Está en la página 1de 38

SISTEMA DE GESTION DE SEGURIDAD INFORMATICA

ESCUELA SUPERIOR DE ADMINISTRACION PBLICA

MAYRA ALEJANDRA PREZ DURN


ANDREA CORREA BERNAL

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER


INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2012

SISTEMA DE GESTION DE SEGURIDAD INFORMATICA


ESCUELA SUPERIOR DE ADMINISTRACION PBLICA

MAYRA ALEJANDRA PREZ DURN


1150211
ANDREA CORREA BERNAL
Cdigo: 0152591

Presentado a:
JEAN POLO CEQUEDA
Ingeniero de Sistemas

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER


INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2012

INTRODUCCION
Los activos de una empresa, sin importar su tamao, o su tipo, son los recursos
ms importantes con los que cuenta. Estos recursos, tales como el personal, la
informacin y los equipos que procesan o almacenan dicha informacin, son de
vital importancia para que una organizacin se mantenga en funcionamiento.
Debido a esto, se ha planteado un conjunto de declaraciones que proporcionan
guas generales sobre el manejo, uso, y proteccin de los activos de la Escuela
Superior de Administracin Pblica ESAP. Estas declaraciones contenidas en el
presente documento van dirigidas a los empleados, directivos, estudiantes y
dems personal que se relaciona directa o indirectamente con la institucin.
Es importante la divulgacin de estas polticas y normas, para el normal
funcionamiento de la institucin, y para evitar as un posible incidente de seguridad
que comprometa los activos, y en caso de no poder evitar esto, establecer las
actividades que se han de realizar para recuperar la normalidad, y las personas
que sern responsables de cada una de ellas.

JUSTIFICACION
En la actualidad los organizaciones y la mayora de las empresas estn
manejando y utilizando las TIC( Tecnologas Informticas de comunicacin) para el
funcionamiento de su organizacin, lo cual hace que cada vez se vuelva ms
importante al implantar un sistema de informacin en una empresa y a su vez
disear un sistema de gestin de seguridad de la informacin que sea aplicado a
esta.
Una organizacin que hoy en da maneja un sistema de informacin, los activos
ms importantes que esta posee son: la informacin, los procesos, las personas y
sistemas que hacen uso de ellos y que hacen que la empresa funcione como tal.
Considerando la informacin como una de los recursos ms importantes que
poseen las organizaciones hoy es da es primordial velar por la confidencialidad,
integridad y disponibilidad de esta informacin, de manera que la empresa pueda
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organizacin y asegurar
beneficios econmicos.
En vista que los sistemas de informacin se han convertido en uno de los factores
principales para el funcionamiento de las empresas, a su vez son los que se
encuentran expuestos cada vez a un nmero ms elevado de riesgos y amenazas
que pueden generarse desde dentro de la propia organizacin o desde el exterior
y por causas que pueden ser naturales o malintencionadas, que provocan daos o
perdidas de recursos y informacin.
Es importante hoy en da para una empresa poder identificar los posibles
vulnerabilidades existentes, de manera de poder establecer las medidas
preventivas y correctivas necesarios para que estas vulnerabilidades no sean
aprovechadas por las amenazas y puedan ocasionar perdidas en el sistema, ya
sea a travs de diversas formas como lo podran ser fraude, espionaje, sabotaje
o vandalismo, entre otros.
Otras amenazas que pueden sufrir los sistemas de informacin son Los virus
informticos, el hacking o los ataques de negacin de servicio son algunos
ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de

sufrir incidentes de seguridad causados voluntaria o involuntariamente desde


dentro de la propia organizacin o aquellos provocados accidentalmente por
catstrofes naturales y fallas tcnicos.
El SGSI es una herramienta de gran utilidad y de gran ayuda para las empresas y
la gestin de las organizaciones, el cumplimiento, las condiciones del entorno y la
proteccin adecuada de los objetivos del negocios, sirven para asegurar el
mximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio.
En la gestin efectiva de la seguridad, debe tomar parte activa toda la
organizacin apoyada por la Alta Direccin, tomando en consideracin tambin a
clientes y proveedores de bienes y servicios. El modelo de gestin de la
seguridad debe contemplar polticas y procedimientos adecuados y la
planificacin e implantacin de controles de seguridad basados en una
evaluacin de riesgos y en una medicin de la eficacia de los mismos.
El Modelo de gestin de seguridad de la informacin (SGSI) sirve para establecer
las polticas y procedimientos en relacin con los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al
nivel de riesgo que la propia organizacin ha decidido asumir.
Con un sistema SGSI, la organizacin conoce los riesgos a los que est
sometida su informacin y activos y los asume, minimiza, transfiere o controla
mediante una metodologa definida, documentada y conocida por todos, que se
revisa y mejora constantemente.

BENEFICIOS
o Reduccin de los riesgos que podran presentarse en cuanto a la seguridad
de los activos relacionados con la informacin, y la informacin misma
o Reduccin de costos en la atencin de emergencias, ya que se busca
prevenirlas en primera instancia
o Se establece un compromiso con la razn de ser de la organizacin,
asegurando que su funcionamiento se mantenga aun en situaciones
adversas
o Reducir perdidas de informacin o recursos, as como el deterioro de los
mismos
o La organizacin inspirar confianza a sus clientes y mejorar su imagen
corporativa
o La organizacin tendr una ventaja competitiva frente a otras
organizaciones en el mercado
o Tener procedimientos de seguridad establecidos para que todos los
integrantes de la organizacin los conozcan, los apliquen para que de esta
forma los procesos, as como los recursos y la informacin que se maneja
en ellos, estn asegurados

OBJETIVO
Establecer un conjunto de indicaciones, polticas y procedimientos que garanticen
un nivel de seguridad de la informacin aceptable en la Escuela Superior de
Administracin Pblica, haciendo uso de herramientas, procesos e indicaciones
que regulen la forma en que se maneja, procesa, protege y se accede a la
informacin o a los equipos informticos que la contienen, evitando que
informacin esencial o confidencial sea revelada, robada, alterada o usada
indebidamente

ALCANCE
Las polticas y procedimientos de seguridad contenidos en este documento, sern
aplicables a la infraestructura tecnolgica e informacin de la Escuela Superior de
Administracin Pblica, sede Norte de Santander.
Estas polticas y procedimientos sern aplicables a los sistemas de informacin y
las redes de comunicaciones que se encuentren en la sede Norte de Santander,
as mismo se aplicar al personal que haga parte de ella.

POLITICAS Y PROCEDIMIENTOS DE SEGURIDAD


La polticas de seguridad son esencialmente orientaciones e instrucciones que
indican cmo manejar los asuntos de seguridad y forman la base de un
plan maestro para la implantacin efectiva de medidas de proteccin tales
como: identificacin y control de acceso, respaldo de datos, planes de
contingencia y deteccin de intrusos.
Las polticas son obligatorias, mientras que las recomendaciones o directrices
son ms bien opcionales. De hecho, las declaraciones de polticas de
seguridad pueden transformarse fcilmente en recomendaciones
reemplazando la palabra "debe" con la palabra "debera".
Por otro lado las polticas son de jerarqua superior a las normas, estndares y
procedimientos que tambin requieren ser acatados. Las polticas consisten de
declaraciones genricas, mientras las normas hacen referencia especfica a
tecnologas, metodologas, procedimientos de implementacin y otros aspectos
en detalle. Adems las polticas deberan durar durante muchos aos, mientras
que las normas y procedimientos duran menos tiempo.
Las normas y procedimientos necesitan ser actualizadas ms a menudo que
las polticas porque hoy da cambian muy rpidamente las tecnologas
informticas, las estructuras organizativas, los procesos de negocios y los
procedimientos.
Una poltica de seguridad debe establecer las necesidades y requisitos de
proteccin en el mbito de la organizacin y es la gua o marco para la creacin
de otro tipo de documento ms detallado que denominamos norma de
seguridad. Formalmente describe qu tipo de gestin de la seguridad se
pretende lograr y cules son los objetivos perseguidos. Definen qu quiere la
organizacin a muy alto nivel, de forma muy genrica, quedando como una
declaracin de intenciones sobre la seguridad de la Organizacin. A su vez, una
poltica de seguridad puede apoyarse en documentos de menor rango que
sirven para materializar en hechos tangibles y concretos los principios y
objetivos de seguridad establecidos.

Una norma de seguridad define qu hay que proteger y en qu condiciones,


pero para situaciones ms concretas. Sirven para establecer unos requisitos

que se sustentan en la poltica y que regulan determinados aspectos de


seguridad. Una norma debe ser clara, concisa y no ambigua en su
interpretacin. Se pueden agrupar en base a las diferentes reas de la
seguridad dentro de la organizacin: normas de seguridad fsica, normas de
control de acceso a sistemas, normas de gestin de soportes, normas de
clasificacin
de
informacin,
etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar
en el desempeo de un proceso relacionado con la seguridad y las personas o
grupos responsables de su ejecucin. Son, por tanto, la especificacin de una
serie de pasos en relacin la ejecucin de un proceso o actividad que trata de
cumplir con una norma o garantizar que en la ejecucin de actividades se
considerarn determinados aspectos de seguridad. Un procedimiento debe ser
claro, sencillo de interpretar y no ambiguo en su ejecucin. No tiene por qu ser
extenso, dado que la intencin del documento es indicar las acciones a
desarrollar. Un procedimiento puede apoyarse en otros documentos para
especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello,
puede relacionarse con otros procedimientos o con instrucciones tcnicas de
seguridad.
* Una instruccin tcnica de seguridad determina las acciones o tareas
necesarias para completar una actividad o proceso de un procedimiento
concreto sobre una parte concreta del sistema de informacin (hardware,
sistema operativo, aplicacin, datos, usuario, etc.). Al igual que un
procedimiento, son la especificacin pormenorizada de los pasos a ejecutar.
Una instruccin tcnica debe ser clara y sencilla de interpretar. Deben
documentarse los aspectos tcnicos necesarios para que la persona que
ejecute la instruccin tcnica no tenga que tomar decisiones respecto a la
ejecucin de la misma. A mayor nivel de detalle, mayor precisin y garanta de
su
correcta
ejecucin.
* Una poltica de uso es un documento destinado a usuarios finales con la
intencin de establecer una regulacin especfica sobre la utilizacin de un
sistema, tecnologa o recurso. En este caso, deben documentarse las normas
de comportamiento que deben cumplir los usuarios en el uso de los sistemas de
informacin o los aspectos generales que se desean regular, as como los usos
que son considerados autorizados y los usos no aceptables.

1. ANALISIS Y GESTION DE RIESGOS


1.1 ACTIVOS
No
1
2
3
4

Recursos Hardware
Switch
Access point
Servidor
Computadores de
escritorio
UPS
Porttiles
Impresoras
Video Beam
Escneres
Antena Satelital

5
6
7
8
9
10

Cantidad
1
3
2
60
2
8
10
4
4
1

Recursos de Software:
o
o
o
o

Sistemas Operativos: Windows


Herramientas de ofimtica: Microsoft Office
Software de Gestin: Academusoft, RYCA.
Aplicaciones desarrolladas a medidas: Sistema de Gestin
Documental.

Usuarios:
33 usuarios en las oficinas, aparte de los estudiantes y dems personas
particulares que ingresen a adquirir informacin.
Oficinas: se dividen en dependencias
Lugares de trabajo: Sede administrativa.

1.2 AMENAZAS

Desastres Naturales:
Podran llegarse a presentar las siguientes situaciones
Inundacin en las oficinas del primer piso cuando se presentan
fuertes lluvias (que ya se ha presentado).
Incendio que puede suceder en cualquier momento (debido a
cortocircuito, descuido de humano, etc.), agregando el hecho de que
no hay alarmas contra incendios
Tormenta, porque no se cuenta con un pararrayo, en una ocasin, un
rayo da las cmaras de seguridad con las que contaba la ESAP
Filtraciones en las sala de sistemas y cuarto del servidor
(actualmente se presenta esto debido a una obra en el piso superior
que aun no est terminada).

De origen industrial
Podran ocurrir las siguientes:
Fallo elctrico porque no hay buena estructura y explosin.
Cada de la red de comunicaciones, ya que el cableado est en mal
estado

Ataques intencionados
Virus informticos
Ataques de una organizacin criminal
Sabotajes
Disturbios y conflictos sociales
Intrusos en la red
Robos, ya que no hay cmaras de video vigilancia porque un rayo
quem las que haban
Empleados con formacin inadecuada, o descontentos

Errores y fallos no intencionados

Empleados descuidados en el manejo de la informacin y de sus


usuarios y claves de contrasea para acceder al sistema de
informacin
Errores en la utilizacin de las herramientas y recursos del sistema
Prdida de disponibilidad de la informacin debido a que no hay
servidores ni discos duros de respaldo

1.3 IMPACTOS

En caso de presentarse una inundacin, filtracin o incendio grave,


se presentaran daos en la informacin que se encuentra de
manera fsica, como son los documentos impresos, y se podran
presentar daos en los equipos que soportan los sistemas de
informacin de la ESAP. Esto ocasionara la suspensin de algunos
de los servicios que presta la ESAP, o en el peor de los casos, de
todos los servicios que presta y los procesos internos, lo que llevara
a un cese temporal de actividades.
En caso de presentarse una descarga elctrica sobre las
instalaciones, se podran presentar daos en los dispositivos
electrnicos, como son las estaciones de trabajo, el servidor, etc;
como ya se presento una vez, en la que un rayo da las cmaras
de seguridad que tenia la ESAP
En caso de presentarse una falla en el sistema elctrico o cada de la
red, se producira un impacto en la disponibilidad de la informacin, y
se perdera tiempo de trabajo del personal de la ESAP, as como
falta de atencin al usuario final
Si se presenta un ataque a los sistemas de informacin, un sabotaje
o una intrusin a la red, un robo, un virus informtico o algn cdigo
malicioso, ya sean estos ataques realizados por agentes externos o
internos a la ESAP, y si como consecuencia de esto, se perdiera
informacin confidencial, o se alterara la misma, la ESAP afrontara
un problema grave de integridad y disponibilidad de los datos, as
como la perdida de datos personales privados, lo que afectara no
solo a la ESAP sino a los usuarios y empleados. Adems deberan

dedicarse tiempo de trabajo extra para tratar de recuperar la


informacin que fue alterada o que fue perdida

1.4 SALVAGUARDAS
Con respecto a las salvaguardas, la Escuela Superior de Administracin Pblica,
maneja solamente dos:

El personal encargado del manejo de los datos, realiza una copia de


seguridad a la base de datos una vez al mes.
Se tiene establecido que los usuarios deben cambiar su contrasea para
acceder al sistema de informacin cada tres meses.
Solamente una persona autorizada tiene acceso al cuarto donde se
encuentra el servidor
POLITICAS DE SEGURIDAD

1. SEGURIDAD LOGICA
Polticas sobre el Manejo de software
Derecho de Autor
-

La ESAP tiene instalado y licenciado para nuestros usuarios software como


son Sistema Operativo de Windows, Antivirus Mcafee, base de datos
Oracle, Microsoft Office, Adobe CS5, Corel Draw entre otros. La instalacin
de programas no licenciados o no autorizados por la Oficina de Sistemas
ser responsabilidad directa del usuario que lo utilice.
La informacin publicada en la pgina web de la ESAP deber ser
aprobado por las reas o sedes responsables de la publicacin, respetando
la ley de propiedad intelectual(derechos de autor, crditos, permisos y
proteccin, como los que se aplican a cualquier material impreso)
Instalar software no licenciado es considerado delito informtico.

Control de las licencias del software:

Actualizar el inventario de hardware y software, sealando los paquetes que


se tienen instalados por maquina y verificando que cada uno de estos este
amparado por una licencia.
En caso de no contar con las licencias, es necesario contactar al proveedor
del software o del paquete en cuestin para actualizarlas o adquirirlas lo
ms pronto posible.
Elaborar un plan verificador de software para revisar que no se instale
paquetera pirata
Designar a una persona responsable del rea de informtica para guardar y
tener actualizadas las licencias.
Promover un plan de concientizacin entre el personal con el fin de que no
se instale paquetera pirata en las maquinas propiedad de la empresa y
aplicar sanciones al personal que no acate estas medidas.

Polticas sobre el Acceso a sistemas de informacin y redes


Polticas Aplicadas a las Contraseas de ingreso a equipos:
-

La solicitud de creacin de usuarios de sistemas de informacin debe


hacerse mediante formato y firmado por Jefe inmediato.
Contrasea de carcter alfanumrico de 6 o ms caracteres, ( No permitido
usar nombre y apellido en las contraseas)
Caducidad 90 das.
5 intentos fallidos para ingresar a la sesin de trabajo bloquea la cuenta del
usuario
Desbloqueo de la cuenta de usuario transcurrido cinco minutos.
El uso y custodia de su contrasea ser exclusivamente responsabilidad de
cada usuario.
Los usuarios debern bloquear su equipo al ausentarse de este.
La oficina de sistemas e informtica es la responsable de difundir las
polticas de seguridad para el uso de la red y dems servicios de la oficina
para asegurar su cumplimiento.
El acceso lgico a equipo especializado de computo (servidores,
enrutadores, base de datos, etc.) conectado a la red es administrado por los
ingenieros responsables de cada sistema de informacin.
Todo el equipo de cmputo que este o sea conectado a la red de la ESAP y
que sean propiedad de institucin, debe sujetarse a los procedimientos de
acceso que emite la oficina de sistemas para el control de acceso remoto.

El acceso remoto que realicen personas ajenas a la institucin deber


cumplir las normas que emite la Oficina de Sistemas e Informtica.
Las publicaciones en la pgina Web de la ESAP, debern ser realizadas por
personas autorizadas mediante usuario y contrasea, en la sede respectiva
y en el espacio asignado a cada sede o dependencia. Para los casos en
que se requiera publicar informacin en el home o pagina inicial, esta la
realizara el personal autorizado de la Oficina de Sistemas e Informtica.
A los responsables de los servidores, base de datos y aplicaciones
corresponde la verificacin de respaldo y proteccin adecuada.
Polticas Aplicadas a las Contraseas de ingreso a los sistemas de
informacin.

La solicitud de creacin de usuarios de sistemas de informacin debe


hacerse mediante formato y firmado por jefe inmediato
El uso y custodia tiene una fecha de cambio de contrasea y otra de
vencimiento de contrasea

Polticas y procedimientos sobre acceso a Red

- La Subgerencia de Informtica no es responsable por el contenido de datos ni


por el trfico que en ella circule, la responsabilidad recae directamente sobre el
usuario que los genere o solicite.
- Nadie puede ver, copiar, alterar o destruir la informacin que reside en los
equipos sin el consentimiento explcito del responsable del equipo.
- No se permite interferir o interrumpir las actividades de los dems usuarios por
cualquier medio o evento salvo que las circunstancias as lo requieran, como
casos de contingencia, los cuales debern ser reportados en su momento a sus
superiores correspondientes.
- No se permite el uso de los servicios de la red cuando no cumplan con los
quehaceres propios de la empresa.
- Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad
de la ESAP y se usarn exclusivamente para actividades relacionadas con la
empresa.

- Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de


informacin son personales e intransferibles. Se permite su uso nica y
exclusivamente durante la vigencia de derechos del usuario.
- El uso de analizadores de red es permitido nica y exclusivamente por el
personal de Informtica, para monitorear la funcionalidad de la Red, contribuyendo
a la consolidacin del sistema de seguridad bajo las polticas y normatividades de
la ESAP
- No se permitir el uso de analizadores para monitorear o censar redes ajenas y
no se debern realizar anlisis de la Red de la ESAP desde equipos externos a la
entidad.
- Cuando se detecte un uso no aceptable, se cancelar la cuenta o se
desconectar temporal o permanentemente al usuario o red involucrada
dependiendo de la normatividad. La reconexin se har en cuanto se considere
que el uso no aceptable se ha suspendido.
- Solo se le permite el acceso a los usuarios que se encuentren registrados y
tengan una cuenta de usuario
- El acceso en los equipos se hace por medio del acceso remoto, con el
Dominio de la principal Bogot
Del rea de Informtica
- La oficina de Informtica debe llevar un control total y sistematizado de los
recursos de cmputo.
- Los encargados del rea de informtica son los responsables de calendarizar y
organizar al personal encargado del mantenimiento preventivo y correctivo de los
equipos de cmputo.
- Si un usuario o departamento viola las polticas vigentes de uso aceptable de la
Red, los administradores de la Red lo aislar de la misma.
- Para reforzar la seguridad de la informacin de los usuarios, bajo su criterio,
deber hacer respaldos de la informacin en sus discos duros dependiendo de la
importancia y frecuencia del cambio de la misma.
- Los administradores no podrn remover del sistema ninguna informacin de
cuentas individuales, a menos que la informacin sea de carcter ilegal, o ponga
en peligro el buen funcionamiento de los sistemas, o se sospeche de algn intruso
utilizando una cuenta ajena.
Polticas de uso aceptable de los usuarios
1. Los recursos de cmputo empleados por el usuario:

1 Debern ser afines al trabajo desarrollado.


2 No debern ser proporcionados a personas ajenas.
3 No debern ser utilizados para fines personales.
2 Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales
de los dems usuarios.
3 El correo electrnico no se deber usar para envo masivo, materiales de uso no
institucional o innecesarios (entindase por correo masivo todo aquel que sea
ajeno a la institucin, tales como cadenas, publicidad y propaganda comercial,
poltica o social, etctera).
4 Para reforzar la seguridad de la informacin de su cuenta, el usuario conforme
su criterio- deber hacer respaldos de su informacin, dependiendo de la
importancia y frecuencia de modificacin de la misma. Los respaldos sern
responsabilidad absoluta de los usuarios
5 Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de
cmputo, software y dems fuentes que violen la ley de derechos de autor, para tal
efecto todos los usuarios debern firmar un manifiesto donde se comprometan,
bajo su responsabilidad, a no usar programas de software que violen la ley de
derechos de autor.
6 Los usuarios debern cuidar, respetar y hacer un uso adecuado de los recursos
de cmputo y red, de acuerdo con las polticas que en este documento se
mencionan.
7 Los usuarios debern solicitar apoyo al encargado del departamento de
sistemas ante cualquier duda en el manejo de los recursos de cmputo de la
institucin.
De los servidores de la Red.
1 La oficina de Informtica tiene la responsabilidad de verificar la instalacin,
configuracin e implementacin de seguridad, en los servidores conectados a la
Red.
2 La instalacin y/o configuracin de todo servidor conectado a la Red ser
responsabilidad de la oficina de Informtica.
3 Durante la configuracin del servidor los encargados del departamento de
sistemas deben normar el uso de los recursos del sistema y de la red,
principalmente la restriccin de directorios, permisos y programas a ser ejecutados
por los usuarios.

4. Los servidores que proporcionen servicios a travs de la RED e Internet


debern:
1 Funcionar 24 horas del da los 365 das del ao.
2 Recibir mantenimiento preventivo mximo dos veces al ao
3 Recibir mantenimiento semestral que incluya depuracin de bitcoras.
4 Recibir mantenimiento anual que incluya la revisin de su configuracin.
1 Ser monitoreados por el encargado del
departamento de sistemas de la entidad y por el
Centro de Operaciones de la Red de la API.
5 La informacin de los servidores deber ser respaldada de acuerdo con los
siguientes criterios, como mnimo:
1 Diariamente, informacin crtica.
2 Semanalmente, los correos y los documentos web.
3 Mensualmente, configuracin del servidor y bitcoras.
6 Los servicios institucionales hacia Internet slo podrn proveerse a travs de los
servidores autorizados por la Subgerencia de Informtica.
7 El departamento de Sistemas se encargar de asignar las cuentas a los usuarios
para el uso de correo electrnico en los servidores que administra.
8 Para efecto de asignarle su cuenta de correo al usuario, ste deber llenar una
solicitud en formato libre y entregarlo al rea de informtica, con su firma y la del
Gerente del rea.
9 Una cuenta deber estar conformada por cuatro primeras letras de su nombre y
apellidos de usuario y su contrasea asignada. La sintaxis de la cuenta de correo
ser nombre.apellidopaterno@esap.edu.co y no deber contener alias.
10 La cuenta ser activada en el momento en que el usuario se presente en el
Centro de Operaciones de la Red, para teclear y verificar de manera personal su
contrasea de acceso.
11 Los servidores debern ubicarse en un rea fsica que cumpla las normas para
un centro de telecomunicaciones:
1 Acceso restringido.
2 Temperatura adecuada al equipo.
3 Proteccin contra descargas elctricas.
4 Mobiliario adecuado que garantice la seguridad de los equipos.
12 En caso de olvido de la contrasea por parte del usuario, podr apoyarse con
el Ingeniero de sistemas encargado de la territorial, para el cambio de contrasea.

Polticas sobre el Respaldos a la informacin


Respaldos
- Los usuarios debern realizar respaldos de su informacin mensualmente
- Contar con polticas formales por escrito para efectuar los respaldos
mensuales, semanales y diarios de la informacin
- Todos los medios magnticos de respaldos no deben estar almacenados en
un mismo lugar, aunque se tengan los medios magnticos de operaciones
en el sitio, por lo que si hubiera una contingencia grave (incendio,
inundacin no se tendra el riesgo de perder parte o totalidad de la
informacin y que se cuenta en otro lugar con los respaldos.
- Debe tenerse acceso restringido al rea en donde se tiene almacenados los
medios magnticos, tanto de operacin como de respaldo.
- Se deben tener identificadas las cintas por fechas, concepto y consecutivo,
es conveniente elaborar y actualizar una relacin sobre las cintas, el
contenido de los datos de registro y los responsables de efectuarlos.
- Se debe contar con una poltica que indique los procedimientos a seguir en
cuando al almacenamiento de las cintas de respaldo en un lugar diferente
de la ubicacin del sitio, en donde se puede tener acceso las 24 horas del
da y donde se designen responsables de mantener actualizada la
informacin vital de la organizacin.
- Las Bases de Datos sern respaldadas peridicamente en forma
automtica y manual, segn los procedimientos generados para tal efecto.
- Los respaldos debern ser almacenados en un lugar seguro y distante del
sitio de trabajo.
Polticas sobre el Monitoreo de los Sistemas
Polticas aplicadas a todos los Perfiles de Usuarios.
-

Papel tapiz Institucional relativo a la ESAP.


Hora y fecha SINCRONIZADA AUTOMATICAMENTE.
Panel de control restringido.
Comando DOS restringido
La instalacin de programas solo para usuarios Administradores.
Despus de 15 minutos de inactividad del PC, se inactiva.
Las cuentas de administrador local e invitados se renombraran
Mayores controles a las cuentas de invitados
Clic derecho habilitado para todos los usuarios.

Todos y cada uno de los equipos son asignados a un responsable, por lo


que es de su competencia hacer buen uso de los mismos.

Registro de Eventos
Se generarn registros de auditora que contengan excepciones y otros eventos
relativos a la seguridad.
Los registros de auditora debern incluir:
a) Identificacin del usuario.
b) Fecha y hora de inicio y terminacin.
c) Identidad o ubicacin de la terminal, si se hubiera dispuesto identificacin
automtica para la misma
d) Registros de intentos exitosos y fallidos de acceso al sistema.
e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos.
En todos los casos, los registros de auditora sern archivados preferentemente en
un equipo diferente al que los genere y conforme los requerimientos de la Poltica
de Retencin de Registros
Los Propietarios de la Informacin junto con la Unidad de Auditora Interna o en su
defecto quien sea propuesto por el Comit de Seguridad de la Informacin,
definirn un cronograma de depuracin de registros en lnea en funcin a normas
vigentes y a sus propias necesidades.
Procedimientos y reas de Riesgo
Se desarrollarn procedimientos para monitorear el uso de las instalaciones de
procesamiento de la informacin, a fin de garantizar que los usuarios slo estn
desempeando actividades que hayan sido autorizadas explcitamente.
Todos los empleados deben conocer el alcance preciso del uso adecuado de los
recursos informticos, y se les advertir que determinadas actividades pueden ser
objeto de control y monitoreo

El alcance de estos procedimientos deber corresponderse a la evaluacin de


riesgos que realice el Responsable del rea Informtica y el Responsable de
Seguridad Informtica
Entre las reas que deben tenerse en cuenta se enumeran las siguientes:
a) Acceso no autorizado, incluyendo detalles como:
1. Identificacin del usuario.
2. Fecha y hora de eventos clave.
3. Tipos de eventos.
4. Archivos a los que se accede.
5. Utilitarios y programas utilizados.
b) Todas las operaciones con privilegio, como:
1. Utilizacin de cuenta de supervisor.
2. Inicio y cierre del sistema.
3. Conexin y desconexin de dispositivos de Ingreso y Salida de
informacin o que permitan copiar datos.
4. Cambio de fecha/hora.
5. Cambios en la configuracin de la seguridad.
6. Alta de servicios.
c) Intentos de acceso no autorizado, como:
1. Intentos fallidos.
2. Violaciones de la Poltica de Accesos y notificaciones para gateways de
red y firewalls.
3. Alertas de sistemas de deteccin de intrusiones.
d) Alertas o fallas de sistema como:
1. Alertas o mensajes de consola.
2. Excepciones del sistema de registro.
3. Alarmas del sistema de administracin de redes.
4. Accesos remotos a los sistemas.
De los Sistemas Institucionales de Informacin
1. El Administrador de la Base de Datos tendr acceso a la informacin de la Base
de Datos nicamente para:
1 La realizacin de los respaldos de la BD.
2 Solucionar problemas que el usuario no pueda resolver.

3 Diagnstico o monitoreo.
2 El Administrador de la Base de Datos no deber eliminar ninguna informacin
del sistema, a menos que la informacin est daada o ponga en peligro el buen
funcionamiento del sistema.
2. SEGURIDAD FISICA
Equipos de la empresa
PS2.1: Se restringir el acceso de personal estudiantil y personal externo a
la ESAP a las reas administrativas de la institucin, en donde se
encuentren equipos de cmputo o informacin sensible. En caso de que el
acceso de estas personas sea necesario, el acceso debe estar autorizado
por el responsable del rea a la que van a ingresar, y deben estar
acompaados en todo momento. El responsable del rea se har cargo de
cualquier anomala que se pueda presentar a raz de esta situacin.
PS2.2: Solamente el personal tcnico designado por el responsable del
departamento de sistemas podr instalar o desinstalar software en los
equipos de la institucin. La ESAP tiene instalado y licenciado software
como: Sistema Operativo de Windows, Antivirus Mcfee, base de datos
Oracle, Microsoft Office, Adobe CS5, Corel Draw entre otros. La instalacin
de programas no licenciados o no autorizados por la Oficina de Sistemas
ser responsabilidad directa del usuario que lo utilice.
PS2.3: El encargado del departamento de sistemas deber llevar un
registro detallado de los equipos de cmputo que son propiedad de la
ESAP. Dicha informacin contendr las caractersticas de hardware y
software, el registro de los mantenimientos correctivos o preventivos que se
les han hecho, y las fechas en las que estn programados nuevos
mantenimientos.
PS2.4: En equipos con informacin sensible, se desactivarn los puertos
USB, para evitar que se extraiga informacin indebidamente, o se
contaminen los equipos con cdigos maliciosos.

PS2.5: En caso de que se requiera destruir informacin crtica, ya sea en


medios magnticos, o informacin impresa o manuscrita, se proceder a
destruir completamente el medio en el que est almacenada, o a realizar
por medio de herramientas, un borrado definitivo y seguro de la misma.
PS2.6: Los servidores de la institucin debern recibir suministro elctrico
ininterrumpido por medio de UPS
PS2.7: No se permitir la salida de dispositivos de almacenamiento masivo,
como discos duros, memorias flash, etc. que sean propiedad de la ESAP.
En caso de que sea necesario la salida de estos dispositivos, por ejemplo
en caso de mantenimiento, se establecer por escrito de que dispositivo se
trata, y quien va a ser responsable por ellos y por la informacin que
contengan. Tampoco se permitir que personal no autorizado destape o
desensamble equipos de cmputo.
PS2.8: Solo personal autorizado por el departamento de sistemas podr
utilizar los video beams y la sala de videoconferencia.
PS2.9: Los tcnicos tanto internos como externos que prestan servicio de
mantenimiento a equipos de cmputo debern ser presentados por la
oficina de sistemas para, que puedan tener acceso a los equipos y brindar
los mantenimientos bsicos.

Equipos externos a la empresa


PS2.10: Los equipos de visitantes externos a la ESAP, o de estudiantes,
(como porttiles, smartphones, tablets, etc.), tendrn acceso a la red de
datos, con las restricciones que el departamento de sistemas considere
pertinentes.

Acceso a equipos o informacin

PS2.11: Los servidores, respaldos y equipos de cmputo estarn ubicados


en lugares seguros dentro de la institucin, debidamente vigilados y con
acceso restringido del personal.
PS2.12: Solo tendrn acceso a los sistemas de informacin de la ESAP y a
los equipos que estn en reas administrativas, las personas autorizadas,
cuya labor dentro de la institucin lo ameriten (cargos administrativos, de
alta gerencia y de mbito acadmico)
PS2.13: El encargado del departamento de sistemas ser el responsable
del cuidado y proteccin de los servidores de la institucin.
PS2.14: Si estudiantes o personal visitante necesita usar equipos
destinados a prstamos, debern hacerlo bajo supervisin
PS2.15: Cada empleado de la ESAP tendr asignado un equipo, y deber
ser responsable de su cuidado, de usarlo debidamente, y de responder por
las acciones que se hagan desde l. Tambin deber informar al
departamento de sistemas en caso de cualquier anomala que se presente.
PS2.16: Los jefes de las dependencias deben enviar a la oficina de
Sistemas la inhabilitacin de los usuarios cuando los funcionarios se
desvinculan de la entidad.
SANCIONES
Las sanciones a que estn sujetos los usuarios por incumplimiento de sus
obligaciones e incurrir en las restricciones sealadas, son las siguientes:
a) Llamada de atencin de manera verbal o escrita.
b) Suspensin temporal de los servicios de la Red.
c) Suspensin definitiva de los servicios de la Red.
d) Reposicin o pago de los bienes extraviados, destruidos o deteriorados.
3. RESPUESTAS A INCIDENTES
PLAN DE CONTINGENCIA
3.1 Objetivo General

Generar una herramienta de prevencin, mitigacin, control y respuesta, que


contenga actividades, acciones y procedimientos a desarrollar ante posibles
contingencias generadas durante el desarrollo de la actividad de la empresa, y
restablecer en el menor tiempo posible el funcionamiento normal de la misma.
3.2 Objetivos Especficos

Determinar las amenazas y su probabilidad de ocurrencia, que pueden


afectar a los sistemas de informacin de la Escuela Superior de Educacin
Pblica.
Definir las funciones y responsabilidades de los miembros de la institucin
involucrados en la atencin y planificacin de las emergencias.
Planificar y coordinar las actividades de atencin y recuperacin para
situaciones generales y especificas.
Informar en forma precisa y oportuna las actividades previas y a desarrollar
en caso de que se presenten situaciones anormales en las actividades de la
ESAP.
Evaluar, analizar y prevenir los riesgos en la ESAP.
Evitar o reducir los daos que las emergencias puedan ocasionar al
personal de la institucin y al personal directa o indirectamente involucrados
con ella.
Reducir o minimizar las prdidas econmicas y daos que las contingencias
puedan ocasionar a la institucin.
Capacitar al personal en prevencin de riesgos y entrenamientos en
acciones de respuesta ante situaciones de emergencia.

3.3 Identificacin de Falencias


Las instalaciones de la ESAP no estn del todo adecuadas para mantener en
operacin ptima los sistemas de informacin en caso de un siniestro. Las
falencias que se pueden identificar dentro de la ESAP son:

Los equipos de cmputo no estn debidamente protegidos contra factores


ambientales, como la humedad, la lluvia y el polvo.
Las instalaciones de la ESAP sufren inundaciones cuando se presentan
lluvias fuertes

Los empleados de la empresa no tienen conocimiento sobre las medidas


que deben tomar para prevenir y tratar una emergencia.

3.4 Amenazas
Para poder disear procedimientos que permitan evitar las emergencias, reducir
sus consecuencias negativas si se presentaran, y permitir que la ESAP se
recupere; es necesario determinar con claridad las amenazas que se pueden
presentar, para as, analizando cada una de ellas, se pueda dar la mejor solucin.
A continuacin se listan las amenazas que se pueden identificar para la ESAP, y
cul es la probabilidad de que cada una de ellas ocurra:

Amenaza
Inundacin/Daos por lluvias en la oficina
Terremotos
Manipulacin malintencionada o accidental
de la informacin
Robo de los equipos de cmputo
Prdida de informacin
Conductas no ticas de los empleados
Corte del servicio de electricidad
Dao fsico de los equipos de cmputo
Incendios

Probabilidad de Ocurrencia
Muy
Alt Medi Baj Muy
Alta
a
a
a
Baja
X
X
X
X
X
X
X
X
X

3.5 Actividades Preventivas a la Contingencia


Las actividades preventivas tienen la funcin bsica de evitar la ocurrencia de
accidentes y efectos adversos no previstos que se pueden generar en el desarrollo
de las actividades de una empresa.
Este aparte del plan de contingencias ofrece una serie de recomendaciones y
vigilancia de aspectos tcnicos y ambientales, que servirn para detectar los
factores de riesgo y tomar medidas correctivas para evitar que ocurran los
sucesos.

Inundacin/Daos por lluvias en las oficinas y en los dispositivos


almacenados en la oficina
Con el fin de prevenir inundaciones y daos por lluvias, tanto en los equipos de la
oficina, como en los dispositivos almacenados en ella, es necesario seguir estas
recomendaciones:
Evitar ubicar los equipos electrnicos y de cmputo en lugares cercanos a
ventanas, y a lugares con fuentes de agua potable, como baos.
Asegurarse que los techos de cada una de las partes de la oficina estn en
ptimas condiciones, y verificar que no haya ningn orificio, grieta o falla
estructural en sus superficies que puedan permitir el paso de agua; y dar
mantenimiento preventivo una vez al ao con impermeabilizantes a techos
y paredes para evitar la humedad.
Contar con cubiertas de plstico para proteger los computadores y
documentos importantes que puedan mojarse.
Para prevenir corto circuitos, asegurarse de que no existan fuentes de
lquidos cerca a las conexiones elctricas.
Terremotos
Para evitar los daos que la institucin pueda sufrir en caso de que se presente
un terremoto, se deben seguir las siguientes recomendaciones:
Reparar cualquier deterioro en la infraestructura de la empresa.
Asegurar objetos pesados que puedan caer desde altura.
Asegurar a las paredes estantes y muebles que puedan caerse.
Establecer el lugar ms seguro para los empleados.
Prdida de la informacin y manipulacin malintencionada o accidental de la
misma
Para prevenir las consecuencias negativas que pueda ocasionar para la ESAP la
prdida de informacin, ya sea por manipulacin malintencionada, como por
errores de manejo por parte de los empleados, es conveniente seguir las
siguientes recomendaciones:

Definir perfiles de usuario, para as poder tener control sobre los accesos a
la informacin.
Contar con copias de seguridad (backups), de los sistemas operativos, de
los software aplicativos, de los datos (Bases de Datos, contraseas, etc.)

necesarios para la correcta ejecucin de los software aplicativos, que se


usan en la institucin.
Cambiar peridicamente contraseas y claves de acceso a la informacin.

Robo de equipos de cmputo


El robo de los equipos de cmputo representa una doble problemtica, en primer
lugar la prdida fsica de los equipos, y en segundo lugar la prdida de la
informacin contenida en ellos.
Para evitar en su mayor parte estas consecuencias se debe:

Ubicar los equipos que contengan la informacin ms relevante para la


empresa, en un lugar seguro y con acceso restringido.
Proteger los datos contenidos en los equipos por medio de claves de
acceso, de tal forma que si alguien roba el equipo, no pueda acceder a la
informacin contenida en l.
Establecer vigilancia mediante cmaras de seguridad, reparando las
existentes, para poder estar al tanto de todos los movimientos de entrada
del personal de la empresa, o de personas ajenas a ella; y alarmas y
sensores que detecten cualquier tipo de intrusin en reas de acceso
restringido, como por ejemplo, rupturas violentas de puertas o cristal.
Fijar un lugar, fuera de las instalaciones principales de la empresa, para
almacenar los medios magnticos que contengan las copias de seguridad.
Contar con una empresa que pueda proveer equipos de cmputo que
puedan dar soporte a la empresa, con el fin de darle continuidad a las
actividades normales.
Contar con plizas de seguro, para que en caso de este tipo de situaciones,
la empresa aseguradora garantice la restitucin de los equipos perdidos.

Dao fsico de los equipos de cmputo


Para prevenir las consecuencias negativas que pueda ocasionar para la ESAP el
dao fsico de los equipos de cmputo, se deben tener en cuenta las siguientes
recomendaciones:
Como se mencion anteriormente, contar con una pliza de seguro.
Tener un listado de las actividades que se equipo de cmputo realiza
normalmente dentro de la institucin, para que mientras se solucione el

inconveniente de forma definitiva, usando otros equipos de la empresa, se


puedan cubrir sus funciones.

Incendio
Para evitar en mayor parte los daos que la ESAP pueda sufrir en caso de que se
presente un incendio, se deben seguir las siguientes recomendaciones:
Mantener funcionando, y debidamente sealizados, los equipos y sistemas
de alarma contra incendios.
Informar a todos los empleados de la empresa las zonas seguras a las que
deben dirigirse, y las vas de evacuacin.
Tener especial cuidado con elementos de material inflamable, y ubicarlos
lejos de cualquier fuente de ignicin.
No permitir que se fume dentro de la institucin.
Contar con extinguidores, y capacitar a los empleados para su uso.
Etiquetar los equipos de cmputo de acuerdo a la prioridad de su contenido
y la importancia que tiene para la empresa, para que esta clasificacin sea
tenida en cuenta en caso de una posible evacuacin.

3.6 Actividades de Mitigacin


Si las contingencias suceden; se debe proceder a ejecutar las actividades de
mitigacin. Estas actividades buscan que la emergencia, una vez ocurra, produzca
el menor dao posible a la institucin.

Inundacin/Daos por lluvias en la oficina y en los dispositivos almacenados


en la oficina
Una vez ocurra la contingencia, se debe proceder a:

Abrir ventanas para permitir la ventilacin en el rea.


Llevar a lugares seguros el hardware, software y documentos importantes.
Apagar equipos de cmputo y electrnicos.

Terremotos
En el momento en el que se est presentando cualquier actividad ssmica, se
deben realizar las siguientes actividades:

Desconectar o apagar inmediatamente dispositivos elctricos o a gas, que


estn encendidos.
Permanecer bajo vigas, puertas, o lugares seguros establecidos con
anterioridad.
Mantenerse alejado de ventanas y elementos que al deteriorarse puedan
significar riesgo para las personas.
Si es necesaria la evacuacin, hacerlo rpidamente y slo por las vas de
evacuacin establecidas.
Si hay estudiantes o personal visitante en la ESAP en ese momento, los
empleados deben servir de guas

Prdida de la informacin y manipulacin malintencionada o accidental


Tan pronto como se advierta que hubo prdida de informacin por cualquier causa
se debe hacer lo siguiente:
Cambiar las contraseas y claves de acceso a la informacin.
Identificar que informacin se perdi para as saber que acciones realizar.
Robo de equipos de cmputo
Cuando se produzca un robo en las instalaciones de la institucin se deben seguir
las siguientes recomendaciones:

El personal de la ESAP deber reportar el robo al jefe inmediato, para que


ste pueda dar aviso a las autoridades y as pueda adelantarse una
investigacin.
Si se sospecha que el autor del robo fue una persona conocida, tratar de
localizarla y dar aviso a las autoridades.

Si la ESAP es vctima de robo a mano armada:


No oponer ningn tipo de resistencia.
Obedecer las rdenes del delincuente pausadamente, y manteniendo la
calma.

Observar discretamente a la persona, y tratar de recordar caractersticas


especficas, como acento, frases, rasgos fsicos.
Dar aviso a las autoridades tan pronto como se pueda.

Conductas no ticas de los empleados


Cuando se identifique que hubo un comportamiento no tico por parte de un
empleado, que implique robo o acceso indebido de informacin o robo de equipos,
proceder de la siguiente manera:

Cambiar las claves de acceso a la informacin correspondientes a se


empleado.
Proceder a la amonestacin o a la cancelacin del contrato laboral, segn
sea la gravedad de la infraccin, y segn las normativas estipuladas en
dicho contrato correspondientes a su cancelacin.
Informar a las autoridades sobre lo sucedido.

Corte del servicio de electricidad


Si se presentan las siguientes situaciones, proceder como se indica a
continuacin.

En caso de interrupcin del suministro elctrico en lapsos cortos


consecutivos
- Considerar la decisin de apagar los equipos que estn activos, para
evitar daos o prdida de informacin y daos en los equipos.

En caso de una interrupcin del suministro elctrico no mayor a una


hora
- Apagar los equipos que no tengan mucha prioridad, como impresoras, o
computadores que no necesiten ser usados con urgencia.
- Desconectar cualquier otro electrodomstico que se tenga dentro de la
institucin

En caso de una interrupcin del suministro elctrico mayor a una hora


- Apagar equipos activos

Dao fsico de los equipos de cmputo


Cuando se detecte un dao fsico en los equipos de cmputo, proceder de la
siguiente manera:
Tomando el listado que se hizo previamente de las actividades que se
equipo de cmputo realiza normalmente dentro de la empresa, empezar a
usar otros equipos de la empresa, para cubrir las funciones del equipo
averiado.
Incendio
Cuando se presente un incendio en la institucin, se debe realizar lo siguiente:

Mientras que se recibe atencin profesional (por medio del sistema de


alarmas contra incendios), y si el fuego es controlable, usar los
extinguidores.
Respetar las rutas de evacuacin establecidas con anterioridad.
Si se cuenta con tiempo, apagar todos los equipos.
Cortar el servicio de energa elctrica y suministros de gas si los hubiere.
Si el fuego est muy avanzado, simplemente evacuar el lugar.
Si se encuentran estudiantes o personal visitante dentro de la empresa, los
empleados se debern encargar de servir de gua para la evacuacin.
Revisar si hay personas atrapadas en oficinas o baos.
Si ya se comenz a evacuar, no se regrese al lugar, ni permita que otra
persona lo haga.
Cubra su boca y nariz con prendas hmedas, y avanzar en lo posible
gateando, ya que a menor altura, menor concentracin de gases txicos.
Solo use las escaleras.

3.7 Actividades de Recuperacin


Inundacin/Daos por lluvias en la oficina y en los dispositivos almacenados
en la oficina
Si algn equipo de cmputo sufri daos irreparables, acudir a la
aseguradora.
Terremotos

Luego de que suceda el terremoto, seguir las siguientes recomendaciones:


Ayude a las personas que tengan alguna dificultad.
No regrese al lugar hasta que no se d autorizacin por parte de las
autoridades pertinentes.
Prdida de la informacin y manipulacin malintencionada o accidental
Restablecer la informacin que se perdi haciendo uso de las copias de
seguridad que se hicieron previamente.
Robo de equipos de cmputo
Acudir a la empresa aseguradora, para proceder con la restitucin de los
equipos robados.
Corte del servicio de electricidad
Notificar a todos los empleados de la institucin, que el servicio fue
restablecido.
Poner en funcionamiento nuevamente los equipos que se apagaron durante
la contingencia.
Revisar el correcto funcionamiento de los equipos, e identificar posibles
averas.
Dao fsico de los equipos de cmputo
Contactar con la empresa a la cual se le adquiri la pliza de seguro, para
que se ponga en marcha el restablecimiento de los equipos averiados.
Incendio
Prestar ayuda a las personas que se encuentren con usted, si puede
hacerlo.
No vuelva al lugar ni permita que otros lo hagan, hasta que no se tenga la
autorizacin de las autoridades.
Cuando ya tenga acceso nuevamente a la empresa, verifique los daos que
se presentaron, y realice las acciones correctivas segn sea el caso

3.8 Organismos de Apoyo al Plan de Contingencia

Los organismos de apoyo al plan de contingencias descrito anteriormente son los


siguientes:
Polica Nacional
Lnea de emergencia
PBX

123
5760622

Cuerpo de Bomberos
Lnea de emergencia
Bomberos Villa del Rosario
Bomberos Los Patios

119
5700558
5802288

Defensa Civil
Lnea de emergencia

144
5710624

Clnica san Jos de Ccuta


Calle 13 Nro. 1E-74 Barrio Caobos, Telfono 5821111

3.9 Encargados de dar respuesta a incidentes de seguridad


Los encargados de llevar a cabo los procedimientos de seguridad establecidos, y
de liderar el plan de contingencia establecido para la Escuela Superior de
Administracin Pblica, son las personas pertenecientes al departamento de
sistemas. Estas personas son responsables de llevar a la prctica los lineamientos
que en teora deben cumplirse, y son encargados tambin de dar apoyo a las
dems personas que estn relacionadas con la institucin.

4. PROCEDIMIENTOS DE SEGURIDAD

1. SEGURIDAD FISICA

PROCEDIMIENTOS DE SEGURIDAD FISICA


POLITI
CA

NOMBRE
DEL
PROCEDIMIE
NTO

RESPONSA
BLE

PROCEDIMIENTO

PS2.1

Procedimiento
para el acceso
a la Escuela
Superior de
Administraci
n Pblica

Personal de
Vigilancia
Funcionarios
de la ESAP

Si la persona que desea


ingresar a las instalaciones de
la ESAP es estudiante, deber
identificarse en la entrada, el
vigilante revisar la
identificacin y si es vlida le
permitir el ingreso, de no
serlo, se lo restringir.
Si la persona que desea
ingresar a la ESAP es un
visitante, deber identificarse
en la entrada, el vigilante le
pedir informacin acerca del
funcionario al cual busca, y si
el funcionario autoriza su
ingreso, se le permitir,
quedando a cargo del
funcionario la responsabilidad
que esto conlleva. Si el
funcionario niega la
autorizacin al visitante, ste
no podr ingresar a las
instalaciones
Si el visitante o el estudiante
necesita ingresar a reas
restringidas, estar bajo la
compaa permanente de el
encargado de esta rea, o del
funcionario que autoriz su
ingreso

PS2.2

Procedimiento
para manejo
de software
en los equipos

Personal
tcnico
designado
por el
departament
o de
sistemas

PS2.3

Procedimiento
para el
registro de
equipos

Encargado
del
departament
o de
sistemas

PS2.4

Procedimiento
para bloqueo
de puestos
USB

Personal
tcnico
designado
por el
departament
o de

Si algn funcionario de la
ESAP necesita o cree que es
necesario tener una nueva
herramienta de software,
deber solicitarlo al personal
del departamento de sistemas,
y no podr instalarlo por su
propia cuenta
Si el personal del
departamento de sistemas
aprueba la solicitud, el
software se instalar (si se
cuenta con las licencias
debidas), de lo contrario, no se
har la instalacin
Se deber tener un formato
que se debe mantener
actualizado. El formato
contendr la siguiente
informacin: fecha de
adquisicin del equipo,
caractersticas de hardware y
software, fecha de
mantenimiento, tipo de
mantenimiento y
observaciones
En servidores y computadores
que estn ubicados en reas
administrativas que contienen
informacin crtica, se
bloquearn los puertos USB.
Para esto, se realizarn los
siguientes pasos:
1.-Men Inicio - ejecutar
2.- regedit
3.- seguir la siguiente ruta:
HKEY_LOCAL_MACHINE\SY

sistemas

PS2.5

Procedimiento
para
eliminacin
segura de
informacin
en medios
magnticos

Encargado
del
departament
o de
sistemas

PS2.9

Procedimiento
para el
mantenimient
o de equipos

Personal
tcnico
designado
por el
departament
o de
sistemas

STEM\CurrentControlSet\Servi
ces\UsbStor
4.- buscar y hacer doble clic
en Start
5.- cambiar el valor, 3 para
permitir y 4 para bloquear los
puertos.
En caso de que se necesite
borrar informacin desde
memorias flash, se utilizar la
herramienta Disk Wipe, que
sobre escribe varias veces
datos en el dispositivo, para
asegurar un borrado seguro
En caso de que se necesite
borrar informacin de discos
duros, se usar la herramienta
Eraser, que se integra en el
men contextual de Windows
y puede programarse para
realizar acciones
peridicamente
Los funcionarios de la ESAP o
los usuarios de la ESAP
debern solicitar una revisin
tcnica, en caso de que noten
alguna anomala en los
equipos que manejan
El departamento de sistemas
recibe la solicitud y designar
el personal tcnico que
atender la solicitud y se
realiza la revisin de los
equipos
En caso de que sea necesario
instalar o desinstalar software,
o realizar algn arreglo

PS2.10

PS2.11

Procedimiento
para el acceso
a la red de
datos de
equipos
ajenos a la
ESAP
Procedimiento
para el
prstamo de
equipos

Encargado
del
departament
o de
sistemas
Personal
administrativ
o

respecto al hardware, se
deber actualizar el registro de
los equipos (visto en el
procedimiento de registro de
equipos)
Se contar con un firewall
debidamente configurado,
para que se filtren aquellos
sitios a los que los
funcionarios y usuarios podrn
tener acceso, as como para
proteger la red de datos de
usuarios malintencionados
Cuando un usuario externo o
un estudiante necesite usar un
equipo de la ESAP, deber
pedrsele una identificacin
que se le retendr mientras
haga uso del equipo