Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Politicas y Normas de Seguridad Informatica
Manual de Politicas y Normas de Seguridad Informatica
UNIVERSIDAD DE ORIENTE
UNIVO
NORMAS Y POLTICAS
DE
SEGURIDAD
INFORMTICA
I. INTRODUCCIN
En una organizacin la gestin de seguridad puede tornarse compleja y difcil
de realizar, esto no por razones tcnicas, mas bien por razones organizativas,
coordinar todos los esfuerzos encaminados para asegurar un entorno informtico
institucional, mediante la simple administracin de recurso humano y tecnolgico,
sin un adecuado control que integre los esfuerzos y conocimiento humano con las
tcnicas depuradas de mecanismos automatizados, tomar en la mayora de los
casos un ambiente inimaginablemente hostil, para ello es necesario emplear
mecanismos reguladores de las funciones y actividades desarrolladas por cada uno
de los empleados de la institucin.
Toda persona que utilice los servicios que ofrece la red, deber conocer y
aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no
exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la
seguridad de la informacin o de la red institucional.
engloba los
como
Seguridad Organizacional
Dentro de este, se establece el marco formal de seguridad que debe sustentar
la institucin, incluyendo servicios o contrataciones externas a la infraestructura de
seguridad,
Integrando
el recurso
humano
con
la
tecnologa,
denotando
Seguridad Lgica
Trata de establecer e integrar los mecanismos y procedimientos, que permitan
monitorear el acceso a los activos de informacin, que incluyen los procedimientos
de administracin de usuarios, definicin de responsabilidades, perfiles de
seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas,
que van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, seleccin y aceptacin de sistemas, hasta el control de software
malicioso.
Seguridad Fsica
Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de
seguridad, de forma que se puedan establecer controles en el manejo de equipos,
transferencia de informacin y control de los accesos a las distintas reas con base
en la importancia de los activos.
Seguridad Legal
Integra los requerimientos de seguridad que deben cumplir todos los
empleados, socios y usuarios de la red institucional bajo la reglamentacin de la
normativa interna de polticas y manuales de procedimientos de la Universidad de
Oriente en cuanto al recurso humano, sanciones aplicables ante faltas cometidas,
as como cuestiones relacionadas con la legislacin del pas y contrataciones
externas.
Cada uno de los criterios anteriores, sustenta un entorno de administracin de
suma importancia, para la seguridad de la informacin dentro de la red institucional
de la Universidad de Oriente.
II. GENERALIDADES
INDICADORES DE VERSION
Versin 1.0.0.0
1=Documento Original (Primera Edicin)
0=Revisin
0=Posrevisin
0=Revisin Aceptada
INSTRUCCIONES DE INTERPRETACIN
La informacin presentada como normativa de seguridad, ha sido organizada
de manera sencilla para que pueda ser interpretada por cualquier persona que
ostente un cargo de empleado o terceros con un contrato de trabajo por servicios
en la Universidad de Oriente, con conocimientos informticos o sin ellos.
La segunda seccin esta integrada por lo que son las normas de seguridad,
que tienen una relacin directa, en base a la ejecucin y soporte de las polticas de
seguridad informtica. Estas siguen el mismo enfoque organizativo que las
polticas, con la salvedad de seguir un enlace figurativo sobre cada poltica dentro
de los dominios.
Los formularios han sido diseados, para que puedan ser utilizados en el
entorno administrativo y de seguridad de la red institucional, la normativa consta
con una gua de referencias desde una determinada poltica o norma hacia un
instrumento de control especfico.
Clasificacin de la Informacin
Capacitacin de Usuarios
El lector de las polticas y normas deber enmarcar sus esfuerzos sin importar
el nivel organizacional en el que se encuentre dentro de la institucin, por cumplir
todas las polticas pertinentes a su entorno de trabajo, utilizacin de los activos o
recursos informticos en los que ste se desenvuelve.
RESPONSABLE DE ACTIVOS
Personal dentro de los diferentes departamentos administrativos de la
institucin, que velar por la seguridad y correcto funcionamiento de los activos
informticos, as como de la informacin procesada en stos, dentro de sus
respectivas reas o niveles de mando.
10
11
IV. VIGENCIA
La documentacin presentada como normativa de seguridad entrar en
vigencia desde el momento en que ste sea aprobado como documento tcnico de
seguridad informtica por las autoridades correspondientes de la Universidad de
Oriente. Esta normativa deber ser revisada y actualizada conforme a las
exigencias de la universidad, o en el momento en que haya la necesidad de realizar
cambios sustanciales en la infraestructura tecnolgica de la Red Institucional
12
V. VISIN
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y
correcto funcionamiento de la normativa y polticas de seguridad informtica,
basado en el sistema de gestin de seguridad de la informacin, a travs de la
utilizacin de tcnicas y herramientas que contribuyan a optimizar la administracin
de los recursos informticos de la Universidad de Oriente.
VI. MISIN
Establecer las directrices necesarias para el correcto funcionamiento de un
sistema de gestin para la seguridad de la informacin, enmarcando su
aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los
estndares internacionales desarrollados para tal fin.
13
14
15
16
17
18
Nivel 1
SEGURIDAD ORGANIZATIVA
1.2. SEGURIDAD ORGANIZACIONAL
1.2.1.
POLTICAS DE SEGURIDAD
19
1.2.2.
EXCEPCIONES DE RESPONSABILIDAD
Art. 1. Los usuarios que por disposicin de sus superiores realicen acciones que
perjudiquen a otros usuarios o la informacin que estos procesan, y si
estos no cuentan con un contrato de confidencialidad y proteccin de la
informacin de la institucin o sus allegados.
20
1.2.3.
1.2.3.1.
1.2.3.2.
CLASIFICACIN DE LA INFORMACIN
21
1.2.4.
Referente a contratos:
Art. 1. Se entregar al contratado, toda la documentacin necesaria para ejercer
sus labores dentro de la institucin, en el momento en que se de por
establecido su contrato laboral.
El empleado:
Art. 1. La informacin procesada, manipulada o almacenada por el empleado es
propiedad exclusiva de la Universidad de Oriente.
Art. 2. La Universidad de Oriente no se hace responsable por daos causados
provenientes de sus empleados a la informacin o activos de
procesamiento, propiedad de la institucin, daos efectuados desde sus
instalaciones de red a equipos informticos externos.
1.2.4.1.
CAPACITACIN DE USUARIOS
1.2.4.2. RESPUESTAS
SEGURIDAD
INCIDENTES
ANOMALAS
DE
22
23
Nivel 2
SEGURIDAD LGICA
1.3. SEGURIDAD LGICA
1.3.1. CONTROL DE ACCESOS
Art. 1. El Gestor de Seguridad proporcionar toda la documentacin necesaria
para agilizar la utilizacin de los sistemas, referente a formularios, guas,
controles, otros.
Art. 2. Cualquier peticin de informacin, servicio o accin proveniente de un
determinado usuario o departamento, se deber efectuar siguiendo los
canales de gestin formalmente establecidos por la institucin, para
realizar dicha accin; no dar seguimiento a esta poltica implica:
a) Negar por completo la ejecucin de la accin o servicio.
b) Informe completo dirigido a comit de seguridad, mismo ser
realizado por la persona o el departamento al cual le es solicitado
el servicio.
c) Sanciones aplicables por autoridades de nivel
previamente discutidas con el comit de seguridad.
1.3.1.1.
superior,
24
1.3.1.2.
25
26
1.3.1.3.
27
1.3.1.5.
28
1.3.1.6.
1.3.1.7.
http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_iis_6_0.mspx
29
PROCEDIMIENTOS
1.3.2.2.
30
1.3.2.3.
31
Art. 3. Los servidores, al igual que las estaciones de trabajo, tendrn instalado y
configurado correctamente software antivirus actualizable y activada la
proteccin en tiempo real.
1.3.2.4.
MANTENIMIENTO
1.3.2.5. MANEJO
Y
SEGURIDAD
ALMACENAMIENTO
DE
MEDIOS
DE
32
Nivel 3
SEGURIDAD FSICA
1.4. SEGURIDAD FSICA
1.4.1.
1.4.1.1.
1.4.1.2.
CONTROLES GENERALES
33
Art. 4. Toda oficina o rea de trabajo debe poseer entre sus inventarios,
herramientas auxiliares (extintores, alarmas contra incendios, lmpara de
emergencia), necesarias para salvaguardar los recursos tecnolgicos y la
informacin.
Art. 5. Toda visita a las oficinas de tratamiento de datos crticos e informacin
(unidad de informtica, sala de servidores entre otros) deber ser
registrada mediante el formulario de accesos a las salas de
procesamiento crtico, para posteriores anlisis del mismo.9
Art. 6. La sala o cuarto de servidores, deber estar separada de las oficinas
administrativas de la unidad de informtica o cualquier otra unidad,
departamento o sala de recepcin del personal, mediante una divisin en
la unidad de informtica, recubierta de material aislante o protegido
contra el fuego, Esta sala deber ser utilizada nicamente por las
estaciones prestadoras de servicios y/o dispositivos a fines.
Art. 7. El suministro de energa elctrica debe hacerse a travs de un circuito
exclusivo para los equipos de cmputo, o en su defecto el circuito que se
utilice no debe tener conectados equipos que demandan grandes
cantidades de energa.
Art. 8. El suministro de energa elctrica debe estar debidamente polarizado, no
siendo conveniente la utilizacin de polarizaciones locales de tomas de
corriente, si no que debe existir una red de polarizacin.
Art. 9. Las instalaciones de las reas de trabajo deben contar con una adecuada
instalacin elctrica, y proveer del suministro de energa mediante una
estacin de alimentacin ininterrumpida o UPS para poder proteger la
informacin.
Art. 10. Las salas o instalaciones fsicas de procesamiento de informacin
debern poseer informacin en carteles, sobre accesos, alimentos o
cualquier otra actividad contraria a la seguridad de la misma o de la
informacin que ah se procesa.
34
Nivel 4
SEGURIDAD LEGAL
1.5. SEGURIDAD LEGAL
1.5.1.
1.5.1.1.
Licenciamiento de Software:
Art. 1. La Universidad de Oriente, se reserva el derecho de respaldo, a cualquier
miembro facultativo, estudiante o miembro de las reas administrativas,
ante cualquier asunto legal relacionado a infracciones a las leyes de
copyright o piratera de software.
Art. 2. Todo el software comercial que utilice la Universidad de Oriente, deber
estar legalmente registrado, en los contratos de arrendamiento de
software con sus respectivas licencias.
Art. 3. La adquisicin de software por parte de personal que labore en la
institucin, no expresa el consentimiento de la institucin, la instalacin
del mismo, no garantiza responsabilidad alguna para la universidad, por
ende la institucin no se hace responsable de las actividades de sus
empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad
intelectual exclusiva de sus desarrolladores, la universidad respeta la
propiedad intelectual y se rige por el contrato de licencia de sus autores.
Art. 5. El software comercial licenciado a la Universidad de Oriente, es
propiedad exclusiva de la institucin, la misma se reserva el derecho de
reproduccin de ste, sin el permiso de sus autores, respetando el
esquema de cero piratera y/o distribucin a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harn las
gestiones necesarias para su efecto y se acataran las medidas de
licenciamiento relacionadas con la propiedad intelectual.
Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son
responsabilidad absoluta de la Universidad de Oriente.
35
1.5.1.2. REVISIN
DE
POLTICAS
CUMPLIMIENTO TCNICO
DE
SEGURIDAD
10
Manual de Normas y Polticas de Administracin de Recursos Humanos, Cp. 3.21 Aspectos Disciplinarios
Faltas Graves: Lit. A, C, I.
11
Anexo #9 formulario de Auditoria
36
Art. 3. Cualquier accin que amerite la ejecucin de una auditoria a los sistemas
informticos deber ser documentada y establecida su aplicabilidad y
objetivos de la misma, as como razones para su ejecucin, personal
involucrada en la misma y sistemas implicados.
Art. 4. La auditoria no deber modificar en ningn momento el sistema de
archivos de los sistemas implicados, en caso de haber necesidad de
modificar algunos, se deber hacer un respaldo formal del sistema o sus
archivos.
Art. 5. Las herramientas utilizadas para la auditoria debern estar separadas de
los sistemas de produccin y en ningn momento estas se quedaran al
alcance de personal ajeno a la elaboracin de la auditoria.
37
38
39
Art. 2.1 La informacin pblica puede ser visualizada por cualquier persona
dentro o fuera de la institucin.
Art. 2.2 La informacin interna, es propiedad del estudiante y de la institucin,
en ningn momento intervendrn personas ajenas a su proceso o
manipulacin.
Art. 2.3 La informacin confidencial es propiedad absoluta de la institucin, el
acceso a sta es permitido nicamente a personal administrativo.
Art. 3.1 Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel
de seguridad medio y nivel de seguridad alto.
40
Art. 2.2 Los usuarios son responsables de las acciones causadas por sus
operaciones con el equipo de la red institucional.
2.2.4.2. RESPUESTA
SEGURIDAD
INCIDENTES
ANOMALIAS
DE
41
42
ACCESO
DE
USUARIOS
LA
RED
Art. 2.1 Los canales de gestin y seguimiento para realizar acciones dentro de
la red institucional, no pueden ser violentados bajo ninguna circunstancia.
43
Art. 3.2 Las necesidades y aprobacin de acceso, de los alumnos a los servicios
de la red institucional, deber ser documentada y actualizada su
informacin, en la poltica que norma su uso.
Art. 4.1 La vinculacin de servicios por parte de terceros con la red institucional,
es caracterstica propia del personal en outsourcing, investigadores,
proveedores de software.
Art. 5.1 La identificacin del usuario se har a travs del formulario que le
proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma
impresa de la persona que tendr acceso al sistema o se acreditar con
su cuenta de usuario12
12
44
Art. 9.1 El sistema revocar toda contrasea con una longitud mayor a la
expresada en la poltica de creacin de contraseas.
Art. 9.2 El usuario se responsabiliza en crear una contrasea fuerte y difcil de
adivinar.
Art. 9.3 Se recomienda utilizar una frase coma base para la creacin de la
contrasea, tomando la letra inicial de cada palabra. Por ejemplo: El
azar favorece una mente brillante <<EaFUmB>>
Art. 2.1 El usuario deber ser precavido al manipular su cuenta de acceso a los
sistemas, tomando medidas de seguridad que no pongan en riesgo su
integridad como persona.
Art. 2.2 Las cuentas de usuario son personales, en ningn momento deben ser
utilizadas por personal ajeno al que le fue asignada.
Art. 4.1 Se desechar, toda documentacin que tenga que ver con informacin
relacionada a su cuenta de usuario, minutos despus de habrsele
entregado y siempre que haya sido memorizada o resguarda su
informacin.
45
Art. 2.1 Ningn usuario externo a la institucin, puede usar los servicios de
correo electrnico proporcionado por la red institucional.
Art. 2.2 Es responsabilidad del usuario hacer un correcto empleo del servicio de
correo electrnico.
46
Art. 5.1 Las cuentas de correo que no cumplan con la normativa de seguridad o
los fines acadmicos o de investigacin para lo que fueron creadas,
pierden automticamente su caracterstica de privacidad.
47
48
Art. 6.1 Los archivos de registro o logs de los dispositivos de red, debern estar
activados y configurados correctamente, en cada dispositivo.
49
Art. 2.1 Tienen acceso total a las aplicaciones y sus archivos, los usuarios que
lo ameriten por su cargo dentro de la institucin, siempre que sea
aprobado por el comit de seguridad.
Art. 2.2 Los niveles de privilegio son definidos por el comit de seguridad, en
base a lo importante o critico de la informacin que procesar el usuario.
Art. 3.1 Antes de ser puestas en ejecucin, las aplicaciones recibirn una
auditoria sobre fallos o informacin errnea que puedan procesar.
Art. 3.2 Se hace nfasis en la importancia que tienen las salidas de informacin
provistas por una aplicacin, sin importar el medio de salida.
Art. 3.3 El programador, apoyado por el comit de seguridad, depurar el
cdigo, de las aplicaciones, antes de ser puestas en un entorno
operativo.
Art. 5.1 En el registro de sucesos del sistema se registran todas las actividades
realizadas por un determinado usuario, sobre las aplicaciones.
Art. 5.2 Se verifica constantemente la operatividad de los registros de logs, que
no sean alterados de forma fraudulenta.
50
SOBRE
LOS
Art. 2.1 Es la unidad de informtica quien crea las reglas para la ejecucin de
algn servicio.
Art. 2.2 Es el comit de seguridad quien aprueba la normas creadas para la
ejecucin de los servicios.
Art. 3.1 Los sistemas son configurados para responder de forma automtica,
con la presentacin de un informe que denote las caractersticas propias
de un error en el sistema.
51
Art. 3.1 Ninguna persona que labore para la institucin, est facultada para
instalar software en las estaciones de trabajo, sin antes haberse
aprobado su utilizacin.
Art. 4.1 Sin importar el origen del software y la utilizacin del mismo dentro de la
institucin, ste ser evaluado, haya sido o no aprobada su utilizacin.
Art. 5.1 Ninguna clase de cdigo ejecutable ser puesto en marcha sin antes
haber pasado el control de anlisis sobre seguridad del mismo.
Art. 7.1 Antes de efectuar cualquier anlisis o prueba sobre los sistemas de
produccin, se realizarn backups generales, de la informacin que en
ellos se procesa y del sistema en si.
Art. 8.1 Los sistemas o dispositivos que aun estn conectados a la red, pero
que no tienen utilizacin productiva alguna para la institucin, se les
deber eliminar cualquier rastro de informacin que hayan contenido.
2.3.2.4. MANTENIMIENTO
CMPUTO
DE
SISTEMAS
EQUIPO
DE
52
Art. 3.1 Se deber haber una bitcora completa, en cuando a las versiones de
actualizacin del software y de las revisiones instaladas en los sistemas.
13
53
Personal de Informtica:
Art. 2.1 El soporte tcnico a las estaciones de trabajo y servidores, es
responsabilidad de la unidad de informtica, por tanto deben tomarse
todas las medidas de seguridad necesarias para evitar cualquier
anomala por manipulacin errnea efectuada por terceros.
Art. 2.2 Las estaciones de trabajo y servidores, deben operar en ptimas
condiciones, efectuando un mantenimiento constante y acorde a las
especificaciones de los fabricantes del equipo.
Art. 3.1 Se deber proteger las salas que contengan los servidores, o equipos
de informacin crticos, con paredes recubiertas de material aislante o
antiincendios.
Art. 3.2 Las lneas de alimentacin de energa externa debern estar protegidas
con filtros de proteccin para rayos.
54
55
Art. 7.1 Los equipos de oficina, como cafeteras, oasis, aires acondicionados,
entre otros no deben estar conectados al mismo circuito que los sistemas
informticos.
Art. 7.2 Se har una revisin peridica de los equipos de respaldo de energa o
UPS, constatando su capacidad y correcto funcionamiento, se registrara
cada revisin en una bitcora de control y funcionamiento de los equipos.
Art. 9.1 Los UPS son de uso exclusivo de cada estacin de trabajo.
Art. 9.2 Es responsabilidad de los usuarios la correcta utilizacin de los UPS.
Art. 9.3 Al finalizar con la jornada laboral es necesario que cada usuario de las
estaciones de trabajo verifique el apagado correctamente el equipo y
dispositivo UPS.
Art. 9.4 Se debe efectuar una revisin peridica de los circuitos.
14
Manual de Normas y Polticas de Administracin de Recursos Humanos, Faltas Graves; Lit. D, Faltas Leves;
Lit. D.
56
Art. 10.2 El material debe ser claramente entendible y visible por todos los
usuarios.
Art. 2.1 Las normas desarrolladas para dichas instalaciones debern estar en
pleno acuerdo y relacin, de las normas generales de seguridad
informtica.
Art. 3.1 El acceso del usuario a los centros de cmputo, deber tomarse como
aceptacin implcita de la normativa relacionada con dicha actividad.
57
58
59
rea de Informtica:
2.5.1.2. CUMPLIMIENTO TCNICO DE LA REVISIN
ACTUALIZACIN DE LAS POLTICAS DE SEGURIDAD
60
Art. 2.1 Salvo casos especiales toda auditora, deber estar respaldada por la
gerencia.
Art. 2.2 La implicacin de casos especiales, en los cuales sea necesario de
inmediato, amerita realizar auditorias sin una fecha planificada.
Art. 4.2 Salvo caso especial, cualquier cambio efectuado al sistema de archivos,
ser motivo de sancin.
Art. 5.1 Las auditoras a los sistemas, sern realizadas con equipos mviles
(Laptops) conectados a la red, en ningn momento el sistema de
produccin mantendr instalado software para auditora en su disco duro.
Art. 5.2 Toda aplicacin para la auditora ser instalado correctamente y
supervisado su uso, desde las terminales remotas en el mismo segmento
de red.
61
3. RECOMENDACIONES
62
63
64
65
66
67
68
69
5. ANEXOS
GUIAS
70
71
72
73
74
75
76
77
78
79
5.1. ORGANIGRAMA
ORGANIGRAMA SEGURIDAD INFORMTICA
Gerencia
Administrador
de Red
Auxiliar
Administrativo
Gestor de
Seguridad
Responsable de
Activos
80
Administrador
de Red
Educativa
Coordinador de
Centros de
cmputo
5.2. REFERENCIAS
Referencias Complementarias.
[1]. ISO/IEC 17799 Code of Best Practice for Information Security Management
[2]. Certified Information Systems Security Professional (CISSP)
[3]. RFC 1244, Site Security Handbook
81
82
83
84
FORMACIN PROFESIONAL
Conocimientos:
Conocimientos y experiencia
mnima
Conocimientos y experiencia
deseable
nivel
de
usuario
avanzado
Pilas de TCP/IP
Protocolos
de
comunicacin
Herramientas
Seguridad
de
Programacin
de
protocolos
(TCP, UDP)
Conocimientos de redes
Conocimientos Criptogrficos
Mecanismos
(firmas
de
Seguridad
digitales,
certificados,
claves)
85
Conocimientos de estndares
Informtica Forense
HABILIDADES PERSONALES
Concentracin de la atencin.
Pensamiento flexible.
Habilidad para relacionarse con otros y para pedir ayuda cuando sea
necesario.
Iniciativa.
86
DEBERES Y RESPONSABILIDADES
El
Gestor
de
Seguridad
tiene
como
principal
responsabilidad
la
Debe ser el punto de referencia para todos los procesos de seguridad y ser
capaz de guiar y aconsejar a los usuarios de la institucin sobre cmo
desarrollar procedimientos para la proteccin de los recursos.
87
88
89
90