Manualdepolticasdeseguridadinformtica 110713162548 Phpapp02

MANUAL DE POLITICAS DE SEGURIDAD INFORMTICA PARA EL IAEN
MANUAL DE POLTICAS DE SEGURIDAD INFORMTICA
Instituto de Altos Estudios Nacionales
INFORMACIN GENERAL:
Control de Cambios:
Fecha de Versin elaboracin 4 de agosto de 1.0 2008 5 de agosto de 1.1 2008 16 de mayo de 1.2 2011
Elabora cambios revisiones
Naturaleza del o cambio Primera Edicin Revisin Actualizaciones
Gabriel Cevallos Ximena Garbay Soraya Carrasco
Indicadores de revisin:
1.x:
1: Edicin del documento, documento original. X: Nmero de revisin efectuada en el documento
Dirigido a: El presente documento est dirigido a todo el personal del IAEN.
CONTENIDO:
Antecedentes Marco Jurdico Administrativo Justificacin Objetivo general Objetivos Especficos Alcance Sanciones Beneficios Vigencia Manual de Polticas de Seguridad Informtica para el IAEN Generalidades Polticas y Normas de Seguridad Personal Polticas y Normas de Seguridad Fsica y Ambiental 4 4 5 6 6 6 7 7 7 7 7 8 8
Polticas y Normas de Seguridad y Administracin de Operaciones de cmputo 11 Polticas y Normas de Controles de Acceso Lgico Polticas y Normas de Cumplimiento de Seguridad Informtica Glosario de trminos 15 17 18
ANTECEDENTES
El IAEN como Universidad de Postgrado se encuentra en una continua innovacin acadmica y tecnolgica a fin de ser un ente de investigacin y desarrollo en el mbito educativo. Parte del fortalecimiento a efectuarse en el instituto es la infraestructura tecnolgica, la misma que es permanentemente actualizada con propsitos de brindar calidad de servicios a las nuevas exigencias que persigue la misin del IAEN. La infraestructura de comunicacin a implementarse en el IAEN requiere un manual o conjunto de normas y polticas de uso y seguridad informtica de los equipos y aplicaciones a implementarse.
MARCO JURDICO ADMINISTRATIVO

En el Registro Oficial Nmero 378, del martes 17 de Octubre del 2006, la Contralora General del Estado en resolucin No. 025-CG acuerda expedir el Reglamento General Sustitutivo para el manejo y administracin de bienes del Sector Pblico; el mismo que seala: Art. 1.- mbito de aplicacin.- Este reglamento se aplicar para la gestin de los bienes de propiedad de los organismos y entidades del sector pblico.. y para los bienes de terceros que por cualquier causa estn en el sector pblico bajo custodia o manejo. Art. 2.- De los sujetos.- Este reglamento rige para los servidores pblicos Por tanto, no habr persona alguna que por razn de su cargo, funcin o jerarqua est exenta del cumplimiento de las disposiciones del presente reglamento Art. 3.- Del procedimiento y cuidado.- La conservacin, buen uso y mantenimiento de los bienes, ser responsabilidad directa del servidor que los ha recibido para el desempeo de sus funciones y labores oficiales. Para la correcta aplicacin de este artculo, cada institucin emitir las disposiciones administrativas correspondientes Art. 5.- Empleo de los bienes.- Los bienes de las entidades y organismos del sector pblico slo se emplearn para los fines propios del servicio pblico. Es prohibido el uso de dichos bienes para fines polticos, electorales, doctrinarios o religiosos o para actividades particulares y/o extraas al servicio pblico. La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en su seccin V, Disposiciones especiales sobre ciertas obras, escribe: Art. 28.- Los programas de ordenador se consideran obras literarias y se protegen como tales. Dicha proteccin se otorga independientemente de que hayan sido incorporados en un ordenador y cualquiera sea la forma en que estn expresados... En concordancia con la Constitucin Poltica del Ecuador, art. 163, Captulo 3, la ley de Propiedad Intelectual tipifica dentro de la seccin: De los Delitos y las Penas:
Art. 319.- Ser reprimido con prisin de tres meses a tres aos y multa de quinientas a cinco mil Unidades de Valor Constante UVC, tomando en consideracin el valor de los perjuicios ocasionados, quin en violacin de los derechos de propiedad intelectual, almacene, fabrique, utilice con fines comerciales, oferte en venta, venda, importe o exporte: ...f) Un producto o servicio que utilice una marca no registrada idntica o similar a una marca notoria o de alto renombre, registrada en el pas o en el exterior; Del Reglamento a Ley de Transparencia y Acceso a la Informacin Pblica del Registro Oficial 507 del 19 de enero del 2005 se declara: Art. 2.- mbito .- Las disposiciones de la Ley orgnica de Transparencia y de acceso a la informacin pblica y este reglamento, se aplican a todos los organismos entidades e instituciones del sector pblico y privado que tengan participacin del Estado. Art. 10.- Informacin reservada .- Las instituciones sujetas al mbito de este reglamento, llevarn un listado ordenado de todos los archivos e informacin considerada reservada Art. 16.- El Recurso de Acceso a la Informacin Pblicaprocede cuando: b) La informacin sea considerada incompleta, alterada o supuestamente falsa,
JUSTIFICACIN
La seguridad, en lo que se refiere a una infraestructura de informacin, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institucin (software) y el manejo que se d del conjunto (el conocimiento del usuario); por esta razn es un paso primordial el establecer normativas y estndares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicacin del IAEN. El presente documento busca establecer el por qu?, el qu? y el cmo? proteger la informacin que fluye a travs del sistema de comunicaciones del IAEN agrupando todas las normas y polticas relacionadas con este fin, tomndose en cuenta todos los niveles de seguridad considerados en recomendaciones internacionales. El sentar bases y normas de uso y seguridad informticas dentro del IAEN respecto a la manipulacin y uso de aplicaciones y equipos computacionales permitir optimizar los procesos informticos y elevar el nivel de seguridad de los mismos.
OBJETIVO GENERAL
Divulgar un manual de polticas de seguridad informtica para el conocimiento y cumplimiento del mismo entre todo el personal del IAEN sobre los recursos informticos asignados o utilizados.
OBJETIVOS ESPECFICOS
Elaborar un manual de polticas de seguridad informtica para el personal del IAEN adaptado a las necesidades y activos tecnolgicos del instituto as como a la naturaleza de la informacin que se maneja en el mismo. Utilizar un lenguaje claro de establecimiento de polticas y estndares de seguridad para la fcil aplicacin de las mismas por parte del personal del IAEN. Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual normativo de seguridad sea ordenado y esquemtico lo que se traduce en un enfoque ms objetivo de la situacin de la institucin.
ALCANCE
El presente manual describe todas las normas, polticas y estndares que se aplicarn de manera obligatoria de parte del personal del IAEN respecto a seguridad informtica para precautelar un correcto uso de equipos de cmputo y aplicaciones tecnolgicas; para el presente manual se ha considerado sugerencias y recomendaciones del estndar britnico britnicas BS7799. BS7799 hace nfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a la necesidad de proteger la exactitud de la informacin, as como los mtodos utilizados para procesarla. Confidencial se refiere a la garanta de que la informacin slo puede ser visitada por las personas que tienen la autorizacin para hacerlo. Y la disponibilidad se refiere a la garanta de que aquellos que han sido autorizadas a hacer uso de la informacin tienen acceso a ella y todos los asociados activos cuando sea necesario. El manual incluye cinco captulos, a saber: SEGURIDAD PERSONAL SEGURIDAD FSICA Y AMBIENTAL SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO CONTROL DE ACCESO LGICO CUMPLIMIENTO
Cada captulo incluye la poltica relacionada, as como el conjunto de normas respectivas consideradas en cada caso.
SANCIONES
Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumir todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio de las autoridades del IAEN.
BENEFICIOS
El cumplimiento del presente manual de seguridad informtica har posible un mejor mantenimiento de los bienes activos de la infraestructura tecnolgica del IAEN as como un manejo ms confiable de toda la informacin del instituto.
VIGENCIA
El presente manual entrar en vigencia, previa aprobacin de las autoridades del IAEN correspondientes y previndose los medios de difusin entre todo el personal del IAEN. Todo cambio referente a la infraestructura tecnolgica, naturaleza de las aplicaciones u otros causados por las exigencias del instituto har necesario efectuar una revisin y actualizaciones del presente documento, estas actualizaciones y revisiones estn previstas dentro del control de cambios adjunto al presente documento.
MANUAL DE POLTICAS DE SEGURIDAD INFORMTICA PARA EL IAEN GENERALIDADES

INSTRUCCIONES DE INTERPRETACIN El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo e independientemente de su nivel de conocimientos informticos. La aplicacin de las normas expuestas en el presente documento se han ideado de forma que su cumplimiento pueda efectuarse de la forma ms simple posible y evitando interferir con las funciones de los colaboradores del IAEN, sin embargo el personal deber enmarcar sus esfuerzos para que todas las normas y polticas concernientes a su entorno de trabajo y utilizacin de recursos informticos se cumplan a cabalidad. POLTICAS Y NORMAS DE SEGURIDAD Polticas.- Las polticas de seguridad informtica establecen la visin y actitud general a establecerse dentro del personal de la organizacin con respecto a los recursos y servicios tecnolgicos que se utilizan. Las polticas generan a su vez las normas y estndares a aplicarse dentro de la organizacin para su cumplimiento; en otras palabras las polticas establecen que se entiende por seguridad dentro de una determinada organizacin.
Normas.- Las normas son el conjunto de estndares, recomendaciones y controles que buscan cumplir los objetivos establecidos por las polticas de seguridad, las polticas establecen la concepcin de seguridad dentro de la organizacin, las normas estableces las acciones relacionadas con ese concepto.
POLTICAS Y NORMAS DE SEGURIDAD PERSONAL

POLTICA Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnolgicos de la infraestructura de comunicacin del Instituto, independientemente de su jerarqua dentro de la institucin, debe firmar un convenio en el que acepte: condiciones de confidencialidad y manejo de informacin digital generada en sus funciones, el manejo adecuado de los recursos informticos del IAEN, as como el apego a las normas y polticas del presente manual. OBLIGACIONES DE LOS USUARIOS Es responsabilidad de los usuarios de equipos y servicios tecnolgicos del IAEN cumplir las polticas y normas del Manual de Polticas de Seguridad Informtica para el IAEN. ENTRENAMIENTO Y CAPACITACIN Parte de los objetivos del manual es presentarse de fcil entendimiento para todo el personal cualquiera sea el nivel de conocimiento de tecnologa e informtica que tenga el usuario, sin embargo todo colaborador del IAEN de acceso reciente debe contar con la induccin referente al Manual de Polticas de Seguridad Informtica; esta tarea deber desarrollarse por la Unidad de Bienestar Humano en conjunto con la Direccin de Desarrollo Tecnolgico del IAEN, dentro de los puntos principales de la induccin se tratar a modo general las obligaciones del usuario as como las sanciones relacionadas en caso de incumplimiento. SANCIONES En caso de que la Direccin de Desarrollo Tecnolgico del IAEN identifique el incumplimiento de las normas y polticas descritas en el presente manual, deber emitir el reporte o informe correspondiente a la Unidad Administrativa para que se ejecuten las medidas correspondientes. Se consideran violaciones graves el robo y dao de equipos voluntario; adems el uso de la infraestructura de comunicacin del IAEN para hackeo o envo de correos tipo spam.
POLTICAS Y NORMAS DE SEGURIDAD FSICA Y AMBIENTAL

POLTICA Los mecanismos de control de acceso fsico deben asegurar que las reas restringidas del IAEN den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e
informacin del IAEN, dentro de estas reas restringidas se consideran en especialmente las oficinas de coordinacin y el Centro de Datos del instituto. Para las estaciones de trabajo abiertas (modulares) se consideran mecanismos de seguridad lgica que limiten el acceso a los equipos computacionales y la informacin almacenada en los mismos. MANEJO DE LA INFORMACIN Todos los usuarios debern reportar de forma inmediata los riesgos reales o potenciales que presente el rea fsica en que desempean sus funciones para los equipos de cmputo o de comunicacin de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc. Todos los medios de almacenamiento de informacin de tipo extrable (diskettes o cintas magnticos, CD, DVD o memorias tipo USB) asignados por el IAEN en funcin de las tareas del usuario son responsabilidad del mismo, junto con la informacin contenida en los mismos, an cuando no se utilicen. La informacin almacenada en los ordenadores asignados a los funcionarios del IAEN son responsabilidad de los mismos, el evitar fugas o prdidas de informacin dentro de los equipos es obligacin del usuario. CONTROL DE INGRESO DE EQUIPOS Cualquier persona que acceda a las instalaciones del IAEN deber registrar al momento de su ingreso: equipos de cmputo, equipos de comunicaciones (excepto por telfonos mviles o celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control sobre el trfico de los equipos computacionales y de computacin que entran y salen del Instituto. En el caso de los cursantes se podr declarar con anterioridad los equipos computacionales que piensa utilizar el cursante en el transcurso de la ctedra respectiva. Las computadoras personales o porttiles asignadas o cualquier otro activo de comunicacin e informacin podrn salir de las instalaciones del IAEN previa autorizacin de la autoridad respectiva. SEGURIDAD DEL CENTRO DE DATOS El centro de datos se considera rea restringida dentro del IAEN y slo el personal autorizado por la Direccin de Desarrollo Tecnolgico tiene acceso al mismo. TRASLADO, PROTECCIN Y UBICACIN DE EQUIPOS La reubicacin o movimiento de equipos de computacin y comunicacin, la instalacin y desinstalacin de dispositivos, el retiro de sellos tanto de garanta como de licenciamiento de sistema operativo o de programas de herramientas ofimticas son atributos del personal de la Direccin de Desarrollo Tecnolgico del IAEN, este tipo de tareas se realizarn previa autorizacin de la Direccin Administrativa y con apoyo de la misma.
Todo usuario es responsable de los equipos tecnolgicos computacionales y de comunicacin asignados en la ubicacin autorizada por la Direccin Administrativa, y el uso de los equipos ser de uso exclusivo de las funciones del IAEN. En caso de necesitarlo, es responsabilidad del usuario solicitar capacitacin necesaria para el manejo de herramientas informticas relacionadas con su labor de forma que se reduzca el riesgo de dao o malfuncionamiento de los equipos y herramientas por mal uso o desconocimiento, optimizando al mismo tiempo el uso de las herramientas informticas. Toda la informacin obtenida y desarrollada en base a las funciones de los usuarios se guardar en la carpeta Mis Documentos, de manera que los datos puedan identificarse de manera rpida y en una sola ubicacin lgica para facilitar el proceso de recuperacin o respaldo de archivos. La ingesta de alimentos y/o bebidas mientras se operan los equipos de computacin y comunicacin est prohibida. La colocacin de cualquier objeto sobre los equipos computacionales o la ubicacin de obstculos o cosas que obstruyan los orificios de ventilacin (ubicados en la fuente y parte lateral de los CPU y monitores de los computadores) estn prohibidas. La estacin de trabajo debe estar limpia de polvo y libre de humedad para disminuir daos en los equipos por estos agentes. Los cables de conexin de los equipos computacionales a la red elctrica, a la red de datos y el cable de conexin telefnica deben protegerse, el usuario cuidar que estos cables no sean pisados, aplastados o pinchados por personas u objetos. Cuando se requiera cambiar la ubicacin de varios equipos de cmputo (reestructuracin, remodelacin, cambio de lugar de unidades, etc) se deber notificar a la Direccin de Desarrollo Tecnolgico este particular con un mnimo de 48 horas de anticipacin para prever las medidas a aplicarse para realizar el cambio de la manera ms rpida y eficaz, todos estos movimientos y reubicaciones deben estar autorizados por la Direccin Administrativa. Est prohibido que los usuarios abran o desarmen los equipos de computacin y de comunicacin asignados por el IAEN. MANTENIMIENTO DE EQUIPOS Los servicios de mantenimiento y reparacin se llevarn a cabo solamente por el personal de la Direccin de Desarrollo Tecnolgico del IAEN o personal autorizado por la misma unidad, es responsabilidad del usuario solicitar informacin e identificacin de la persona o personas designadas antes de permitir el acceso al equipo asignado. En caso de ser necesario el traslado del equipo para diagnstico y reparacin, los usuarios debern hacer respaldos de la informacin que consideren crtica o relevante para sus
10
funciones; de esta manera se asegura que la prdida involuntaria de informacin que podra suceder como efecto de la reparacin pueda subsanarse. PRDIDA DE EQUIPO El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de robo, extravo o prdida responder por el bien de acuerdo a la normativa vigente para estos casos. Los equipos de computacin porttiles asignados tienen carcter intransferible y son de responsabilidad del personal respectivo, por tanto no se pueden realizar prstamos de estos equipos. La prdida de cualquier equipo computacional o de comunicacin (y accesorios relacionados) debe comunicarse de inmediato a la Unidad Administrativa, a la Direccin de Desarrollo Tecnolgico y al rgano de Control de Bienes del IAEN. PERIFRICOS Y DISPOSITIVOS ESPECIALES Los usuarios cuyos equipos computacionales estn equipados con grabadores para CD, DVD o ambos utilizarn estos dispositivos exclusivamente para archivos de respaldo de documentos originales y copias de software autorizadas al IAEN va contrato. El uso indebido de estos dispositivos para copias no autorizadas por el autor (piratas) de cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo resguardo est el equipo computacional. DAO DEL EQUIPO El dao por negligencia, maltrato o descuido del usuario en los equipos de computacin y comunicacin asignados ser cubierto por el responsable previa verificacin de la descompostura por parte de la Direccin de Desarrollo Tecnolgico del IAEN; en funcin del dao se podr solicitar el valor de la reparacin o reposicin del equipo o dispositivo.
POLTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO

POLTICA Los funcionarios del IAEN que utilizan equipos de computacin y comunicacin deben ocupar mecanismos tecnolgicos para la proteccin y privacidad de la informacin que manejan y generan. La proteccin de la informacin tambin compete a la prevencin de cdigo maliciosos al computador asignado, ya sea este virus, gusano, caballo de troya u otros.
11
USO DE MEDIOS DE ALMACENAMIENTO No se admite el uso de archivos compartidos entre los equipos asignados, el envo y recepcin de documentos internos se har va correo electrnico para que quede constancia del envo y de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones interno del Instituto. Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones del IAEN son susceptibles de auditora y revisin. INSTALACIN DE SOFTWARE Todos los usuarios que debido a sus actividades requieran el uso de software propietario, debern justificar el uso del mismo y solicitar la Autorizacin a la Direccin de Desarrollo Tecnolgico a travs de un oficio firmado por el Director de la unidad del usuario, indicando en que equipo o equipos (de existir varias licencias adquiridas) deber instalarse el programa en cuestin y el perodo de tiempo estimado de uso. La instalacin de cualquier tipo de programa en computadores, servidores o cualquier otro equipo conectado a la red del IAEN sin la autorizacin de la Direccin de Desarrollo Tecnolgico est prohibida. IDENTIFICACIN DEL INCIDENTE En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de seguridad informtica deber reportarlo de inmediato a la Direccin de Desarrollo Tecnolgico, justificando con claridad porque lo ocurrido se considera como incidente de seguridad informtica. De existir la sospecha de que informacin ha sido revelada, modificada, alterada o borrada sin autorizacin del usuario se deber tambin notificar el incidente al Director de la Unidad respectiva. Cualquier incidente relacionado con la utilizacin de equipos computacionales y de comunicacin deben reportarse a la Direccin de Desarrollo Tecnolgico. ADMINISTRACIN DE LA CONFIGURACIN Est prohibido el alterar la configuracin del equipo asignado por cualquier motivo, el establecer redes de rea local, conexiones remotas internas o externas, el intercambio de informacin a travs del protocolo FTP o cualquier otro protocolo de transferencia de datos tampoco est permitido sin la autorizacin previa de la Direccin de Desarrollo Tecnolgico SEGURIDAD PARA LA RED El uso del equipo computacional asignado para exploracin de los recursos compartidos de la infraestructura tecnolgica del IAEN y las aplicaciones que la misma presta con el objetivo de
12
hallar vulnerabilidades, sin autorizacin previa de la Direccin de Desarrollo Tecnolgico se considera un ataque a la seguridad de la red. USO DEL CORREO ELECTRNICO El correo electrnico institucional es personal e intransferible, cada usuario mantiene su propia cuenta y est prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir mensajes de correo. El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones institucionales est prohibido a menos que exista autorizacin de la Direccin de Desarrollo Tecnolgico. Tanto los mensajes enviados y recibidos as como los archivos adjuntos que salen y entran a los buzones institucionales se consideran propiedad del IAEN. Los mensajes enviados por correo electrnico se consideran como una comunicacin privada y directa entre el emisor y el receptor. El IAEN se reserva el derecho al acceso y anlisis de todos los mensajes y archivos adjuntos enviados a travs del correo institucional, al existir sospecha de envo de informacin que comprometa la seguridad de la red, o cualquier otra accin no autorizada. El usuario debe utilizar el correo electrnico exclusivamente para desempear las funciones que le fueron asignadas por su cargo, empleo o comisin; cualquier otro uso del correo electrnico est prohibido. Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrnico. Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las comunicaciones por correo electrnico. El empleo del correo electrnico considera el uso de lenguaje apropiado, evitando palabras ofensivas o altisonantes que afecten la honra y estima de terceros. CONTROLES CONTRA CDIGO MALICIOSO Para evitar la induccin de cdigo malicioso dentro de los equipos computacionales, el personal har uso slo del software o programas de ordenador instalados y validados por la Direccin de Desarrollo Tecnolgico del IAEN. Los usuarios de la infraestructura tecnolgica del IAEN deben verificar que toda informacin contenida en medios de almacenamiento extrables como diskettes, CD, DVD o memorias USB est libre de cdigos maliciosos, esto a travs del software antivirus autorizado e instalado en cada equipo computacional por la Direccin de Desarrollo Tecnolgico.
13
Debe verificarse la presencia o no de cdigo malicioso en todos los archivos adjuntos comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutndose el programa antivirus autorizado antes de ejecutarse la descompresin. El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones en cualquier cdigo o lenguaje de computadora que estn diseados para auto-replicarse, daar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o componentes del equipo computacional como memorias o perifricos ser sancionado por la autoridad competente como ataque contra la seguridad informtica del IAEN. Cualquier usuario que sospeche la infeccin de su equipo computacional de virus, troyano o cualquier otro cdigo malicioso deber dejar de usar inmediatamente el equipo y anunciar el particular a la Direccin de Desarrollo Tecnolgico para que se tomen las acciones respectivas de re-establecimiento del equipo y eliminacin del cdigo malicioso. Los usuarios a quienes se han asignado equipos porttiles estn en el deber de solicitar peridicamente a la Direccin de Desarrollo Tecnolgico la actualizacin del software antivirus. Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus instaladas en cada equipo computacional para prevenir la propagacin de cdigo malicioso. Los cdigos maliciosos son cada vez ms complejos, por lo que ningn usuario debe intentar erradicarlos por s mismo. USO DEL INTERNET El acceso a Internet provisto para el personal del IAEN a travs de equipos computacionales es exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y funcin que desempea. Todos los accesos de Internet deben ser provistos a travs de los canales previstos para el efecto, de necesitarse una conexin a Internet especial de caractersticas diferenciadas esta debe ser notificada y autorizada por la Direccin de Desarrollo Tecnolgico. Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informtica deben reportarlo inmediatamente a la Direccin de Desarrollo Tecnolgico con los justificativos respectivos sobre las sospechas para la verificacin del incidente. Todo usuario de Internet en el IAEN, al aceptar el servicio est aceptando que: Las actividades realizadas en Internet sern sujeto de monitoreo. Conocen la prohibicin al acceso de pginas no autorizadas Conocen la prohibicin de descarga de software y archivos de msica o video sin la autorizacin de la Direccin de Desarrollo Tecnolgico.
14
La utilizacin del Internet es para el desempeo de su funcin y cargo en el IAEN y no para propsitos personales.
POLTICAS Y NORMAS DE CONTROLES DE ACCESO LGICO

POLTICA Cada usuario se responsabilizar por el mecanismo de acceso lgico asignado, esto es su identificador de usuario y password necesarios para acceder a la informacin e infraestructura de comunicacin del IAEN, es responsabilidad de cada usuario la confidencialidad de los mismos. El acceso a la informacin que fluye dentro de la infraestructura tecnolgica del IAEN se otorga en base a las funciones del usuario, se debern otorgar los permisos mnimos necesarios para el desempeo del cargo o rol. CONTROLES DE ACCESO LGICO Todos los usuarios de equipos computacionales son responsables de la confidencialidad del identificador de usuario y el password de su equipo, as como de aplicaciones especiales que requieran el mismo control de acceso lgico. Todos los usuarios debern autenticarse con los mecanismos de control de acceso lgico antes de tener acceso a los recursos de la Infraestructura tecnolgica del IAEN. No est permitido a los usuarios el proporcionar informacin a personal externo sobre los mecanismos de control de acceso a los recursos e infraestructura tecnolgica del IAEN, salvo el caso de autorizacin expresa del generador de la informacin y la Direccin de Desarrollo Tecnolgico. El identificador de usuario dentro de la red es nico y personalizado, no est permitido el uso del mismo identificador de usuario por varios miembros del personal. El usuario es responsable de todas las actividades realizadas con su identificador de usuario, por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que est prohibido usar el identificador de usuario de otros. ADMINISTRACIN DE PRIVILEGIOS Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso a diferentes prestaciones de la infraestructura tecnolgica del IAEN debe ser notificado a la Direccin de Desarrollo Tecnolgico por el Director correspondiente a la unidad o la autoridad que ordena el cambio.
15
EQUIPO DESANTENDIDO El usuario que deja su lugar de trabajo por cualquier razn debe dejar bloqueado su terminal o equipo computacional precautelando la seguridad de la informacin a travs del mecanismo de control de acceso lgico. ADMINISTRACIN Y USO DE PASSWORDS Es obligacin del usuario cambiar la clave por defecto asignada por la Direccin de Desarrollo Tecnolgico. Los passwords son individuales, est prohibido que varios usuarios compartan un password. Cuando un usuario olvide, bloquee o extrave su password deber solicitar a la Direccin de Desarrollo Tecnolgico para que se le realice la accin que le permita ingresar un nuevo password, y el momento de recibirlo deber personalizar uno nuevo. Est prohibido mantener ayudas escritas o impresas referentes al password en lugares donde personas no autorizadas pueden descubrirlos. La revelacin del password o contrasea a terceros responsabiliza al usuario que prest su password de todas las acciones que se realicen con el mismo. Los usuarios debern observar las siguientes guas para la construccin de su contrasea: La contrasea estar compuesta de caracteres alfanumricos de mnimo siete (7) caracteres y mximo 12 (doce). Deben ser difciles de adivinar, es decir no deben estar relacionados con nombre del empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.
La contrasea no caduca, pero bajo sospecha de que el password es conocido por otra persona debe cambiarse inmediatamente. Los cambios o desbloqueo de password solicitados por el usuario a la Direccin de Desarrollo Tecnolgico sern notificados posteriormente al solicitante y al superior inmediato de manera que se pueda detectar cualquier cambio no solicitado. CONTROL DE ACCESOS REMOTOS El uso de las extensiones telefnicas para acceso al Internet de tipo Dial-Up est prohibido, se considera excepcin previa autorizacin de la Direccin de Desarrollo Tecnolgico del IAEN. La administracin remota de equipos conectados a Internet no est permitida, salvo que se cuente con la autorizacin y un mecanismo de control de acceso seguro autorizado por el dueo de la informacin y la Direccin de Desarrollo Tecnolgico.
16
POLTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA

POLTICA La Direccin de Desarrollo Tecnolgico del IAEN emitir y revisar el cumplimiento de las polticas y normas de seguridad informtica que permitan realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnolgica del Instituto. DERECHOS DE PROPIEDAD INTELECTUAL Las leyes de propiedad intelectual prohben la reproduccin de programas de ordenador o software sin autorizacin escrita del autor, ya sea este adquirido o desarrollado en el Instituto. Los sistemas desarrollados por personal interno o externo bajo la supervisin de la Direccin de Desarrollo Tecnolgico son propiedad del IAEN. REVISIONES DE CUMPLIMIENTO La Direccin de Desarrollo Tecnolgico realizar acciones de verificacin del cumplimiento de manual de polticas de seguridad informtica, lo que incluye mecanismos de revisin de tendencias en el uso de recursos informticos y la naturaleza de los archivos procesados. El mal uso de los recursos informticos detectado por la Direccin de Desarrollo Tecnolgico ser reportado conforme a lo indicado en la poltica de Seguridad de Personal. VIOLACIONES DE SEGURIDAD INFORMTICA Se prohbe el uso de herramientas de hardware o software que alteren o eviten los controles de seguridad informtica, a menos que exista autorizacin expresa de la Direccin de Desarrollo Tecnolgico. Est prohibido realizar pruebas a los controles efectuados por la Direccin de Desarrollo Tecnolgico, ninguna persona puede probar o intentar comprometer los controles internos a menos que cuente con la aprobacin de la Direccin de Desarrollo Tecnolgico o sea un rgano interno de control. La bsqueda de orificios o fallas de seguridad informtica est reservada para la Direccin de Desarrollo Tecnolgico, est prohibida la realizacin de pruebas de este tipo para cualquier usuario no autorizado. La propagacin de cdigo malicioso de forma intencional para probar el desempeo de la red de parte de usuarios no autorizados est prohibido totalmente.
17
GLOSARIO DE TRMINOS
CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco, que a travs de medios pticos puede guardar informacin. Correo electrnico.- Consiste en enviar y recibir mensajes escritos a travs de un computador y direcciones de buzn virtuales a travs de una red privada o Internet y software diseado para el efecto. CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lgicas de cada proceso, en la prctica se usa tambin para denominar a todo el equipamiento que contiene al procesador. Diskettes.- Unidad de almacenamiento extrable originalmente en tamao de 5 y posteriormente en 3 con capacidad de hasta 1,44MB, actualmente en proceso de desuso por la entrada de unidades de almacenamiento con ms capacidad y confiabilidad. DVD.- (Digital Versatile Disc, disco digital versttil): Unidad de almacenamiento ptica en forma de disco de alta densidad que permite manejar formatos de audio y video de alta calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que soporta ms de 4 veces la capacidad de este. FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite la transferencia de archivos en la mayora de redes actuales, FTP es soportado por varios sistemas operativos, incluidas todas las versiones actuales del Windows. Gusano.- Se denomina gusano al tipo de cdigo malicioso capaz de duplicarse a s mismo, suele usar las operaciones automticas de archivos propios del sistema operativo del computador para la copia de s mismo; bsicamente ataca la red en s ya que la duplicacin ocupa ancho de banda y enlentece los procesos. Hackeo.- En el presente documento se limita a la accin de hallar huecos de seguridad en la infraestructura de una red para acceder a la informacin de la misma. MB.- (Megabyte): Unidad de volumen de informacin digital equivale a 1024 bytes, el byte agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno (1) o cero (0). RAR.- Formato de compresin, un archivo de cualquier naturaleza puede comprimirse a travs de un software especializado y toma la extensin .rar. Software.- Se denomina software a todo programa, que instalado en un computador permite el aceceso al usuario a la manipulacin de informacin o uso de perifricos como impresoras, videocmaras u otros. Spam.- Publicidad no solicitada que viaja a travs de cualquier red hacia buzones de correo electrnico, el envo de spam en la red de Internet es uno de los mayores causantes de saturacin de la red.
18
Troyano.- Un troyano es un tipo de cdigo malicioso capaz de ingresar a un ordenador para recabar informacin que permita el acceso de usuarios externos al computador local con los consiguientes problemas de seguridad informtica. USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4 terminales para recepcin, transmisin, y energizacin del equipo; los puertos USB se encuentran presentes en todas las computadoras actuales y permiten la conexin de unidades de almacenamiento porttiles, cmaras, telfonos, mdems inalmbricos y todo tipo de perifricos. UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en cualquier poca como por ejemplo la canasta familiar. Virus.- Un virus es un tipo de cdigo malicioso capaz de destruir o alterar informacin del computador que lo aloja. ZIP.- Formato de compresin, un archivo de cualquier naturaleza puede comprimirse a travs de un software especializado y toma la extensin .zip.
19

Manualdepolticasdeseguridadinformtica 110713162548 Phpapp02

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manualdepolticasdeseguridadinformtica 110713162548 Phpapp02

Cargado por

Copyright:

Formatos disponibles

MANUAL DE POLITICAS DE SEGURIDAD INFORMTICA PARA EL IAEN