APLICACIN DE LA NORMA ISO 27002

ADRIANA MARIA PARDO MALDONADO

BORMANN OSWALDO ROA SANCHEZ
FABIAN ANDRES YEPES GUTIERREZ

SERVICIO NACIONAL DE APRENDIZAJE - SENA

ESPECIALIZACIN EN GESTIN Y SEGURIDAD DE BASES DE DATOS
2015

INTRODUCCIN

La seguridad informtica ha tomado gran auge, debido a las cambiantes

condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas para los sistemas de informacin.

Estos
riesgos
que
se
enfrentan
ha
llevado
a
que
muchas
desarrollen documentos y directrices que orientan en el uso adecuado de estas
destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de
estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar
serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las polticas de seguridad informtica surgen como una

herramienta organizacional para concienciar a los colaboradores de la
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta
situacin, el proponer o identificar una poltica de seguridad requiere un alto
compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.

Resultado Auditora De Seguridad E.E.S

PLAN DE MEJORA EN POLTICAS DE SEGURIDAD DE LA INFORMACIN

Con el objetivo de velar por el buen funcionamiento y el ptimo desempeo que
puedan generar los Equipos de Cmputo y Sistemas de Informacin, se
trabajara da a da con la implementacin e implantacin de polticas que definan y
marquen las directrices que todos los colaboradores deben seguir, para lograr
avanzar juntos en una misma direccin.
Los usuarios son responsables de cumplir con todas las polticas relativas a la
Seguridad Informtica y en particular:
1. Polticas de Seguridad
1.1.

Conocer y aplicar las polticas y procedimientos apropiados en relacin

al manejo de la informacin y de los Sistemas Informticos.

1.2.

No divulgar informacin confidencial de la Compaa a personas no

autorizadas.

1.3.

No permitir y no facilitar el uso de los sistemas informticos de la

Compaa a personas no autorizadas.

1.4.

No se permite la interconexin a la red interna de la empresa a toda

aquella persona que no sea funcionario de la misma. Con la salvedad de
funcionarios externos que provengan de entes de control, auditora,

funcionarios del grupo empresarial, entre otros, con autorizacin de la

Gerencia.
1.5.

No utilizar los recursos informticos (hardware, software o datos) y de

telecomunicaciones para otras actividades que no estn directamente
relacionadas con el trabajo en la empresa.

1.6.

Proteger su contrasea y evitar que sea vista por otros en forma

inadvertida.

1.7.

En caso de no ser asignada una clave, seleccione una contrasea

robusta que no tenga relacin obvia con el usuario, sus familiares, el
grupo de trabajo, y otras asociaciones parecidas.

1.8.

Reportar inmediatamente a su jefe inmediato y a los responsables del

Proceso de Tecnologa de la Informacin cualquier evento que pueda
comprometer la seguridad de la empresa y sus recursos informticos,
como por ejemplo contagio de virus, intrusos, modificacin o prdida de
datos y otras actividades inusuales.

1.9.

El acceso a internet ser limitado por la necesidad de acceso que se

requiera para el desarrollo normal de las funciones del cargo asignado.

1.10. Los privilegios de acceso a Internet sern modificados salvo sea

autorizado y firmado por el Jefe Inmediato y Gerencia.
1.11. Los usuarios del sistema no estarn autorizados para la modificacin del
software instalado en el equipo de cmputo, salvo autorizacin previa.
1.12.

Bajo ninguna circunstancia se instalarn licencias propiedad del usuario

o de alguna otra entidad. Excepcin a este artculo sern las licencias
de prueba o libres.

2. Polticas de Seguridad para Computadores y Respaldos de Informacin

2.1.

Los computadores de la organizacin, slo deben usarse en un

ambiente seguro. Se considera que un ambiente es seguro cuando se
han implantado las medidas de control apropiadas para proteger el
software, el hardware y los datos. Esas medidas deben estar acorde a la
importancia de los datos y la naturaleza de riesgos previsibles.

2.2.

Es responsabilidad de los usuarios, velar por el aseo y proteccin de los

equipos de trabajo; esto incluye limpieza de las zonas donde se
encuentran instalados los equipos, utilizar medios de proteccin contra
el polvo, agua, incendio.

2.3.

Los equipos de la organizacin slo deben usarse para actividades de

trabajo y no para otros fines.

2.4.

No modificar la configuracin de hardware y software establecida por el

proceso de Tecnologa de la Informacin.

2.5.

Como medida de higiene y de seguridad del equipo fsico informtico

(Hardware), queda totalmente prohibido sin excepcin alguna el fumar,
ingerir bebidas o alimentos mientras se estn utilizando las estaciones
de trabajo, impresoras y cualquier otro equipo que tenga que ver con la
infraestructura informtica, ya que este tipo de prctica pone en riesgo el
buen funcionamiento de los dispositivos.

2.6.

Como medida de proteccin, queda prohibido dejar objetos sobre los

equipos de cmputo, ya que esto puede ocasionar accidentes
(sobrecalentamiento de los equipos, ocasionando cortos internos, daos
del procesador, dao en los discos duros, de la memoria RAM) y bajas
en el rendimiento de los mismos, evidenciando un deterioro progresivo
en los equipos.

2.7.

Ser responsabilidad del encargado del equipo de trabajo; el velar por el

buen funcionamiento y cuidado del computador; por lo tanto si este
ltimo llegase a quebrantar negligentemente la poltica 2.5. y 2.6.
recaern sobre este todas las acciones pertinentes, para lograr que la
estacin de trabajo se mantenga funcionando en su estado normal entre
las acciones estn:

2.7.1. El reemplazo total o parcial del equipo afectado en un periodo

establecido por la Direccin Administrativa y Financiera.
2.7.2. En caso de prdida de informacin estratgica e indispensable para
la empresa, sobre el encargado del computador recaern las
medidas correctivas que imponga la Gerencia.
2.7.3. Cualquier falla en los computadores o en la red debe reportarse
inmediatamente al proceso de Tecnologa de la Informacin ya que
podra causar problemas serios como prdida de la informacin o
indisponibilidad de los servicios.
2.7.4. Deben protegerse los equipos para disminuir el riesgo de robo,
destruccin, y mal uso.
2.7.5. Los equipos deben estar debidamente marcados para su
identificacin y control de inventario. Los registros de inventario
deben mantenerse actualizados.

2.8.

No pueden moverse los equipos o reubicarlos sin permiso. Para llevar

un equipo fuera de la Compaa se requiere una autorizacin escrita del
Proceso de Tecnologa de la Informacin con previa aprobacin de la
Gerencia.

2.9.

La prdida o robo de cualquier componente de hardware o programa de

software debe ser reportada inmediatamente a los responsables del
Proceso de Tecnologa de la Informacin.

2.10. Los datos confidenciales que aparezcan en la pantalla deben protegerse

de ser vistos por otras personas mediante disposicin apropiada del
mobiliario de la oficina y protector de pantalla. Cuando ya no se
necesiten o no sean de utilidad, los datos confidenciales se deben
ocultar de la pantalla.
2.11. Debe implantarse un sistema de autorizacin y control de acceso con el
fin de restringir la posibilidad de los usuarios para leer, escribir,
modificar, crear, o borrar datos importantes. Estos privilegios deben
definirse de una manera consistente con las funciones que desempea
cada usuario.
2.12. No est permitido llevar al sitio de trabajo computadores porttiles
personales y en caso de ser necesario se requiere solicitar la
autorizacin correspondiente por Gerencia.
2.13. A menos que se indique lo contrario, los usuarios deben asumir que todo
el software de la organizacion est protegido por derechos de autor y
requiere licencia de uso. Por tal razn es ilegal y est terminantemente
prohibido hacer copias o usar ese software para fines personales. Es
responsabilidad de cada usuario hacer entrega de todos los discos
referentes a las licencias que posea la estacin de trabajo que est bajo
su Proceso de Tecnologa de la Informacin; en el caso de prdida de
los discos por parte del usuario, este ltimo debe de justificar por escrito
ante el Jefe del proceso de Tecnologa de a Informacin y ante la
Gerencia bajo que situaciones que se gener la perdida. Este ltimo se
encargaran de aplicar la sancin correspondiente.
2.14. Los usuarios no deben copiar a un medio removible (como un diskette,
CD-ROM, memorias USB, dispositivos de almacenamiento masivo), el
software o los datos residentes en los computadores de la organizacin,
para ser trasladados fuera de las instalaciones.

2.15. Debe instalarse y activarse una herramienta antivirus, la cual debe

mantenerse actualizada. Si se detecta la presencia de un virus u otro
agente potencialmente peligroso, se debe notificar inmediatamente al
Proceso de Tecnologa de la Informacin.
2.16. Debe utilizarse un programa antivirus para examinar todo software y
datos externos (Internet) o inclusive de otras reas de la empresa.
2.17. No debe utilizarse software descargado de Internet y en general
software que provenga de una fuente no confiable, a menos que se
haya sido comprobado en forma rigurosa y que est aprobado su uso
por el Proceso de Tecnologa de la Informacin.
2.18. Para prevenir acciones legales o la adquisicin de virus informticos, se
prohbe estrictamente la instalacin de software no autorizado,
incluyendo el que haya sido adquirido por el propio usuario. As mismo,
no se permite el uso de software de distribucin gratuita, a menos que
haya sido previamente aprobado por el Proceso de Tecnologa de la
Informacin.
2.19. No deben usarse diskettes, memorias USB u otros medios de
almacenamiento en cualquier computador de la organizacin a menos
que se haya previamente verificado que estn libres de virus u otros
agentes dainos.
2.20. Peridicamente debe hacerse el respaldo de los datos guardados en
PCs y servidores y las copias de respaldo deben guardarse en un lugar
seguro, a prueba de hurto, incendio e inundaciones. Los programas y
datos vitales para la operacin de la compaa debe guardarse en un
lugar seguro y enviar una copia fuera de la organizacin.
2.21. Los usuarios de PCs son responsables de proteger los programas y
datos contra prdida o dao. Para sistemas multiusuario y sistemas de
comunicaciones, el Coordinador del Departamento de Sistemas es
responsable de hacer copias de respaldo peridicas. Los Directores de
las distintas reas son responsables de definir qu informacin debe
respaldarse, as como la frecuencia del respaldo (por ejemplo: diario,
semanal) y el mtodo de respaldo (por ejemplo: incremental, total).
2.22. El personal que utiliza un computador porttil que contenga informacin
confidencial de la empresa, si se va de viaje o se ausenta del cargo,

debe hacer entrega al Departamento de Sistemas del equipo a su cargo

para realizar el procedimiento establecido a fin de salvaguardar la
informacin.

3. Polticas de Seguridad para las Comunicaciones

3.1.

Los sistemas de comunicacin de la compaa slo deben usarse para

actividades de trabajo. El uso personal en forma ocasional es permisible
siempre y cuando consuma una cantidad mnima de tiempo y recursos,
y adems no interfiera con la productividad del empleado ni con las
actividades de la empresa.

3.2.

Se prohbe el uso de los sistemas de comunicacin para actividades

comerciales privadas o para propsitos de entretenimiento y diversin.

3.3.

La navegacin en Internet para fines personales no debe hacerse a

costo en tiempo y recursos de la compaa y si se requiere deben
usarse las horas no laborables y con las respectiva autorizacin del su
jefe inmediato.

4. Polticas de seguridad para redes

El propsito de esta poltica es establecer las directrices, los procedimientos y
los requisitos para asegurar la proteccin apropiada de la Informacin
concerniente a la organizacin.
1
4.1.

Es poltica de la compaa prohibir la divulgacin, duplicacin,

modificacin, destruccin, prdida, mal uso, robo y acceso no autorizado
de informacin propietaria.

4.2.

Todos los cambios en los servidores y equipos de red de la compaia,

incluyendo la instalacin de nuevo software, el cambio de direcciones IP,
la reconfiguracin de routers y switchs, deben ser documentados y
debidamente aprobados, excepto si se trata de una situacin de
emergencia. Todo esto es para evitar problemas por cambios
apresurados y que puedan causar interrupcin de las comunicaciones,
cada de la red, denegacin de servicio o acceso inadvertido a
informacin confidencial.

5. Cuentas de los Usuarios

5.1.

Cuando un usuario recibe una nueva cuenta, debe firmar un documento

donde declara conocer las polticas y procedimientos de seguridad, y
acepta sus responsabilidades con relacin al uso de esa cuenta.

5.2.

La solicitud de una nueva cuenta o el cambio de privilegios debe ser

realizada por la mesa de ayuda y debe ser debidamente aprobada por
los Responsables del Proceso de Tecnologa de la Informacin.

5.3.

No debe concederse una cuenta a personas que no sean empleados de

la compaa a menos que estn debidamente autorizados por la
Gerencia.

5.4.

Es responsabilidad de cada Director de rea, el emitir la solicitud de

creacin, actualizacin o eliminacin (ya sea temporal o definitiva, por
causas como vacaciones, incapacidades, despido, u otra) de una cuenta
de usuario; para cada uno de los dems colaboradores de su proceso.

5.5.

Es responsabilidad del Departamento de Recursos Humanos de

suministrar al Personal del Proceso de Tecnologa de la Informacin las
respectivas novedades de personal y el perfil que va a manejar. Esto
con el objetivo que se realicen las labores de mantenimiento al mdulo
de usuarios del sistema.

5.6.

El Proceso de Tecnologa de la Informacin es el nico funcionario de la

empresa que cuenta con la autoridad de la creacin, actualizacin o
eliminacin de las cuentas de los usuarios en los sistemas de
Informacin o cuentas de correo.

5.7.

Como medida de seguridad y control cada cuatro meses (o sea tres

veces al ao), se cambiaran todas las claves de los usuarios tanto de
inicio de sesin como de acceso a los Sistemas de Informacin, esto
con el objetivo de prevenir cualquier acceso indebido al sistema por
parte de un usuario que conozca la clave de otro.

5.8.

Con respecto al formato de las claves de usuario, se establece que

estas ltimas deben:

5.8.1. Combinar letras y nmeros.

5.8.2. Tener un tamao superior a siete caracteres.

5.8.3. Como medida de seguridad se le especificara a cada usuario que su

clave no debe de tener ninguna relacin directa con ellos, para evitar
que cualquier otra persona fcilmente descubra la clave que utilizan.

5.9.

No deben otorgarse cuentas a personal de mantenimiento que no tenga

asignado equipo ni permitir su acceso remoto a menos que el
responsable del Proceso de Tecnologa de la Informacin determine que
es necesario. En todo caso esta facilidad slo debe habilitarse para el
periodo de tiempo requerido para efectuar el trabajo.

5.10. Se prohbe el uso de cuentas annimas o de invitado y los usuarios

deben entrar al sistema mediante cuentas que indiquen claramente su
identidad.
5.11. Cuando un empleado es despedido o renuncia, debe desactivarse su
cuenta antes de que deje el cargo.

6. Contraseas y el Control de Acceso

6.1.

El usuario no debe guardar su contrasea en una forma legible en

archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios
donde pueda ser encontrada. Si hay razn para creer que una
contrasea ha sido comprometida, debe cambiarla inmediatamente. No
deben usarse contraseas que son idnticas o substancialmente
similares a contraseas previamente empleadas. Siempre que sea
posible, debe impedirse que los usuarios vuelvan a usar contraseas
anteriores.

6.2.

Nunca debe compartirse la contrasea o revelarla a otros. El hacerlo

expone al usuario a las consecuencias por las acciones que los otros
hagan con esa contrasea.

6.3.

Est prohibido el uso de contraseas de grupo para facilitar el acceso a

archivos, aplicaciones, bases de datos, computadoras, redes, y otros
recursos del sistema. Esto se aplica en particular a la contrasea del
administrador.

6.4.

Las contraseas predefinidas que traen los equipos nuevos tales como
routers, switchs, etc., deben cambiarse inmediatamente al ponerse en
servicio el equipo.

6.5.

Si no ha habido ninguna actividad en una Terminal, PC o estacin de

trabajo durante un cierto periodo de tiempo, el sistema debe
automticamente borrar la pantalla y suspender la sesin. El periodo
recomendado de tiempo es de 10 minutos. El re-establecimiento de la
sesin requiere que el usuario proporcione se autentique mediante su
contrasea.

6.6.

Los usuarios no deben intentar violar los sistemas de seguridad y de

control de acceso. Acciones de esta naturaleza se consideran violatorias
de las polticas de la compaa, evidencindose ser causal de despido.

6.7.

Para tener evidencias en casos de acciones disciplinarias y judiciales,

cierta clase de informacin debe capturarse, grabarse y guardarse
cuando se sospeche que se est llevando a cabo abuso, fraude u otra
contravencin que involucre los sistemas informticos.

6.8.

Los servidores de red y los equipos de comunicacin deben estar

ubicados en lugares apropiados, protegidos contra daos y robo. Debe
restringirse severamente el acceso a estos sitios a personas no
autorizadas mediante el uso de cerraduras y otros sistemas de acceso.