Polticas de Seguridad

CAPITULO I

Polticas de Seguridad

INTRODUCCION A LAS POLITICAS DE SEGURIDAD 1.1 Conceptos bsicos de polticas de seguridad

1.1.1 Informacin: Es un conjunto organizado de datos en cualquier forma texto, grficos, cartogrficos, etc. Que puede estar almacenada en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras, etc. La informacin constituye un mensaje sobre un determinado ente o fenmeno.

1.1.2 Seguridad de la Informacin1: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos, tanto automatizados como manuales. Se entiende como seguridad de la informacin a la preservacin de las siguientes caractersticas: Confidencialidad: Se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran.

Adicionalmente, debern considerarse los conceptos de: Autenticidad: Consiste en asegurar la validez de la informacin en tiempo, forma y distribucin. Asimismo, se garantiza el origen de la informacin, validando el emisor para evitar suplantacin de identidades.

Wikipedia Seguridad de la Informacin 10 ene 2008 http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

Polticas de Seguridad

Auditabilidad: Define que todos los eventos de un sistema pueden ser registrados para su control posterior. Proteccin a la duplicacin: Consiste en asegurar que una transaccin slo se realiza una vez, a menos que se especifique lo contrario. No repudio: Se refiere a evitar que una entidad que haya enviado o recibido informacin alegue ante terceros que no la envi o recibi. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: Que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. 1.1.3 Poltica de Seguridad2: Se define como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en trminos generales qu est y qu no est permitido, en el rea de seguridad durante la operacin general de dicho sistema.

El objetivo principal de una poltica de seguridad es el de informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizacin.

Las polticas deben especificar los mecanismos a travs de los cuales estas obligaciones deben ser cumplidas. Intentar usar una serie de herramientas de seguridad sin haber antes planificado una poltica de seguridad no tiene sentido.

Una de las razones ms importantes para implementar una poltica de seguridad es asegurarse de que los esfuerzos gastados en seguridad hayan valido la pena. Esto puede parecer obvio pero se puede estar fcilmente errado en relacin a que tanto esfuerzo es necesario.

Wikipedia Polticas de Seguridad 2003-08-08 http://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/doc-unixsec/unixsechtml/node333.html

Polticas de Seguridad

1.1.3.1 Elementos de una Poltica de Seguridad Informtica Para la creacin de las Polticas de Seguridad Informtica se deben considerar los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual se va a aplicar. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. Definicin de violaciones y sanciones por no cumplir con las polticas establecidas. Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.

Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles, sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, se debe especificar la autoridad responsable de aplicar los correctivos o sanciones.

Las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas. Por ltimo, las polticas de seguridad, deben seguir un proceso de

actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, etc.

1.1.3.2. Parmetros para Establecer Polticas de Seguridad. Es importante que al momento de formular las polticas de seguridad informtica, se consideren los siguientes aspectos:
6

Polticas de Seguridad

Se debe efectuar un anlisis de riesgos informticos, con el objetivo de valorar los activos y as adecuar las polticas a la realidad de la empresa. Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes. Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos de su rea. Monitorear peridicamente los procedimientos y operaciones de la Institucin, de tal forma que, ante cualquier cambio que se d, las polticas puedan actualizarse oportunamente. Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas.

1.1.3.3 Razones que impiden la aplicacin de las Polticas de Seguridad Informtica. Estas son las razones por las que algunas instituciones, no pueden cumplir con los objetivos que indican las polticas de seguridad informticas: Falta de conciencia de usuarios finales. Tecnicismos informticos. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definicin de responsabilidades. Falta de herramientas. Aspectos legales.

Es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los
7

Polticas de Seguridad

compromisos adquiridos como el conocimiento, aceptacin y aplicacin con la organizacin.

1.2

Reconocimiento de la Institucin para la elaboracin de las Polticas de Seguridad Informticas.

1.2.1 Antecedentes. Paute se encuentra ubicado al Nor-Oriente de la provincia del Azuay, limita al Norte con la provincia del Caar, al Sur con el cantn Gualaceo, al este con los cantones El Pan y Sevilla de Oro y al Oeste con Caar, Paute fue fundada el 26 de febrero de 1860, actualmente est formada por las parroquias, Chicn, San Cristbal, Buln, Dug-Dug, Tomebamba, Guaraynag.

Actualmente La Ilustre Municipalidad de Paute realiza las actividades de cobro de planillas de agua y predios, instalaciones y mejoras, asesoramiento legal, planos, lneas de fbrica y lotizaciones, tambin brinda el servicio de informacin turstica, La Ilustre Municipalidad cuenta con varios departamentos que realizan dichas actividades como son:
Nombre de Departamento Recaudaciones Agua Potable Planificacin Difusin y Cultura Jefatura de Avalos y Catastros Comisara Municipal Jurdico Financiero Descripcin Cobro de Planillas de Agua y Predios Instalaciones Mejoras Planos, lneas de fbrica, etc. Informacin, Turismo, etc. Lotizaciones, certificados, etc. Arriendos comercio, cementerio, etc. Asesoramiento Legal Contabilidad General

Tabla 1: Departamentos que conforman La Ilustre Municipalidad de Paute

8

Polticas de Seguridad

Cada uno de los departamentos utiliza varios recursos tanto de hardware como de software, para la manipulacin de los datos, los cuales se presentan en la siguiente tabla:

Nombre de Departamento

Sistema que utiliza

Base de Datos

Computadores por Departamento

Recaudaciones

Sistema desarrollado por la AME (Asociacin de Municipalidades SQL Ecuatorianas) 2000 llamado Sistema Integral de Catastros. Sistema Desarrollado en Fox Fox Pro Pro No Utiliza No Utiliza

Server

Agua Potable Planificacin Difusin y Cultura

1 3 1

No Utiliza No Utiliza

Jefatura de Catastros

Avalos

Sistema desarrollado por la SQL y AME llamado 2000 Sistema Integral de Catastros No Utiliza No Utiliza Utiliza 2 Sistemas

Server

Comisara Municipal Jurdico

No Utiliza No Utiliza

1 1

Financiero

PROFIM Fox Pro (Sistema de Gestin Financiero Municipal) desarrollado Fox Pro. BRAIN Access Desarrollado en Visual Basic para la gestin Financiera.

Tabla 2: Especificaciones generales de cada departamento de La Ilustre Municipalidad

9

Polticas de Seguridad

1.2.2. Organigrama de La Ilustre Municipalidad de Paute3

Diagrama 1: Organigrama de La Ilustre Municipalidad de Paute

Ilustre Municipalidad de Paute AME 2008-01-17 http://www.ame.gov.ec/frontEnd/municipios/mainMunicipios.php?idMunicipios=71

10

Polticas de Seguridad

1.3

DEBILIDADES:

La Ilustre Municipalidad de Paute, an no cuenta con polticas de seguridad, por tal razn, se ha visto la necesidad de encontrar las debilidades que posee La Institucin, para a partir de ello, crear polticas de seguridad informticas que ayuden a la seguridad de la informacin y del edificio.

Las debilidades encontradas son: Cada departamento de La Ilustre Municipalidad de Paute maneja un sistema informtico diferente, con su propia base de datos. El Municipio no posee un cuarto de telecomunicaciones, en su lugar dispone de un cuarto en el que se almacenan diferentes componentes de computadores e incluso se presta el servicio de internet al personal. No se controla el ingreso a personas no autorizadas a los diferentes departamentos. La institucin est sujeta a cambios constantes, tanto de software como hardware, pero el personal que labora en La Institucin no colabora ante dichos cambios, es decir cuando existe la implementacin de un nuevo sistema para la manipulacin de datos, dichos empleados se rehsan a su utilizacin por varios motivos, ya sea por la complejidad o simplemente porque ya se adaptaron al sistema anterior. La informacin respaldada se almacenan en las mismas instalaciones, y en discos no extrables. No existe la documentacin correspondiente al diseo de la red actual. No existe guardiana permanente en las instalaciones. La Municipalidad no sigue un estndar adecuado en cuanto a las instalaciones elctricas, por lo que est sujeta a cambios de tensin constantes, causando daos irreparables a los equipos que posee. La Ilustre Municipalidad no est preparada ante cualquier desastre, no posee un plan de contingencia.

11

Polticas de Seguridad

No se cuenta con los diseos detallados del sistema de informacin que est en desarrollo. Los servidores utilizados para cubrir las actividades que realiza La Ilustre Municipalidad no tienen la suficiente capacidad tanto en velocidad como en tamao de almacenaje, ya que estos son computadores de escritorio

normales, hay que tener en cuenta que para realizar determinadas actividades tales como el cobro de los predios se necesitar rapidez en cuanto al procesamiento de datos se refiere. No existe el personal suficiente que garantice la seguridad e integridad de los datos. Los departamentos de La Ilustre Municipalidad no tienen un correcto control de las claves al momento de ingresar a cada uno de sus sistemas, es decir las claves no cumplen con las debidas restricciones que son necesarias para que estas no sean descifradas.

12

Polticas de Seguridad

1.4 Anlisis de Riesgos de La Ilustre Municipalidad de Paute

Las debilidades informticas y fsicas encontradas en La Ilustre Municipalidad de Paute, han sido la base para realizar un anlisis de los riesgos de acuerdo a la siguiente clasificacin.

RIESGOSPARALASEGURIDAD Humanos Maliciosos NoMaliciosos Incendios Inundaciones Terremotos Empleados Ignorantes DesastresNaturales

Externos

Internos

Diagrama2. Riesgos para la Seguridad

1.4.1 Riesgos Humanos

Maliciosos-Externos El servicio de personal de seguridad no es estable en La Institucin, existe el riesgo de que ingresen personas maliciosas a La Institucin y se manipule la informacin.
13

Polticas de Seguridad

Acceso de cualquier persona a las instalaciones de La Institucin, riesgo de robo, prdida, dao y alteracin de los equipos informticos y de la informacin.

Maliciosos-Internos Riesgo de que cualquier empleado malintencionado, ingrese al cuarto de telecomunicaciones y provoque una prdida de conectividad. Riesgo de que cualquier empleado malintencionado altere la informacin

No Maliciosos-Empleados Ignorantes Los empleados no tienen conciencia de la necesidad de la implementacin de polticas de seguridad, por tal razn existe el riesgo de que cualquiera de ellos comparta la informacin entre cada uno de los departamentos incluyendo en ello, el compartir las claves de acceso sin pensar en el peligro a la que la exponen a La Institucin. Los empleados no tienen capacitaciones sobre seguridad en equipos informticos por lo tanto, existe el riesgo de dao de equipos por mal uso. Por falta de integridad de los datos, existe el riesgo de duplicidad de los mismos. Riesgo de prdida de equipos informticos por no tener instalaciones a tierra. Riesgo de virus informtico, por no tener actualizaciones peridicas del antivirus instalado.

1.4.2 Desastres Naturales

Incendios-Inundaciones-Terremotos Riesgo de incendio por fallas y deterioros en las instalaciones elctricas en el Edificio.

14

Polticas de Seguridad

Riesgo de prdida de infraestructura, hardware y software del Municipio, a causa de temblores o terremotos. No existen riesgos de inundaciones por la ubicacin geogrfica de la Institucin.

NDICE DE PROBABILIDAD

Humanos Maliciosos-Externos

Riesgo El servicio de personal de seguridad no es estable en La Institucin, existe el riesgo de que ingresen personas maliciosas a La Institucin y se manipule la informacin. Acceso de cualquier persona a las instalaciones de La Institucin, riesgo de robo, prdida, dao y alteracin de los equipos informticos y de la informacin.

Probabilidad

Alto

Alto

Tabla 3. Probabilidad de ocurrencia de riesgos Humanos Maliciosos-Externos

Riesgo Riesgo de que cualquier empleado malintencionado, ingrese al cuarto de telecomunicaciones y provoque una prdida de conectividad. Riesgo de prdida de equipos informticos por no tener instalaciones a tierra. Probabilidad

Humanos Maliciosos-Internos

Medio

Tabla 4. Probabilidad de ocurrencia de riesgos Humanos Maliciosos-Internos

Riesgo Los empleados no tienen conciencia de la necesidad de la implementacin de polticas de seguridad, por tal razn existe el riesgo de que cualquiera de ellos comparta la informacin entre cada uno de los departamentos incluyendo en 15 Probabilidad

Alto

Polticas de Seguridad
Riesgo ello, el compartir las claves de acceso sin pensar en el peligro a la que la exponen a La Institucin. Los empleados no tienen capacitaciones sobre seguridad en equipos informticos por lo tanto, existe el riesgo de dao de equipos por mal uso. Por falta de integridad de los datos, existe el riesgo de duplicidad de los mismos. Riesgo de prdida de equipos informticos por no tener instalaciones a tierra. Riesgo de virus informtico, por no tener actualizaciones peridicas del antivirus instalado. Probabilidad

Humanos No MaliciososEmpleados Ignorantes

Alto

Alto

Alto

Alto

Tabla 5. Probabilidad de ocurrencia de riesgos Humanos No Maliciosos-Empleados Ignorantes

Riesgo Probabilidad Medio

Desastres Naturales Incendios, Inundaciones, Terremotos

Riesgo de incendio por fallas y deterioros en las instalaciones elctricas en el Edificio. Riesgo de prdida de infraestructura, hardware y software del Municipio, a causa de temblores o terremotos. No existen riesgos de inundaciones por la ubicacin geogrfica de la Institucin.

Bajo

Bajo

Tabla 6. Probabilidad de ocurrencia de riesgos Desastres Naturales: Incendios, Inundaciones, Terremotos

Riesgo Maliciosos-Externos Humanos: Maliciosos-Internos No Maliciosos-Empleado Ignorante Incendios Inundaciones Terremotos Probabilidad Alto Medio Alto Medio Bajo Bajo

Desastres Naturales:

Tabla 7. Probabilidad de ocurrencia general de los riesgos

16

Polticas de Seguridad

1.5. Polticas de Seguridad para La Ilustre Municipalidad de Paute.

La aplicacin de las polticas de seguridad informtica, en La Ilustre Municipalidad de Paute, debe ser responsabilidad de todo el personal que labora en La Institucin, para en conjunto realizar acciones pertinentes y proteger de forma adecuada el uso de los datos, la informacin y los recursos informticos asociados.

OBJETIVO: Elaborar Polticas de Seguridad Informticas para cuidar la informacin y proteger los equipos informticos pertenecientes a La Institucin, adems establecer la forma en la que los empleados se deben comunicar y acceder a la informacin.

ALCANCE: El alcance de estas Polticas de Seguridad Informticas es para todo el personal que labora en La Ilustre Municipalidad de Paute, para sus equipos informticos, software e informacin.

1.6

Elaboracin de Polticas de Seguridad Informticas para La Ilustre Municipalidad de Paute

1.6.1 Polticas de Seguridad en las Instalaciones del Municipio

Alcance Esta poltica se aplica a todo el personal de La Ilustre Municipalidad de Paute, que tenga funciones gerenciales y administrativas que les permitan tomar decisiones estratgicas vinculadas con la infraestructura fsica de La Institucin y el rea de sistemas.

Objetivos Especificar las caractersticas ambientales y estructurales del espacio fsico para los equipos de cmputo y para el cuarto de telecomunicaciones.
17

Polticas de Seguridad

Definir las restricciones de acceso y manipulacin de la informacin. Definir restricciones acceso a las instalaciones de La Ilustre Municipalidad.

Instalaciones Elctricas: El sistema elctrico debe estar conectado a un generador privado de La Institucin, para casos de fallos en los cortes de energa elctrica. Todas las conexiones elctricas tendrn la descarga a tierra respectiva. El cable instalado ya sea por el suelo o tumbado debe estar debidamente canalizado. Deben usarse fuentes de poder ininterrumpibles (UPS), en cada uno de los departamentos.

Acondicionamiento Fsico y Ambiental: El cuarto de telecomunicaciones tendr un sistema de aire acondicionado nico e independiente del resto de los cuartos o departamentos. Todos los equipos de cmputo se deben colocar en un lugar donde exista suficiente flujo de aire para permitir la circulacin del mismo. Debe existir extinguidores cerca al cuarto principal de

telecomunicaciones y en otros lugares estratgicos.

18

Polticas de Seguridad

El personal de La Ilustre Municipalidad debe estar totalmente capacitado de cmo actuar en caso de una emergencia. Se debe colocar un cartel con los nmeros de telfonos de primeros auxilios, en un lugar que este a la vista de todos No est permitido fumar en las oficinas de trabajo, cerca de equipos de cmputo ni en las salas en las que se guarda las copias de seguridad.

Cuarto de Telecomunicaciones: El cuarto de telecomunicaciones debe tener dos puertas de entrada y salidas de emergencia. El cuarto de telecomunicaciones ser una sala destinada nicamente para tal fin. Se instalar en el cuarto de telecomunicaciones un sistema de monitoreo que permita detectar incendios, humo. Se llevar un control escrito de todo el personal que ingrese al cuarto de telecomunicaciones, sea para motivos de mantenimiento, reparacin o actualizacin de los mismos.

Control de Acceso al Edificio Se tendr dos personas de seguridad, las 24 horas del da, designados a controlar la seguridad fsica del edificio. El personal de seguridad deber ser notificado a travs de un oficio, en caso de que algn empleado tenga permitido el ingreso al Municipio fuera del horario de trabajo. Se mantendr un registro identificador de todas las personas sin excepcin, que ingresen y salgan de cada una de las reas aseguradas del Municipio. Se realizar un retiro de accesos y permisos a personas que hubieran renunciado o hayan sido despedidas. Los controles de acceso del personal registrado en la base de datos, debe auditarse.
19

Polticas de Seguridad

1.6.2 Polticas de Seguridad para Cuentas de Usuario

Alcance Esta poltica se aplica a todo el personal de La Ilustre Municipalidad de Paute que es responsable de una o varias cuentas de usuario, en cualquiera de los departamentos de la institucin.

Objetivo Definir pautas para la asignacin de nombres de cuentas en el sistema del Municipio. Establecer normas para el tratamiento de usuario invitados que precisen trabajar temporalmente en las instalaciones de La Ilustre Municipalidad de Paute.

Creacin de Cuentas Al momento de crear una nueva cuenta de usuario, est no deber tener ningn permiso inmediato sobre el sistema. Los privilegios otorgados a cada empleado ser basado en la necesidad de saber de cada uno.

Nombres de Cuentas Los nombres de las cuentas de usuario estarn formados por la letra inicial de su primer nombre, seguido por la letra inicial de su segundo nombre y a continuacin se escribir el apellido completo. Juana Mercedes Daz nombre de usuario: jmdz Los nombres de las cuentas de usuario no estarn relacionados con las funciones de los empleados dentro de la Institucin. Los nombres de cuentas que no se encuentren en uso sern desactivados del sistema inmediatamente.

20

Polticas de Seguridad

Suspensin de Cuentas de usuario Ante el mal uso de una cuenta de usuario por parte de un empleado este ser sancionado. No se podr ingresar con ninguna cuenta de usuario a los equipos de otros departamentos sin antes tener un permiso previo.

1.6.3 Polticas de Seguridad para Computadores

Alcance Esta poltica se aplica a todo el personal de La Ilustre Municipalidad de Paute que se encuentra a su cargo un computador para realizar las tareas encomendadas de acuerdo a su departamento de trabajo

Objetivo Concientizar a cada uno de los empleados en el cuidado que se debe tener al momento de trabajar con un computador y sobre todo la seguridad que debe tener para un buen funcionamiento del Municipio.

Polticas Cada uno de los empleados que trabajen con un Computador es responsable de proteger los programas y datos contra prdida o dao. Los equipos de La Ilustre Municipalidad deben usarse nicamente para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos. No se permite fumar, comer o beber mientras se est usando el Computador. No ser permitido modificar la configuracin de hardware y software establecida por el Departamento de Sistemas. Las fallas establecidas en un computador se reportarn inmediatamente al departamento de sistemas.

21

Polticas de Seguridad

Todos los equipos pertenecientes al Municipio tendrn, una identificacin propia que servir para su identificacin y control de inventario. Se mantendr siempre un inventario actualizado de los equipos en cada uno de los departamentos. No se admitir mover los equipos o reubicarlos sin permiso. Cualquiera sea el equipo que requiera reparacin debe con anticipacin respaldarse toda la informacin confidencial que en ella se encuentre o de lo contrario se efectuar la reparacin bajo la supervisin de un representante del Municipio.

1.6.4 Polticas de Seguridad de Respaldo y Recuperacin

Alcance Esta poltica de seguridad informtica es aplicable para todo el personal de La Ilustre Municipalidad de Paute, y especficamente para el departamento de sistemas que es el encargado de asegurar la informacin a travs de los respaldos de la misma.

Objetivos Crear polticas que permitan asegurar la informacin y tener una recuperacin de la misma en caso de alguna necesidad sin ningn problema.

Respaldo y Recuperacin Los discos en los que se almacena las copias de seguridad debern estar alejadas de objetos de metal para evitar que se produzcan campos magnticos. Las copias de seguridad se guardarn en una oficina propia de La Institucin, la misma que se ubicar en un lugar seguro y apartado del edificio central.

22

Polticas de Seguridad

Los empleados no deben copiar a una unidad extrable, el software o los datos residentes en las computadoras del Municipio, sin la aprobacin previa del administrador del departamento de sistemas. Las copias de seguridad del sistema se las realizar a diario. Peridicamente debe hacerse el respaldo de los datos guardados en computadores, servidores y se deben guardar en un lugar seguro a prueba de hurto, incendio e inundaciones. La informacin del Municipio clasificada como confidencial o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando herramientas de encriptacin robustas. No debe borrarse la informacin original no cifrada, hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado.

1.6.5 Polticas de Seguridad para Internet

Alcance Esta poltica es aplicable a todo el personal del Municipio que tenga acceso a Internet, con el objetivo de mantener la seguridad puesto que el acceso a los servicios de Internet tal es el caso del (WWW) World Wide Web, (e-mail) Mail, expone a virus informticos a la Institucin y puede provocar prdidas tanto de software como de hardware.

Objetivo Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada y protegerse contra la exportacin privada de informacin.

Polticas Instalar un software antivirus para servidores y clientes, actualizar su registro diariamente.

23

Polticas de Seguridad

No ejecutar ningn archivo contenido en un mensaje de correo no solicitado o enviado por un remitente desconocido. Las carpetas compartidas, dentro de la red, deben tener una clave de acceso, la misma que deber ser cambiada cada tres meses. No instalar copias de software pirata, ya que pueden contener virus, o archivos de sistema incompatibles con el del usuario, lo cual provocar su inestabilidad. Instalar un Firewall o cualquier sistema seguro para controlar los puertos de su sistema. No se debe confiar en los archivos gratuitos que se descargan de sitios web desconocidos, ya que son una potencial va de propagacin de virus. Configurar el sistema para que muestre las extensiones de todos los archivos. No contestar los mensajes SPAM, ya que al hacerlo se re-confirmar su direccin IP, ni prestar atencin a los mensajes con falsos contenidos. No se deben descargar archivos con ttulos atractivos.

1.7. Estndares para fijar contraseas y claves de acceso

Alcance Estos estndares son aplicables a todo el personal que labora en La Ilustre Municipalidad de Paute y sea responsable de cualquier forma de acceso, que requiera contrasea en el sistema que maneja la institucin en los distintos departamentos. Adems, estos estndares servirn para el personal que del Municipio cuyo acceso

almacene informacin sensible, confidencial requiere autenticacin de usuario.

Objetivos Crear pautas para la creacin y proteccin de contraseas. Hacer una buena utilizacin y robustez de las contraseas.

24

Polticas de Seguridad

Determinar las consecuencias de la sustraccin de nuestras contraseas, debido a que esto puede llevar a una inseguridad de los sistemas.

A continuacin se enumeran algunos estndares para la construccin y establecimiento de contraseas correctas. Una contrasea vlida deber consistir de una combinacin de letras, nmeros o caracteres especiales, con un mnimo de 8 caracteres. La contrasea debe tener al menos un dgito y un caractr especial. Es recomendable que las letras alternen aleatoriamente maysculas y minsculas. Elegir una contrasea que pueda recordarse fcilmente y sobre todo que sea rpido de digitar. Las contraseas se cambiarn cada tres meses. No utilizar informacin personal en la contrasea establecida. Hay que evitar utilizar secuencias bsicas de teclado. No repetir los mismos caracteres en la misma contrasea. No escribir ni reflejar la contrasea en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo. No se deben utilizar palabras que se contengan en diccionarios en ningn idioma. No enviar nunca la contrasea por correo electrnico o en un sms. No se debe facilitar ni mencionar en una conversacin o comunicacin de cualquier tipo las contraseas personales. Se configurar los equipos de manera que se bloqueen luego de tres intentos fallidos de ingreso al sistema.

25