Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Políticas de Seguridad Informática 2013 GI PDF
Políticas de Seguridad Informática 2013 GI PDF
GESTION INTEGRAL
Moiss Bentez
Gerente de Tecnologa
1 Contenido
2 DISPOSICIONES GENERALES ........................................................................................................ 4
2.1 Definiciones ......................................................................................................................... 4
2.1.1 GI: Gestin Integral (GI)............................................................................................... 4
2.1.2 ABD .............................................................................................................................. 4
2.1.3 ATI................................................................................................................................ 4
2.1.4 Centro de Comunicaciones: ........................................................................................ 5
2.1.5 Comit ......................................................................................................................... 5
2.1.6 Contrasea .................................................................................................................. 5
2.1.7 DataCenter (Centro de Datos) ..................................................................................... 5
2.1.8 Gerencia ...................................................................................................................... 5
2.1.9 Gestor de Seguridad .................................................................................................... 6
2.1.10 Red............................................................................................................................... 6
2.1.11 Responsable de Activos ............................................................................................... 6
2.1.12 Solucin Antivirus ........................................................................................................ 6
2.1.13 Usuario ........................................................................................................................ 6
2.1.14 Virus informtico ......................................................................................................... 6
2.2 Alcance ................................................................................................................................ 6
2.3 Objetivos ............................................................................................................................. 7
2.4 Vigencia ............................................................................................................................... 8
2.5 Notificaciones de violaciones de seguridad ........................................................................ 8
2.6 Lineamientos para la adquisicin de bienes informticos .................................................. 9
2.6.1 Precio........................................................................................................................... 9
2.6.2 Calidad ......................................................................................................................... 9
2.6.3 Experiencia .................................................................................................................. 9
2.6.4 Desarrollo Tecnolgico ................................................................................................ 9
2.6.5 Estndares ................................................................................................................... 9
2.6.6 Capacidades................................................................................................................. 9
2.6.7 Software .................................................................................................................... 10
2.7 Licenciamiento .................................................................................................................. 12
Polticas de Seguridad Informtica
Pgina 2 de 36
2.8 Bases de datos ................................................................................................................... 12
2.9 Frecuencia de evaluacin de las polticas. ........................................................................ 12
3 POLITICAS DE SEGURIDAD FISICA .............................................................................................. 14
3.1 Acceso Fsico...................................................................................................................... 14
3.2 Proteccin Fsica................................................................................................................ 14
3.2.1 Data Center ............................................................................................................... 14
3.2.2 Infraestructura .......................................................................................................... 15
3.3 Instalaciones de equipos de cmputo .............................................................................. 15
3.4 Control ............................................................................................................................... 15
3.5 Respaldos .......................................................................................................................... 16
3.6 Recursos de los usuarios ................................................................................................... 16
3.6.1 Uso............................................................................................................................. 16
3.6.2 Derechos de Autor .................................................................................................... 17
4 POLITICAS DE SEGURIDAD LOGICA............................................................................................ 19
4.1 Red .................................................................................................................................... 19
4.2 Servidores .......................................................................................................................... 19
4.2.1 Configuracin e instalacin ....................................................................................... 19
4.2.2 Correo Electrnico ..................................................................................................... 20
4.2.3 Bases de Datos .......................................................................................................... 20
4.3 Recursos de Cmputo ....................................................................................................... 20
4.3.1 Seguridad de cmputo .............................................................................................. 20
4.3.2 Ingenieros de Soporte ............................................................................................... 21
4.3.3 Renovacin de equipos ............................................................................................. 21
4.4 Uso de Servicios de Red .................................................................................................... 22
4.4.1 Gerencias y Sedes ...................................................................................................... 22
4.4.2 Usuarios ..................................................................................................................... 22
4.5 Antivirus ............................................................................................................................ 25
4.5.1 Antivirus de la Red..................................................................................................... 25
4.5.2 Responsabilidad de los ATI ........................................................................................ 25
4.5.3 Cobertura .................................................................................................................. 25
4.5.4 Polticas Antivirus ...................................................................................................... 26
Polticas de Seguridad Informtica
Pgina 3 de 36
4.5.5 Control de Aplicaciones y Dispositivos ...................................................................... 28
4.5.6 Uso del Antivirus por los usuarios ............................................................................. 29
5 SEGURIDAD PERIMETRAL .......................................................................................................... 30
5.1 Firewall .............................................................................................................................. 30
5.2 Sistemas de Deteccin de Intrusos (IDS) ........................................................................... 30
5.3 Redes Privadas Virtuales (VPN) ......................................................................................... 31
5.4 Conectividad a Internet ..................................................................................................... 31
5.5 Red Inalmbrica (WIFI) ...................................................................................................... 32
5.5.1 Acceso a Funcionarios de Las Empresas: .................................................................. 32
5.5.2 Acceso a Invitados: .................................................................................................... 34
6 PLAN DE CONTINGENCIAS INFORMATICAS ............................................................................... 35
7 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD ................................................................. 36
7.1 Disposiciones ..................................................................................................................... 36
Polticas de Seguridad Informtica
Pgina 4 de 36
2 DISPOSICIONES GENERALES
2.1 Definiciones
2.1.2 ABD
2.1.3 ATI
Cualquier oficina dentro de Las Empresas que cuenten con equipamiento de cmputo,
telecomunicaciones o servidores.
2.1.5 Comit
Equipo integrado por La Gerencia, el Gestor de Seguridad, los Jefes de rea y el personal
administrativo de Las Empresas (ocasionalmente) convocados para fines especficos como:
2.1.6 Contrasea
2.1.8 Gerencia
Polticas de Seguridad Informtica
Pgina 6 de 36
Representante de nivel superior de Las Empresas que a su vez integra el comit de
seguridad. Bajo su administracin estn la aceptacin y seguimiento de las Polticas de
Seguridad.
2.1.10 Red
Personal del rea administrativa de Las Empresas, que velar por la seguridad y correcto
funcionamiento de los activos informticos, as como de la informacin procesada en stos,
dentro de sus respectivas reas. Esta persona debe mantener el inventario fsico al da,
velar por que todos los activos tengan sus respectivas plizas de seguros bajo los
parmetros entregados por La Gerencia.
Recurso informtico empleado para solucionar problemas causados por virus informticos.
2.1.13 Usuario
Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologas de
informacin proporcionadas por Las Empresas tales como equipos de cmputo, sistemas
de informacin, redes de telemtica.
2.2 Alcance
Polticas de Seguridad Informtica
Pgina 7 de 36
Este manual de polticas de seguridad es elaborado de acuerdo al anlisis de riesgos y de
vulnerabilidades en las dependencias de Las Empresas, por consiguiente el alcance de
estas polticas se encuentra sujeto a Las Empresas.
Control de acceso (aplicaciones, base de datos, rea del Centro de Cmputo, sedes
de Las Empresas filiales).
Resguardo de la Informacin.
Clasificacin y control de activos.
Gestin de las redes.
Gestin de la continuidad del negocio.
Seguridad de la Informacin en los puestos de trabajo.
Controles de Cambios.
Proteccin contra intrusin en software en los sistemas de informacin.
Monitoreo de la seguridad.
Identificacin y autenticacin.
Utilizacin de recursos de seguridad.
Comunicaciones.
Privacidad.
2.3 Objetivos
Planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad
fsica de los recursos informticos, as como resguardar los activos de Las Empresas.
Los objetivos que se desean alcanzar luego de implantar las Polticas de Seguridad son los
siguientes:
2.4 Vigencia
Todas estas amenazas estn en continuo proceso de expansin, lo que, unido al progresivo
aumento de los sistemas de informacin y dependencia del negocio, hace que todos los
sistemas y aplicaciones estn expuestos a riesgos cada vez mayores, que sin una
adecuada gestin de los mismos, pueden ocasionar que su vulnerabilidad se incremente y
consiguientemente los activos se vean afectados. Todo empleado es responsable del
cumplimiento de los estndares, directrices y procedimientos de control de acceso, as
como tambin notificar a su nivel jerrquico superior, cuando por algn motivo no pueda
cumplir con las Polticas de Seguridad indicando el motivo por el cual no le es posible
apegarse a la normativa de seguridad. Cabe destacar que este nivel de responsabilidad va
a ser conocido por las diferentes reas de Las Empresas quienes sern las garantes de
que esta informacin sea conocida por cada integrante de rea.
Est fundamentado como una exigencia que el personal de la organizacin conozca sus
responsabilidades, sanciones y medidas a tomar al momento de incurrir en alguna violacin
o falta, escrita en las Polticas de Seguridad firmado por el empleado o proveedor o
cualquier empresa del grupo. Por esta razn se entender que slo una adecuada poltica
de seguridad tecnolgica apoyar la concientizacin para obtener la colaboracin de los
empleados, hacindoles conscientes de los riesgos que podemos correr y de la importancia
del cumplimiento de las normas.
Polticas de Seguridad Informtica
Pgina 9 de 36
2.6 Lineamientos para la adquisicin de bienes informticos
Toda adquisicin de tecnologa informtica se efectuar a travs del Comit. Los ATI, al
planear las operaciones relativas a la adquisicin de bienes informticos, establecern
prioridades y en su seleccin deber tomar en cuenta:
2.6.1 Precio
Costo inicial, costo de mantenimiento y consumibles por el perodo estimado de uso de los
equipos.
2.6.2 Calidad
2.6.3 Experiencia
2.6.5 Estndares
2.6.6 Capacidades
2.6.7 Software
MS-Windows
Mac OS-X
Polticas de Seguridad Informtica
Pgina 11 de 36
MS-SQL
MySQL
MS .NET
PHP
Dreamweaver
Fireworks
Microsoft Office
Oppen Office
iWork
Symantec
Google Apps
Internet Explorer
Mozilla Firefox
Google Chrome
2.6.7.8 Diseo
Todos los productos de Software que se utilicen debern contar con su factura y
licencia de uso respectiva; por lo que se promover la regularizacin o eliminacin
de los productos que no cuenten con el debido licenciamiento.
El rea de Tecnologa promover y propiciar que la adquisicin de software de
dominio pblico provenga de sitios oficiales y seguros.
Para la operacin del software de red en caso de manejar los datos empresariales mediante
sistemas de informacin, se deber tener en consideracin lo siguiente:
Se evaluarn las polticas del presente documento, con una frecuencia anual por el Comit
Polticas de Seguridad Informtica
Pgina 13 de 36
Las polticas sern evaluadas por los ATI con una frecuencia semestral.
Polticas de Seguridad Informtica
Pgina 14 de 36
3 POLITICAS DE SEGURIDAD FISICA
Las Empresas destinarn un rea que servir como centro de telecomunicaciones donde
ubicarn los sistemas de telecomunicaciones y servidores.
Las visitas internas o externas podrn acceder a las reas restringidas siempre y cuando
se encuentren acompaadas cuando menos por un responsable del rea de tecnologa o
con permiso de los ATI.
El DataCenter deber:
3.2.2 Infraestructura
3.4 Control
Los ATI deben llevar un control total y sistematizado de los recursos de cmputo y
licenciamiento.
Los encargados del rea de tecnologa son los responsables de organizar al
personal encargado del mantenimiento preventivo y correctivo de los equipos de
cmputo.
El rea de Recursos Humanos de GI deber reportar a los ATI cuando un usuario
deje de laborar o de tener una relacin con Las Empresas con el fin de retirarle las
Polticas de Seguridad Informtica
Pgina 16 de 36
credenciales de ingreso a los recursos y supervisar la correcta devolucin de los
equipos y recursos asignados al usuario.
El usuario, en caso de retiro, deber tramitar ante el rea de Tecnologa el paz y
salvo correspondiente.
3.5 Respaldos
3.6.1 Uso
Los usuarios debern cuidar, respetar y hacer un uso adecuado de los recursos de
cmputo y Red de Las Empresas, de acuerdo con las polticas que en este
documento se mencionan.
Los usuarios debern solicitar apoyo al rea de Tecnologa ante cualquier duda en
el manejo de los recursos de cmputo de Las Empresas.
El correo electrnico no se deber usar para envo masivo, materiales de uso no
institucional o innecesarios (entindase por correo masivo todo aquel que sea ajeno
a la Las Empresas, tales como cadenas, publicidad y propaganda comercial,
poltica, social, etctera).
Polticas de Seguridad Informtica
Pgina 17 de 36
3.6.2 Derechos de Autor
Para asegurarse de no violar los derechos de autor, no est permitido a los usuarios copiar
ningn programa instalado en los computadores de las Empresas bajo ninguna
circunstancia sin la autorizacin escrita de la Gerencia o de la Gerencia de Tecnologa de
GI. No est permitido instalar ningn programa en su computadora sin dicha autorizacin o
la clara verificacin de que La Empresa posee una licencia que cubre dicha instalacin.
4.1 Red
4.2 Servidores
Los servicios hacia Internet slo podrn proveerse a travs de los servidores
autorizados por los ATI.
Los ATI se encargarn de asignar las cuentas a los usuarios para el uso de correo
electrnico en los servidores que administra.
Para efecto de asignarle su cuenta de correo al usuario, el rea de Recursos
Humanos deber llenar una solicitud en formato establecido para tal fin y entregarlo
al rea de Tecnologa, con su firma y la del Gerente del rea.
La cuenta ser activada en el momento en que el usuario ingrese por primera vez a
su correo y ser obligatorio el cambio de la contrasea de acceso inicialmente
asignada.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres.
Se debern definir los tiempos estimados de vida til de los equipos de cmputo y
telecomunicaciones para programar con anticipacin su renovacin.
Cuando las reas requieran de un equipo para el desempeo de sus funciones ya
sea por sustitucin o para el mejor desempeo de sus actividades, estas debern
realizar una consulta al rea de Tecnologa a fin de que se seleccione el equipo
adecuado. Sin el visto bueno de Tecnologa no podr liberarse una orden de
compra.
Polticas de Seguridad Informtica
Pgina 22 de 36
4.4 Uso de Servicios de Red
4.4.2 Usuarios
4.5 Antivirus
Todos los equipos de cmputo de Las Empresas debern tener instalada una
Solucin Antivirus.
Peridicamente se har el rastreo en los equipos de cmputo de Las Empresas, y
se realizar la actualizacin de las firmas de antivirus proporcionadas por el
fabricante de la solucin antivirus en los equipos conectados a la Red.
4.5.3 Cobertura
4.5.3.2 Servidores
Para simplificar la instalacin del agente SEPM, se pondr a disposicin del equipo de
soporte los agentes de instalacin clasificados como Desktop, Porttiles y Servers en
versiones:
Todos los equipos de cmputo conectados a la red corporativa deben tener instalado y
debidamente actualizado SEPM, con el fin de que esto sea cumplido, cualquier proceso
interno de asignacin y/o rotacin de equipos de cmputo le corresponde una lista de
chequeo para su alistamiento, lista dentro de la cual se encuentra debidamente registrado
la instalacin y/o validacin de SEPM. La desinstalacin de SEPM se encuentra restringida
a la validacin de clave de desinstalacin, la cual se encuentra a disposicin nicamente
del equipo de soporte interno.
PROGRAMACIN
SERVICIO Desktop, Porttiles,
Servidores
Mac 104
4.5.4.2 Autoprotect
ACCIONES
Segunda
DESCRIPCION
Tipo de
Primera (De fallar la
Deteccin
primera)
4.5.4.3 Descargas
ACCIONES
DESCRIPCION
Tipo de
Primera Segunda
Deteccin
Archivos
Borrar Cuarentena
Anlisis de Riegos potenciales basados en maliciosos
reputacin con nivel de sensibilidad
intermedia, que permite tener un numero No probados Sugerir N/A
bajo de falsos positivos sin comprometer el
desempeo de los computadores
4.5.4.4 Sonar:
ACCIONES
DESCRIPCION Alto Bajo
Tipo de Deteccin
riesgo Riesgo
ACCIONES
SERVICIO DESCRIPCION Tipo de
Primera Segunda
Deteccin
4.5.4.6 Firewall
5.1 Firewall
Los ATI implementarn soluciones lgicas y fsicas que impidan el acceso no autorizado a
los equipos de Las Empresas:
Los usuarios mviles y remotos de Las Empresas podrn tener acceso al a red
interna privada cuando se encuentren fuera de La Empresa alrededor del mundo en
cualquier ubicacin con acceso al Internet pblico, utilizando las redes privadas
VPN IPSec habilitadas por el rea de Tecnologa.
Los ATI sern los encargados de configurar el software necesario y asignar las
claves a los usuarios que lo soliciten.
5.5.1.2 Seguridad
Polticas de Seguridad Informtica
Pgina 33 de 36
A pesar de que se han establecido sistemas de encriptacin de datos mediante el
uso de seguridad WPA2-AUTO-PSK, NO SE RECOMIENDA hacer uso de tarjetas
de crdito para compras.
Los ATI determinarn las medidas pertinentes de seguridad para usar las redes
inalmbricas.
Los ATI se reservan el derecho de llevar un registro de los eventos asociados a la
conexin de los diferentes usuarios para asegurar el uso apropiado de los recursos
de red.
No se deben realizar intentos de ingreso no autorizado a cualquier dispositivo o
sistema de la red inalmbrica. Cualquier tipo de ingreso no autorizado es una
prctica ilegal y ser.
No se debe hacer uso de programas que recolectan paquetes de datos de la red
inalmbrica. Esta prctica es una violacin a la privacidad y constituye un robo de
los datos de usuario, y puede ser sancionado.
Con la finalidad de evitar responsabilidades, en caso de que algn usuario haga
cambio de cualquiera de los equipos previamente dado de alta, este necesariamente
deber comunicar a los ATI para su respectiva baja del equipo de la red inalmbrica.
5.5.1.3 Tecnologa
La red inalmbrica de Las Empresas usa el estndar 802.11b/g/n con cifrado WPA2.
Por lo tanto las tarjetas de red inalmbrica deben poseer la certificacin Wi-Fi de
este estndar y soportar los requerimientos descritos. Caso contrario se debe
realizar algunas actualizaciones previas de tratarse de un computador porttil.
A pesar de que se usan amplificadores de seal, la cobertura queda sujeta a
diversos factores, por lo que NO SE GARANTIZA en ninguna forma el acceso desde
cualquier punto fuera de cobertura de Las Empresas.
Slo ser soportado el protocolo TCP/IPV.4 en la red inalmbrica.
El rea de Tecnologa se reserva el derecho de limitar los anchos de banda de cada
conexin segn sea necesario, para asegurar la confiabilidad y desempeo de la
red y de esta manera garantizar que la red sea compartida de una manera equitativa
por todos los usuarios de Las Empresas.
No se permiten la operacin ni instalacin de puntos de acceso (access points)
conectados a la red cableada de Las Empresas sin la debida autorizacin por parte
los ATI.
No se permite configurar las tarjetas inalmbricas como puntos de acceso o la
configuracin de equipos como servidores adicionales.
Con la finalidad de hacer un buen uso de la red inalmbrica, se aplicarn las siguientes
prohibiciones:
5.5.1.5 Excepciones
Los ATI crearn para los departamentos un plan de contingencias informticas que
incluya al menos los siguientes puntos:
7.1 Disposiciones