Manual de Politicas y Normas de Seguridad Informatica

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE
UNIVO
NORMAS Y POLTICAS
DE
SEGURIDAD
INFORMTICA

UNIVO
I. INTRODUCCIN
En una organizacin la gestin de seguridad puede tornarse compleja y difcil
de realizar, esto no por razones tcnicas, mas bien por razones organizativas,
coordinar todos los esfuerzos encaminados para asegurar un entorno informtico
institucional, mediante la simple administracin de recurso humano y tecnolgico,
sin un adecuado control que integre los esfuerzos y conocimiento humano con las
tcnicas depuradas de mecanismos automatizados, tomar en la mayora de los
casos un ambiente inimaginablemente hostil, para ello es necesario emplear
mecanismos reguladores de las funciones y actividades desarrolladas por cada uno
de los empleados de la institucin.
El documento que se presenta como normas y polticas de seguridad, integra

estos esfuerzos de una manera conjunta. ste pretende, ser el medio de
comunicacin en el cual se establecen las reglas, normas, controles y
procedimientos que regulen la forma en que la institucin, prevenga, proteja y
maneje los riesgos de seguridad en diversas circunstancias.
Las normas y polticas expuestas en este documento sirven de referencia, en

ningn momento pretenden ser normas absolutas, las mismas estn sujetas a
cambios realizables en cualquier momento, siempre y cuando se tengan presentes
los objetivos de seguridad.
Toda persona que utilice los servicios que ofrece la red, deber conocer y
aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no
exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la
seguridad de la informacin o de la red institucional.

UNIVO
En trminos generales el manual de normas y polticas de seguridad

informtica,
engloba los
procedimientos ms adecuados, tomando
como
lineamientos principales cuatro criterios, que se detallan a continuacin:
Seguridad Organizacional
Dentro de este, se establece el marco formal de seguridad que debe sustentar
la institucin, incluyendo servicios o contrataciones externas a la infraestructura de
seguridad,
Integrando
el recurso
humano
con
la
tecnologa,
denotando
responsabilidades y actividades complementarias como respuesta ante situaciones

anmalas a la seguridad.
Seguridad Lgica
Trata de establecer e integrar los mecanismos y procedimientos, que permitan
monitorear el acceso a los activos de informacin, que incluyen los procedimientos
de administracin de usuarios, definicin de responsabilidades, perfiles de
seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas,
que van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, seleccin y aceptacin de sistemas, hasta el control de software
malicioso.
Seguridad Fsica
Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de
seguridad, de forma que se puedan establecer controles en el manejo de equipos,
transferencia de informacin y control de los accesos a las distintas reas con base
en la importancia de los activos.

UNIVO
Seguridad Legal
Integra los requerimientos de seguridad que deben cumplir todos los
empleados, socios y usuarios de la red institucional bajo la reglamentacin de la
normativa interna de polticas y manuales de procedimientos de la Universidad de
Oriente en cuanto al recurso humano, sanciones aplicables ante faltas cometidas,
as como cuestiones relacionadas con la legislacin del pas y contrataciones
externas.
Cada uno de los criterios anteriores, sustenta un entorno de administracin de
suma importancia, para la seguridad de la informacin dentro de la red institucional
de la Universidad de Oriente.

UNIVO
II. GENERALIDADES
INDICADORES DE VERSION
Versin 1.0.0.0
1=Documento Original (Primera Edicin)
0=Revisin
0=Posrevisin
0=Revisin Aceptada
INSTRUCCIONES DE INTERPRETACIN
La informacin presentada como normativa de seguridad, ha sido organizada
de manera sencilla para que pueda ser interpretada por cualquier persona que
ostente un cargo de empleado o terceros con un contrato de trabajo por servicios
en la Universidad de Oriente, con conocimientos informticos o sin ellos.
Las polticas fueron creadas segn el contexto de aplicacin, organizadas por

niveles de seguridad y siguiendo un entorno de desarrollo, sobre la problemtica de
la institucin o previniendo futuras rupturas en la seguridad, aplicada sobre los
diferentes recursos o activos de la institucin.
El esquema de presentacin del documento consta de tres secciones, la

primera que trata especficamente de las polticas de seguridad, las cuales estn
organizadas por niveles, dentro de stos se engloban los dominios que se detallan
en el texto subsiguiente a estas lneas.
La segunda seccin esta integrada por lo que son las normas de seguridad,
que tienen una relacin directa, en base a la ejecucin y soporte de las polticas de
seguridad informtica. Estas siguen el mismo enfoque organizativo que las
polticas, con la salvedad de seguir un enlace figurativo sobre cada poltica dentro
de los dominios.

UNIVO
Por ejemplo: El artculo 1 de las polticas de seguridad habla acerca de los

servicios de la red institucional; en la seccin de normas de seguridad, el artculo
1.1 de ese mismo dominio y control, habla de la responsabilidad del usuario sobre
las disposiciones relativas a la poltica. A diferencia de las dos secciones anteriores
la tercera seccin trata especficamente de los anexos que complementan a las
polticas y normas de seguridad.
Los formularios han sido diseados, para que puedan ser utilizados en el
entorno administrativo y de seguridad de la red institucional, la normativa consta
con una gua de referencias desde una determinada poltica o norma hacia un
instrumento de control especfico.
Los niveles de seguridad fueron organizados constatando un enfoque objetivo

de la situacin real de la institucin, desarrollando cada poltica con sumo cuidado
sobre qu activo proteger, de qu protegerlo cmo protegerlo y por qu protegerlo;
Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO
17799 (mejores prcticas de seguridad) y que a continuacin se presenta:
Nivel de Seguridad Organizativo:

o Seguridad Organizacional
o Polticas de Seguridad
o Excepciones de Responsabilidad
o Clasificacin y Control de Activos
Responsabilidad por los Activos
Clasificacin de la Informacin
o Seguridad Ligada al Personal
Capacitacin de Usuarios
Respuestas a Incidentes y Anomalas de Seguridad

UNIVO
Nivel de Seguridad Fsica:

o Seguridad Fsica
o Seguridad Fsica y Ambiental
o Seguridad de los Equipos
o Controles Generales
Nivel de Seguridad Lgico:

o Control de Accesos
o Administracin del Acceso de Usuarios
o Seguridad en Acceso de Terceros
o Control de Acceso a la Red
o Control de Acceso a las Aplicaciones
o Monitoreo del Acceso y Uso del Sistema
Nivel de Seguridad Legal:

o Seguridad Legal
o Conformidad con la Legislacin
o Cumplimiento de Requisitos Legales
o Revisin de Polticas de Seguridad y Cumplimiento Tcnico
o Consideraciones Sobre Auditorias de Sistemas
El lector de las polticas y normas deber enmarcar sus esfuerzos sin importar
el nivel organizacional en el que se encuentre dentro de la institucin, por cumplir
todas las polticas pertinentes a su entorno de trabajo, utilizacin de los activos o
recursos informticos en los que ste se desenvuelve.

UNIVO
DEFINICIN DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Que son las Normas de Seguridad?
Las normas son un conjunto de lineamientos, reglas, recomendaciones y

controles con el propsito de dar respaldo a las polticas de seguridad y a
los objetivos desarrollados por stas, a travs de funciones, delegacin de
responsabilidades y otras tcnicas, con un objetivo claro y acorde a las
necesidades de seguridad establecidas para el entorno administrativo de la
red institucional.
Que son las Polticas de Seguridad?
Son una forma de comunicacin con el personal, ya que las mismas

constituyen un canal formal de actuacin, en relacin con los recursos y
servicios informticos de la organizacin. Estas a su vez establecen las
reglas y procedimientos que regulan la forma en que una organizacin
previene, protege y maneja los riesgos de diferentes daos, sin importar el
origen de estos.

UNIVO
IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS

Como parte integral de un Sistema de Gestin de Seguridad de la Informacin
(SGSI), un manual de normas y polticas de seguridad, trata de definir; Qu?,
Por qu?, De qu? y Cmo? se debe proteger la informacin. Estos engloban
una serie de objetivos, estableciendo los mecanismos necesarios para lograr un
nivel de seguridad adecuado a las necesidades establecidas dentro de la
institucin. Estos documentos tratan a su vez de ser el medio de interpretacin de
la seguridad para toda la organizacin.

UNIVO
ORGANIZACIN DE LA SEGURIDAD INFORMTICA

GERENCIA
Autoridad de nivel superior que integra el comit de seguridad. Bajo su
administracin estn la aceptacin y seguimiento de las polticas y normativa de
seguridad en concordancia con las autoridades de nivel superior.
GESTOR DE SEGURIDAD
Persona dotada de conciencia tcnica, encargada de velar por la seguridad de
la informacin, realizar auditorias de seguridad, elaborar documentos de seguridad
como, polticas, normas; y de llevar un estricto control con la ayuda de la unidad de
informtica referente a los servicios prestados y niveles de seguridad aceptados
para tales servicios.
UNIDAD DE INFORMTICA
Entidad o Departamento dentro de la institucin, que vela por todo lo
relacionado con la utilizacin de computadoras, sistemas de informacin, redes
informticas, procesamiento de datos e informacin y la comunicacin en s, a
travs de medios electrnicos.
RESPONSABLE DE ACTIVOS
Personal dentro de los diferentes departamentos administrativos de la
institucin, que velar por la seguridad y correcto funcionamiento de los activos
informticos, as como de la informacin procesada en stos, dentro de sus
respectivas reas o niveles de mando.
10

UNIVO
III. BASE LEGAL

La elaboracin del manual de normas y polticas de seguridad informtica,
est fundamentado bajo la norma ISO/IEC 17799, unificada al manual interno de
trabajo y el manual de normas y polticas de recurso humano de la Universidad de
Oriente.
11

UNIVO
IV. VIGENCIA
La documentacin presentada como normativa de seguridad entrar en
vigencia desde el momento en que ste sea aprobado como documento tcnico de
seguridad informtica por las autoridades correspondientes de la Universidad de
Oriente. Esta normativa deber ser revisada y actualizada conforme a las
exigencias de la universidad, o en el momento en que haya la necesidad de realizar
cambios sustanciales en la infraestructura tecnolgica de la Red Institucional
12

UNIVO
V. VISIN
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y
correcto funcionamiento de la normativa y polticas de seguridad informtica,
basado en el sistema de gestin de seguridad de la informacin, a travs de la
utilizacin de tcnicas y herramientas que contribuyan a optimizar la administracin
de los recursos informticos de la Universidad de Oriente.
VI. MISIN
Establecer las directrices necesarias para el correcto funcionamiento de un
sistema de gestin para la seguridad de la informacin, enmarcando su
aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los
estndares internacionales desarrollados para tal fin.
13

UNIVO
VII. ALCANCES Y REA DE APLICACIN

El mbito de aplicacin del manual de normas y polticas de seguridad
informtica, es la infraestructura tecnolgica y entorno informtico de la red
institucional de la Universidad de Oriente.
El ente que garantizar la ejecucin y puesta en marcha de la normativa y

polticas de seguridad, estar bajo el cargo de la Unidad de Informtica, siendo el
responsable absoluto de la supervisin y cumplimiento, el Gestor de Seguridad,
supervisados por la vice-rectora acadmica.
14

UNIVO
VIII. GLOSARIO DE TERMINOS
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de

propiedad de una persona natural o jurdica que por lo general son
generadores de renta o fuente de beneficios, en el ambiente informtico
llmese activo a los bienes de informacin y procesamiento, que posee
la institucin. Recurso del sistema de informacin o relacionado con
ste, necesario para que la organizacin funcione correctamente y
alcance los objetivos propuestos.
Administracin Remota: Forma de administrar los equipos informticos o
servicios de la Universidad de Oriente, a travs de terminales o equipos
remotos, fsicamente separados de la institucin.
Amenaza: Es un evento que puede desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en
sus activos.
Archivo Log: Ficheros de registro o bitcoras de sistemas, en los que se
recoge o anota los pasos que dan (lo que hace un usuario, como
transcurre una conexin, horarios de conexin, terminales o IPs
involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
Confidencialidad: Proteger la informacin de su revelacin no autorizada.
Esto significa que la informacin debe estar protegida de ser copiada
por cualquiera que no est explcitamente autorizado por el propietario
de dicha informacin.
Cuenta: Mecanismo de identificacin de un usuario, llmese de otra manera,
al mtodo de acreditacin o autenticacin del usuario mediante
procesos lgicos dentro de un sistema informtico.
Desastre o Contingencia: interrupcin de la capacidad de acceso a
informacin y procesamiento de la misma a travs de computadoras
necesarias para la operacin normal de un negocio.
15

UNIVO
Disponibilidad: Los recursos de informacin sean accesibles, cuando estos

sean necesitados.
Encriptacin Es el proceso mediante el cual cierta informacin o "texto plano"
es cifrado de forma que el resultado sea ilegible a menos que se
conozcan los datos necesarios para su interpretacin.
Es una medida de seguridad utilizada para que al momento de
almacenar o transmitir informacin sensible sta no pueda ser obtenida
con facilidad por terceros.
Integridad: Proteger la informacin de alteraciones no autorizadas por la
organizacin.
Impacto: consecuencia de la materializacin de una amenaza.
ISO: (Organizacin Internacional de Estndares) Institucin mundialmente
reconocida y acreditada para normar en temas de estndares en una
diversidad de reas, aceptadas y legalmente reconocidas.
IEC: (Comisin Electrotcnica Internacional) Junto a la ISO, desarrolla
estndares que son aceptados a nivel internacional.
Normativa de Seguridad ISO/IEC 17799: (Cdigo de buenas prcticas, para
el manejo de seguridad de la informacin) Estndar o norma
internacional que vela por que se cumplan los requisitos mnimos de
seguridad, que propicien un nivel de seguridad aceptable y acorde a los
objetivos institucionales desarrollando buenas prcticas para la gestin
de la seguridad informtica.
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por
personal ajeno a la institucin.
Responsabilidad: En trminos de seguridad, significa determinar que
individuo en la institucin, es responsable directo de mantener seguros
los activos de cmputo e informacin.
Servicio: Conjunto de aplicativos o programas informticos, que apoyan la
labor educativa, acadmica y administrativa, sobre los procesos diarios
que demanden informacin o comunicacin de la institucin.
SGSI: Sistema de Gestin de Seguridad de la Informacin
16

UNIVO
Soporte Tcnico: (Personal en Outsourcing) Personal designado o

encargado de velar por el correcto funcionamiento de las estaciones de
trabajo, servidores, o equipo de oficina dentro de la institucin.
Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo,
en un Dominio o en toda la Organizacin.
Terceros: Investigadores/Profesores, instituciones educativas o de
investigacin, proveedores de software, que tengan convenios
educativos o profesionales con la institucin.
Usuario: Defnase a cualquier persona jurdica o natural, que utilice los
servicios informticos de la red institucional y tenga una especie de
vinculacin acadmica o laboral con la institucin.
Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una
amenaza sobre un Activo.
17

UNIVO
1. POLTICAS DE SEGURIDAD INFORMTICA

1.1. OBJETIVO
Dotar de la informacin necesaria en el ms amplio nivel de detalle a los
usuarios, empleados y gerentes de la Universidad de Oriente, de las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la
red institucional de la Universidad de Oriente, as como la informacin que es
procesada y almacenada en estos.
18

UNIVO
Nivel 1
SEGURIDAD ORGANIZATIVA
1.2. SEGURIDAD ORGANIZACIONAL
1.2.1.
POLTICAS DE SEGURIDAD
Art. 1. Los servicios de la red institucional son de exclusivo uso acadmico, de

investigacin, tcnicos y para gestiones administrativas, cualquier cambio
en la normativa de uso de los mismos, ser expresa y adecuada como
poltica de seguridad en este documento.
Art. 2. La Universidad de Oriente nombrar un comit de seguridad, que de
seguimiento al cumplimiento de la normativa y propicie el entorno
necesario para crear un SGSI1, el cual tendr entre sus funciones:
a) Velar por la seguridad de los activos informticos
b) Gestin y procesamiento de informacin.
c) Cumplimiento de polticas.
d) Aplicacin de sanciones.
e) Elaboracin de planes de seguridad.
f) Capacitacin de usuarios en temas de seguridad.
g) Gestionar y coordinar esfuerzos, por crear un plan de
contingencia, que d sustento o solucin, a problemas de
seguridad dentro de la institucin. El mismo orientar y guiar a
los empleados, la forma o mtodos necesarios para salir avante
ante cualquier eventualidad que se presente.
h) Informar sobre problemas de seguridad a la alta administracin
universitaria.
i) Poner especial atencin a los usuarios de la red institucional
sobre sugerencias o quejas con respecto al funcionamiento de
los activos de informacin.
Glosario de Trminos SGSI
19

UNIVO
El comit de seguridad estar integrado por los siguientes miembros:

i. Gerencia
ii. Gestor de Seguridad
iii. Administrador Red Administrativa
iv. Administrador Red Educativa
Art. 3. El administrador de cada unidad organizativa dentro de la red
institucional es el nico responsable de las actividades procedentes de
sus acciones.
Art. 4. El administrador de sistemas es el encargado de mantener en buen
estado los servidores dentro de la red institucional.
Art. 5. Todo usuario de la red institucional de la Universidad de Oriente, gozar
de absoluta privacidad sobre su informacin, o la informacin que
provenga de sus acciones, salvo en casos, en que se vea involucrado en
actos ilcitos o contraproducentes para la seguridad de la red
institucional, sus servicios o cualquier otra red ajena a la institucin.
Art. 6. Los usuarios tendrn el acceso a Internet, siempre y cuando se cumplan
los requisitos mnimos de seguridad para acceder a este servicio y se
acaten las disposiciones de conectividad de la unidad de informtica.
Art. 7. Las actividades acadmicas (clases, exmenes, prcticas, tareas, etc.)
en los centros de cmputo, tienen la primera prioridad, por lo que a
cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat")
sin estos fines, se le podr solicitar dejar libre la estacin de trabajo, si
as, fuera necesario. Esto es importante para satisfacer la demanda de
estaciones en horas pico o el uso de estaciones con software
especializado.
1.2.2.
EXCEPCIONES DE RESPONSABILIDAD
Art. 1. Los usuarios que por disposicin de sus superiores realicen acciones que
perjudiquen a otros usuarios o la informacin que estos procesan, y si
estos no cuentan con un contrato de confidencialidad y proteccin de la
informacin de la institucin o sus allegados.
20

UNIVO
Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir

algunas de las polticas enumeradas en este documento, debido a la
responsabilidad de su cargo, o a situaciones no programadas. Estas
excepciones debern ser solicitadas formalmente y aprobadas por el
comit de seguridad, con la documentacin necesaria para el caso,
siendo la gerencia quien d por sentada su aprobacin final.
1.2.3.
CLASIFICACIN Y CONTROL DE ACTIVOS
1.2.3.1.
RESPONSABILIDAD POR LOS ACTIVOS
Art. 1. Cada departamento o facultad, tendr un responsable por el/los activo/s

crtico/s o de mayor importancia para la facultad, departamento y/o la
universidad.2
Art. 2. La persona o entidad responsable de los activos de cada unidad
organizativa o rea de trabajo, velar por la salvaguarda de los activos
fsicos (hardware y medios magnticos, aires acondicionados,
mobiliario.), activos de informacin (Bases de Datos, Archivos,
Documentacin
de
sistemas,
Procedimientos
Operativos,
configuraciones), activos de software (aplicaciones, software de
sistemas, herramientas y programas de desarrollo)3
Art. 3. Los administradores de los sistemas son los responsables de la
seguridad de la informacin almacenada en esos recursos.
1.2.3.2.
CLASIFICACIN DE LA INFORMACIN
Art. 1. De forma individual, los departamentos de la Universidad de Oriente, son

responsables, de clasificar de acuerdo al nivel de importancia, la
informacin que en ella se procese.4
Art. 2. Se tomarn como base, los siguientes criterios, como niveles de
importancia, para clasificar la informacin:
a) Pblica
b) Interna
c) Confidencial
Anexo # 1 Formulario Clasificacin de Activos

Anexo # 2 3 Formularios Control de Software, Control de Hardware.
4
Anexo #1 Formulario Clasificacin de Activos
3
21

UNIVO
Art. 3. Los activos de informacin de mayor importancia para la institucin

debern clasificarse por su nivel de exposicin o vulnerabilidad.
1.2.4.
SEGURIDAD LIGADA AL PERSONAL
Referente a contratos:
Art. 1. Se entregar al contratado, toda la documentacin necesaria para ejercer
sus labores dentro de la institucin, en el momento en que se de por
establecido su contrato laboral.
El empleado:
Art. 1. La informacin procesada, manipulada o almacenada por el empleado es
propiedad exclusiva de la Universidad de Oriente.
Art. 2. La Universidad de Oriente no se hace responsable por daos causados
provenientes de sus empleados a la informacin o activos de
procesamiento, propiedad de la institucin, daos efectuados desde sus
instalaciones de red a equipos informticos externos.
1.2.4.1.
CAPACITACIN DE USUARIOS
Art. 1. Los usuarios de la red institucional, sern capacitados en cuestiones de

seguridad de la informacin, segn sea el rea operativa y en funcin de
las actividades que se desarrollan.
Art. 2. Se deben tomar todas las medidas de seguridad necesarias, antes de
realizar una capacitacin a personal ajeno o propio de la institucin,
siempre y cuando se vea implicada la utilizacin de los servicios de red o
se exponga material de importancia considerable para la institucin.
1.2.4.2. RESPUESTAS
SEGURIDAD
INCIDENTES
ANOMALAS
DE
Art. 1. Se realizarn respaldos de la informacin, diariamente, para los activos

de mayor importancia o crticos, un respaldo semanal que se utilizar en
caso de fallas y un tercer respaldo efectuado mensualmente, el cul
deber ser guardado y evitar su utilizacin a menos que sea
estrictamente necesaria.
22

UNIVO
Art. 2. Las solicitudes de asistencia, efectuados por dos o ms empleados o

reas de proceso, con problemas en las estaciones de trabajo, deber
drseles solucin en el menor tiempo posible.
Art. 3. El gestor de seguridad deber elaborar un documento donde deba
explicar los pasos que se debern seguir en situaciones
contraproducentes a la seguridad y explicarlo detalladamente en una
reunin ante el personal de respuesta a incidentes.
Art. 4. Cualquier situacin anmala y contraria a la seguridad deber ser
documentada, posterior revisin de los registros o Log de sistemas con el
objetivo de verificar la situacin y dar una respuesta congruente y acorde
al problema, ya sea est en el mbito legal o cualquier situacin
administrativa.
23

UNIVO
Nivel 2
SEGURIDAD LGICA
1.3. SEGURIDAD LGICA
1.3.1. CONTROL DE ACCESOS
Art. 1. El Gestor de Seguridad proporcionar toda la documentacin necesaria
para agilizar la utilizacin de los sistemas, referente a formularios, guas,
controles, otros.
Art. 2. Cualquier peticin de informacin, servicio o accin proveniente de un
determinado usuario o departamento, se deber efectuar siguiendo los
canales de gestin formalmente establecidos por la institucin, para
realizar dicha accin; no dar seguimiento a esta poltica implica:
a) Negar por completo la ejecucin de la accin o servicio.
b) Informe completo dirigido a comit de seguridad, mismo ser
realizado por la persona o el departamento al cual le es solicitado
el servicio.
c) Sanciones aplicables por autoridades de nivel
previamente discutidas con el comit de seguridad.
1.3.1.1.
superior,
ADMINISTRACIN DEL ACCESO DE USUARIOS
Art. 1. Son usuarios de la red institucional los docentes de planta,

administrativos, secretarias, alumnos, y toda aquella persona, que tenga
contacto directo como empleado y utilice los servicios de la red
institucional de la Universidad de Oriente.
Art. 2. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo
usuario de la red institucional, siempre y cuando se identifique
previamente el objetivo de su uso o permisos explcitos a los que este
acceder, junto a la informacin personal del usuario.
Art. 3. Los alumnos, son usuarios limitados, estos tendrn acceso nicamente a
los servicios de Internet y recursos compartidos de la red institucional,
cualquier cambio sobre los servicios a los que estos tengan acceso, ser
motivo de revisin y modificacin de esta poltica, adecundose a las
nuevas especificaciones.
24

UNIVO
Art. 4. Se consideran usuarios externos o terceros, cualquier entidad o persona

natural, que tenga una relacin con la institucin fuera del mbito de
empleado/estudiante y siempre que tenga una vinculacin con los
servicios de la red institucional.
Art. 5. El acceso a la red por parte de terceros es estrictamente restrictivo y
permisible nicamente mediante firma impresa y documentacin de
aceptacin de confidencialidad hacia la institucin y comprometido con el
uso exclusivo del servicio para el que le fue provisto el acceso.
Art. 6. No se proporcionar el servicio solicitado por un usuario, departamento o
facultad, sin antes haberse completado todos los procedimientos de
autorizacin necesarios para su ejecucin.
Art. 7. Se crear una cuenta temporal del usuario, en caso de olvido o extravo
de informacin de la cuenta personal, para brindarse al usuario que lo
necesite, siempre y cuando se muestre un documento de identidad
personal.5
Art. 8. La longitud mnima de caracteres permisibles en una contrasea se
establece en 6 caracteres, los cuales tendrn una combinacin
alfanumrica, incluida en estos caracteres especiales.
Art. 9. La longitud mxima de caracteres permisibles en una contrasea se
establece en 12 caracteres, siendo esta una combinacin de Maysculas
y minsculas.
1.3.1.2.
RESPONSABILIDADES DEL USUARIO
Art. 1. El usuario es responsable exclusivo de mantener a salvo su contrasea.

Art. 2. El usuario ser responsable del uso que haga de su cuenta de acceso a
los sistemas o servicios.
Art. 3. Se debe evitar el guardar o escribir las contraseas en cualquier papel o
superficie o dejar constancia de ellas, amenos que sta se guardada en
un lugar seguro.
Anexo #5 Formulario cuenta temporal
25

UNIVO
Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos

proporcionados por el Gestor de Seguridad, que contenga informacin
que pueda facilitar a un tercero la obtencin de la informacin de su
cuenta de usuario.
Art. 5. El usuario es responsable de evitar la prctica de establecer contraseas
relacionadas con alguna caracterstica de su persona o relacionado con
su vida o la de parientes, como fechas de cumpleaos o alguna otra
fecha importante.
Art. 6. El usuario deber proteger su equipo de trabajo, evitando que personas
ajenas a su cargo puedan acceder a la informacin almacenada en el,
mediante una herramienta de bloqueo temporal (protector de pantalla),
protegida por una contrasea, el cual deber activarse en el preciso
momento en que el usuario deba ausentarse.
Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los
sistemas informticos de la institucin, est obligado a reportarlo a los
administradores del sistema o gestor de seguridad.
Art. 8. Los usuarios estudiantes y docentes, son responsables de guardar sus
trabajos en discos flexibles, siempre y cuando hayan sido revisados por
el administrador del centro de cmputo o persona encargada de dicha
unidad, y as evitar cualquier prdida de informacin valiosa.
Uso de correo electrnico:
Art. 1. El servicio de correo electrnico, es un servicio gratuito, y no
garantizable, se debe hacer uso de el, acatando todas las disposiciones
de seguridad diseadas para su utilizacin y evitar el uso o introduccin
de software malicioso a la red institucional.
Art. 2. El correo electrnico es de uso exclusivo, para los empleados de la
Universidad de Oriente y accionistas de la misma.
Art. 3. Todo uso indebido del servicio de correo electrnico, ser motivo de
suspensin temporal de su cuenta de correo o segn sea necesario la
eliminacin total de la cuenta dentro del sistema.
Art. 4. El usuario ser responsable de la informacin que sea enviada con su
cuenta.
26

UNIVO
Art. 5. El comit de seguridad, se reservar el derecho de monitorear las

cuentas de usuarios, que presenten un comportamiento sospechoso para
la seguridad de la red institucional.
Art. 6. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de
software o reproducir informacin sin conocimiento del autor.
1.3.1.3.
SEGURIDAD EN ACCESO DE TERCEROS
Art. 1. El acceso de terceros ser concedido siempre y cuando se cumplan con

los requisitos de seguridad establecidos en el contrato de trabajo o
asociacin para el servicio, el cual deber estar firmado por las entidades
involucradas en el mismo.
Art. 2. Todo usuario externo, estar facultado a utilizar nica y exclusivamente
el servicio que le fue asignado, y acatar las responsabilidades que
devengan de la utilizacin del mismo.
Art. 3. Los servicios accedidos por terceros acataran las disposiciones
generales de acceso a servicios por el personal interno de la institucin,
adems de los requisitos expuestos en su contrato con la universidad.
1.3.1.4. CONTROL DE ACCESO A LA RED

Unidad de Informtica y afines a ella.
Art. 1. El acceso a la red interna, se permitir siempre y cuando se cumpla con
los requisitos de seguridad necesarios, y ste ser permitido mediante un
mecanismo de autenticacin.
Art. 2. Se debe eliminar cualquier acceso a la red sin previa autenticacin o
validacin del usuario o el equipo implicado en el proceso.
Art. 3. Cualquier alteracin del trfico entrante o saliente a travs de los
dispositivos de acceso a la red, ser motivo de verificacin y tendr como
resultado directo la realizacin de una auditoria de seguridad.
27

UNIVO
Art. 4. El departamento de informtica deber emplear dispositivos de red para

el bloqueo, enrutamiento, o el filtrado de trfico evitando el acceso o flujo
de informacin, no autorizada hacia la red interna o desde la red interna
hacia el exterior.
Art. 5. Los accesos a la red interna o local desde una red externa de la
institucin o extranet, se harn mediante un mecanismo de autenticacin
seguro y el trafico entre ambas redes o sistemas ser cifrado con una
encriptacin de 128 bit.6
Art. 6. Se registrara todo acceso a los dispositivos de red, mediante archivos de
registro o Log, de los dispositivos que provean estos accesos.
Art. 7. Se efectuara una revisin de Log de los dispositivos de acceso a la red
en un tiempo mximo de 48 horas.
1.3.1.5.
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Art. 1. Se deshabilitarn las cuentas creadas por ciertas aplicaciones con

privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de
herramientas de auditora, etc.) evitando que estas corran sus servicios
con privilegios nocivos para la seguridad del sistema.
Art. 2. Al terminar una sesin de trabajo en las estaciones, los operadores o
cualquier otro usuario, evitara dejar encendido el equipo, pudiendo
proporcionar un entorno de utilizacin de la estacin de trabajo.
Servidores
Art. 3. El acceso a la configuracin del sistema operativo de los servidores, es
nicamente permitido al usuario administrador.
Art. 4. Los administradores de servicios, tendrn acceso nico a los mdulos de
configuracin de las respectivas aplicaciones que tienen bajo su
responsabilidad.
Glosario de Trminos, Encriptacin
28

UNIVO
Art. 5. Todo servicio provisto o instalado en los servidores, correr o ser

ejecutado bajo cuentas restrictivas, en ningn momento se obviaran
situaciones de servicios corriendo con cuentas administrativas, estos
privilegios tendrn que ser eliminados o configurados correctamente.7
1.3.1.6.
CONTROL DE ACCESO A LAS APLICACIONES
Art. 1. Las aplicaciones debern estar correctamente diseadas, con funciones

de acceso especificas para cada usuario del entorno operativo de la
aplicacin, las prestaciones de la aplicacin.
Art. 2. Se deber definir y estructurar el nivel de permisos sobre las
aplicaciones, de acuerdo al nivel de ejecucin o criticidad de las
aplicaciones o archivos, y haciendo especial nfasis en los derechos de
escritura, lectura, modificacin, ejecucin o borrado de informacin.
Art. 3. Se debern efectuar revisiones o pruebas minuciosas sobre las
aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas
en un entorno operativo real, con el objetivo de evitar redundancias en
las salidas de informacin u otras anomalas.
Art. 4. Las salidas de informacin, de las aplicaciones, en un entorno de red,
debern ser documentadas, y especificar la terminal por la que deber
ejecutarse exclusivamente la salida de informacin.
Art. 5. Se deber llevar un registro mediante Log de aplicaciones, sobre las
actividades de los usuarios en cuanto a accesos, errores de conexin,
horas de conexin, intentos fallidos, terminal desde donde conecta, entre
otros, de manera que proporcionen informacin relevante y revisable
posteriormente.
1.3.1.7.
MONITOREO DEL ACCESO Y USO DEL SISTEMA
Art. 1. Se registrar y archivar toda actividad, procedente del uso de las

aplicaciones, sistemas de informacin y uso de la red, mediante archivos
de Log o bitcoras de sistemas.
http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_iis_6_0.mspx
29

UNIVO
Art. 2. Los archivos de Log, almacenarn nombres de usuarios, nivel de

privilegios, IP de terminal, fecha y hora de acceso o utilizacin, actividad
desarrollada, aplicacin implicada en el proceso, intentos de conexin
fallidos o acertados, archivos a los que se tubo acceso, entre otros.
Art. 3. Se efectuar una copia automtica de los archivos de Log, y se conducir
o enviara hacia otra terminal o servidor, evitando se guarde la copia
localmente donde se produce.
1.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES

1.3.2.1. RESPONSABILIDADES
OPERATIVOS
PROCEDIMIENTOS
Art. 1. El personal administrador de algn servicio, es el responsable absoluto

por mantener en ptimo funcionamiento ese servicio, coordinar esfuerzos
con el gestor de seguridad, para fomentar una cultura de administracin
segura y servios ptimos.
Art. 2. Las configuraciones y puesta en marcha de servicios, son normadas por
el departamento de informtica, y el comit de seguridad.
Art. 3. El personal responsable de los servicios, llevar archivos de registro de
fallas de seguridad del sistema, revisara, estos archivos de forma
frecuente y en especial despus de ocurrida una falla.
1.3.2.2.
PLANIFICACIN Y ACEPTACIN DE SISTEMAS
Art. 1. La unidad de informtica, o personal de la misma dedicado o asignado en

el rea de programacin o planificacin y desarrollo de sistemas,
efectuar todo el proceso propio de la planificacin, desarrollo,
adquisicin, comparacin y adaptacin del software necesario para la
Universidad de Oriente.
Art. 2. La aceptacin del software se har efectiva por la Gerencia de la
institucin, previo anlisis y pruebas efectuadas por el personal de
informtica.
30

UNIVO
Art. 3. nicamente se utilizar software certificado o en su defecto software

previamente revisado y aprobado, por personal calificado en el rea de
seguridad.
Art. 4. La aceptacin y uso de los sistemas no exonera, de responsabilidad
alguna sobre el gestor de seguridad, para efectuar pruebas o
diagnsticos a la seguridad de los mismos.
Art. 5. El software diseado localmente o llmese de otra manera desarrolladas
por programadores internos, debern ser analizados y aprobados, por el
gestor de seguridad, antes de su implementacin.
Art. 6. Es tarea de programadores el realizar pruebas de validacin de entradas,
en cuanto a:
o Valores fuera de rango.
o Caracteres invlidos, en los campos de datos.
o Datos incompletos.
o Datos con longitud excedente o valor fuera de rango.
o Datos no autorizados o inconsistentes.
o Procedimientos operativos de validacin de errores
o Procedimientos operativos para validacin de caracteres.
o Procedimientos operativos para validacin de la integridad de los
datos.
o Procedimientos operativos para validacin e integridad de las
salidas.
Art. 7 Toda prueba de las aplicaciones o sistemas, se deber hacer teniendo en
cuenta las medidas de proteccin de los archivos de produccin reales.
Art. 8. Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera
deber ser documentada y cualquier documento o archivo que haya sido
necesario para su ejecucin deber ser borrado de los dispositivos
fsicos, mediante tratamiento electrnico.
1.3.2.3.
PROTECCIN CONTRA SOFTWARE MALICIOSO
Art. 1. Se adquirir y utilizar software nicamente de fuentes confiables.

Art. 2. En caso de ser necesaria la adquisicin de software de fuentes no
confiables, este se adquirir en cdigo fuente.
31

UNIVO
Art. 3. Los servidores, al igual que las estaciones de trabajo, tendrn instalado y
configurado correctamente software antivirus actualizable y activada la
proteccin en tiempo real.
1.3.2.4.
MANTENIMIENTO
Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de

exclusiva responsabilidad del personal de la unidad de informtica, o del
personal de soporte tcnico.
Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificacin
aceptable y verificable por el gestor de seguridad.
Art. 3. Se llevar un registro global del mantenimiento efectuado sobre los
equipos y cambios realizados desde su instalacin.
1.3.2.5. MANEJO
Y
SEGURIDAD
ALMACENAMIENTO
DE
MEDIOS
DE
Art. 1. Los medios de almacenamiento o copias de seguridad del sistema de

archivos, o informacin de la institucin, sern etiquetados de acuerdo a
la informacin que almacenan u objetivo que suponga su uso, detallando
o haciendo alusin a su contenido.
Art. 2. Los medios de almacenamiento con informacin crtica o copias de
respaldo debern ser manipulados nica y exclusivamente por el
personal encargado de hacer los respaldos y el personal encargado de
su salvaguarda.
Art. 3. Todo medio de almacenamiento con informacin crtica ser guardado
bajo llave en una caja especial a la cual tendr acceso nicamente, el
gestor de seguridad o la gerencia administrativa, esta caja no debera ser
removible, una segunda copia ser resguardada por un tercero, entidad
financiera o afn.
Art. 4. Se llevar un control, en el que se especifiquen los medios de
almacenamiento en los que se debe guardar informacin y su uso.
32

UNIVO
Nivel 3
SEGURIDAD FSICA
1.4. SEGURIDAD FSICA
1.4.1.
SEGURIDAD FSICA Y AMBIENTAL
1.4.1.1.
SEGURIDAD DE LOS EQUIPOS
Art. 1. El cableado de red, se instalar fsicamente separado de cualquier otro

tipo de cables, llmese a estos de corriente o energa elctrica, para
evitar interferencias.
Art. 2. Los servidores, sin importar al grupo al que estos pertenezcan, con
problemas de hardware, debern ser reparados localmente, de no
cumplirse lo anterior, debern ser retirados sus medios de
almacenamiento.
Art. 3. Los equipos o activos crticos de informacin y proceso, debern
ubicarse en reas aisladas y seguras, protegidas con un nivel de
seguridad verificable y manejable por el gestor de seguridad y las
personas responsables por esos activos, quienes debern poseer su
debida identificacin.
1.4.1.2.
CONTROLES GENERALES
Art. 1. Las estaciones o terminales de trabajo, con procesamientos crticos no

deben de contar con medios de almacenamientos extrables, que puedan
facilitar el robo o manipulacin de la informacin por terceros o personal
que no deba tener acceso a esta informacin.
Art. 2. En ningn momento se deber dejar informacin sensible de robo,
manipulacin o acceso visual, sin importar el medio en el que esta se
encuentre, de forma que pueda ser alcanzada por terceros o personas
que no deban tener acceso a esta informacin.
Art. 3. Deber llevarse un control exhaustivo del mantenimiento preventivo y
otro para el mantenimiento correctivo que se les haga a los equipos.8
Anexo # 6-7 Formularios de Mantenimiento.
33

UNIVO
Art. 4. Toda oficina o rea de trabajo debe poseer entre sus inventarios,
herramientas auxiliares (extintores, alarmas contra incendios, lmpara de
emergencia), necesarias para salvaguardar los recursos tecnolgicos y la
informacin.
Art. 5. Toda visita a las oficinas de tratamiento de datos crticos e informacin
(unidad de informtica, sala de servidores entre otros) deber ser
registrada mediante el formulario de accesos a las salas de
procesamiento crtico, para posteriores anlisis del mismo.9
Art. 6. La sala o cuarto de servidores, deber estar separada de las oficinas
administrativas de la unidad de informtica o cualquier otra unidad,
departamento o sala de recepcin del personal, mediante una divisin en
la unidad de informtica, recubierta de material aislante o protegido
contra el fuego, Esta sala deber ser utilizada nicamente por las
estaciones prestadoras de servicios y/o dispositivos a fines.
Art. 7. El suministro de energa elctrica debe hacerse a travs de un circuito
exclusivo para los equipos de cmputo, o en su defecto el circuito que se
utilice no debe tener conectados equipos que demandan grandes
cantidades de energa.
Art. 8. El suministro de energa elctrica debe estar debidamente polarizado, no
siendo conveniente la utilizacin de polarizaciones locales de tomas de
corriente, si no que debe existir una red de polarizacin.
Art. 9. Las instalaciones de las reas de trabajo deben contar con una adecuada
instalacin elctrica, y proveer del suministro de energa mediante una
estacin de alimentacin ininterrumpida o UPS para poder proteger la
informacin.
Art. 10. Las salas o instalaciones fsicas de procesamiento de informacin
debern poseer informacin en carteles, sobre accesos, alimentos o
cualquier otra actividad contraria a la seguridad de la misma o de la
informacin que ah se procesa.
Anexo # 8 Formulario de Accesos.
34

UNIVO
Nivel 4
SEGURIDAD LEGAL
1.5. SEGURIDAD LEGAL
1.5.1.
CONFORMIDAD CON LA LEGISLACIN
1.5.1.1.
CUMPLIMIENTO DE REQUISITOS LEGALES
Licenciamiento de Software:
Art. 1. La Universidad de Oriente, se reserva el derecho de respaldo, a cualquier
miembro facultativo, estudiante o miembro de las reas administrativas,
ante cualquier asunto legal relacionado a infracciones a las leyes de
copyright o piratera de software.
Art. 2. Todo el software comercial que utilice la Universidad de Oriente, deber
estar legalmente registrado, en los contratos de arrendamiento de
software con sus respectivas licencias.
Art. 3. La adquisicin de software por parte de personal que labore en la
institucin, no expresa el consentimiento de la institucin, la instalacin
del mismo, no garantiza responsabilidad alguna para la universidad, por
ende la institucin no se hace responsable de las actividades de sus
empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad
intelectual exclusiva de sus desarrolladores, la universidad respeta la
propiedad intelectual y se rige por el contrato de licencia de sus autores.
Art. 5. El software comercial licenciado a la Universidad de Oriente, es
propiedad exclusiva de la institucin, la misma se reserva el derecho de
reproduccin de ste, sin el permiso de sus autores, respetando el
esquema de cero piratera y/o distribucin a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harn las
gestiones necesarias para su efecto y se acataran las medidas de
licenciamiento relacionadas con la propiedad intelectual.
Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son
responsabilidad absoluta de la Universidad de Oriente.
35

UNIVO
Art. 8. Cualquier cambio en la poltica de utilizacin de software comercial o

software libre, se har documentado y en base a las disposiciones de la
respectiva licencia.
Art. 9. El software desarrollado internamente, por el personal que labora en la
institucin es propiedad exclusiva de la Universidad de Oriente.
Art. 10. La adquisicin del software libre o comercial deber ser gestionado con
las autoridades competentes y acatando sus disposiciones legales, en
ningn momento se obtendr software de forma fraudulenta.
Art. 11. Los contratos con terceros, en la gestin o prestacin de un servicio,
debern especificar, las medidas necesarias de seguridad, nivel de
prestacin del servicio, y/o el personal involucrado en tal proceso.
1.5.1.2. REVISIN
DE
POLTICAS
CUMPLIMIENTO TCNICO
DE
SEGURIDAD
Art. 1. Toda violacin a las polticas de licenciamiento de software, ser motivo

de sanciones aplicables al personal que incurra en la violacin.
Art. 2. El documento de seguridad ser elaborado y actualizado por el gestor de
seguridad, junto al comit de seguridad, su aprobacin y puesta en
ejecucin ser responsabilidad de la gerencia administrativa.
Art. 3. Cualquier violacin a la seguridad por parte del personal que labora, para
la universidad, as como terceros que tengan relacin o alguna especie
de contrato con la institucin se harn acreedores a sanciones aplicables
de ley.10
1.5.1.3. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS
Art. 1. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a
la red, trimestral, enmarcada en pruebas de acceso tanto internas como
externas, desarrolladas por personal tcnico especializado o en su
defecto personal capacitado en el rea de seguridad.11
Art. 2. Toda auditoria a los sistemas, estar debidamente aprobada, y tendr el

sello y firma de la gerencia.
10
Manual de Normas y Polticas de Administracin de Recursos Humanos, Cp. 3.21 Aspectos Disciplinarios
Faltas Graves: Lit. A, C, I.
11
Anexo #9 formulario de Auditoria
36

UNIVO
Art. 3. Cualquier accin que amerite la ejecucin de una auditoria a los sistemas
informticos deber ser documentada y establecida su aplicabilidad y
objetivos de la misma, as como razones para su ejecucin, personal
involucrada en la misma y sistemas implicados.
Art. 4. La auditoria no deber modificar en ningn momento el sistema de
archivos de los sistemas implicados, en caso de haber necesidad de
modificar algunos, se deber hacer un respaldo formal del sistema o sus
archivos.
Art. 5. Las herramientas utilizadas para la auditoria debern estar separadas de
los sistemas de produccin y en ningn momento estas se quedaran al
alcance de personal ajeno a la elaboracin de la auditoria.
37

UNIVO
2. NORMAS DE SEGURIDAD INFORMTICA

2.1. OBJETIVO
Proporcionar las directrices necesarias para la correcta administracin del
Sistema de Gestin de Seguridad de la Informacin, bajo un entorno
normativamente regulado e interpretable por los usuarios de la red institucional y
ajustada a las necesidades de la Universidad de Oriente.
2.2. SEGURIDAD ORGANIZACIONAL

2.2.1. EN CUANTO A POLTICAS GENERALES DE SEGURIDAD
Unidad de Informtica:
Art. 1.1 El usuario acatar las disposiciones expresas sobre la utilizacin de los
servicios informticos de la red institucional.
Art. 4.1 El administrador har respaldos peridicos de la informacin as como

la depuracin de los discos duros.
Art. 4.2 El gestor de seguridad, junto al administrador de sistemas, realizarn
auditorias peridicas en el sistema con el fin de localizar intrusos o
usuarios que estn haciendo mal uso de los recursos de un servidor.
Art. 4.3 El administrador decidir, sobre el uso de los recursos del sistema
restriccin de directorios y programas ejecutables para los usuarios.
Art. 4.4 Se revisar el trfico de paquetes que se estn generando dentro de un
segmento de red, a fin de determinar si se est haciendo mal uso de la
red o se esta generando algn problema que pueda llevar a que se
colapsen los sistemas.
Art. 4.5 El administrador de sistemas, dar de alta y baja a usuarios y revisar
las cuentas peridicamente para estar seguros de que no hay usuarios
ficticios.
Art. 4.6 Recomendar sobre el uso e implementacin de nuevas tecnologas para
administracin de los sistemas y la red.
38

UNIVO
Art. 4.7 Reportar a las autoridades universitarias, las fallas en el desempeo de

la red. Solucionar junto al gestor de seguridad, los problemas que se
generen en su red local.
Art. 5.1 La universidad se guarda el derecho de divulgacin o confidencialidad
de la informacin personal de los usuarios de la red institucional, si estos
se ven envueltos en actos ilcitos.
Art. 5.2 El gestor de seguridad monitoreara las acciones y tareas de los
usuarios de la red institucional.
Art. 6.1 Se prestar el servicio de Internet, siempre que se encuentren
presentes los requisitos de seguridad mnimos.
Art. 6.2 El usuario no tiene derecho sobre el servicio de Internet sino es
mediante la aceptacin de la normativa de seguridad.
Art. 7.1 se suspender cualquier usuario que utilice los centros de cmputo
fuera del mbito acadmico, y los objetivos para los que estos fueron
creados.
2.2.2. EXCEPCIONES DE RESPONSABILIDAD

Art. 1.1 La institucin debe establecer con sus empleados un contrato de
confidencialidad de comn acuerdo.
Art. 1.2 Toda accin debe seguir los canales de gestin necesarios para su
ejecucin.
Art. 2.1 El comit de seguridad proveer la documentacin necesaria para
aprobar un acuerdo de no responsabilidad por acciones que realicen
dentro de la red institucional.
Art. 2.2 Las gestiones para las excepciones de responsabilidad son acordadas
bajo comn acuerdo de la gerencia y el comit de seguridad.
2.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS

2.2.3.1. RESPONSABILIDAD POR LOS ACTIVOS
Art. 1.1 El comit de seguridad nombrar un responsable de activos en cada
departamento de la Universidad de Oriente.
39

UNIVO
Art. 2.1 Los jefes de cada departamento de la institucin, son responsables de

mantener o proteger los activos de mayor importancia.
2.2.3.2. CLASIFICACIN DE LA INFORMACION

Art. 1.1 Cada jefe de departamento dar importancia a la informacin en base al
nivel de clasificacin que demande el activo.
Art. 2.1 La informacin pblica puede ser visualizada por cualquier persona
dentro o fuera de la institucin.
Art. 2.2 La informacin interna, es propiedad del estudiante y de la institucin,
en ningn momento intervendrn personas ajenas a su proceso o
manipulacin.
Art. 2.3 La informacin confidencial es propiedad absoluta de la institucin, el
acceso a sta es permitido nicamente a personal administrativo.
Art. 3.1 Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel
de seguridad medio y nivel de seguridad alto.
2.2.4. SEGURIDAD LIGADA AL PERSONAL

Referente a contratos.
Art. 1.1 Todo empleado ejercer las labores estipuladas en su contrato de
trabajo.
El empleado.
Art. 1.1 El empleado no tiene ningn derecho sobre la informacin que procese
dentro de las instalaciones de la red institucional.
Art. 1.2 La informacin que maneja o manipula el empleado, no puede ser

divulgada a terceros o fuera del mbito de laboral.
Art. 2.1 El usuario se norma por las disposiciones de seguridad informtica de la

Universidad de Oriente.
40

UNIVO
Art. 2.2 Los usuarios son responsables de las acciones causadas por sus
operaciones con el equipo de la red institucional.
2.2.4.1. CAPACITACIN DE USUARIOS

Art. 1.1 El comit de seguridad capacitar los usuarios de la red institucional,
por departamentos.
Art. 1.2 El comit de seguridad proporcionara las fechas en que se impartirn
las capacitaciones.
Art. 1.3 El material de apoyo (manuales, guas, etc.) ser entregado minutos
antes de iniciar la capacitacin, en la sala donde ser efectuada la
capacitacin.
Art. 2.1 En cada capacitacin se revisarn los dispositivos de conexin de

servicios involucrados en la capacitacin.
Art. 2.2 Las capacitaciones deben realizarse fuera de reas de procesamiento
de informacin.
Art. 2.3 Entre los deberes y derechos de los empleados institucionales y
personal denotado como tercero, se encuentran acatar o respetar las
disposiciones sobre capacitaciones y por ende asistir a ellas sin
excepcin alguna, salvo casos especiales.
2.2.4.2. RESPUESTA
SEGURIDAD
INCIDENTES
ANOMALIAS
DE
Art. 1.1 Los respaldos de informacin debern ser almacenados en un sitio

aislado y libre de cualquier dao o posible extraccin por terceros dentro
de la institucin.
Art.1.2 Los respaldos se utilizarn nicamente en casos especiales ya que su
contenido es de suma importancia para la institucin.
Art. 1.3 La institucin debe contar con respaldos de la informacin ante
cualquier incidente.
Art. 1.4 Generar procedimientos manuales de respaldo de informacin.
41

UNIVO
Art.2.1 La unidad de informtica tendr la responsabilidad, de priorizar una

situacin de la otra en cuanto a los problemas en las estaciones de
trabajo.
Art. 2.2 En situaciones de emergencia que impliquen reas como atencin al
cliente entre otros, se da prioridad en el orden siguiente.
a. rea de contabilidad
b. rea acadmica
c. rea administrativa.
Art.3.1 El documento de seguridad se elaborar, tomando en cuenta aspectos

basados en situaciones pasadas, y enmarcarlo en la pro actividad de
situaciones futuras.
Art. 3.2 Se prioriza la informacin de mayor importancia para la institucin.
Art. 3.3 Se evacua la informacin o activo de los niveles confidenciales de la
institucin.
Art. 4.1 Respaldar los archivos de logs o registro de los sistemas en proceso,
cada cierto tiempo durante el da.
Art. 4.2 Llevar un registro manual de las actividades sospechosas de los

empleados.
42

UNIVO
2.3. SEGURIDAD LGICA

2.3.1. CONTROL DEL
INSTITUCIONAL
ACCESO
DE
USUARIOS
LA
RED
Art. 1.1 La documentacin de seguridad ser resguardada por el gestor de

seguridad, esto incluye folletos, guas, formularios, controles entre otros.
Art. 1.2 La elaboracin de la documentacin relacionada con formularios, guas,
etc. Ser elaborada por el comit de seguridad.
Art. 2.1 Los canales de gestin y seguimiento para realizar acciones dentro de
la red institucional, no pueden ser violentados bajo ninguna circunstancia.
Art. 2.2 El personal encargado de dar soporte a la gestin de comunicaciones

entre servicios y la prestacin del mismo, no est autorizado a brindar
ninguna clase de servicios, mientras no se haya seguido todos y cada
uno de los canales de gestin necesarios.
2.3.1.1. ADMINISTRACIN DEL ACCESO DE USUARIOS A LOS

SERVICIOS INFORMTICOS DE LA UNIVERSIDAD.
Art. 1.1 Sin excepcin alguna se consideran usuarios de la red institucional de la
Universidad de Oriente todos y cada uno del personal que se encuentra
denotado en la poltica de administracin de acceso de usuarios.
Art. 2.1 El acceso a los sistemas y servicios de informacin, es permitido

nicamente a los usuarios que dispongan de los permisos necesarios
para su ejecucin.
Art. 2.2 El usuario deber proveer toda la informacin necesaria para poder
brindarle los permisos necesarios para la ejecucin de los servicios de la
red institucional.
Art. 3.1 El acceso a la Internet por parte de los usuarios alumnos esta sujeto a
la normativa desarrollada por cada centro de cmputo, horarios, y sus
disposiciones generales, estos usuarios no necesitan la aprobacin del
gestor o del comit de seguridad, para tener acceso.
43

UNIVO
Art. 3.2 Las necesidades y aprobacin de acceso, de los alumnos a los servicios
de la red institucional, deber ser documentada y actualizada su
informacin, en la poltica que norma su uso.
Art. 4.1 La vinculacin de servicios por parte de terceros con la red institucional,
es caracterstica propia del personal en outsourcing, investigadores,
proveedores de software.
Art. 5.1 La identificacin del usuario se har a travs del formulario que le
proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma
impresa de la persona que tendr acceso al sistema o se acreditar con
su cuenta de usuario12
Art. 6.1 Cualquier peticin de servicio, por parte de personal de la institucin o

ajeno a la misma, no se conceder sino es mediante la aprobacin de la
poltica de acceso y prestacin de servicio.
Art. 7.1 La cuenta temporal es usada nicamente con propsitos legales y de

ejecucin de tareas, por olvido de la informacin de la cuenta personal.
Art. 7.2 La cuenta temporal es nicamente acreditable, si se proporciona la
informacin necesaria para su uso.
Art. 7.3 Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa
verificacin o asignacin de una nueva cuenta, al usuario propietario de
la cuenta a eliminar.
Art. 7.4 El par usuario/contrasea temporal, ser eliminada del sistema como
tal, por el gestor de seguridad, en el preciso momento en que sea
habilitada una cuenta personal para el usuario que haya solicitado su
uso.
Art. 8.1 El sistema no aceptar contraseas con una longitud menor a la

expresada en la poltica de creacin de contraseas.
Art. 8.2 Los usuarios darn un seguimiento estricto sobre las polticas de
creacin de contraseas, acatando sus disposiciones en su totalidad.
12
Anexo #4 Formulario Cuenta de Usuario.
44

UNIVO
Art. 9.1 El sistema revocar toda contrasea con una longitud mayor a la
expresada en la poltica de creacin de contraseas.
Art. 9.2 El usuario se responsabiliza en crear una contrasea fuerte y difcil de
adivinar.
Art. 9.3 Se recomienda utilizar una frase coma base para la creacin de la
contrasea, tomando la letra inicial de cada palabra. Por ejemplo: El
azar favorece una mente brillante <<EaFUmB>>
2.3.1.2. RESPONSABILIDADES DEL USUARIO

Art. 1.1 El gestor de seguridad debe desactivar cualquier caracterstica de los
sistemas o aplicaciones que les permita a los usuarios, almacenar
localmente sus contraseas.
Art. 1.2 El usuario deber estar consiente de los problemas de seguridad que
acarrea la irresponsabilidad en la salvaguarda y uso de su contrasea.
Art. 2.1 El usuario deber ser precavido al manipular su cuenta de acceso a los
sistemas, tomando medidas de seguridad que no pongan en riesgo su
integridad como persona.
Art. 2.2 Las cuentas de usuario son personales, en ningn momento deben ser
utilizadas por personal ajeno al que le fue asignada.
Art. 3.1 La prctica de guardar las contraseas en papel adherido al monitor o

reas cercanas al equipo de trabajo, es una falta grabe y sancionable.
Art. 3.2 Las contraseas deben ser memorizadas desde el mismo momento en
que le es asignada.
Art. 4.1 Se desechar, toda documentacin que tenga que ver con informacin
relacionada a su cuenta de usuario, minutos despus de habrsele
entregado y siempre que haya sido memorizada o resguarda su
informacin.
45

UNIVO
Art. 5.1 Es importante que el usuario establezca contraseas fuertes y

desligadas de su vida personal o de su entorno familiar o no emplean do
formatos comunes de fechas.
Art. 6.1 El servidor de dominio deber bloquear cualquier estacin de trabajo

con un protector de pantalla, que tenga un tiempo de inactividad mayor a
un minuto.
Art. 7.1 El usuario es parte esencial en la seguridad de la red institucional, su

experiencia como operador en las estaciones de trabajo es de suma
importancia para el comit de seguridad.
Art. 7.2 Toda falla en el equipo debe ser documentado por el operador de las
estacin de trabajo.
Art. 8.1 El usuario estudiante y los usuarios docentes, harn copias de

seguridad de la informacin que procesan en discos flexibles o unidades
flash, continuamente durante una sesione en las centros de cmputo.
Normativa del uso de correo electrnico.

Art. 1.1 El correo electrnico es un medio de comunicacin directo y
confidencial, entre el emisor del mensaje y el receptor o receptores del
mismo, por ende deber ser visto o reproducido por las personas
implicadas en la comunicacin.
Art. 1.2 El servidor de correo bloquear archivos adjuntos o informacin nociva
como archivos .exe o de ejecucin de comandos como applets java,
javascript o archivos del tipo activeX o IFrame.
Art. 2.1 Ningn usuario externo a la institucin, puede usar los servicios de
correo electrnico proporcionado por la red institucional.
Art. 2.2 Es responsabilidad del usuario hacer un correcto empleo del servicio de
correo electrnico.
46

UNIVO
Art. 3.1 Cualquier actividad no consecuente con los tems siguientes se

considera un mal uso:
a) El no mandar ni contestar cadenas de correo.
b) El uso de su cuenta con fines acadmicos y/o investigacin.
c) La depuracin de su bandeja de entrada del servidor (no dejar correos
por largos periodos).
d) El no hacer uso de la cuenta para fines comerciales.
e) El respetar las cuentas de otros usuarios.
f) El uso de un lenguaje apropiado en sus comunicaciones.
g) El respetar las reglas de "Conducta Internet" para las comunicaciones.
h) Respetar los trminos dados en el contrato de trabajo sobre normativas y
polticas de seguridad.
Art. 5.1 Las cuentas de correo que no cumplan con la normativa de seguridad o
los fines acadmicos o de investigacin para lo que fueron creadas,
pierden automticamente su caracterstica de privacidad.
Art. 6.1 La cuenta de usuario que mostrase un trafico excesivo y que

almacenare software de forma ilegal sern deshabilitadas
temporalmente.
Art. 6.2 La informacin y el software tienen la caracterstica de ser propiedad
intelectual, la universidad no se responsabiliza por el uso del correo
electrnico de parte de sus empleados violentando la ley de derechos de
autor.
2.3.1.3. SEGURIDAD EN ACCESO DE TERCEROS

Art. 1.1 Al ser contratado como empleados de la Universidad de Oriente, se les
entregar la documentacin necesaria para cubrir todas las necesidades
inherentes a su cargo.
47

UNIVO
Art. 1.2 Los requisitos mnimos de seguridad se expresan, en cuestin del

monitoreo y adecuacin de un servicio con respecto a su entorno o
medio de operacin.
Art. 2.1 El administrador de sistemas tomar las medidas necesarias para

asignar los servicios a los usuarios externos.
Art. 2.2 El no cumplimiento de las disposiciones de seguridad y responsabilidad
sobre sus acciones por parte de los usuarios de la red institucional, se
obliga a la suspensin de su cuenta de usuario de los servicios.
2.3.1.4. CONTROL DE ACCESO A LA RED

Art. 1.1 El administrador de sistemas disear los mecanismos necesarios para
proveer acceso a los servicios de la red institucional.
Art. 1.2 Los mecanismos de autenticacin y permisos de acceso a la red,
debern ser evaluados y aprobados por el gestor de seguridad.
Art. 2.1 El comit de seguridad, har evaluaciones peridicas a los sistemas de

red, con el objetivo de eliminar cuentas de acceso sin proteccin de
seguridad, componentes de red comprometidos.
Art. 3.1 El personal que de soporte a escritorio remoto efectuar la conexin

desde un maquina personal, en ningn momento lo har desde una red o
rea de servicios pblicos.
Art. 3.2 El administrador de sistemas, verificar que el trafico de red sea,
estrictamente normal, la variacin de este sin ninguna razn obvia,
pondr en marcha tcnicas de anlisis concretas.
Art. 4.1 Los dispositivos de red, estarn siempre activos, y configurados

correctamente para evitar anomalas en el trafico y seguridad de
informacin de la red institucional.
Art. 5.1 Se utilizarn mecanismos y protocolos de autenticacin como, ssh,

IPsec, Claves pblicas y privadas, autenticacin usuario/contrasea,
cualquiera de ellos ser valido para la autenticacin.
48

UNIVO
Art. 6.1 Los archivos de registro o logs de los dispositivos de red, debern estar
activados y configurados correctamente, en cada dispositivo.
2.3.1.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA

Personal de Informtica:
Art. 1.1 El administrador de sistemas tendr especial cuidado al momento de
instalar aplicaciones en los servidores, configurando correctamente cada
servicio con su respectivo permisos de ejecucin.
Art. 2.1 La finalizacin de la jornada laboral, termina con cualquier actividad

desarrolla en ese momento, lo cual implica guardar todo cuanto se utilice
y apagar equipos informticos antes de salir de las instalaciones.
Art. 2.2 El servidor de dominios, verificar y desactivar cualquier estacin de
trabajo, que este en uso despus de la hora de salida o finalizacin de la
jornada laboral.
Art. 2.3 No le esta permitido al usuario operador, realizar actividades de
configuracin del sistema, bajo ninguna circunstancia.
Art. 3.1 Los servidores estarn debidamente configurados, evitando el abuso de

personal extrao a la administracin estos.
Art. 4.1 En el caso de haber la necesidad de efectuar configuracin de servicios

por ms de un usuario administrador de estos, se conceder acceso
exclusivo mediante una cuenta referida al servicio.
Art. 5.1 La cuenta administrativa, es propiedad exclusiva del administrador de

sistemas.
Art. 5.2 Las aplicaciones prestadoras de servicios corrern con cuentas
restrictivas y jams con privilegios tan altos como los de la cuenta
administrativa.
49

UNIVO
2.3.1.6. CONTROL DE ACCESO A LAS APLICACIONES

Art. 1.1 Las aplicaciones debern contar con su respectiva documentacin, la
cual ser entregada a cada empleado de la institucin.
Art. 1.2 El usuario tendr los permisos de aplicaciones necesarios para ejercer
su trabajo.
Art. 2.1 Tienen acceso total a las aplicaciones y sus archivos, los usuarios que
lo ameriten por su cargo dentro de la institucin, siempre que sea
aprobado por el comit de seguridad.
Art. 2.2 Los niveles de privilegio son definidos por el comit de seguridad, en
base a lo importante o critico de la informacin que procesar el usuario.
Art. 3.1 Antes de ser puestas en ejecucin, las aplicaciones recibirn una
auditoria sobre fallos o informacin errnea que puedan procesar.
Art. 3.2 Se hace nfasis en la importancia que tienen las salidas de informacin
provistas por una aplicacin, sin importar el medio de salida.
Art. 3.3 El programador, apoyado por el comit de seguridad, depurar el
cdigo, de las aplicaciones, antes de ser puestas en un entorno
operativo.
Art. 4.1 Se llevar un seguimiento en limpio sobre que terminales es posible

efectuar las salidas de informacin desde el servidor.
Art. 4.2 La informacin ser visualizada nicamente en terminales previamente
definidas, ya sea mediante direccionamiento de hardware o
direccionamiento IP.
Art. 5.1 En el registro de sucesos del sistema se registran todas las actividades
realizadas por un determinado usuario, sobre las aplicaciones.
Art. 5.2 Se verifica constantemente la operatividad de los registros de logs, que
no sean alterados de forma fraudulenta.
50

UNIVO
2.3.1.7. MONITOREO DEL ACCESO Y USO DEL SISTEMA

Art. 1.1 Los archivos de registro de sucesos de los sistemas de aplicacin y de
operacin, se mantienen siempre activos y en ningn momento debern
ser deshabilitados.
Art. 2.1 De ser necesarios, se crearan archivos de ejecucin de comandos por

lotes para verificar que se cumpla el grabado completo de la informacin
a la que es accedida por los usuarios, aplicaciones, sistemas, y para los
dispositivos que guardan estos archivos.
Art. 3.1 Es necesario efectuar un respaldo de los archivos de registro o logs,

fuera de los dispositivos que les creen.
Art. 3.2 Los archivos de logs deben ser respaldados en tiempo real, sus
nombres deben contener la hora y la fecha en la que fueron creados sus
originales.
2.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES

2.3.2.1. RESPONSABILIDADES DEL USUARIO
PROCEDIMIENTOS OPERATIVOS.
SOBRE
LOS
Art. 2.1 Es la unidad de informtica quien crea las reglas para la ejecucin de
algn servicio.
Art. 2.2 Es el comit de seguridad quien aprueba la normas creadas para la
ejecucin de los servicios.
Art. 3.1 Los sistemas son configurados para responder de forma automtica,
con la presentacin de un informe que denote las caractersticas propias
de un error en el sistema.
2.3.2.2. PLANIFICACIN Y ACEPTACIN DE SISTEMAS

Art. 1.1 Ninguna otra persona que no sea la expresada en el la poltica de
aceptacin y creacin de sistemas puede intervenir, sino es por peticin
expresa de alguna de estas.
51

UNIVO
Art. 3.1 Ninguna persona que labore para la institucin, est facultada para
instalar software en las estaciones de trabajo, sin antes haberse
aprobado su utilizacin.
Art. 4.1 Sin importar el origen del software y la utilizacin del mismo dentro de la
institucin, ste ser evaluado, haya sido o no aprobada su utilizacin.
Art. 5.1 Ninguna clase de cdigo ejecutable ser puesto en marcha sin antes
haber pasado el control de anlisis sobre seguridad del mismo.
Art. 7.1 Antes de efectuar cualquier anlisis o prueba sobre los sistemas de
produccin, se realizarn backups generales, de la informacin que en
ellos se procesa y del sistema en si.
Art. 8.1 Los sistemas o dispositivos que aun estn conectados a la red, pero
que no tienen utilizacin productiva alguna para la institucin, se les
deber eliminar cualquier rastro de informacin que hayan contenido.
2.3.2.3. PROTECCIN CONTRA SOFTWARE MALICIOSO

Art. 1.1 El software que venga de empresas no reconocidas o acreditadas como
no confiables, no tendr valor alguno para la institucin siempre que esta
sea en formato ejecutable.
Art. 3.1 El comit de seguridad supervisar la instalacin y correcta

configuracin de software antivirus en todas y cada una de las estaciones
de trabajo de la institucin.
2.3.2.4. MANTENIMIENTO
CMPUTO
DE
SISTEMAS
EQUIPO
DE
Art. 1.1 El usuario no est facultado a intervenir fsica o lgicamente ninguna

estacin de trabajo, que amerite reparacin.
Art. 2.1 En ningn momento es aceptable la modificacin de archivos en los

equipos informticos, sino es bajo circunstancias especiales, en las que
de no hacerse de esa manera el sistema queda inutilizable.
52

UNIVO
Art. 2.2 En caso de ser afirmativo el cambio de archivos se har un backup

general de la aplicacin o sistema al cual se le realiza el cambio.
Art. 2.3 Cualquier falla efectuada en las aplicaciones o sistemas, por la
manipulacin errnea de archivos, posterior mantenimiento deber ser
notificada y reparada por el personal tcnico encargado en dicha funcin.
Art. 3.1 Se deber haber una bitcora completa, en cuando a las versiones de
actualizacin del software y de las revisiones instaladas en los sistemas.
2.3.2.5. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE

ALMACENAMIENTO
Art. 1.1 La clasificacin e identificacin de los medios de almacenamiento, es
acorde al propsito u objetivo por el cual se respalda.
Art. 2.1 Es totalmente prohibido para los usuarios de la red institucional el

intervenir con las labores de respaldo del personal de informtica.
Art. 2.2 Bajo ninguna circunstancia se dejarn desatendidos los medios de
almacenamiento, o copias de seguridad de los sistemas.
Art. 3.1 Todo medio de almacenamiento deber ser documentado e
inventariado en un registro especfico y nico sobre medios de
almacenamiento.
Art. 3.2 La ubicacin de los medios de almacenamiento deber estar alejada del
polvo, humedad, o cualquier contacto con material o qumicos
corrosibles.
Art. 3.3 La llave de seguridad que da acceso a los medios de almacenamiento
resguardados bajo supervisin de la gerencia, ser mantenida bajo
estricta seguridad por cualquiera de las dos entidades encargadas de
mantener la seguridad de los medios.
Art. 4.1 Entre la documentacin de seguridad deber existir un control para la

clasificacin y resguardo de los medios de almacenamiento.13
13
Anexo #10 Control de medios de almacenamiento
53

UNIVO
2.4. SEGURIDAD FSICA

2.4.1. LA SEGURIDAD EN LOS DIFERENTES DEPARTAMENTOS DE
PROCESAMIENTO DE INFORMACIN
2.4.1.1. RESGUARDO DE LOS EQUIPOS DE CMPUTO
Usuarios comunes y administrativos:

Art. 1.1 La unidad de informtica disear, toda la red de la institucin siguiendo
la normativa de cableado estructurado.
Art. 1.2 Es totalmente prohibido, salvo autorizacin o supervisin expresa de la
unidad de informtica, la intervencin fsica de los usuarios sobre los
recursos de la red institucional (cables, enlaces, estaciones de trabajo,
dispositivos de red).
Art. 1.3 Solo el personal autorizado es el encargado exclusivo de intervenir
fsicamente los recursos de la red institucional.
Personal de Informtica:
Art. 2.1 El soporte tcnico a las estaciones de trabajo y servidores, es
responsabilidad de la unidad de informtica, por tanto deben tomarse
todas las medidas de seguridad necesarias para evitar cualquier
anomala por manipulacin errnea efectuada por terceros.
Art. 2.2 Las estaciones de trabajo y servidores, deben operar en ptimas
condiciones, efectuando un mantenimiento constante y acorde a las
especificaciones de los fabricantes del equipo.
Art. 3.1 Se deber proteger las salas que contengan los servidores, o equipos
de informacin crticos, con paredes recubiertas de material aislante o
antiincendios.
Art. 3.2 Las lneas de alimentacin de energa externa debern estar protegidas
con filtros de proteccin para rayos.
54

UNIVO
Art. 3.3 Los centros de procesamiento de datos o unidades de procesos crticos,

son zonas restringidas, nicamente accesibles por personal autorizado o
que labore en dichas instalaciones.
Art. 3.4 Al permanecer en las instalaciones de procesamiento de informacin, se
dedicara nica y exclusivamente a los procesos relacionados con las
actividades propias del centro de procesamiento, evitando cualquier
actividad contraria a los objetivos para los que fue diseada.
Art. 3.5 El personal debe contar con su respectiva identificacin, donde se
identifique su nombre, rea de trabajo, cargo que desempea dentro de
dicha rea y su fotografa.
Art. 3.6 Cada estacin de procesamiento crtico de informacin deber estar
protegido con un dispositivo de alimentacin ininterrumpida, que deber
ser de uso exclusivo para dicha estacin.
2.4.1.2. CONTROLES FSICOS GENERALES

Art. 1.1 Los respaldos de informacin de las estaciones de procesos crticos,
solo lo realizara el personal responsable de dicho proceso.
Art. 1.2 Las disqueteras y lectoras de CD debern deshabilitarse en aquellas
mquinas en que no se necesiten.
Art. 2.1 Cada empleado de la institucin, velar por la correcta salvaguarda de

la informacin, el dejar informacin desatendida sin ningn medio de
seguridad verificable es una practica prohibida y sancionable.
Art. 3.1 Se debe establecer los periodos de mantenimiento preventivo.

Art. 3.2 El comit de seguridad deber llevar el registro del mantenimiento que
se realizan a los equipos de cmputo.
Art. 5.1 No se permite el ingreso a las instalaciones de procesos crticos, sin

antes haberse completado el proceso de registro de informacin, en el
documento especificado para ese uso.
55

UNIVO
Art. 6.1 Dentro de las instalaciones de la unidad de informtica, habr un

espacio dedicado nica y exclusivamente al rea de servidores, la cual
se mantiene separado mediante una divisin de pared y protegido su
acceso bajo llave.
Art. 6.2 Cualquier actividad anmala, efectuada dentro de las instalaciones
fsicas de procesamiento de informacin ser cancelada en el momento
en que se constatase la actividad.
Art. 6.3 El personal de procesamiento de informacin ser relevado de su cargo,
si este no est cumpliendo con las actividades asignadas a su cargo y
por lo contrario dedicase su tiempo a realizar actividades extraas a los
objetivos del centro de procesamiento.14
Art. 6.4 Al ingresar a las reas de procesamiento de informacin, se da por
aceptada la normativa de permanencia en las instalaciones, desarrollada
bajo la poltica de acceso y permanencia a las reas de procesamiento
de datos.
Art. 7.1 Los equipos de oficina, como cafeteras, oasis, aires acondicionados,
entre otros no deben estar conectados al mismo circuito que los sistemas
informticos.
Art. 7.2 Se har una revisin peridica de los equipos de respaldo de energa o
UPS, constatando su capacidad y correcto funcionamiento, se registrara
cada revisin en una bitcora de control y funcionamiento de los equipos.
Art. 9.1 Los UPS son de uso exclusivo de cada estacin de trabajo.
Art. 9.2 Es responsabilidad de los usuarios la correcta utilizacin de los UPS.
Art. 9.3 Al finalizar con la jornada laboral es necesario que cada usuario de las
estaciones de trabajo verifique el apagado correctamente el equipo y
dispositivo UPS.
Art. 9.4 Se debe efectuar una revisin peridica de los circuitos.
Art. 10.1 Es responsabilidad del gestor de seguridad proveer los materiales

informativos (carteles) necesarios en las diferentes salas o instalaciones
fsicas de procesamiento de informacin.
14
Manual de Normas y Polticas de Administracin de Recursos Humanos, Faltas Graves; Lit. D, Faltas Leves;
Lit. D.
56

UNIVO
Art. 10.2 El material debe ser claramente entendible y visible por todos los
usuarios.
2.4.1.3. ACCESO Y PERMANENCIA EN CENTROS DE CMPUTO

Art. 1.1 Los encargados o administradores de centros de cmputo son los
responsables del desarrollo de la normativa reguladora de las actividades
en dichos centros.
Art. 2.1 Las normas desarrolladas para dichas instalaciones debern estar en
pleno acuerdo y relacin, de las normas generales de seguridad
informtica.
Art. 3.1 El acceso del usuario a los centros de cmputo, deber tomarse como
aceptacin implcita de la normativa relacionada con dicha actividad.
2.4.2. ACTIVIDADES PROHIBITIVAS

Art. 1 Est prohibido el ingreso de bebida(s) o alimento(s) de cualquier tipo a los
centros de cmputo o reas de procesamiento de datos, sin el
consentimiento expreso del administrador del rea o persona encargada.
Art. 2 Se prohbe a los usuarios utilizar equipos informticos, herramientas o
servicios provistos por la Universidad de Oriente, para un objetivo distinto
del que estn destinadas o para beneficiar a personas ajenas a la
institucin.15
Art. 3 Se prohbe el ingreso de personas en estado de embriagues sin importar
el cargo que estas desempeen, a las instalaciones fsicas de
procesamiento de datos crticos o no, para la Universidad de Oriente.16
Art. 4 No se deben alterar documentos, expedientes o registros, mediante
tratamiento electrnico, proporcionando datos falsos, que pueden
perjudicar la correcta operatividad de la Universidad de Oriente.17
Art. 5 Se prohbe el uso de celulares en los centros de cmputo.
15 Manual de Normas y Polticas de Administracin de Recursos Humanos de la Universidad de Oriente,
Inciso Aspectos Disciplinarios, Faltas Graves, Literal a)
16 Manual de Normas y Polticas de Administracin de Recursos Humanos de la Universidad de Oriente,
Inciso , Prohibiciones, Literal b)
17 Manual de Normas y Polticas de Administracin de Recursos Humanos de la Universidad de Oriente
57

UNIVO
2.5. SEGURIDAD LEGAL

2.5.1. CONFORMIDAD CON LA LEGISLACIN
2.5.1.1.
CUMPLIMIENTO DE REQUISITOS LEGALES
Art. 1.1 Las acciones de los empleados de la Universidad de Oriente, referente

a la utilizacin de software pirata dentro de las instalaciones de la
universidad, no son propias de la institucin.
Art. 1.2 la institucin se reserva todo derecho al utilizar software licenciado en
sus equipos de produccin, bajo ninguna circunstancia se aprueba la
utilizacin de software sin licencia, en sus instalaciones.
Art. 2.1 La unidad de informtica, llevar un control detallado sobre los

inventarios de software referente a sus licencias y contratos firmados
para ser utilizados en la infraestructura tecnolgica de la red institucional.
Art. 2.2 El original de los contratos de arrendamiento de software, ser
resguardado por la gerencia de la institucin.
Art. 3.1 La institucin no participa con sus empleados en la adquisicin de

software de forma no legal.
Art. 3.2 La institucin no respalda que sus empleados puedan instalar software
no licenciado en los equipos de trabajo, los cuales son propiedad
exclusiva de la Universidad de Oriente.
Art. 4.1 La institucin deshecha por completo la utilizacin de software pirata o

no licenciado, en las estaciones de trabajo, servidores, y equipo
informtico personalizado, que sea parte de sus inventarios informticos.
Art. 4.2 El contrato de licencia de usuario final tanto de software comercial con
derechos de copyright, como de software libre con derechos de copyleft,
son respetados en su totalidad por la Universidad de Oriente, sus
empleados no pueden utilizar software de este tipo sin su respectiva
licencia.
58

UNIVO
Art. 5.1 La institucin a razn de seguridad de sus activos, realizar copias de

seguridad de las unidades de software que le son licenciadas en el
contrato de arrendamiento, con el objetivo de resguardar la licencia
original y su medio fsico.
Art. 5.2 Las copias que se hagan del software original sern que se utilicen para
las instalaciones en toda la red institucional.
Art. 6.1 La transferencia de software comercial a terceros, es una actividad

nicamente permisible, por un derecho concedido a la institucin por el
propietario intelectual del software o licencia en cuestin.
Art. 6.2 La institucin no hace uso indebido de estas licencias, obteniendo
provecho por su distribucin si no es acordado por su contrato de licencia
de derechos de autor.
Art. 7.1 El software libre, es regido por la licencia GPL, y concedido a la

institucin con derechos de copyleft, por tanto, no es permitido en ningn
momento la distribucin ilegal de este software, hacindose acreedor la
institucin o empleados de los derechos de propiedad intelectual.
Art. 9.1 Al laborar para la institucin, cualquier informacin, cdigo u otros,

producida, mediante tratamiento electrnico dentro de sus instalaciones,
es propiedad irrevocable de la universidad oriente.
Art. 10.1 Ningn empleado de la Universidad de Oriente, esta facultado a

obtener software para la institucin, sino es mediante los canales de
gestin necesarios.
59

UNIVO
rea de Informtica:
2.5.1.2. CUMPLIMIENTO TCNICO DE LA REVISIN
ACTUALIZACIN DE LAS POLTICAS DE SEGURIDAD
Art. 2.1 La documentacin de seguridad ac provista, podr ser actualizada

respetando todas y cada una de las polticas que demandan su correcto
diseo y aplicabilidad.
Art. 2.2 En ningn momento personal ajeno a los mencionados responsables de
la actualizacin y aprobacin de sta documentacin, debern ser
designados como propietarios de los cargos de actualizacin y
aprobacin de los mismos, sin antes haber aprobado una preparacin
tcnica para tales efectos.
Art. 3.1 El personal o usuarios de la red institucional debern tener pleno

conocimiento de la documentacin de seguridad, apegarse a ella en todo
caso o gestin.
Art. 3.2 El medio exclusivo de soporte para la seguridad en el tratamiento de la
informacin de la institucin, lo constituyen las polticas de seguridad
informtica y toda su reglamentacin tcnica, esto incluye un sistema de
gestin de seguridad de la informacin.
Art. 3.3 Se suspender por plazo de hasta un ao, por incumplimiento de la

normativa de seguridad informtica o de proteccin de datos en los casos
en los que el(los) problema(s) ocasionado(s), sea(n) crtico(s) y vital(es),
para el correcto funcionamiento de la Universidad de Oriente. 18
Art. 3.4 El nico caso en el que personal ajeno o propio de la institucin no ser
sancionado por violacin a la seguridad informtica de la institucin,
sern, los motivos previstos en la poltica de excepciones de
responsabilidad.19
18 Manual de Normas y Polticas de Administracin de Recursos Humanos de la Universidad de Oriente en el

inciso, Sanciones aplicadas a las faltas cometidas.
19
Este documento, Nivel 1: Seguridad Organizacional, Excepciones de Responsabilidad Art. 1 y 2
60

UNIVO
2.5.1.3. NORMATIVA SOBRE AUDITORIAS A LOS SISTEMAS DE

INFORMACIN
Art. 1.1 La ejecucin de una auditoria a los sistemas informticos, ameritar la
planificacin de la misma, herramientas a utilizar en la auditoria, objetivos
de la auditora, implicaciones legales, contractuales, requisitos y
conformidad con la gerencia.
Art. 1.2 De no existir personal tcnicamente preparado para efectuar auditorias
a la seguridad de la informacin, estos debern ser capacitados por
personal especializado en el rea.
Art. 2.1 Salvo casos especiales toda auditora, deber estar respaldada por la
gerencia.
Art. 2.2 La implicacin de casos especiales, en los cuales sea necesario de
inmediato, amerita realizar auditorias sin una fecha planificada.
Art. 3.1 Sin importar la razn de la auditora, se llevara un control exhaustivo, se

tomar registro de cada actividad relaciona con sta, quines la realizan,
fechas, horas y todo lo que tenga que ver con la auditora en si.
Art. 4.1 El personal de auditora no est facultado a realizar cambios en los

sistemas informticos, ya sea de los archivos que integran el sistema o
de la informacin que en ellos se procesa.
Art. 4.2 Salvo caso especial, cualquier cambio efectuado al sistema de archivos,
ser motivo de sancin.
Art. 5.1 Las auditoras a los sistemas, sern realizadas con equipos mviles
(Laptops) conectados a la red, en ningn momento el sistema de
produccin mantendr instalado software para auditora en su disco duro.
Art. 5.2 Toda aplicacin para la auditora ser instalado correctamente y
supervisado su uso, desde las terminales remotas en el mismo segmento
de red.
61

UNIVO
3. RECOMENDACIONES
Crear un Sistema de Gestin de Seguridad de la Informacin, que

supervise y normalice, toda actividad relacionada con la seguridad
informtica.
Aprobar y poner en marcha el manual de polticas y normas de

seguridad informtica.
Actualizar de forma constante, transparente y de acuerdo a las

necesidades existentes al momento, el manual de normas y polticas de
seguridad informtica.
Asignar presupuesto para la gestin de seguridad de la informacin,

independiente de la unidad de informtica.
Asignar personal al rea de seguridad de la informacin.
Crear un comit de seguridad de la informacin.
Involucrar tanto personal tcnico, como directivos de la institucin, o a

la alta gerencia en temas de seguridad.
Fijar objetivos para la salvaguarda de la informacin.
Concienciar los usuarios, en temas de seguridad, hacerles sentirse

responsables y parte de la institucin.
Dar seguimiento a estndares internacionales sobre temas de

seguridad de la informacin.
Realizar pruebas de intrusin, locales y externas por personal de la

institucin, de forma peridica.
Contratar los servicios de terceros (Hacking tico), para ejecutar

pruebas completas de intrusin a los sistemas de la red institucional.
Capacitar los empleados de la institucin, en temas de seguridad,

adoptando un estricto control de las tcnicas ms comunes de
persuasin de personal (Ingeniera Social).
62

UNIVO
El departamento de recursos humanos, deber constatar, una clara y

eficiente informacin sobre el individuo en proceso de reclutamiento,
referente a problemas o situaciones anmalas con otras empresas o en
el menor de los casos una solvencia judicial.
63

UNIVO
4. PLAN ESTRATEGICO DE IMPLEMENTACIN
64

UNIVO
65

UNIVO
66

UNIVO
67

UNIVO
68

UNIVO
69

UNIVO
5. ANEXOS
GUIAS
70

UNIVO
71

UNIVO
72

UNIVO
73

UNIVO
74

UNIVO
75

UNIVO
76

UNIVO
77

UNIVO
78

UNIVO
79

UNIVO
5.1. ORGANIGRAMA
ORGANIGRAMA SEGURIDAD INFORMTICA
Gerencia
Administrador
de Red
Auxiliar
Administrativo
Gestor de
Seguridad
Responsable de
Activos
80
Administrador
de Red
Educativa
Coordinador de
Centros de
cmputo

UNIVO
5.2. REFERENCIAS
Referencias Complementarias.
[1]. ISO/IEC 17799 Code of Best Practice for Information Security Management
[2]. Certified Information Systems Security Professional (CISSP)
[3]. RFC 1244, Site Security Handbook
81

UNIVO
5.3. DESCRIPCIN DE PUESTOS Y PERFILES

UNIDAD DE INFORMTICA.
Corresponde a la unidad de Informtica de la Universidad de Oriente, la

supervisin y verificacin de las redes y los dispositivos de comunicacin de la
Universidad, con especial atencin a la compatibilidad de equipos y condiciones de
seguridad de las instalaciones, as como el cumplimiento de la normativa tcnica
sobre verificaciones de los equipos que en cada caso sea aplicable.
Es responsabilidad del Departamento de Informtica, la organizacin y puesta

en marcha de las comunicaciones informticas necesarias dentro de las
instalaciones de la Universidad de Oriente, as como de las comunicaciones que
sta realice con terceros.
Corresponde a ste departamento mantener informadas a las Autoridades de la

Universidad de Oriente y al resto de los usuarios de los avances tecnolgicos que
se vayan produciendo en el rea de informtica (hardware, software, material de
informtica, etc.).
Haciendo efecto de las responsabilidades antes descritas, se establecer una

normativa reguladora de los servicios de comunicacin informtica dentro de las
instalaciones fsicas de la Universidad de Oriente, y de las que sta realice con
terceros.
Dicha normativa deber referirse en todo caso a:

a) La definicin del servicio o servicios prestados.
b) El nivel de prestacin.
c) Los derechos y deberes de los usuarios.
82

UNIVO
d) Las garantas tcnicas y jurdicas del servicio.

Las normas generales de Seguridad Informtica, de la Universidad de Oriente,
podrn condicionar el acceso a prestaciones de la red en funcin de los niveles de
compatibilidad y seguridad que se establezcan.
83

UNIVO
PERFIL GESTOR DE SEGURIDAD
Corresponde al Gestor de Seguridad, gestionar ante la gerencia y la unidad de

informtica una correcta aplicabilidad de las normas y polticas establecidas para
salvaguardar los activos de informacin de la institucin, as como de establecer los
parmetros necesarios para el mantenimiento adecuado del Sistema de Gestin de
Seguridad de la Informacin, desarrollando una serie de medidas estratgicas que
propicien un alto nivel de seguridad en la infraestructura tecnolgica de la
Universidad de Oriente, aceptable para los fines y objetivos institucionales.
El Gestor de Seguridad, podr constituir en el momento que crea conveniente,
comisiones tcnicas de apoyo y asesoramiento, formadas por expertos en el rea
de seguridad informtica; dichas comisiones sern siempre temporales.
OBJETIVOS QUE DEBE CUMPLIR
Definir la misin de seguridad informtica de la institucin en conjunto con

la gerencia.
Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad

informtica en la institucin.
Definir la poltica de seguridad informtica de la institucin.
Definir los procedimientos para aplicar la Poltica de seguridad informtica.
Seleccionar los mecanismos y herramientas adecuados que permitan

aplicar las polticas dentro de la misin establecida.
Crear un grupo de respuesta a incidentes de seguridad, para atender los

problemas relacionados a la seguridad informtica dentro de la institucin.
Promover la aplicacin de auditoras enfocadas a la seguridad, para

evaluar las prcticas de seguridad informtica dentro de la institucin.
Crear y vigilar los lineamientos necesarios que coadyuven a tener los

servicios de seguridad en la institucin.
Crear un comit de seguridad informtica en la institucin.
84

UNIVO
FORMACIN PROFESIONAL
Licenciatura o ingeniera en el rea de computacin.
Conocimientos:
Conocimientos y experiencia
mnima
Conocimientos y experiencia
deseable
Sistemas Operativos (Windows,

Linux)
nivel
de
usuario
Sistemas Operativos (Windows,

Linux) a nivel de administrador
avanzado
Pilas de TCP/IP
Protocolos
de
comunicacin
Protocolos de seguridad (IPSec)
Herramientas
(RPC, TCP, UDP)
Seguridad
(scanner, firewalls, IDS)
Lenguajes de programacin (C,

C++, Ensamblador)
de
Programacin
de
protocolos
(TCP, UDP)
Conocimientos de redes
Conocimientos Criptogrficos
Mecanismos
(firmas
de
Seguridad
digitales,
certificados,
claves)
85
Conocimientos de estndares
Programacin del Shell
Informtica Forense

UNIVO
HABILIDADES PERSONALES
Atencin focalizada, que se mantenga por largos periodos de tiempo.
Concentracin de la atencin.
Pensamiento, capacidad de reflexin, de anlisis y de sntesis.
Habilidad para pensar creativamente.
Habilidad para la toma de decisiones.
Pensamiento flexible.
Habilidad para organizar informacin en la memoria de corto y de largo

plazo
Habilidad para expresar claramente sus ideas.
Habilidad para comunicarse con personas no expertas y expertas en el

rea.
Habilidad para el trabajo independiente y autnomo.
Habilidad para relacionarse con otros y para pedir ayuda cuando sea
necesario.
Habilidad para trabajar en equipos reales y virtuales.
Habilidad para prever y solucionar conflictos.
Persona con conocimientos de experto en el rea de informtica.
Establecimiento de prioridades y toma de decisiones.
Habilidad para organizar el trabajo y las decisiones.
Planeacin, institucin y comunicacin.
Iniciativa.
Capacidad para detectar, aislar y resolver problemas.
86

UNIVO
DEBERES Y RESPONSABILIDADES
El
Gestor
de
Seguridad
tiene
como
principal
responsabilidad
la
administracin y coordinacin diaria del proceso de Seguridad Informtica de

la institucin.
Tiene como responsabilidad asegurar el buen funcionamiento del proceso de

seguridad Informtica de la institucin.
Debe ser el punto de referencia para todos los procesos de seguridad y ser
capaz de guiar y aconsejar a los usuarios de la institucin sobre cmo
desarrollar procedimientos para la proteccin de los recursos.
Una tarea clave para el Gestor de Seguridad, es guiar al cuerpo directivo y a

la administracin de la institucin ante incidentes de seguridad mediante un
Plan de Respuesta a Incidentes, con el fin de atender rpidamente este tipo
de eventualidades.
El Gestor de Seguridad, es responsable de proponer y coordinar la

realizacin de un anlisis de riesgos formal en seguridad de la informacin
que abarque toda la institucin.
Es deber del Gestor de Seguridad, el desarrollo de procedimientos de

seguridad detallados que fortalezcan la poltica de seguridad informtica
institucional.
87

UNIVO
El Gestor de Seguridad, debe ser miembro activo del comit de seguridad, y

mantener contacto con los Gestores de Seguridad de otras organizaciones,
estar suscrito a listas de discusin y de avisos de seguridad.
Es responsabilidad del Gestor de Seguridad, promover la creacin y

actualizacin de las polticas de seguridad informtica, debido al
comportamiento cambiante de la tecnologa que trae consigo nuevos riesgos
y amenazas.
Es responsabilidad del Gestor de Seguridad el desarrollo de un Plan de

Seguridad de la Informacin.
El Gestor de Seguridad debe atender y responder inmediatamente las

notificaciones de sospecha de un incidente de seguridad o de incidentes
reales.
Es responsabilidad del Gestor de Seguridad, la elaboracin de un Plan de

Respuesta a Incidentes de Seguridad, con la finalidad de dar una respuesta
rpida, que sirva para la investigacin del evento y para la correccin del
proceso mismo.
Es responsabilidad del Gestor de Seguridad, coordinar la realizacin

peridica de auditoras a las prcticas de seguridad informtica.
El Gestor de Seguridad debe ser el punto central dentro de la institucin

para la revisin de problemas de seguridad de la informacin existentes y de
aquellos que se consideran potenciales.
88

UNIVO
El Gestor de Seguridad debe establecer la misin y metas internas en

cuanto a la seguridad de la informacin, de acuerdo a la misin y metas
organizacionales.
El Gestor de Seguridad ser responsable de mantener relaciones

interpersonales, con otros oficiales de seguridad, con el objetivo de ampliar
sus conocimientos y aplicar soluciones a problemas de seguridad del
entorno institucional
Es responsable de mantenerse al da de las actualizaciones y nuevas

vulnerabilidades encontradas en el software de la institucin.
ste a su vez, coordinar con los responsables de los activos de los

diferentes departamentos de la institucin, brindando los medios necesarios
para asegurar la disponibilidad, integridad y confidencialidad de la
informacin, previamente clasificada por los responsables de los activos.
89

UNIVO
RESPONSABLE DE LOS ACTIVOS
Corresponde a los responsables de los activos, mantener un adecuado control

sobre los recursos asignados a su departamento u oficina, clasificar cada activo
segn la importancia que ste tenga para los procesos desarrollados dentro del
departamento o rea que tenga bajo su administracin o cargo. Coordinar sus
esfuerzos con el Gestor de Seguridad, brindando la informacin necesaria y
relevante, con el objetivo de lograr mantener una mejor y ms adecuada
administracin de los recursos y la Red Institucional.
90

Manual de Politicas y Normas de Seguridad Informatica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Politicas y Normas de Seguridad Informatica

Cargado por

Copyright:

Formatos disponibles

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

El documento que se presenta como normas y polticas de seguridad, integra

Las normas y polticas expuestas en este documento sirven de referencia, en

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

En trminos generales el manual de normas y polticas de seguridad

procedimientos ms adecuados, tomando

lineamientos principales cuatro criterios, que se detallan a continuacin:

responsabilidades y actividades complementarias como respuesta ante situaciones

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Las polticas fueron creadas segn el contexto de aplicacin, organizadas por

El esquema de presentacin del documento consta de tres secciones, la

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Por ejemplo: El artculo 1 de las polticas de seguridad habla acerca de los

Los niveles de seguridad fueron organizados constatando un enfoque objetivo

Nivel de Seguridad Organizativo:

Responsabilidad por los Activos

o Seguridad Ligada al Personal

Respuestas a Incidentes y Anomalas de Seguridad

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Nivel de Seguridad Fsica:

Nivel de Seguridad Lgico:

Nivel de Seguridad Legal:

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

DEFINICIN DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Las normas son un conjunto de lineamientos, reglas, recomendaciones y

Que son las Polticas de Seguridad?

Son una forma de comunicacin con el personal, ya que las mismas

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

ORGANIZACIN DE LA SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

III. BASE LEGAL

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

VII. ALCANCES Y REA DE APLICACIN

El ente que garantizar la ejecucin y puesta en marcha de la normativa y

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

VIII. GLOSARIO DE TERMINOS

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Disponibilidad: Los recursos de informacin sean accesibles, cuando estos

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Soporte Tcnico: (Personal en Outsourcing) Personal designado o

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

1. POLTICAS DE SEGURIDAD INFORMTICA

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Art. 1. Los servicios de la red institucional son de exclusivo uso acadmico, de

Glosario de Trminos SGSI

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

El comit de seguridad estar integrado por los siguientes miembros:

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir

CLASIFICACIN Y CONTROL DE ACTIVOS

RESPONSABILIDAD POR LOS ACTIVOS

Art. 1. Cada departamento o facultad, tendr un responsable por el/los activo/s

Art. 1. De forma individual, los departamentos de la Universidad de Oriente, son

Anexo # 1 Formulario Clasificacin de Activos

MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Art. 3. Los activos de informacin de mayor importancia para la institucin