Está en la página 1de 18

Universidad Cientfica del Per

Seguridad de la Informacin

POLITICAS DE SEGURIDAD DE LA INFORMACIN Tiene como objetivos proteger los recursos de informacin de la organizacin y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin. As como tambin asegurar la implementacin de las medidas de seguridad comprendidas en esta Poltica, identificando los recursos y las partidas presupuestarias correspondientes, sin que ello implique necesariamente la asignacin de partidas adicionales. Se tiene que mantener la Poltica de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia. Sanciones Previstas por Incumplimiento: El incumplimiento de las disposiciones establecidas por las Polticas de Seguridad de la Informacin tendr como resultado la aplicacin de diversas sanciones, conforme a la magnitud y caracterstica del aspecto no cumplido. 1 ORGANIZACIN DE LA SEGURIDAD La Organizacin de la seguridad tiene como objetivos: a) Administrar la seguridad de la informacin dentro del Organismo y establecer marco gerencial para iniciar y controlar su implementacin, as como para distribucin de funciones y responsabilidades. b) Fomentar la consulta y cooperacin con Organismos especializados para obtencin de asesora en materia de seguridad de la informacin. c) Garantizar la aplicacin de medidas de seguridad adecuadas en los accesos terceros a la informacin de la organizacin. 1.1. Infraestructura de la Seguridad de la Informacin 1.1.1. Comit de Seguridad de la Informacin: Se define como un cuerpo integrado por representantes de todas las reas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad. Tiene los siguientes objetivos: 1) Revisar y proponer al gerente de la institucin para su consideracin y posterior aprobacin, las polticas de seguridad de la informacin y las funciones generales en materia de seguridad de la informacin que fuera convenientes y apropiadas. 2) Monitorear cambios significativos en los riesgos que afectan a los recursos de la informacin frente a posibles amenazas, sean internas o externas. 3) Tomar conocimiento y supervisar la investigacin y monitoreo de los incidentes, relativos a la seguridad. 4) Aprobar las principales iniciativa para incrementar la seguridad de la informacin, de acuerdo a las competencias y responsabilidades asignadas a cada sector, as como acordar y aprobar metodologas y procesos especficos relativos a la seguridad de la informacin 5) Evaluar y coordinar la implementacin de controles especficos de seguridad de la informacin para los sistemas o servicios de la institucin, sean preexistente o nuevos. 6) Promover la difusin y apoyo a la seguridad de la informacin dentro de la institucin, as como coordinar el proceso de administracin de la continuidad de las actividades. La creacin del Comit de Seguridad de la Informacin se corresponde en un todo con el espritu y la letra expresados en el Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional. 1.1.2. Asignacin de Responsabilidades en Materia de Seguridad de la un la la de

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

Informacin El gerente de la institucin deber asignar las funciones relativas a la Seguridad Informtica de la Institucin Ing. Juan Perez Ramirez, en adelante el Responsable de Seguridad Informtica, quien tendr a cargo las funciones relativas a la seguridad de los sistemas de informacin del Organismo, lo cual incluye la supervisin de todos los aspectos inherentes a seguridad informtica tratados en la presente Poltica. El Comit de Seguridad de la Informacin propondr a la autoridad que corresponda para su aprobacin, la definicin y asignacin de las responsabilidades que surjan de los procesos de seguridad que se detallan a continuacin, indicando en cada caso el/los responsable/s del cumplimiento de los aspectos de esta Poltica aplicables a cada caso: a) Seguridad del Personal b) Seguridad Fsica y Ambiental c) Seguridad en las Comunicaciones y las Operaciones d) Control de Accesos e) Seguridad en el Desarrollo y Mantenimiento de Sistemas f) Planificacin de la Continuidad Operativa As mismo, el Comit de Seguridad de la Informacin propondr a la autoridad que corresponda para su aprobacin, la definicin y asignacin de las responsabilidades de los propietarios de la informacin que se definan, quienes sern los responsables de las unidades organizativas a cargo del manejo de la misma. Cabe aclarar que, si bien los propietarios pueden delegar la administracin de sus funciones a personal idneo a su cargo, conservarn la responsabilidad del cumplimiento de las mismas. La delegacin de la administracin por parte de los propietarios de la informacin ser documentada por los mismos y proporcionada al Responsable de Seguridad Informtica. 1.1.3. Proceso de Autorizacin para Instalaciones de Procesamiento de Informacin Los nuevos recursos de procesamiento de informacin sern autorizados por los Responsables de las Unidades Organizativas involucradas, considerando su propsito y uso, conjuntamente con el Responsable de Seguridad Informtica, a fin de garantizar que se cumplan todas las Polticas y requerimientos de seguridad pertinentes. Cuando corresponda, se verificar el hardware y software para garantizar su compatibilidad con los componentes de otros sistemas del Organismo. 1.1.4. Asesoramiento Especializado en Materia de Seguridad de la Informacin El Responsable de Seguridad Informtica ser el encargado de coordinar los conocimientos y las experiencias disponibles en la organizacin, a fin de brindar ayuda en la toma de decisiones en materia de seguridad. ste podr obtener asesoramiento de otros Organismos. 1.1.5. Cooperacin entre Organismos A efectos de intercambiar experiencias y obtener asesoramiento para el mejoramiento de las prcticas y controles de seguridad, se mantendrn contactos con los Organismos especializados en temas relativos a la seguridad informtica. 1.1.6. Revisin Independiente de la Seguridad de la Informacin La Unidad de Auditora Interna o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin realizar revisiones independientes sobre la vigencia e implementacin de las Polticas de Seguridad de la Informacin, a efectos de garantizar que las prcticas de la organizacin reflejan adecuadamente sus disposiciones. 1.2. Seguridad Frente al Acceso por Parte de Terceros

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

1.2.1. Identificacin de Riesgos del Acceso de Terceras Partes Cuando exista la necesidad de otorgar acceso a terceras partes a informacin de la organizacin, el Responsable de Seguridad Informtica y el Propietario de la Informacin de que se trate, llevarn a cabo y documentarn una evaluacin de riesgos para identificar los requerimientos de controles especficos, teniendo en cuenta, entre otros aspectos: El tipo de acceso requerido (fsico/lgico y a qu recurso). Los motivos para los cuales se solicita el acceso. El valor de la informacin. Los controles empleados por la tercera parte. La incidencia de este acceso en la seguridad de la informacin del Organismo. En todos los contratos cuyo objeto sea la prestacin de servicios a ttulo personal bajo cualquier modalidad jurdica que deban desarrollarse dentro de la organizacin, se establecern los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mnimo necesario, los permisos a otorgar. En ningn caso se otorgar acceso a terceros a la informacin, a las instalaciones de procesamiento u otras reas de servicios crticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexin o el acceso. 1.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros Se revisarn los contratos o acuerdos existentes o que se efecten con terceros, teniendo en cuenta la necesidad de aplicar los siguientes controles: a) Cumplimiento de la Poltica de seguridad de la informacin de la organizacin. b) Proteccin de los activos de la organizacin, incluyendo: Procedimientos para proteger los bienes de la organizacin, abarcando los activos fsicos, la informacin y el software. Procedimientos para determinar si ha ocurrido algn evento que comprometa los bienes, por ejemplo, debido a prdida o modificacin de datos. Controles para garantizar la recuperacin o destruccin de la informacin y los activos al finalizar el contrato o acuerdo, o en un momento convenido durante la vigencia del mismo. Restricciones a la copia y divulgacin de informacin. c) Descripcin de los servicios disponibles. d) Nivel de servicio esperado y niveles de servicio aceptables. e) Permiso para la transferencia de personal cuando sea necesario. f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales. g) Existencia de Derechos de Propiedad Intelectual. h) Definiciones relacionadas con la proteccin de datos. i) Acuerdos de control de accesos que contemplen: Mtodos de acceso permitidos, y el control y uso de identificadores nicos como identificadores de usuario y contraseas de usuarios. Proceso de autorizacin de accesos y privilegios de usuarios. Requerimiento para mantener actualizada una lista de individuos autorizados a utilizar los servicios que han de implementarse y sus derechos y privilegios con respecto a dicho uso. j) Definicin de criterios de desempeo comprobables, de monitoreo y de presentacin de informes. k) Adquisicin de derecho a auditar responsabilidades contractuales o surgidas del acuerdo.

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

l) Establecimiento de un proceso para la resolucin de problemas y en caso de corresponder disposiciones con relacin a situaciones de contingencia. m) Responsabilidades relativas a la instalacin y al mantenimiento de hardware y software. n) Estructura de dependencia y del proceso de elaboracin y presentacin de informes que contemple un acuerdo con respecto a los formatos de los mismos. o) Proceso claro y detallado de administracin de cambios. p) Controles de proteccin fsica requeridos y los mecanismos que aseguren la implementacin de los mismos. q) Mtodos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad. r) Controles que garanticen la proteccin contra software malicioso. s) Elaboracin y presentacin de informes, notificacin e investigacin de incidentes y violaciones relativos a la seguridad. t) Relacin entre proveedores y subcontratistas. 1.3. Tercerizacin 1.3.1. Requerimientos de Seguridad en Contratos de Tercerizacin Los contratos o acuerdos de tercerizacin total o parcial para la administracin y control de sistemas de informacin, redes y/o ambientes de PC de la organizacin, contemplarn adems de los puntos especificados en (Requerimientos de Seguridad en Contratos o Acuerdos con Terceros, los siguientes aspectos: a) Forma en que se cumplirn los requisitos legales aplicables. b) Medios para garantizar que todas las partes involucradas en la tercerizacin, incluyendo los subcontratistas, estn al corriente de sus responsabilidades en materia de seguridad. c) Forma en que se mantendr y comprobar la integridad y confidencialidad de los activos del Organismo. d) Controles fsicos y lgicos que se utilizarn para restringir y delimitar el acceso a la informacin sensible del Organismo. e) Forma en que se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres. f) Niveles de seguridad fsica que se asignarn al equipamiento tercerizado. g) Derecho a la auditora por parte del Organismo sobre los aspectos tercerizados en forma directa o a travs de la contratacin de servicios ad hoc. Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes. 2. CLASIFICACIN Y CONTROL DE ACTIVOS Tiene como objetivos: a) Garantizar que los activos de informacin reciban un apropiado nivel de proteccin. b) Clasificar la informacin para sealar su sensibilidad y criticidad. c) Definir niveles de proteccin y medidas de tratamiento especial acordes a su clasificacin. Esta Poltica se aplica a toda la informacin administrada en la organizacin, cualquiera sea el soporte en que se encuentre. Los propietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificacin efectuada, y de definir las funciones que debern tener permisos de acceso a la informacin. El Responsable de Seguridad Informtica es el encargado de asegurar que los lineamientos para la utilizacin de los recursos de la tecnologa de informacin contemplen los requerimientos de seguridad establecidos segn la criticidad de la

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

informacin que procesan. Cada Propietario de la Informacin supervisar que el proceso de clasificacin y rtulo de informacin de su rea de competencia sea cumplimentado de acuerdo a lo establecido en la presente Poltica. 2.1. Inventario de activos Se identificarn los activos importantes asociados a cada sistema de informacin, sus respectivos propietarios y su ubicacin, para luego elaborar un inventario con dicha informacin. El mismo ser actualizado ante cualquier modificacin de la informacin registrada y revisado con una periodicidad no mayor a 6 meses. El encargado de elaborar el inventario y mantenerlo actualizado es cada Responsable de Unidad Organizativa. 2.2. Clasificacin de la informacin Para clasificar un Activo de Informacin, se evaluarn las tres caractersticas de la informacin en las cuales se basa la seguridad: a) confidencialidad, b) integridad, c) disponibilidad. 2.3. Rotulado de la Informacin Se definirn procedimientos para el rotulado y manejo de informacin, de acuerdo al esquema de clasificacin definido. Los mismos contemplarn los recursos de informacin tanto en formatos fsicos como electrnicos e incorporarn las siguientes actividades de procesamiento de la informacin: - Copia; - Almacenamiento; -Transmisin por correo, fax, correo electrnico; -Transmisin oral (telefona fija y mvil, correo de voz, contestadores automticos, etc.). 3. SEGURIDAD DEL PERSONAL Son sus objetivos: a) Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la informacin. b) Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeo del individuo como empleado. c) Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y se encuentren capacitados para respaldar la Poltica de Seguridad de la organizacin en el transcurso de sus tareas normales. d) Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de informacin. e) Establecer las herramientas y mecanismos necesarios para promover la comunicacin de debilidades existentes en materia de seguridad, as como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia. Esta Poltica se aplica a todo el personal del Organismo, cualquiera sea su situacin de empleo, y al personal externo que efecte tareas dentro del mbito de la organizacin. El Responsable del rea de Recursos Humanos incluir las funciones relativas a la seguridad de la informacin en las descripciones de puestos de los empleados, informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Poltica de Seguridad de la Informacin, gestionar los

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

Compromisos de Confidencialidad con el personal y coordinar las tareas de capacitacin de usuarios respecto de la presente Poltica. El Responsable de Seguridad Informtica tiene a cargo el seguimiento, documentacin y anlisis de los incidentes de seguridad reportados as como su comunicacin al Comit de Seguridad de la Informacin, a los propietarios de la informacin y a los organismos que contemplan la seguridad de informacin para que se adopten las medidas necesarias tanto preventivas como correctivas. El Comit de Seguridad de la Informacin ser responsable de implementar los medios y canales necesarios para que el Responsable de Seguridad Informtica maneje los reportes de incidentes y anomalas de los sistemas. Asimismo, dicho Comit, tomar conocimiento, efectuar el seguimiento de la investigacin, controlar la evolucin e impulsar la resolucin de los incidentes relativos a la seguridad. El Responsable del rea Legal participar en la confeccin del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de la presente Poltica y en el tratamiento de incidentes de seguridad que requieran de su intervencin. Todo el personal del Organismo es responsable del reporte de debilidades e incidentes de seguridad que oportunamente se detecten. 3.1. Seguridad en la Definicin de Puestos de Trabajo y la Asignacin de Recursos 3.1.1. Incorporacin de la Seguridad en los Puestos de Trabajo Las funciones y responsabilidades en materia de seguridad sern incorporadas en la descripcin de las responsabilidades de los puestos de trabajo. Estas incluirn las responsabilidades generales relacionadas con la implementacin y el mantenimiento de las Polticas de Seguridad, y las responsabilidades especficas vinculadas a la proteccin de cada uno de los activos, o la ejecucin de procesos o actividades de seguridad determinadas. 3.1.2. Control y Poltica del Personal Se llevarn a cabo controles de verificacin del personal en el momento en que se solicita el puesto. Estos controles incluirn todos los aspectos que indiquen las normas que a tal efecto, alcanzan a la organizacin. 3.1.3. Compromiso de Confidencialidad Como parte de sus trminos y condiciones iniciales de empleo, los empleados, cualquiera sea su situacin de revista, firmarn un Compromiso de Confidencialidad o no divulgacin, en lo que respecta al tratamiento de la informacin de la organizacin. La copia firmada del Compromiso deber ser retenida en forma segura por el rea de Recursos Humanos u otra competente. Asimismo, mediante el Compromiso de Confidencialidad el empleado declarar conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad del empleado. 3.1.4. Trminos y Condiciones de Empleo Los trminos y condiciones de empleo establecern la responsabilidad del empleado en materia de seguridad de la informacin. Cuando corresponda, los trminos y condiciones de empleo establecern que estas responsabilidades se extienden ms all de los lmites de la sede del Organismo y del horario normal de trabajo. Los derechos y obligaciones del empleado relativos a la seguridad de la informacin, por ejemplo en relacin con las leyes de Propiedad Intelectual o la legislacin de

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

proteccin de datos, se encontrarn aclarados e incluidos en los trminos y condiciones de empleo. 3.2. Capacitacin del Usuario 3.2.1. Formacin y Capacitacin en Materia de Seguridad de la Informacin Todos los empleados del Organismo y, cuando sea pertinente, los usuarios externos y los terceros que desempeen funciones en el organismo, recibirn una adecuada capacitacin y actualizacin peridica en materia de la poltica, normas y procedimientos de la organizacin. Esto comprende los requerimientos de seguridad y las responsabilidades legales, as como la capacitacin referida al uso correcto de las instalaciones de procesamiento de informacin y el uso correcto de los recursos en general, como por ejemplo su estacin de trabajo. 3.3. Respuesta a Incidentes y Anomalas en Materia de Seguridad 3.3.1. Comunicacin de Incidentes Relativos a la Seguridad Los incidentes relativos a la seguridad sern comunicados a travs de canales apropiados tan pronto como sea posible. Se establecer un procedimiento formal de comunicacin y de respuesta a incidentes, indicando la accin que ha de emprenderse al recibir un informe sobre incidentes. Dicho procedimiento deber contemplar que ante la deteccin de un supuesto incidente o violacin de la seguridad, el Responsable de Seguridad Informtica sea informado tan pronto como se haya tomado conocimiento. Este indicar los recursos necesarios para la investigacin y resolucin del incidente, y se encargar de su monitoreo. Asimismo, mantendr al Comit de Seguridad al tanto de la ocurrencia de incidentes de seguridad. 3.3.2. Comunicacin de Debilidades en Materia de Seguridad Los usuarios de servicios de informacin, al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Responsable de Seguridad Informtica. 3.3.3. Comunicacin de Anomalas del Software Se establecern procedimientos para la comunicacin de anomalas de software, los cuales debern contemplar: a) Registrar los sntomas del problema y los mensajes que aparecen en pantalla. b) Establecer las medidas de aplicacin inmediata ante la presencia de una anomala. c) Alertar inmediatamente al Responsable de Seguridad Informtica o del Activo de que se trate. La recuperacin ser realizada por personal experimentado, adecuadamente habilitado. 3.3.4. Aprendiendo de los Incidentes Se definir un proceso que permita documentar, cuantificar y monitorear los tipos, volmenes y costos de los incidentes y anomalas. Esta informacin se utilizar para identificar aquellos que sean recurrentes o de alto impacto. Esto ser evaluado a efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia, dao y costo de casos futuros. 4. SEGURIDAD FSICA Y AMBIENTAL Son sus objetivos: a) Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin de la organizacin. b) Proteger el equipamiento de procesamiento de informacin crtica de la

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

organizacin, ubicndolo en reas protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la proteccin del mismo en su traslado y permanencia fuera de las reas protegidas, por motivos de mantenimiento u otros. c) Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico que alberga la informacin del Organismo. d) Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales. e) Proporcionar proteccin proporcional a los riesgos identificados. Esta Poltica se aplica a todos los recursos fsicos relativos a los sistemas de informacin de la organizacin: instalaciones, equipamiento, cableado, expedientes, medios de almacenamiento, etc. El Responsable de Seguridad Informtica definir junto con el Responsable del rea Informtica y los Propietarios de Informacin, segn corresponda, las medidas de seguridad fsica y ambiental para el resguardo de los activos crticos, en funcin a un anlisis de riesgos, y controlar su implementacin. Asimismo, verificar el cumplimiento de las disposiciones sobre seguridad fsica y ambiental. El Responsable del rea Informtica asistir al Responsable de Seguridad Informtica en la definicin de las medidas de seguridad a implementar en reas protegidas, y coordinar su implementacin. Asimismo, controlar el mantenimiento del equipamiento informtico de acuerdo a las indicaciones de proveedores tanto dentro como fuera de las instalaciones de la organizacin. Los Responsables de Unidades Organizativas definirn los niveles de acceso fsico del personal del organismo a las a las reas restringidas bajo su responsabilidad. Los Propietarios de la Informacin autorizarn formalmente el trabajo fuera de las instalaciones con informacin de su incumbencia a los empleados de la organizacin cuando lo crean conveniente. Todo el personal de la organizacin es responsable del cumplimiento de la poltica de pantallas y escritorios limpios, para la proteccin de la informacin relativa al trabajo diario en las oficinas. 4.1. Permetro de Seguridad Fsica La proteccin fsica se llevar a cabo mediante la creacin de diversas barreras o medidas de control fsicas alrededor de las sedes del Organismo y de las instalaciones de procesamiento de informacin. El Organismo utilizar permetros de seguridad para proteger las reas que contienen instalaciones de procesamiento de informacin, de suministro de energa elctrica, de aire acondicionado, y cualquier otra rea considerada crtica para el correcto funcionamiento de los sistemas de informacin. Un permetro de seguridad est delimitado por una barrera, por ejemplo una pared, una puerta de acceso controlado por dispositivo de autenticacin o un escritorio u oficina de recepcin atendidos por personas. El emplazamiento y la fortaleza de cada barrera estarn definidas por el Responsable del rea Informtica con el asesoramiento del Responsable de Seguridad Informtica, de acuerdo a la evaluacin de riesgos efectuada. 4.2. Controles de Acceso Fsico Las reas protegidas se resguardarn mediante el empleo de controles de acceso fsico, los que sern determinados por el Responsable de Seguridad Informtica junto con el Responsable del rea Informtica, a fin de permitir el acceso slo al personal autorizado. 4.3. Proteccin de Oficinas, Recintos e Instalaciones Para la seleccin y el diseo de un rea protegida se tendr en cuenta la posibilidad de dao producido por incendio, inundacin, explosin, agitacin civil, y otras formas de desastres naturales o provocados por el hombre. Tambin se tomarn en cuenta

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

las disposiciones y normas (estndares) en materia de sanidad y seguridad. Asimismo, se considerarn las amenazas a la seguridad que representan los edificios y zonas aledaas. 4.4. Desarrollo de Tareas en reas Protegidas Para incrementar la seguridad de las reas protegidas, se establecern controles y lineamientos adicionales, que incluyan controles para el personal que trabaja en el rea protegida, as como para las actividades de terceros que tengan lugar all. 4.5. Aislamiento de las reas de Recepcin y Distribucin Se controlarn las reas de Recepcin y Distribucin, las cuales estarn aisladas de las instalaciones de procesamiento de informacin, a fin de impedir accesos no autorizados. 4.6. Ubicacin y Proteccin del Equipamiento y Copias de Seguridad El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, 4.7. Suministros de Energa El equipamiento estar protegido con respecto a las posibles fallas en el suministro de energa otras anomalas elctricas. El suministro de energa estar de acuerdo con las especificaciones del fabricante o proveedor de cada equipo. 4.8. Seguridad del Cableado El cableado de energa elctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de informacin estar protegido contra intercepcin o dao. 4.9. Mantenimiento de Equipos Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes, teniendo en cuenta a tal efecto: a) La realizacin de tareas de mantenimiento preventivo al equipamiento, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorizacin formal del Responsables del rea Informtica. b) El establecimiento de la prctica de que slo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento. c) Los registros de todas las fallas -supuestas y/o reales- y de todo el mantenimiento preventivo y correctivo realizado. d) Los registros del retiro de equipamiento para su mantenimiento de la sede de la organizacin. e) La eliminacin de toda informacin confidencial que contenga cualquier equipamiento que sea necesario retirar, realizndose previamente las respectivas copias de resguardo. 4.10. Seguridad de los Equipos Fuera de las Instalaciones El uso de equipamiento destinado al procesamiento de informacin, fuera del mbito de la organizacin ser autorizado por el responsable patrimonial. En el caso de que en el mismo se almacene informacin clasificada, deber ser aprobado adems por el Propietario de la misma. La seguridad provista debe ser equivalente a la suministrada dentro del mbito de la organizacin para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. 4.11. Desafectacin o Reutilizacin Segura de los Equipos La informacin puede verse comprometida por una desafectacin o una reutilizacin

Ing. Omar Helder Espinoza Ortiz

Universidad Cientfica del Per

Seguridad de la Informacin

descuidada del equipamiento. Los medios de almacenamiento conteniendo material sensible, por ejemplo discos rgidos no removibles, sern fsicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estndar, segn corresponda. 4.12. Polticas de Escritorios y Pantallas Limpias Se adopta una poltica de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una poltica de pantallas limpias en las instalaciones de procesamiento de informacin, a fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como fuera del mismo. 4.13. Retiro de los Bienes El equipamiento, la informacin y el software no sern retirados de la sede del Organismo sin autorizacin formal. Peridicamente, se llevarn a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos del Organismo. 5. GESTIN DE COMUNICACIONES Y OPERACIONES Son sus objetivos: a) Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. b) Establecer responsabilidades y procedimientos para su gestin y operacin, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separacin de funciones. Cada Propietario de la Informacin, junto con el Responsable de Seguridad Informtica y el Responsable del rea Informtica, determinar los requerimientos para resguardar la informacin por la cual es responsable. Asimismo, aprobar los servicios de mensajera autorizados para transportar la informacin cuando sea requerido, de acuerdo a su nivel de criticidad. 5.1. Procedimientos y Responsabilidades Operativas 5.1.1. Documentacin de los Procedimientos Operativos. Se documentarn y mantendrn actualizados los procedimientos operativos identificados en esta Poltica y sus cambios sern autorizados por el Responsable de Seguridad Informtica. 5.1.2. Control de Cambios en las Operaciones. Se definirn procedimientos para el control de los cambios en el ambiente operativo y de comunicaciones. Todo cambio deber ser evaluado previamente en aspectos tcnicos y de seguridad. El Responsable de Seguridad Informtica controlar que los cambios en los componentes operativos y de comunicaciones no afecten la seguridad de los mismos ni de la informacin que soportan. El Responsable del rea Informtica evaluar el posible impacto operativo de los cambios previstos y verificar su correcta implementacin. 5.1.3. Procedimientos de Manejo de Incidentes. Se establecern funciones y procedimientos de manejo de incidentes garantizando una respuesta rpida, eficaz y sistemtica a los incidentes relativos a seguridad. 5.1.4. Separacin de Funciones. Se contemplar la separacin de la gestin o ejecucin de tareas o reas de responsabilidad, en la medida de que la misma reduzca el riesgo de modificaciones no autorizadas o mal uso de la informacin o los servicios por falta de independencia en la ejecucin de funciones crticas. En los casos en los que este mtodo de control no se pudiera cumplirse, se implementarn controles tales como el monitoreo de las actividades y/o la elaboracin de registros de auditoria y control peridico de los mismos. 5.1.5. Separacin entre Instalaciones de Desarrollo e Instalaciones Operativas. Los

Ing. Omar Helder Espinoza Ortiz

10

Universidad Cientfica del Per

Seguridad de la Informacin

ambientes de desarrollo, prueba y operaciones, siempre que sea posible, estarn separados preferentemente en forma fsica, y se definirn y documentarn las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. 5.1.6. Gestin de Instalaciones Externas. En el caso de tercerizar la administracin de las instalaciones de procesamiento, se acordarn controles con el proveedor del servicio que se incluirn en el contrato de tercerizacin. 5.2. Planificacin y Aprobacin de Sistemas 5.2.1. Planificacin de la Capacidad El Responsable del rea Informtica, o el personal que ste designe, efectuar el monitoreo de las necesidades de capacidad de los sistemas en operacin y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento adecuados. Para ello tomar en cuenta adems los nuevos requerimientos de los sistemas as como las tendencias actuales y proyectadas en el procesamiento de la informacin de la organizacin para el perodo estipulado de vida til de cada componente. Asimismo, informar las necesidades detectadas a las autoridades competentes para que puedan identificar y evitar potenciales cuellos de botella, que podran plantear una amenaza a la seguridad o a la continuidad del procesamiento, y puedan planificar una adecuada accin correctiva.

5.2.2. Aprobacin del Sistema El Responsable del rea Informtica y el Responsable de Seguridad Informtica sugerirn criterios de aprobacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones, solicitando la realizacin de las pruebas necesarias antes de su aprobacin definitiva. 5.3. Proteccin Contra Software Malicioso 5.3.1. Controles Contra Software Malicioso: El Responsable de Seguridad Informtica definir controles de deteccin y prevencin para la proteccin contra software malicioso. El Responsable del rea Informtica, o el personal designado por ste, implementarn dichos controles. El Responsable de Seguridad Informtica desarrollar procedimientos adecuados de concientizacin de usuarios en materia de seguridad, controles de acceso al sistema y administracin de cambios. 5.4. Mantenimiento 5.4.1. Resguardo de la Informacin: El Responsable del rea Informtica y el de Seguridad Informtica junto a los Propietarios de Informacin determinarn los requerimientos para resguardar cada software o dato en funcin de su criticidad. En base a ello, se definir y documentar un esquema de resguardo de la informacin. 5.4.2. Registro de Actividades del Personal Operativo: El Responsable del rea Informtica asegurar el registro de las actividades realizadas en los sistemas, incluyendo segn corresponda: a) Tiempos de inicio y cierre del sistema. b) Errores del sistema y medidas correctivas tomadas. c) Intentos de acceso a sistemas, recursos o informacin crtica o acciones restringidas d) Ejecucin de operaciones crticas e) Cambios a informacin crtica 5.4.3. Registro de Fallas El Responsable del rea Informtica desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la informacin o los

Ing. Omar Helder Espinoza Ortiz

11

Universidad Cientfica del Per

Seguridad de la Informacin

sistemas de comunicaciones, que permita tomar medidas correctivas. 5.5. Administracin de la Red 5.5.1. Controles de Redes El Responsable de Seguridad Informtica definir controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo, contra el acceso no autorizado. El Responsable del rea Informtica implementar dichos controles. 5.6. Administracin y Seguridad de los Medios de Almacenamiento 5.6.1. Administracin de Medios Informticos Removibles: El Responsable del rea Informtica, con la asistencia del Responsable de Seguridad Informtica, implementar procedimientos para la administracin de medios informticos removibles, como cintas, discos, casetes e informes impresos. 5.6.2. Eliminacin de Medios de Informacin: El Responsable del rea Informtica, junto con el Responsable de Seguridad Informtica definirn procedimientos para la eliminacin segura de los medios de informacin respetando la normativa vigente. 5.6.3. Procedimientos de Manejo de la Informacin Se definirn procedimientos para el manejo y almacenamiento de la informacin. 5.6.4. Seguridad de la Documentacin del Sistema: La documentacin del sistema puede contener informacin sensible, por lo que se considerarn los recaudos para su proteccin, de almacenar la documentacin del sistema en forma segura y restringir el acceso a la documentacin del sistema al personal estrictamente necesario. Dicho acceso ser autorizado por el Propietario de la Informacin relativa al sistema. 5.7. Intercambios de Informacin y Software 5.7.1. Acuerdos de Intercambio de Informacin y Software. Cuando se realicen acuerdos entre organizaciones para el intercambio de informacin y software, se especificarn el grado de sensibilidad de la informacin de la organizacin y las consideraciones de seguridad sobre la misma. 5.7.2. Seguridad de los Medios en Trnsito. Los procedimientos de transporte de medios informticos entre diferentes puntos (envos postales y mensajera) debern contemplar la utilizacin de medios de transporte o servicios de mensajera confiable, suficiente embalaje para el envo y la adopcin de controles especiales, cuando resulte necesario, a fin de proteger la informacin sensible contra divulgacin o modificacin no autorizadas. 5.7.3. Seguridad del Gobierno Electrnico. El Responsable de Seguridad Informtica verificar que los procedimientos de aprobacin de Software del punto Aprobacin del Sistema incluyan, para las aplicaciones de Gobierno Electrnico, los siguientes aspectos: a) Autenticacin: Nivel de confianza recproca suficiente sobre la identidad del usuario y la organizacin. b) Autorizacin: Niveles de Autorizacin adecuados para establecer disposiciones, emitir o firmar documentos clave, etc. Forma de comunicarlo al otro participante de la transaccin electrnica. c) Procesos de oferta y contratacin pblica: Requerimientos de confidencialidad, integridad y prueba de envo y recepcin de documentos clave y de no repudio de contratos. d) Trmites en lnea: Confidencialidad, integridad y no repudio de los datos suministrados con respecto a trmites y presentaciones ante el Estado y confirmacin de recepcin. e) Verificacin: Grado de verificacin apropiado para constatar la informacin suministrada por los usuarios. f) Cierre de la transaccin: Forma de interaccin ms adecuada para evitar fraudes. g) Proteccin a la duplicacin: Asegurar que una transaccin slo se realiza una vez, a

Ing. Omar Helder Espinoza Ortiz

12

Universidad Cientfica del Per

Seguridad de la Informacin

menos que se especifique lo contrario. h) No repudio: Manera de evitar que una entidad que haya enviado o recibido informacin alegue que no la envi o recibi. i) Responsabilidad: Asignacin de responsabilidades ante el riesgo de eventuales presentaciones, tramitaciones o transacciones fraudulentas. 5.7.4. Seguridad del Correo Electrnico 5.7.4.1. Riesgos de Seguridad Se implementarn controles para reducir los riesgos de incidentes de seguridad en el correo electrnico, contemplando: a) La vulnerabilidad de los mensajes al acceso o modificacin no autorizados o a la negacin de servicio. b) La posible intercepcin y el consecuente acceso a los mensajes en los medios de transferencia que intervienen en la distribucin de los mismos. c) Las posibles vulnerabilidades a errores, por ejemplo, consignacin incorrecta de la direccin o direccin errnea, y la confiabilidad y disponibilidad general del servicio. d) La posible recepcin de cdigo malicioso en un mensaje de correo, el cual afecte la seguridad de la terminal receptora o de la red a la que se encuentra conectada. e) El impacto de un cambio en el medio de comunicacin en los procesos del Organismo. f) Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, envo, entrega y aceptacin. g) Las implicancias de la publicacin externa de listados de personal, accesibles al pblico. h) El acceso de usuarios remotos a las cuentas de correo electrnico. i) El uso inadecuado por parte del personal. 5.7.4.2. Poltica de Correo Electrnico. El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica definirn y documentarn normas y procedimientos claros con respecto al uso del correo electrnico, que incluya al menos los siguientes aspectos: a) Proteccin contra ataques al correo electrnico, por ejemplo virus, intercepcin, etc. b) Proteccin de archivos adjuntos de correo electrnico. c) Uso de tcnicas criptogrficas para proteger la confidencialidad e integridad de los mensajes electrnicos d) Retencin de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio. e) Controles adicionales para examinar mensajes electrnicos que no pueden ser autenticados. f) Aspectos operativos para garantizar el correcto funcionamiento del servicio (ej.: tamao mximo de informacin transmitida y recibida, cantidad de destinatarios, tamao mximo del buzn del usuario, etc.). g) Definicin de los alcances del uso del correo electrnico por parte del personal de la organizacin. 5.7.5. Seguridad de los Sistemas Electrnicos de Oficina Se controlarn los mecanismos de distribucin y difusin tales como documentos, computadoras, computacin mvil, comunicaciones mviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios o instalaciones postales, equipos de fax, etc. 5.7.6. Sistemas de Acceso Pblico Se tomarn recaudos para la proteccin de la integridad de la informacin publicada electrnicamente, a fin de prevenir la modificacin no autorizada. 5.7.7. Otras Formas de Intercambio de Informacin Se implementarn normas, procedimientos y controles para proteger el intercambio de informacin a travs de medios de comunicaciones de voz, fax y vdeo. 6. CONTROL DE ACCESOS

Ing. Omar Helder Espinoza Ortiz

13

Universidad Cientfica del Per

Seguridad de la Informacin

Son sus objetivos: a) Impedir el acceso no autorizado a los sistemas de informacin, bases de datos y servicios de informacin. b) Implementar seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. c) Controlar la seguridad en la conexin entre la red del Organismo y otras redes pblicas o privadas. d) Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. e) Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos. f) Garantizar la seguridad de la informacin cuando se utiliza computacin mvil e instalaciones de trabajo remoto. 6.1. Administracin de Accesos de Usuarios Con el objetivo de impedir el acceso no autorizado a la informacin se implementarn procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas, datos y servicios de informacin. 6.1.1. Registro de Usuarios. El Responsable de Seguridad Informtica definir un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de informacin multiusuario, 6.1.2. Administracin de Privilegios. Se limitar y controlar la asignacin y uso de privilegios, debido a que el uso inadecuado de los privilegios del sistema resulta frecuentemente en el factor ms importante que contribuye a la falla de los sistemas a los que se ha accedido ilegalmente. Los sistemas multiusuario que requieren proteccin contra accesos no autorizados, deben prever una asignacin de privilegios controlada mediante un proceso de autorizacin formal. 6.1.3. Administracin de Contraseas de Usuario. La asignacin de contraseas se controlar a travs de un proceso de administracin formal. 6.1.4. Administracin de Contraseas Crticas. Existen cuentas de usuarios con las cuales es posible efectuar actividades crticas como ser instalacin de plataformas o sistemas, habilitacin de servicios, actualizacin de software, configuracin de componentes informticos, etc. Dichas cuentas no sern de uso habitual (diario), sino que slo sern utilizadas ante una necesidad especfica de realizar alguna tarea que lo requiera y se encontrarn protegidas por contraseas con un mayor nivel de complejidad que el habitual. El Responsable de Seguridad Informtica definir procedimientos para la administracin de dichas contraseas crticas. 6.1.5. Revisin de Derechos de Acceso de Usuarios A fin de mantener un control eficaz del acceso a los datos y servicios de informacin, el Propietario de la Informacin de que se trate, llevar a cabo un proceso formal, a intervalos regulares de no ms a 6 meses, a fin de revisar los derechos de acceso de los usuarios. 6.2. Responsabilidades del Usuario 6.2.1. Uso de Contraseas. Los usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de contraseas. Las contraseas constituyen un medio de validacin y autenticacin de la identidad de un usuario, y consecuentemente un medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de informacin. Los usuarios deben cumplir las directivas que se impartan a tal efecto. 6.2.2. Equipos Desatendidos en reas de Usuarios. Los usuarios debern garantizar que los equipos desatendidos sean protegidos adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo estaciones de trabajo o servidores de archivos, requieren una proteccin especfica contra accesos no autorizados cuando

Ing. Omar Helder Espinoza Ortiz

14

Universidad Cientfica del Per

Seguridad de la Informacin

se encuentran desatendidos. El Responsable de Seguridad Informtica debe coordinar con el rea de Recursos Humanos las tareas de concientizacin a todos los usuarios y contratistas, acerca de los requerimientos y procedimientos de seguridad, para la proteccin de equipos desatendidos, as como de sus funciones en relacin a la implementacin de dicha proteccin. 6.3. Control de Acceso a la Red 6.3.1. Poltica de Utilizacin de los Servicios de Red. Se controlar el acceso a los servicios de red tanto internos como externos. El Responsable del rea Informtica tendr a cargo el otorgamiento del acceso a los servicios y recursos de red, nicamente de acuerdo al pedido formal del titular de una Unidad Organizativa que lo solicite para personal de su incumbencia. 6.3.2. Camino Forzado. El camino de las comunicaciones ser controlado. Se limitarn las opciones de eleccin de la ruta entre la terminal de usuario y los servicios a los cuales el mismo se encuentra autorizado a acceder, mediante la implementacin de controles en diferentes puntos de la misma. 6.3.3. Autenticacin de Usuarios para Conexiones Externas. El Responsable de Seguridad Informtica, conjuntamente con el Propietario de la Informacin de que se trate, realizar una evaluacin de riesgos a fin de determinar el mecanismo de autenticacin que corresponda en cada caso. 6.3.4. Autenticacin de Nodos. Una herramienta de conexin automtica a una computadora remota podra brindar un medio para obtener acceso no autorizado a una aplicacin de la organizacin. Por consiguiente, las conexiones a sistemas informticos remotos sern autenticadas. 6.3.5. Proteccin de los Puertos (Ports) de Diagnstico Remoto. Los puertos de diagnstico proporcionan un medio de acceso no autorizado. Por consiguiente, sern protegidos por un mecanismo de seguridad apropiado 6.3.6. Subdivisin de Redes. Se definirn y documentarn los permetros de seguridad que sean convenientes, que se implementarn mediante la instalacin de gateways con funcionalidades de firewall o redes privadas virtuales, para filtrar el trfico entre los dominios y para bloquear el acceso no autorizado. 6.3.7. Acceso a Internet. El acceso a Internet ser utilizado con propsitos autorizados o con el destino por el cual fue provisto. El Responsable de Seguridad Informtica definir procedimientos para solicitar y aprobar accesos a Internet. Los accesos sern autorizados formalmente por el Responsable de la Unidad Organizativa a cargo del personal que lo solicite. Asimismo, se definirn las pautas de utilizacin de Internet para todos los usuarios. 6.3.8. Control de Conexin a la Red. Se podrn implementar controles para limitar la capacidad de conexin de los usuarios, de acuerdo a las polticas que se establecen a tal efecto. Dichos controles se podrn implementar en los gateways que separan los diferentes dominios de la red. 6.3.9. Control de Ruteo de Red. Se incorporarn controles de ruteo, para asegurar que las conexiones informticas y los flujos de informacin no violen la Poltica de Control de Accesos. Estos controles contemplarn mnimamente la verificacin positiva de direcciones de origen y destino. 6.3.10. Seguridad de los Servicios de Red. El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica definirn las pautas para garantizar la seguridad de los servicios de red de la organizacion, tanto de los pblicos como los privados. 6.4. Control de Acceso al Sistema Operativo 6.4.1. Identificacin Automtica de Terminales. El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica realizarn una evaluacin de riesgos a fin de determinar el mtodo de proteccin adecuado para el acceso al Sistema Operativo.

Ing. Omar Helder Espinoza Ortiz

15

Universidad Cientfica del Per

Seguridad de la Informacin

6.4.2. Procedimientos de Conexin de Terminales. El acceso a los servicios de informacin slo ser posible a travs de un proceso de conexin seguro. El procedimiento de conexin en un sistema informtico ser diseado para minimizar la oportunidad de acceso no autorizado. 6.4.3. Identificacin y Autenticacin de los Usuarios. Todos los usuarios (incluido el personal de soporte tcnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrn un identificador nico (ID de usuario) solamente para su uso personal exclusivo. Los identificadores de usuario no darn ningn indicio del nivel de privilegio otorgado. 6.4.4. Sistema de Administracin de Contraseas. El sistema de administracin de contraseas debe: a) Imponer el uso de contraseas individuales para determinar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseas (luego de cumplido el plazo mnimo de mantenimiento de las mismas) e incluir un procedimiento de confirmacin para contemplar los errores de ingreso. c) Imponer una seleccin de contraseas de calidad segn lo sealado en el punto Uso de Contraseas. d) Imponer cambios en las contraseas en aquellos casos en que los usuarios mantengan sus propias contraseas, segn lo sealado en el punto Uso de Contraseas. e) Obligar a los usuarios a cambiar las contraseas provisorias en su primer procedimiento de identificacin, en los casos en que ellos seleccionen sus contraseas. f) Mantener un registro de las ltimas contraseas utilizadas por el usuario, y evitar la reutilizacin de las mismas. g) Evitar mostrar las contraseas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseas y los datos de sistemas de aplicacin. i) Almacenar las contraseas en forma cifrada utilizando un algoritmo de cifrado unidireccional. j) Modificar todas las contraseas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseas, asegure que no se tenga acceso a informacin temporal o en trnsito de forma no protegida. 6.4.5. Uso de Utilitarios de Sistema. Existen programas utilitarios que podran tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Su uso ser limitado y minuciosamente controlado. 6.4.6. Alarmas Silenciosas para la Proteccin de los Usuarios. Se considerar la provisin de alarmas silenciosas para los usuarios que podran ser objetos de coercin. La decisin de suministrar una alarma de esta ndole se basar en una evaluacin de riesgos que realizar el Responsable de Seguridad Informtica junto con el Responsable del rea Informtica. 6.4.7. Desconexin de Terminales por Tiempo Muerto. El Responsable de Seguridad Informtica, junto con los Propietarios de la Informacin de que se trate definirn cules se consideran terminales de alto riesgo o que sirven a sistemas de alto riesgo. Las mismas se apagarn despus de un periodo definido de inactividad, por un lapso que responder a los riesgos de seguridad del rea y de la informacin que maneje la terminal. Para las PCs, se implementar la desconexin por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicacin o de red. Por otro lado, si un usuario debe abandonar su puesto de trabajo momentneamente, activar protectores de pantalla con contraseas. 6.4.8. Limitacin del Horario de Conexin Se implementar un control de esta ndole para aplicaciones informticas sensibles, especialmente aquellas terminales instaladas

Ing. Omar Helder Espinoza Ortiz

16

Universidad Cientfica del Per

Seguridad de la Informacin

en ubicaciones de alto riesgo. 6.5. Control de Acceso a las Aplicaciones 6.5.1. Restriccin del Acceso a la Informacin. Los usuarios de sistemas de aplicacin, con inclusin del personal de soporte, tendrn acceso a la informacin y a las funciones de los sistemas de aplicacin de conformidad con la Poltica de Control de Acceso definida, sobre la base de los requerimientos de cada aplicacin, y conforme a la Poltica de la organizacin para el acceso a la informacin 6.5.2. Aislamiento de los Sistemas Sensibles. Los sistemas sensibles podran requerir de un ambiente informtico dedicado (aislado). La sensibilidad puede sealar que el sistema de aplicacin debe ejecutarse en una computadora dedicada, que slo debe compartir recursos con los sistemas de aplicacin confiables, o no tener limitaciones. 6.6. Monitoreo del Acceso y Uso de los Sistemas 6.6.1. Registro de Eventos. Se generarn registros de auditora que contengan excepciones y otros eventos relativos a la seguridad. Los registros de auditora debern incluir la identificacin del usuario, la fecha y hora de inicio y terminacin, la identidad o ubicacin de la terminal, un registro de intentos exitosos y fallidos de acceso al sistema y un registro de intentos exitosos y fallidos de acceso a datos y otros recursos. 6.6.2. Monitoreo del Uso de los Sistemas 6.6.2.1. Procedimientos y reas de Riesgo. Se desarrollarn procedimientos para monitorear el uso de las instalaciones de procesamiento de la informacin, a fin de garantizar que los usuarios slo estn desempeando actividades que hayan sido autorizadas explcitamente. 6.6.2.2. Factores de Riesgo. Los Propietarios de la Informacin manifestarn la necesidad de registrar aquellos eventos que consideren crticos para la operatoria que se encuentra bajo su responsabilidad. 6.6.2.3. Registro y Revisin de Eventos. Se implementar un procedimiento de registro y revisin de los registros de auditora, orientado a producir un informe de las amenazas detectadas contra los sistemas y los mtodos utilizados. La periodicidad de dichas revisiones ser definida por los Propietarios de la Informacin y el Responsable de Seguridad Informtica, de acuerdo a la evaluacin de riesgos efectuada. 6.6.3. Sincronizacin de Relojes. A fin de garantizar la exactitud de los registros de auditora, al menos los equipos que realicen estos registros, debern tener una correcta configuracin de sus relojes. Para ello, se dispondr de un procedimiento de ajuste de relojes, el cual indicar tambin la verificacin de los relojes contra una fuente externa del dato y la modalidad de correccin ante cualquier variacin significativa. 6.7. Computacin Mvil y Trabajo Remoto 6.7.1. Computacin Mvil. Se desarrollarn procedimientos adecuados para estos dispositivos, que abarquen la proteccin fsica necesaria, el acceso seguro a los dispositivos, la utilizacin de los dispositivos en lugares pblicos. El acceso a los sistemas de informacin y servicios del Organismo a travs de dichos dispositivos, las tcnicas criptogrficas a utilizar para la transmisin de informacin clasificada, los mecanismos de resguardo de la informacin contenida en los dispositivos y la proteccin contra software malicioso. 6.7.2. Trabajo Remoto. El trabajo remoto slo ser autorizado por el Responsable de la Unidad Organizativa, o superior jerrquico correspondiente, a la cual pertenezca el usuario solicitante, conjuntamente con el Responsable de Seguridad Informtica, cuando se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la informacin, de modo de cumplir con la poltica, normas y procedimientos existentes.

Ing. Omar Helder Espinoza Ortiz

17

Universidad Cientfica del Per

Seguridad de la Informacin

Ing. Omar Helder Espinoza Ortiz

18