistemade archivos, o información del consejo comunal, serán etiquetados de acuerdoa la información que almacenan u objetivo que suponga su uso, detallando ohaciendo alusión a su contenido. Art. 30. Los medios de almacenamiento con información crítica o copias derespaldo deberán ser manipulados única y exclusivamente por el personalencargado de hacer los respaldos y el personal encargado de su salvaguarda. Art. 31. Todo medio de almacenamiento con información crítica seráguardado bajo llave en una caja especial a la cual tendrá acceso únicamente,el administrador de la red o el vocero de ciencia y tecnología, esta caja nodebería ser removible. Art. 32. Se llevará un control, en el que se especifiquen los medios dealmacenamiento en los que se debe guardar información y su uso. SEGURIDAD FÍSICA Identifica las demarcaciones mínimas que se deben cumplir en cuanto aparametros de seguridad, de forma que se puedan establecer controles en elmanejo de equipos, transferencia de información y control de los accesos a lasdistintas áreas con base en la importancia de los activos.Seguridad Física y AmbientalSeguridad de los equipos 12
  13. 13. Art. 33. El cableado de red, se instalará físicamente separado de cualquierotro tipo de cables, llámese a estos de corriente o energía eléctrica, para evitarinterferencias. Art. 34. Los servidores, sin importar al grupo al que estos pertenezcan, conproblemas de hardware, deberán ser reparados localmente, de no cumplirse loanterior, deberán ser retirados sus medios de almacenamiento. Art. 35. Los equipos o activos críticos de información y proceso, deberánubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridadverificable y manejable por el administrador de red y las personas responsablespor esos activos, quienes deberán poseer su debida identificación.Controles Generales Art. 36. Las estaciones de trabajo, con procesamientos críticos no deben decontar con medios de almacenamientos extraíbles, que puedan facilitar el roboo manipulación de la información por terceros o personal que no deba teneracceso a esta información. Art. 37. Deberá llevarse un control exhaustivo del mantenimiento preventivoy otro para el mantenimiento correctivo que se les haga a los equipos. Art. 38. Toda visita a las oficinas de tratamiento de datos críticos einformación (servidores entre otros) deberá ser registrada, para posterioresanálisis del mismo. Art. 39. La sala o cuarto de servidores, deberá estar separada de las oficinasadministrativas de la unidad de informática o cualquier otra unidad,departamento o sala de recepción del personal, mediante una división en launidad de informática, recubierta de material aislante o protegido contra elfuego. Art. 40. El abastecimiento de energía eléctrica debe hacerse a través de uncircuito especial para los equipos de computación, o en su defecto el circuitoque se utilice no debe tener conectados equipos que demandan grandescantidades de energía. Art. 41. El suministro de energía eléctrica debe estar adecuadamentepolarizado, no siendo beneficiosa la utilización de polarizaciones locales detomas de corriente, sino que debe existir una red de polarización. 13
  14. 14. Art. 42. Las instalaciones de los sitios de trabajo deben contar con unaapropiada instalación eléctrica, y proveer del suministro de energía medianteuna estación de alimentación ininterrumpida o UPS para poder salvaguardar lainformación. Art. 43. Las instalaciones físicas de procesamiento de información deberánposeer carteles, sobre accesos, alimentos o cualquier otra actividad contraria ala seguridad de la información que ahí se procesa. GLOSARIO DE TERMINOSActivo: Es el conjunto de los bienes y derechos tangibles e intangibles depropiedad de una persona natural o jurídica que por lo general songeneradores de renta o fuente de beneficios, en el contexto informático llámeseactivo a los bienes de información y procesamiento. Recurso del sistema deinformación o relacionado con éste, necesario para que la organizaciónfuncione correctamente y alcance los objetivos propuestos.Administración Remota: Forma de administrar los equipos informáticos oservicios a través de terminales o equipos remotos, físicamente separados dela institución.Administrador de Red: Personal designado o encargado de velar por elcorrecto funcionamiento de las estaciones de trabajo, servidores, o equipo deoficina dentro de la institución.Amenaza: Es un suceso que puede desatar un incidente en la organización,produciendo daños materiales o pérdidas en sus activos.ArchivoLog: Ficheros de registro o bitácoras de sistemas, en los que serecoge los pasos que dan (lo que hace un usuario, como transcurre unaconexión, horarios de conexión, terminales o IP´s involucradas en el proceso,etc.) 14
  15. 15. Ataque: Eventualidad, exitoso o no, que atenta sobre el buen funcionamientodel sistema.Confidencialidad: Resguardar la información de su revelación no autorizada.Esto expresa que la información debe estar protegida de ser copiada porcualquiera que no esté explícitamente acreditado por el propietario de dichainformación.Cuenta: Módulo de identificación de un usuario, llámese de otra manera, almétodo de autenticación del usuario mediante procesos lógicos dentro de unsistema informático.Desastre o Contingencia: paralización de la capacidad de acceso ainformación y procesamiento de la misma a través de computadoras necesariaspara la operación normal de un establecimiento.Disponibilidad: Los recursos de información sean accesibles, cuando estossean exigidos.Encriptación: Es el proceso mediante el cual la información es cifrado deforma que el contenido sea ilegible a menos que se conozcan los datosnecesarios para su interpretación. Es una medida de seguridad utilizada paratransmitir información sensible de la organización.Integridad: Proteger la información de variaciones no autorizadas por laorganización.Impacto: consecuencia de la materialización de una amenaza.ISO (Organización Internacional de Estándares): Entidad certificada paranormar en temas de estándares. Aceptadas y legalmente reconocidas.IEC(Comisión Electrotécnica Internacional): Junto a la ISO, desarrollaestándares que son aceptados a nivel internacional. 15
  16. 16. Normativa de Seguridad ISO/IEC 17799: Estándar o norma internacional quevela por que se cumplan los requisitos mínimos de seguridad, que propicien unnivel de seguridad aceptable y acorde a los objetivos institucionalesdesarrollando buenas prácticas para la gestión de la seguridad informática.Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado porpersonal ajeno a la institución.Responsabilidad: En términos de seguridad, significa determinar que individuoen la institución, es responsable directo de mantener seguros los activos decómputo e información.Servicio: Conjunto de aplicativos o programas informáticos, que apoyan lalabor educativa, académica y administrativa, sobre los procesos diarios quedemanden información o comunicación de la institución.Riesgo: posibilidad de que se produzca un Impacto determinado en un Activoen un Dominio o en toda la Organización.Usuario: Defínase a cualquier persona jurídica o natural, que utilice losservicios informáticos de la red institucional y tenga una especie de vinculaciónacadémica o laboral con la institución.Vulnerabilidad: posibilidad de ocurrencia de la materialización de unaamenaza sobre un Activo. 16

×