Memoria del proyecto

801 views

Published on

Proyecto Fin de Master - Universidad Europea de Madrid. MUSTIC

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
801
On SlideShare
0
From Embeds
0
Number of Embeds
27
Actions
Shares
0
Downloads
18
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Memoria del proyecto

  1. 1. POLÍTICAS DE SEGURIDAD DE ACCESOS AREDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Madrid, Mayo de 2011
  2. 2. POLÍTICAS DE SEGURIDAD DE ACCESOS AREDES LOCALES PARA LA PREVENCIÓN DE FUGA DE DATOS Proyecto de Fin de Máster presentado por: Autores: Díaz, Peter Villanueva, Alejandro Fiz, Jesús González, Nadia Directora: Santamaría, Pilar. Madrid, Mayo de 2011
  3. 3. Resumen Las políticas de control de acceso de usuarios y refuerzo de dichaspolíticas en el servidor de aplicaciones web, tienen como finalidad el control,gestión, seguimiento y mantenimiento de toda la infraestructura del entornocorporativo. Actualmente en la empresa Grupo Seidor, S.A. no existen políticasde control de acceso para sus usuarios. La finalidad de estas políticas que sedesarrollaran para este trabajo de fin de master es de servir como punto dereferencia para el departamento de seguridad de la empresa, para el inicio de unplan de acciones que lleven a un control de la plataforma, tecnológicaresguardando los datos de la empresa. iii
  4. 4. Abstract The access control policies for users and reinforcement of such policies onthe applications web server have as a purpose the control, management, tracking,and maintenance of the entire corporate infrastructure environment. Actually onthe company Grupo Seidor, S.A. there are none access control policies for users.The purpose of these policies that will be developed for this thesis is to serve as areference point for the IT security department of the company, for the beginningof an action plan that lead to the control of the technological platform of thecompany safeguarding its data. iv
  5. 5. Agradecimientos A nuestra tutora Pilar Santamaría por su ofrecimiento inicial a llevar a cabo este proyecto, así como a su dedicación y seguimiento en el transcurso del desarrollo del mismo. A mi padre Ramón Daniel Villanueva Fernández, y a mis hermanos Karin y Moncho por ayudarme siempre que lo necesite. (Alejandro) A mis padres María y Eloy, y especialmente a mi madre, que sufre una granenfermedad, por haberme ayudado a llegar a este punto de mi vida y a mi esposa María, por ayudarme a compaginar mis estudios con el trabajo. (Jesús) A mi Madre María Teresa Rosales y mi cuñado (Padre) Gustavo Pineda quienes con su ejemplo de lucha y vida me dieron un gran ejemplo de superación ysabiduría. A mis hermanos(as) Ricardo, Libia Jazmín quienes con sus cuidados ycrianza fueron guías en mi formación profesional. Especialmente a mi esposa por su paciencia, apoyo y amor incondicional, te amo Mi Nena. (Peter) A toda mi familia y amigos por su gran apoyo, pero en especial a mi madreManuela Gutiérrez Hondal, por estar siempre ahí, escucharme y apoyarme en todo lo que hago y por inculcarme su espíritu de superación cada día, no sé qué haría sin ella. Gracias por todo mamá, te quiero. (Nadia) v
  6. 6. Índice de Capítulos y Anexos PáginaResumen……………………………………………………………...... iiiAbstract………………………………………………………………... ivAgradecimientos………………………………………………….……. vÍndice de Capítulos y Anexos...……………..…………………………. viÍndice de Tablas………………………………………………………... viiÍndice de Figuras………………………………………………………. xivCapítulo I Introducción…………………….……………………...…... 15Capítulo II Estado de la Cuestión.…………………………………….. 17Capítulo III Descripción del Problema...………………………………. 18Capítulo IV Solución Propuesta………………………………………. 20Capítulo V Conclusiones………………………………………………. 103Capítulo VI Trabajos Futuros…………………………………………. 104Apéndices……………………………………………………………… 105I Bibliografía……………………….………………...………………... 106II Antecedentes………………………………………………………… 107III Organigrama de la Empresa………………………………………… 112IV Cisco 2010 Global Threat Report…………………………………… 113V Forrester Consulting Paper about the Value of Corporate Secrets…… 120 vi
  7. 7. Índice de Tablas PáginaTabla 1. Historial de Política: Sistema Operativo Cliente…………… 20Tabla 2. Historial de Política: Sistema de antivirus………………….. 21Tabla 3. Historial de Política: Sistema de control y admisión de estacionesde trabajo………………………...……………………………………. 22Tabla 4. Historial de Política: Red de cuarenta……..……………….. 23Tabla 5. Historial de Política: Actualización Automática del SistemaOperativo………………………………………………………….….. 24Tabla 6. Historial de Política: Perfiles de admisión de losusuarios……………………………………………………………….. 25Tabla 7. Historial de Política: Red de invitados……………….…….. 26Tabla 8. Historial de Política: Control de acceso a proveedoresexterno………………………………………………………………… 27Tabla 9. Historial de Política: Administración de las aplicacionesde control y admisión…………………………………………………. 28Tabla 10. Historial de Política: Dispositivos de electrónica de redpara la admisión de equipos electrónicos…………………………… 29Tabla 11. Historial de Política: Servidores de control y admisión.... 30 vii
  8. 8. Tabla 12. Historial de Política: Control de admisión de usuarios…. 31Tabla 13. Historial de Política: Actualización de los sistemasoperativos de los clientes…………………………………………… 32Tabla 14. Historial de Política: Administración de los dispositivosde electrónica de red……………………………………………….. 33Tabla 15. Historial de Política: Admisión y control de Servidoresen la red corporativa………………………………………………. 34Tabla 16. Historial de Política: Sistema de control de gestión y alertas. 35Tabla 17. Historial de Política: Renovación de los equipos deelectrónica de red…………………………………………………… 36Tabla 18. Historial de Política: Sistema de monitorización de laelectrónica de red…………………………………………………… 37Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa. 38Tabla 20. Historial de Política: Actualización de las aplicacionestecnológicas………………………………………………………………. 39Tabla 21. Historial de Política: Se debe especificar el control de accesode los usuarios al sistema………………………………………………… 40Tabla 22. Historial de Política: Gestión y creación de contraseñas……. 41Tabla 23. Historial de Política: Uso adecuado del sistema…………….. 42 viii
  9. 9. Tabla 24. Historial de Política: Respaldo de la información…………… 43Tabla 25. Historial de Política: Uso de correo electrónico……………… 44Tabla 26. Historial de Política: Roles de los usuarios en la Intranet…… 45Tabla 27. Historial de Política: Contenidos de la página principalde la Intranet……………………………………………………………… 46Tabla 28. Historial de Política: Publicación de contenidos en la Intranet. 47Tabla 29. Historial de Política: Responsable del avance de la Intranet…. 48Tabla 30. Historial de Política: Clasificación de los contenidospublicados en la Intranet…………………………………………………. 49Tabla 31. Historial de Política: Control de descarga de aplicaciones…. 50Tabla 32. Historial de Política: Notificación de incidentes en la Intranet.. 51Tabla 33. Historial de Política: Formación del personal sobre seguridaden la Intranet……………………………………………………………… 52Tabla 34. Historial de Política: Responsables de seguridad de laIntranet…………………………………………………………………… 53Tabla 35. Historial de Política: Integridad en los contenidos de laIntranet…………………………………………………………………… 54Tabla 36. Historial de Política: Disponibilidad de la Intranet…………. 55 ix
  10. 10. Tabla 37. Historial de Política: Acuerdos de confidencialidad………… 56Tabla 38. Historial de Política: Autorización para procesar laInformación……………………………………………………………… 57Tabla 39. Historial de Política: Auditabilidad de la Intranet………….. 58Tabla 40. Historial de Política: Etiquetado de la información de laIntranet…………………………………………………………………. 59Tabla 41. Historial de Política: Identificación de los riesgos de laIntranet…………………………………………………………………. 60Tabla 42. Historial de Política: Funciones y responsabilidades de losempleados respecto al uso de la Intranet………………………………. 61Tabla 43. Historial de Política: Proceso disciplinario para los empleadospor el mal uso de la Intranet……………………………………………. 62Tabla 44. Historial de Política: Retirada y modificación de losderechos de acceso a la Intranet……………………………………….... 63Tabla 45. Historial de Política: Controles de la red interna……………. 64Tabla 46. Historial de Política: Control sobre el intercambio deinformación………………………………………………………………… 65Tabla 47. Historial de Política: Registro de auditorías de la Intranet…… 66Tabla 48. Historial de Política: Registro de administración de la Intranet. 67 x
  11. 11. Tabla 49. Historial de Política: Registro de usuarios de la Intranet…… 68Tabla 50. Historial de Política: Equipo de usuario con acceso a laIntranet desatendido…………………………………………………….. 69Tabla 51. Historial de Política: Uso de servicios en red………………. 70Tabla 52. Historial de Política: Identificación de los equipos en laIntranet…………………………………………………………………. 71Tabla 53. Historial de Política: Desconexión automática de sesión enla Intranet………………………………………………………………. 72Tabla 54. Historial de Política: Controles contra código malicioso….. 73Tabla 55. Historial de Política: Controles contra códigos móviles…… 74Tabla 56. Historial de Política: Controles de redes…………………… 75Tabla 57. Historial de Política: Seguridad de los servicios de la red….. 76Tabla 58. Historial de Política: Registro de auditoría…………………. 77Tabla 59. Historial de Política: Uso del sistema de monitorización.…… 78Tabla 60. Historial de Política: Protección del registro de información. 79Tabla 61. Historial de Política: Registros del administrador y operador. 80Tabla 62. Historial de Política: Registro de fallos………………………. 81 xi
  12. 12. Tabla 63. Historial de Política: Política de control de acceso………. 82Tabla 64. Historial de Política: Registro de usuario…………………. 83Tabla 65. Historial de Política: Gestión de privilegios………………. 84Tabla 66. Historial de Política: Gestión de las claves secretas de losUsuarios………………………………………………………………. 85Tabla 67. Historial de Política: Revisión de los derechos de accesodel usuario……………………………………………………………. 86Tabla 68. Historial de Política: Uso de claves secretas……………… 87Tabla 69. Historial de Política: Equipo desatendido…………………. 88Tabla 70. Historial de Política: Uso de los servicios de red…………. 89Tabla 71. Historial de Política: Computación y comunicacionesMóviles……………………………………………………………….... 90Tabla 72. Historial de Política: Control de vulnerabilidades………… 91Tabla 73. Historial de Política: Reporte de eventos………………….. 92Tabla 74. Historial de Política: Reporte de las debilidades en laSeguridad……………………………………………………………… 93Tabla 75. Historial de Política: Realización de revisiones y evaluacionesWeb………………………………………………………………………… 94 xii
  13. 13. Tabla 76. Historial de Política: Log Management…………………………... 95Tabla 77. Historial de Política: Copia en red de los Log…………………… 96Tabla 78. Historial de Política: Revisión de políticas de seguridad ycumplimiento técnico………………………………………………………… 97Tabla 79. Historial de Política: Auditorías de sistemas……………………… 98Tabla 80. Historial de Política: Monitorización de administración de sistemas. 99Tabla 81. Historial de Política: Monitorización de uso del sistema………… 100Tabla 82. Historial de Política: Protección y respaldo de los Log…………. 101 xiii
  14. 14. Índice de Figuras PáginaOrganigrama de la Empresa………………………………………….... 112 xiv
  15. 15. CAPITULO I INTRODUCCIÓNEl Grupo Seidor es una empresa española cuyo origen data del año 1982 enCataluña, con un capital 100 % español y que ha estado siempre entre las 50mejores empresas TIC españolas. Desde el año 2005 ha experimentado unaexpansión a pasos acelerados en toda España y Latinoamérica, fundamentalmentepor la comercialización de los sistemas SAP, donde es el líder en España llegandoa lograr importantes premios a nivel nacional e internacional. El grupo Seidor en la actualidad disponen de sistemas que administran,controlan y monitorean los principales servicios y aplicaciones de su red localcorporativa, todo esto ha llevado al desarrollo de su infraestructura y uncrecimiento acelerado de sus procesos tecnológicos. Con la finalidad decontrolar y gestionar cada uno de los sistemas que componen la estructuratecnología del Grupo Seidor en especial la seguridad en tecnología de lainformación y comunicaciones conocida por sus siglas TIC, se han desarrolladoen este trabajo de fin de master una serie de políticas que contribuyen alcontrol, supervisión, mantenimiento, auditoria y gestión de los sistemas en elGrupo Seidor. Teniendo en cuenta lo antes expuesto dichas políticas llevan un control ygestión de los accesos a las aplicaciones, validaciones, servicios, servidores,estaciones de trabajo y en general toda la plataforma que soporta lainfraestructura. El Grupo Seidor, tomando en cuenta la seguridad en las TIC, entiende queno es necesario tener como único punto un responsable o un gran departamento deseguridad, sino políticas que regulen a estas personas en sí mismas o a estosdepartamentos involucrados. 15
  16. 16. Uno de los principales temores dentro del Grupo Seidor es que en laactualidad por no contar con políticas de seguridad en sus redes locales, hanexperimentado fugas de datos que han arrojado reflejan pérdidas económicasmillonarias. Un ejemplo muy parecido de estas fugas de información se hanvisto últimamente como el de la empresa Sony donde su producto estrellaPlayStation por un fallo en su seguridad interna (posiblemente por no contar conpolíticas definidas), que se ha traducido en una fuga de datos de los suscriptoresde esta red de usuarios, en la mayoría personas que jugaban y tenían datospersonales en los servidores de la compañía. Como reflexión decimos que las políticas de seguridad en muchos casosson subestimadas por las empresas, no obstante tienen el poder de crearconciencia en las personas, como en todo sistema eco ambiental donde interactúael hombre y los sistemas las políticas son como las leyes en los países, marcan lapauta del comportamiento y actuación de las personas en determinadassituaciones. Pero al igual que las leyes en algunos casos son mal interpretadaso simplemente no se cumplen. Debemos tener siempre presente que laspolíticas de seguridad son necesarias si queremos tener una organización conparámetros que permitan regular el funcionamiento adecuado de losambientes y plataformas informáticas garantizando un verdadero control delrecurso humano y de los sistemas. 16
  17. 17. CAPITULO II ESTADO DE LA CUESTIÓN Al momento del desarrollo de este trabajo no existían dentro de laorganización Grupo Seidor Políticas de Control y Acceso a la red local, esto teníacomo consecuencia la fuga de información de todos los desarrolloscorrespondientes a nuevos proyectos que se desarrollaban en el departamento deDesarrollo de Negocios. La finalidad de este trabajo es poder brindar los mediosal departamento de seguridad de poder mitigar la fuga de información y tener uncontrol de los usuarios que acceden a los recursos de la red local, pudiendo asítener la supervisión, la trazabilidad y la auditoria de toda la información decarácter sensible y confidencial que circula dentro de la red. La protección de los datos es de alta importancia para el departamento dedesarrollo de negocios y por ello ha pedido al departamento de seguridad de laorganización la creación de políticas de seguridad que permitan el control ymitigación de los posibles fallos no humanos y humanos que puedan estardesarrollándose en Grupo Seidor. Es un punto a destacar que la organización estáexperimentando un crecimiento exponencial de clientes lo que ha llevado elúltimo año de operaciones a crecer el personal de consultores y administrativos,en muchos casos han venido personal de la competencia y en pro de proteger lafuga de la información han pedido la implementación de políticas de seguridad.Casos que se han desarrollado en otras corporaciones como Sony Corporation conel caso de su producto estrella Play Station Network 1 , donde un fallo de seguridadpermitió la fuga de millones de datos de sus suscriptores ha encendido la alerta nosolo a la gerencia de seguridad de Grupo Seidor sino a todos los departamentos deSeguridad de todas las empresas a nivel mundial.1 2011. “Comunicado de Prensa de Sony Online Entertainment sobre cuestiones de seguridad”.“blog.es.playstation.com”. (Consultada: 05/05/2011) 17
  18. 18. CAPITULO III DESCRIPCIÓN DEL PROBLEMA La empresa Grupo Seidor S.A. en la actualidad no cuenta con políticas deseguridad para el control de los usuarios y a sus servidores de aplicaciones web,en los últimos años se ha incrementado el robo de información digital por parte delos usuarios internos por no tener control sobre sus servidores web, al no existirpolíticas de seguridad que regulen los accesos y lleven un control de los usuariosque accedan de manera regulada a la información alojada en sus servidores deaplicaciones web. La sustracción y robo de información clasificada le ha llevado a la pérdidade negocios y clientes en valores monetarios superiores a 800.000 euros por año,lo que representa una cuarta parte del ingreso anual en ventas solo en servicios deconsultoría. Estas políticas de seguridad serán reguladas, administradas y puesta enmarcha por el departamento de seguridad y redes de la empresa, teniendo comoprimera misión el poder regular los accesos a los usuarios internos y a losservidores de aplicaciones web. Los servidores de aplicaciones web, contienen los sistemas financieros,contables y administrativos soportados todos ellos en los sistemas ERP de SAP 2Business One. Estos módulos gestionan el 80 % de las operaciones de laorganización.2 2011. “SAP España, Pequeñas y Medianas Empresas” . http://www.sap.com/spain/sme/solutions/businessmanagement/businessone/index.epx. (Consultada: 16/03/2011) 18
  19. 19. El requerimiento para la elaboración y estructuración de unas políticas deseguridad que aplique el entorno organizacional interno con el fin de resguardar lainformación crítica para la empresa como son sus clientes y proveedores externos.Estas políticas a ser implementadas llevaran un control para la prevención no solode este tipo de ataques que se vinculan al factor humano sino también a losinformáticos que día a día se desarrollan incrementalmente trayendo en ocasionesperdidas millonarias y paradas inesperadas a las organizaciones. 19
  20. 20. CAPITULO IV SOLUCIÓN PROPUESTAPolíticas de admisión y control de usuarios: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 1. Historial de Política: Sistema Operativo Cliente.Política: Sistema Operativo Cliente.Comentario: Con esta política se pretende especificar el tipo de sistema operativoque se autoriza para acceder a la red corporativa. El sistema operativo cliente seráel indicado por el responsable del departamento de seguridad y no se podrá operarcon ningún otro sistema operativo que no esté autorizado por el responsable deldepartamento de seguridad.Políticas relacionadas: “Sistema operativo cliente”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 20
  21. 21. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 2. Historial de Política: Sistema de antivirus.Política: Sistema de antivirus.Comentario: Esta política establece los equipos corporativos deberán de tener unsistema operativo el cual será actualizado periódicamente por los servidores queprestan el servicio de actualización de huellas, este antivirus será administrado ycontrolado por el departamento de seguridad.Políticas relacionadas: “Sistema Antivirus”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 21
  22. 22. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 3. Historial de Política: Sistema de control y admisión de estaciones de trabajo.Política: Sistema de control y admisión de estaciones de trabajo.Comentario: Esta política específica que las estaciones de trabajo que seconectan a la red corporativa solo recibirán los servicios si pertenece a un grupoespecífico del entorno tecnológico y cumpla con las reglas definidas por eldepartamento de seguridad de la corporación.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 22
  23. 23. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 4. Historial de Política: Red de cuarenta.Política: Red de cuarenta.Comentario: Esta política especifica qué las estaciones de trabajo que nocumplan con las reglas definidas por el departamento de seguridad de lacorporación, pasar a una red de cuarentena con servicios limitados que serándefinidos previamente por el departamento de seguridad de la corporación.Políticas relacionadas: “Control y Admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 23
  24. 24. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 5. Historial de Política: Actualización Automática del Sistema Operativo.Política: Actualización Automática del Sistema Operativo.Comentario: Esta política establece que las estaciones de trabajo y servidorescontaran con un sistema automatizado para la actualización y parcheo de sussistemas operativos, dicho sistema será administrado y controlado por eldepartamento de seguridad de la corporación y contara con la supervisión delresponsable del departamentoPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 24
  25. 25. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 6. Historial de Política: Perfiles de admisión de los usuarios.Política: Perfiles de admisión de los usuarios.Comentario: Esta política establece los perfiles de los usuarios en la redcorporativa, el usuario tendrá acceso a los sistemas de la corporación de acuerdoal rol y las funciones que desempeñe en la organización, de esta manera seestablecerán niveles de acceso para cada aplicación, base de datos, sistema web ocualquiera que aplique en el entorno corporativo. Estos niveles serán establecidospor el departamento de seguridad de la organización.Políticas relacionadas: “Perfiles de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 25
  26. 26. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 7. Historial de Política: Red de Invitados.Política: Red de invitados.Comentario: Se contara con una red de invitados la cual tendrá una conectividadtotalmente aislada a la red corporativa y cuyo acceso será solo autorizado por eldepartamento de seguridad de la corporación.Políticas relacionadas: “Control y Admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 26
  27. 27. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 8. Historial de Política: Control de acceso a proveedores externos.Política: Control de acceso a proveedores externos.Comentario: Para evitar que los equipos portátiles y electrónicos de proveedoresexternos que se conectan a la red corporativa, dicha autorización y chequeo previoserá exclusivamente autorizado por el departamento de seguridad de lacorporación, con el fin de evitar que dichos equipos puedan contener softwaremalicioso o no cumplan con las políticas establecidas anteriormente.Políticas relacionadas: “Control y admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 27
  28. 28. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 9. Historial de Política: Administración de las aplicaciones de control y admisión.Política: Administración de las aplicaciones de control y admisión.Comentario: Es necesario tener un responsable que se encargue de administrarlos dispositivos, servidores y aplicaciones que control, autoricen y administren elacceso a la red corporativa y sus recursos asociados. Este responsable será elencargado de dar un reporte y alertar de las posibles vulnerabilidades eirregularidades que pueda sufrir la organización. Este administrador dependerádirectamente del responsable del departamento de seguridad.Políticas relacionadas: “Responsables del sistema de control y admisión”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 28
  29. 29. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 10. Historial de Política: Dispositivos de electrónica de red para la admisión de equipos electrónicos.Política: Dispositivos de electrónica de red para la admisión de equiposelectrónicos.Comentario: Solo se permitirán la implementación de equipos de electrónica dered que cumplan con el protocolo 802.1X para garantizar que dichos equipostendrán la capacidad de operar bajo normas establecidas por el departamento deseguridad, garantizando el control y administración de los equipos que seconecten a la red corporativa.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 29
  30. 30. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 11. Historial de Política: Servidores de control y admisión.Política: Servidores de control y admisión.Comentario: Se deberá contar con servidores que presten los servicios deadmisión y control en la red corporativa. Estos servidores deberán cumplir conlas normas establecidas anteriormente y serán capaces de ser administrados demanera autónoma con la mínima intervención del personal del departamento deseguridadPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 30
  31. 31. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 12. Historial de Política: Control de admisión de usuarios.Política: Control de admisión de usuarios.Comentario: Los usuarios que se conecten a la red corporativa deberán cumplircon las normas establecidas por el departamento de seguridad de la organización,y bajo ningún concepto podrán saltarse los procedimientos de admisión y controla la red corporativaPolíticas relacionadas: “Control de usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 31
  32. 32. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 13. Historial de Política: Actualización de los sistemas operativos de los clientes.Política: Actualización de los sistema operativos de los clientes.Comentario: La actualización de los sistemas operativos de las estaciones detrabajo estará a cargo del departamento de tecnología de la organización, bajo lasupervisión del departamento de seguridad. Ambos departamento se coordinaranpara tomar en cuenta cuáles serán los sistemas operativos implicados en elmomento de su actualización.Políticas relacionadas: “Sistemas operativos”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 32
  33. 33. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 14. Historial de Política: Administración de los dispositivos de electrónica de red.Política: Administración de las dispositivos de electrónica de red.Comentario: Se contara con un responsable de administrar y controlar losdispositivos de electrónica de red que interconectan la red corporativa, dichoresponsable dependerá del departamento de seguridad de la organización.Políticas relacionadas: “Personal Administrativo”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 33
  34. 34. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 15. Historial de Política: Admisión y control de Servidores en la red corporativa.Política: Admisión y control de Servidores en la red corporativa.Comentario: Solo se permitirán la instalación de servidores que cumplan con lasnormas establecidas por el departamento de seguridad y sean compatibles con elprotocolo 802.1X, todos los servidores que se conecten a la electrónica de reddeben de tener la capacidad de auto gestionarse con la mínima intervención de losadministradores.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 34
  35. 35. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 16. Historial de Política: Sistema de control de gestión y alertas.Política: Sistema de control de gestión y alertas.Comentario: Se contara con un sistema de gestión y alertas que permita notificara los responsables del departamento de seguridad y tecnología en caso de algunacontingencia o alarma preventiva. Estas alertas serán pre configuradas en elsistema de acuerdo a las aplicaciones que se alojen en cada servidor y tomando encuenta su criticidad para la organización.Políticas relacionadas: “Sistema de gestión y alertas”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 35
  36. 36. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter DíazTabla 17. Historial de Política: Renovación de los equipos de electrónica de red.Política: Renovación de los equipos de electrónica de red.Comentario: Se renovaran y se sacaran de su vida útil todos los equipos deelectrónica de red que no cumplan con el protocolo 802.1X, esto con el fin detener un equipamiento estándar que cumpla con los mínimos requerimientos parala gestión de la plataforma tecnológica de la corporación.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 36
  37. 37. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 18. Historial de Política: Sistema de monitorización de la electrónica de red.Política: Sistema de monitorización de la electrónica de red.Comentario: Se debe contar con un sistema de monitorización que permita ver entiempo real el funcionamiento y desempeño de los equipos de electrónica de red.Dicho sistema tiene que cumplir con las normas establecidas por el departamentode seguridad de la corporación, bajo la aprobación del responsable de seguridad.Políticas relacionadas: “Sistema de monitorización”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 37
  38. 38. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 19. Historial de Política: Solicitud de acceso a la red corporativa.Política: Solicitud de acceso a la red corporativa.Comentario: Todo equipo electrónico, dispositivo, portátil y/o servidor quecumpla una función critica dentro de la organización deberá ser autorizadopreviamente por el departamento de seguridad de la corporación antes de serconectado a la plataforma tecnológica.Políticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 38
  39. 39. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Director de Seguridad Autor: Peter Díaz Tabla 20. Historial de Política: Actualización de las aplicaciones tecnológicas.Política: Actualización de las aplicaciones tecnológicas.Comentario: Solo se permitirán la implementación de aplicaciones tecnológicascompatibles con los sistemas de admisión y control descritos anteriormente, bajoningún concepto se implementaran aplicaciones que no sean compatibles con laplataforma tecnológica de la corporaciónPolíticas relacionadas: “Admisión y control”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 39
  40. 40. Políticas de protección de la Intranet y suscontenidos: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de seguridad Autor: Nadia González Tabla 21. Historial de Política: Se debe especificar el control de acceso de los usuarios al sistema.Política: Se debe especificar el control de acceso de los usuarios al sistema.Comentario: Con esta política se pretende especificar como deben acceder losusuarios al sistema, desde dónde y de qué forma deben autentificarse. El controlde acceso está ligado la autentificación, ya que para poder acceder al sistema esnecesario autentificarse. Mediante el control de acceso el usuario deberáintroducir su nombre de usuario y contraseña y de esta forma tendrá acceso a losrecursos de la intranet. Todos los usuarios deberán acceder al sistema utilizandoalgún programa que permita una comunicación segura y cifrada.Políticas relacionadas: “Autentificación de personal”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 40
  41. 41. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 22. Historial de Política: Gestión y creación de contraseñas.Política: Gestión y creación de contraseñas.Comentario: Esta política establece qué persona asignará la contraseña, lalongitud que debe tener, su formato, la forma en que debe ser comunicada, etc.Las contraseñas son el método de autentificación más común y con todas estasmedidas se pretende que los usuarios se autentifiquen de manera segura y asígarantizar la protección contra ataques en la intranet.Políticas relacionadas: “Asignación de contraseñas”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 41
  42. 42. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 23. Historial de Política: Uso adecuado del sistema.Política: Uso adecuado del sistema.Comentario: Esta política específica lo que se considera un uso adecuado oinadecuado del sistema por parte de los usuarios, así como lo que está permitido ylo que está prohibido dentro del sistema de información. Está prohibido entreotras cosas el ejecutar programas que intenten adivinar contraseñas alojadas en lasmáquinas locales o remotas.Políticas relacionadas: “Normas del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 42
  43. 43. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 24. Historial de Política: Respaldo de la información.Política: Respaldo de la información.Comentario: Esta política especifica qué información debe respaldarse, quémedios de respaldo utilizar, cada cuanto tiempo debe respaldarse, cómo deberá serrespaldada la información, dónde deberán almacenarse los respaldos etc. Unejemplo sería que el administrador del sistema es el responsable de realizar losrespaldos de la información. Cada mes deberá efectuarse un respaldo completo delsistema y cada día deberán ser respaldados todos los archivos que fueronmodificados o creados. La información respaldada deberá ser almacenada en unlugar seguro y distante del sitio de trabajo.Políticas relacionadas: “Métodos de respaldo de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 43
  44. 44. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 25. Historial de Política: Uso de correo electrónico.Política: Uso de correo electrónico.Comentario: Esta política establece tanto el uso adecuado como inadecuado delservicio de correo electrónico, los derechos y obligaciones que el usuario debeconocer y cumplir al respecto. Un ejemplo es que el usuario es la única personaautorizada para leer su propio correo, a menos que él autorice explícitamente aotra persona para hacerlo, o bien que su cuenta esté involucrada en algúnincidente de seguridad de la empresa.Políticas relacionadas: “Obligaciones de los usuarios con el correo electrónico”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 44
  45. 45. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 26. Historial de Política: Roles de los usuarios en la Intranet.Política: Roles de los usuarios en la intranet.Comentario: Esta política establece los permisos de los usuarios en el acceso yen los contenidos de la intranet. Es decir, dependiendo del rol que se le hayaasignado, el usuario tendrá acceso a una determinada información, ya que notodos los usuarios pueden tener el mismo nivel jerárquico dentro de la empresa.Políticas relacionadas: “Permisos de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 45
  46. 46. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia GonzálezTabla 27. Historial de Política: Contenidos de la página principal de la Intranet.Política: Contenidos de la página principal de la Intranet.Comentario: La página principal de la Intranet es el espacio más demandado delsitio en cada área de la empresa, ya que todos tienen enlace directo a suinformación. Cada equipo de la Intranet debe tener establecido lo que tiene queestar publicado y lo que no en la página principal.Políticas relacionadas: “Acceso a la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 46
  47. 47. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 28. Historial de Política: Publicación de contenidos en la Intranet.Política: Publicación de contenidos en la Intranet.Comentario: Para evitar que la Intranet se convierta en “un vertedero dedocumentos de segunda mano” es importante que la información que ya haya sidocomunicada al personal a través de cualquier mecanismo como el correoelectrónico no vuelva a ser publicada en la Intranet.Políticas relacionadas: “Acceso a la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 47
  48. 48. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 29. Historial de Política: Responsable del avance de la Intranet.Política: Responsable del avance de la Intranet.Comentario: Es necesario tener un responsable para impulsar el avance de laIntranet, el desarrollo de sus estrategias y la gestión de los elementos clave delsitio. Esto es necesario para que la Intranet sea consistente, coherente y eficaz. Elresponsable del avance de la Intranet tiene que intentar mejorarla en todomomento, utilizar una serie de estrategias para su mejora y gestionar elementoscomo la página principal, la búsqueda etc.Políticas relacionadas: “Responsables de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 48
  49. 49. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 30. Historial de Política: Clasificación de los contenidos publicados en la Intranet.Política: Clasificación de los contenidos publicados en la Intranet.Comentario: No todos los contenidos de la Intranet deben ser publicados, ya quela información se clasifica en distintos niveles de seguridad, puede ser pública,privada o confidencial, y esto ha de tenerse en cuenta a la hora de la publicaciónde contenidos. Habrá cierta información pública, es decir, accesible a todos losusuarios de la Intranet, la privada, a la que sólo tendrán acceso ciertos usuarios,dependiendo de su rol, y la confidencial que no es conveniente que sea publicadaen la Intranet, pero en caso de serlo solo debe tener acceso la persona con lospermisos necesarios.Políticas relacionadas: “Clasificación de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 49
  50. 50. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 31. Historial de Política: Control de descarga de aplicaciones.Política: Control de descarga de aplicaciones.Comentario: Es necesario tener un control de las aplicaciones que se descarguenlos empleados de Internet, ya que las aplicaciones pueden contener malware queinfecte los ordenadores, de forma que cuando el empleado acceda a la Intranet esemalware sea transmitido y por tanto perjudique al resto de equipos de la empresa.Políticas relacionadas: “Control de aplicaciones”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 50
  51. 51. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 32. Historial de Política: Notificación de incidentes en la Intranet.Política: Notificación de incidentes en la Intranet.Comentario: Todos los usuarios de la Intranet deben informar al departamento deSeguridad de la empresa de cualquier incidencia dentro de la Intranet, tantoerrores como el mal uso de la misma, además de los fallos en la disponibilidad delsitio.Políticas relacionadas: “Notificación de incidencias”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 51
  52. 52. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 33. Historial de Política: Formación del personal sobre seguridad en la Intranet.Política: Formación del personal sobre seguridad en la Intranet.Comentario: Dentro de la empresa deben impartirse cursos sobre seguridad atodos los empleados, para concienciar de los peligros que hay por la red y de estaforma evitar vulnerabilidades producidas por errores humanos. Con todo esto sepretende evitar el mal uso de la Intranet por parte de los usuarios así como losproblemas que eso supone.Políticas relacionadas: “Formación del personal”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 52
  53. 53. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 34. Historial de Política: Responsables de seguridad de la Intranet.Política: Responsables de seguridad de la Intranet.Comentario: En la empresa deben existir unas figuras claras de autoridadrespecto de la seguridad de la Intranet, esto quiere decir que estas personas seránlas encargadas de establecer una serie de normas de uso seguro para los usuarios,además de ser los responsables si existe algún problema de seguridad en laIntranet.Políticas relacionadas: “Responsables de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 53
  54. 54. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 35. Historial de Política: Integridad en los contenidos de la Intranet.Política: Integridad en los contenidos de la Intranet.Comentario: Todos los contenidos publicados en la Intranet deben ser íntegros,es decir, que no puedan ser modificados por una persona que no tenga lospermisos necesarios para ello. Con esto se pretende que la información publicadasea veraz.Políticas relacionadas: “Integridad de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 54
  55. 55. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 36. Historial de Política: Disponibilidad de la Intranet.Política: Disponibilidad de la Intranet.Comentario: La Intranet debe estar en todo momento disponible para que losusuarios puedan acceder a ella, ya que es totalmente necesaria para realizar eltrabajo de la empresa. En caso de no estar disponible, deberá ser reparada en elmenor tiempo posible para no obstaculizar las labores diarias de la empresa.Políticas relacionadas: “Disponibilidad de los servicios web”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 55
  56. 56. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 37. Historial de Política: Acuerdos de confidencialidad.Política: Acuerdos de confidencialidad.Comentario: Es necesario identificar y revisar los requerimientos deconfidencialidad de la Intranet, así como los acuerdos de no divulgación decontenidos, para proteger la información contenida en la Intranet y garantizar laconfidencialidad de la información de la empresa.Políticas relacionadas: “Confidencialidad de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 56
  57. 57. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 38. Historial de Política: Autorización para procesar la información.Política: Autorización para procesar la información.Comentario: Cada vez que sea necesario procesar la información de la Intranet,tal como añadir, modificar o eliminar información, será necesario solicitar a losresponsables de seguridad una autorización para llevar a cabo dicho proceso. Conesto se pretende tener un control sobre la información y así evitar su pérdida ymantener su integridad y confidencialidad. Solicitar una autorización a los responsables de seguridad de la empresaevita al personal la toma de decisiones sobre seguridad que pueden provocar algúndaño en el sistema de información al no tener experiencia en ese campo.Políticas relacionadas: “Autorización de recursos”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 57
  58. 58. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 39. Historial de Política: Auditabilidad de la Intranet.Política: Auditabilidad de la Intranet.Comentario: La Intranet debe ser totalmente auditable, ya que para protegertodos sus contenidos es necesario realizar auditorías de seguridad cada ciertotiempo y así descubrir las vulnerabilidades del sitio. Auditar la Intranet es unpunto crucial de la seguridad de la información, ya que los contenidos de ésta sonúnicamente de la empresa y por ello no pueden ser vistos ni modificados porpersonas ajenas a ella.De la auditabilidad depende que el sistema mejore y sea más seguro.Políticas relacionadas: “Auditabilidad del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 58
  59. 59. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 40. Historial de Política: Etiquetado de la información de la Intranet.Política: Etiquetado de la información de la Intranet.Comentario: Desarrollo e implementación de una serie de procedimientos paraetiquetar y manejar la información siguiendo el esquema adoptado por la empresa. El etiquetado de información es importante para su clasificación y para suintercambio. La información será etiquetada mediante una serie de mecanismoselectrónicos y será clasificada como sensible, crítica, privada, pública... según surelevancia para la empresa.Políticas relacionadas: “Etiquetado y manejo de la información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 59
  60. 60. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 41. Historial de Política: Identificación de los riesgos de la Intranet.Política: Identificación de los riesgos de la Intranet.Comentario: Para poder tener una Intranet segura, hay que identificar todos losriesgos a los que se encuentra expuesta y así poder desarrollar las medidas deprotección contra tales riesgos. Uno de los principales riesgos es el acceso de terceros, por lo que una delas medidas será proteger la información contra terceras personas ajenas a laempresa que no tengan permiso para acceder a ella. La identificación de riesgos proporcionará a la empresa un mayor controlsobre la Intranet y sobre la información que ésta contiene.Políticas relacionadas: “Riesgos del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 60
  61. 61. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 42. Historial de Política: Funciones y responsabilidades de los empleados respecto al uso de la Intranet.Política: Funciones y responsabilidades de los empleados respecto al uso de laIntranet.Comentario: El personal tendrá definidas una serie de normas de uso de laIntranet que deberán ser cumplidas en todo momento. Además cada empleadotendrá una serie de responsabilidades que cumplir y asumir, ya que si se producealgún incidente bien sea por accidente o intencionadamente los responsables deseguridad deben saber en todo momento la causa por la que se ha producido y lapersona que lo ha causado. Cada empleado tendrá una función definida y tendráque cumplirla sin sobrepasar los límites permitidos. Por todo esto es muyimportante concienciar a los empleados de que deben cumplir las normas einformar de cualquier incidencia lo antes posible.Políticas relacionadas: “Normas de uso de la Intranet”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 61
  62. 62. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 43. Historial de Política: Proceso disciplinario para los empleados por el mal uso de la Intranet.Política: Proceso disciplinario para los empleados por el mal uso de la Intranet.Comentario: Debe existir un proceso disciplinario en la empresa para todos losempleados que hayan provocado alguna violación de la seguridad de la Intranet. Como se ha definido en otras políticas sobre las normas de los empleados,se abrirá un proceso disciplinario a todo empleado que incumpla las normas y quepor tanto perjudique a la seguridad de la Intranet. Cada proceso disciplinario dependerá de la gravedad de la violación deseguridad cometida y de la intencionalidad de la misma, ya que no se tratará igualun caso de un empleado que lo realizase conscientemente como un caso de unempleado que lo hiciese de forma accidental.Políticas relacionadas: “Normas de uso de la Intranet”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 62
  63. 63. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 44. Historial de Política: Retirada y modificación de los derechos de acceso a la Intranet.Política: Retirada y modificación de los derechos de acceso a la Intranet.Comentario: Cada vez que un empleado abandone su puesto de trabajo o bien sele asigne otro diferente, sus derechos de acceso serán modificados de igual forma.Esto quiere decir que habrá una serie de pautas definidas para eliminar losderechos de acceso de antiguos empleados a la Intranet y para la modificación deestos derechos en caso de cambiar de puesto de trabajo dentro de la mismaempresa. Con esto se pretende tener un control sobre el acceso a la Intranet, yaque el personal varía continuamente y no se puede permitir que una persona queno siga en la empresa siga teniendo un control de acceso a la Intranet de lamisma, al igual que una persona que varíe de puesto de trabajo dentro de laempresa no puede tener el mismo control de acceso que tenía anteriormente, yaque su perfil ha cambiado.Políticas relacionadas: “Control de acceso”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 63
  64. 64. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 45. Historial de Política: Controles de la red interna.Política: Controles de la red interna.Comentario: Toda la red interna debe estar correctamente controlada ygestionada, para poder mantener la seguridad de los sistemas y de las aplicacionesfrente a las amenazas. Toda la información que circula por la red interna de la empresa debe estarcontrolada en todo momento, ya que se puede producir un ataque en cualquiermomento y esa información necesita estar segura y protegida.Políticas relacionadas: “Controles de red del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 64
  65. 65. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 46. Historial de Política: Control sobre el intercambio de información.Política: Control sobre el intercambio de información.Comentario: Todo el intercambio de información que se maneja a través de laIntranet deberá ser controlado mediante una serie de recursos de comunicaciónpara evitar que la información circule sin control ninguno por la empresa y enalgunos casos fuera de ella. Con esta serie de recursos y mecanismos se pretende que la informaciónesté siempre protegida, de forma que no todo el personal tenga acceso a ella ymucho menos personas ajenas a la empresa.Políticas relacionadas: “Control de la información del sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 65
  66. 66. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 47. Historial de Política: Registro de auditorías de la Intranet.Política: Registro de auditorías de la Intranet.Comentario: Cada vez que se realice una auditoría de la Intranet, se debenrealizar registros de las actividades de los empleados que usan la Intranet, y lasexcepciones y eventos de seguridad de la misma. Estos registros se deben mantener durante un período de tiempo acordadopor los responsables de seguridad de la empresa para servir como prueba enfuturas auditorías o investigaciones sobre incidencias de seguridad, y además parasupervisar el control de acceso.Políticas relacionadas: “Auditabilidad del sistema de información”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 66
  67. 67. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 48. Historial de Política: Registro de administración de la Intranet.Política: Registro de administración de la Intranet.Comentario: Cada vez que el administrador de la Intranet acceda al sistema, sedebe guardar un registro de accesos y de operaciones que ha realizado. Con todo esto se pretende llevar un control sobre las acciones realizadasdentro de la Intranet y comprobar si es realmente el administrador el que accede alsistema o si es alguien que ha conseguido las claves y está suplantando suidentidad.Políticas relacionadas: “Registro de accesos al sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 67
  68. 68. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 49. Historial de Política: Registro de usuarios de la Intranet.Política: Registro de usuarios de la Intranet.Comentario: Debe establecerse un procedimiento de registro y eliminación deusuarios para conceder y revocar el acceso al sistema y por tanto a sus servicios. De esta forma se pretende llevar un control sobre el acceso de los usuariosa la Intranet, de forma que cada vez que se asignen permisos de acceso y serevoquen haya un registro que lo muestre, y así cada cierto tiempo se comprobarádicho registro controlando que todas las operaciones se han realizadocorrectamente.Políticas relacionadas: “Registro de accesos al sistema”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 68
  69. 69. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 50. Historial de Política: Equipo de usuario con acceso a la Intranet desatendido.Política: Equipo de usuario con acceso a la Intranet desatendido.Comentario: Cuando el usuario acceda a los servicios de la Intranet, deberácerrar la sesión o bloquear el equipo cada vez que necesite ausentarse de supuesto. En caso contrario cualquier persona podría utilizar el acceso para obtenerinformación privada que se encuentre en la Intranet y manipularla, además deinformación personal del usuario en el equipo. De esta forma se consigue proteger el acceso no autorizado a la Intranet ya los equipos de otros usuarios que pueden contener información importante parala empresa.Políticas relacionadas: “Responsabilidades de los usuarios”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 69
  70. 70. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 51. Historial de Política: Uso de servicios en red.Política: Uso de los servicios en red.Comentario: Se debe proporcionar a los usuarios únicamente el acceso a losservicios para los que hayan sido autorizados, es decir, dependiendo de lospermisos que tengan asignados podrán usar una serie de servicios u otros. De esta forma se controlará el uso de recursos por parte de los usuarios, deforma que los responsables de seguridad tengan un control sobre la informaciónque se proporciona a los usuarios.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 70
  71. 71. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia González Tabla 52. Historial de Política: Identificación de los equipos en la Intranet.Política: Identificación de los equipos en la Intranet.Comentario: Se debe considerar la identificación automática de los equipos de laIntranet como un medio de autentificación de las conexiones provenientes delocalizaciones y equipos específicos. Así se controlará el acceso a la Intranet, ya que todos los equipos estaránidentificados y si se produce algún incidente se podrá saber el equipo implicadoademás de su localización. Si algún equipo no identificado accede a la red internaquedará constancia de ello y se podrán tomar medidas al respecto.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 71
  72. 72. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Auditor de Seguridad Autor: Nadia GonzálezTabla 53. Historial de Política: Desconexión automática de sesión en la Intranet.Política: Desconexión automática de sesión en la Intranet.Comentario: Se configurará la desconexión automática de la sesión de losusuarios en la Intranet para evitar que alguien acceda a ésta con una sesióniniciada por otro usuario que se ha ausentado de su equipo. Esto se configurará para que cuando pase un cierto tiempo de inactividaddel usuario dentro de las aplicaciones y recursos de la Intranet, la sesión de éste secierre y se proteja de esta forma toda la información contenida en la Intranet. Elusuario deberá volver a autentificarse cada vez que pase un cierto tiempo deinactividad, ya que su sesión expirará.Políticas relacionadas: “Control de acceso a la red”.Política dirigida a: Todos.Ambientes de seguridad: Todos. 72
  73. 73. Políticas de seguridad para redes WIFI: Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 54. Historial de Política: Controles contra código malicioso.Política: Controles contra código malicioso.Comentario: El objetivo de esta política es definir una serie de controles paraproteger a los sistemas de la empresa contra posibles ataques que pudieranproducirse por efectos de código mal intencionado, estos controles se definiránsegún el ámbito, en primer lugar para los dispositivos móviles como IPAD, IPODo cualquier Smartphone, se debe realizar un chequeo de seguridad del dispositivo,para verificar que este cuente con la última versión de software instalada,adicionalmente se bloqueara en cualquier momento la conexión a la red si sedetecta la ejecución de algún software con comportamiento sospechoso, en lo querespecta a los computadores personales o portátiles, se debe realizar unacomprobación del sistema para determinar que cuenta con los últimos parches deseguridad, así como se debe realizar un chequeo del dispositivo para determinar sidispone de software antivirus, de igual manera se monitorizará para determinarcualquier programa con comportamiento sospechoso y se terminara la conexión ala red de forma inmediata de darse el caso. 73
  74. 74. De no cumplirse estos requerimientos se negara el acceso a la redcorporativa, adicionalmente al momento de acceder a la red se mostrara al usuariolos términos y condiciones para el uso de la red, los cuales debe aceptar parapoder hacer uso de la misma.Política dirigida a: Departamento de Seguridad.Ambientes de seguridad: Todos. 74
  75. 75. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 55. Historial de Política: Controles contra códigos móviles.Política: Controles contra códigos móviles.Comentario: La ejecución de códigos transferibles dentro de la red WIFIcorporativa queda terminantemente prohibida, deben tomarse las mediasnecesarias para bloquear cualquier ejecución de código transferible encualquier dispositivo conectado a la red WIFI, bloqueando el acceso a la red acualquier dispositivo que intente la ejecución de dichos códigos, por ende, lasactividades en la red deben encontrarse monitorizadas.Políticas relacionadas: Controles contra códigos maliciosos.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 75
  76. 76. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 56. Historial de Política: Controles de redes.Política: Controles de redes.Comentario: Los administradores de la red deben implementar medias para elmonitorización de las actividades dentro de la misma, verificando los usuariosconectados, analizando el tráfico de la red, y aplicando medidas preventivas paraproteger la integridad del sistema bajo cualquier imprevisto.Políticas relacionadas: Controles contra código malicioso y Controles contracódigos móviles.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 76
  77. 77. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 57. Historial de Política: Seguridad de los servicios de la red.Política: Seguridad de los servicios de la red.Comentario: Los administradores de la red deben monitorizar constantemente lacapacidad de los sistemas proveedores de servicios para evitar comprometer ladisponibilidad de los servicios de red por sobrecarga de sistemas, o la disminuciónde la seguridad de la misma, se deben aplicar todas las herramientas de hardwarey software para poder mantener una alta disponibilidad de los servicios de acuerdoa la capacidad deseada y el nivel de seguridad requerida en la misma.Políticas relacionadas: Controles de Redes.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 77
  78. 78. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 58. Historial de Política: Registro de auditoría.Política: Registro de auditoria.Comentario: Se debe mantener un registro de todas las actividades dentro de lared, como intentos fallidos de acceso, ataques, peticiones de archivos, bloqueos deservicio (Denegación de Servicio), o cualquier otra excepción que ocurra dentrode la red, para ayudar a investigaciones futuras. La aplicación de los registros y lamonitorización de actividades se enmarcara dentro de la legislación vigente en elpaís que resida la sede de la empresa a aplicar la política.Políticas relacionadas: Controles de Redes.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 78
  79. 79. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 59. Historial de Política: Uso del sistema de monitorización.Política: Uso del sistema de monitorización.Comentario: Se deberán revisar y analizar periódicamente los resultados de losprocedimientos de monitorización de actividades para buscar anomalías o posiblesfallas de seguridad que puedan comprometer el sistema, además para verificar elcorrecto uso de la red y prevenir problemas posteriores.Políticas relacionadas: Registro de Auditoria.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 79
  80. 80. Fecha: 13 de febrero de 2011 Fecha de 13 de febrero de 2012 revisión: Versión: 1.0 Revisión: Departamento de seguridad Revisor: Responsable de seguridad de la red Autor: Alejandro Villanueva Tabla 60. Historial de Política: Protección del registro de información.Política: Protección del registro de información.Comentario: Deben implementarse medias para proteger el registro deinformación relacionada con las actividades de monitorización y uso de lossistemas relacionados a estas, evitando el borrado de los archivos, lamodificación, sobre-escritura, la copia o sustracción de los archivos de forma noautorizada.Políticas relacionadas: Registro de Auditoria, Uso del Sistema deMonitorización.Política dirigida a: Departamento de seguridad.Ambientes de seguridad: Todos. 80

×