A5-1

A5. POLÍTICAS DE SEGURIDAD

Como medida de protección de la empresa contra accesos no autorizados,

seguridad de información y equipos de red, se sugerirá utilizar e implantar las
siguientes políticas de Seguridad:

De las cuentas de usuario y contraseñas

 Cambiar todas las cuentas y contraseñas por defecto que vienen en los
servidores y computadores de escritorio.
 Requerir siempre contraseñas para ingresar a todos los servidores.
 Autenticar tanto a usuarios locales como a usuarios remotos.
 Usar contraseñas alfanuméricas (números y letras) difíciles de adivinar.
 Limitar el número de intentos de acceso que un usuario puede hacer a tres,
luego de lo cual se debe establecer un umbral de 15 minutos para los
siguientes intentos.
 Desactivar las cuentas cuando los usuarios terminan su relación laboral con
la compañía.
 No dar a los usuarios acceso de “Administrador” o “root” a los equipos de
computación.
 El “login” habilitado para cada usuario se puede limitar a ciertas horas del
día.
 Usar Claves de Acceso que no estén asociadas a datos comunes del
usuario, tales como la fecha de nacimiento, apelativos, nombres de
familiares, etc.
 Cambiar de Clave de Acceso por lo menos una vez al mes. Aunque lo ideal
sería hacerlo una vez cada dos semanas.
 Deducir responsabilidades por mal uso

De la Seguridad Física

 Ubicar todos los computadores en áreas seguras

 Acceso limitado a copias de reportes impresos.
 Establecer limitaciones para acceso remoto
 A5-2

 Los administradores de Red, usuarios de estaciones de trabajo y usuarios

domésticos deberán actualizar en forma permanente los últimos parches de
los sistemas operativos.
 Es imperativo tener instalado un buen software antivirus, sin importar la
marca o procedencia y actualizar su registro de virus diariamente.
 Las carpetas compartidas, dentro de una red, deben tener una Clave de
Acceso, la misma que deberá ser cambiada periódicamente.
 Verificar cualquier software que haya sido instalado, asegurándose que
provenga de fuentes conocidas y seguras.
 No instalar copias de software pirata. Además de transgredir la Ley, pueden
contener virus, spyware o archivos de sistema incompatibles con el del
usuario, lo cual provocará su inestabilidad.
 Tomar precauciones con los contenidos de applets de Java, JavaScripts y
Controles ActiveX, durante la navegación, así como los Certificados de
Seguridad. Es recomendable configurar el navegador desactivando la
ejecución automática de estos contenidos.
 Instalar un Firewall de software o cualquier sistema seguro para controlar
los puertos de su sistema.
 No emplear los máximos privilegios en tareas para las que no sean
estrictamente necesarios.
 No almacenar información importante en el sistema. Si un intruso la
captura, puede borrar esos archivos y eliminar toda prueba, para
posteriormente usar los datos obtenidos. Es recomendable mantener esta
información en unidades ópticas o magnéticas.
 No se debe confiar en los archivos gratuitos que se descargan de sitios
Web desconocidos, ya que son una potencial vía de propagación de virus.
 Configurar el sistema para que muestre las extensiones de todos los
archivos.
 De ninguna manera se debe ejecutar ningún archivo con doble extensión.
 La aparición y desaparición de archivos, incluso temporales
injustificadamente, lentitud del sistema, bloqueos o re-inicios continuos,
desconexiones del modem, inicialización o finalización de programas o
procesos sin justificación, la bandeja del CD/DVD se abre y cierra sin
motivo alguno, el teclado, mouse u otro periférico dejan de funcionar, son
 A5-3

evidencias de que nuestro equipo está siendo controlado por un hacker que
ha ingresado a nuestro sistema con un troyano/backdoor.
 Se debe borrar constantemente los cookies, archivos temporales e historial,
en la opción Herramientas, Opciones de Internet, de su navegador.
 Es preferible navegar a través de un Proxy anónimo que no revele nuestra
identidad o adquirir un software de navegación segura como
Anonymizer, Freedom WebSecure, etc. que emplean sistemas de túneles
con direcciones IP de intercambio aleatorio.

Del Correo Electrónico

 Los usuarios son responsables de todas las actividades realizadas con las
cuentas de correo electrónico proporcionado por la empresa.
 Esta responsabilidad supone el cuidado de los recursos que integran dicha
cuenta y, particularmente, de los elementos, como la contraseña, que
pueden permitir el acceso de terceras personas a dicha cuenta, o a otros
recursos personales que utilicen ese identificador.
 Si se sospecha que la cuenta está siendo utilizada por una tercera persona,
hay que avisar inmediatamente al coordinador de Sistemas.
 No están permitidos los mecanismos y sistemas que intenten ocultar la
identidad del emisor de correo.
 No ejecutar ningún archivo contenido en un mensaje de correo no solicitado
o enviado por un remitente desconocido, así ofrezca atractivos premios o
temas provocativos. Mucho menos si estos archivos tienen doble extensión.
 No contestar los mensajes SPAM, ya que al hacerlo se re-confirmará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos, tales
como ofertas de premios, dinero, solicitudes de ayuda caritativa,
advertencia de virus de fuentes desconocidas, etc.
 Si el servidor no reconoce su nombre y clave de acceso o servicio de
correo, podría ser que ya esté siendo utilizado por un intruso. A menos que
haya un error en la configuración, la cual deberá ser verificada.
 Está prohibida la suplantación de identidad en el envío de mensajes de
correo electrónico, actividad tipificada como infracción.
 A5-4

 No se permitirá enviar cualquier tipo de correo electrónico no solicitado que

pueda provocar alguna queja de un usuario o área administrativa
(propagandas o cadenas).
 Estará prohibido y será de total responsabilidad del usuario publicar,
exponer, cargar, distribuir o diseminar cualquier tema, nombre, material o
información inapropiados, blasfemos, difamatorios, infractores, obscenos,
inmorales o ilegales.
 No se permitirá cargar archivos que contengan virus, archivos dañados,
programas que descarguen otros archivos, o cualquier otro programa o
software que pueda perjudicar el funcionamiento de los equipos de otros.
 Estará prohibido anunciar u ofrecer la venta o compra de cualquier bien o
servicio para cualquier fin comercial, a menos que la empresa lo permita.
 Es responsabilidad del usuario, consultar y en su caso, suprimir los
mensajes almacenados en su buzón electrónico, a fin de mantener la
capacidad suficiente de acuerdo a la capacidad que se le otorgue. Dichos
mensajes quedarán almacenados en el servidor hasta alcanzar la
capacidad máxima del buzón que se ofrezca.
 Una vez que se haya excedido esta capacidad, los nuevos mensajes
entrantes serán rechazados en forma automática, en virtud de lo cual el
Departamento de Sistemas no se hace responsable de los mensajes que
pudieran ser rechazados por la saturación de buzón de la cuenta.
 No es responsabilidad del Departamento de Sistemas, la velocidad de
descarga de los archivos de gran tamaño adjuntos en el correo electrónico.

De la Red de la empresa

 La red no es responsable por el contenido de datos ni por el tráfico que en

ella circule, la responsabilidad recae directamente sobre el usuario que los
genere o solicite.
 Nadie puede ver, copiar, alterar o destruir la información que reside en los
equipos de la empresa sin el consentimiento explícito del responsable del
equipo.
 A5-5

 Las cuentas de ingreso a los sistemas y los recursos de cómputo son

propiedad de la empresa y se usarán exclusivamente para actividades
relacionadas con la institución.
 Todas las cuentas de acceso a los sistemas y recursos de cómputo de la
compañía son personales e intransferibles, se permite su uso única y
exclusivamente durante la permanencia del usuario como empleado de la
institución.
 El uso de analizadores de red es permitido única y exclusivamente por el
personal del Departamento de Sistemas.
 Restringir toda la información de la empresa, incluyendo menús de ayuda,
hasta que los usuarios sean autenticados.
 Usar las últimas versiones de software tanto de cliente como de servidor.
 Grabar y revisar regularmente todos los reportes (logs) de seguridad
principalmente en los servidores.
 La información de carácter confidencial puede ser ubicada en la red con un
directorio de acceso restringido.

De uso aceptable de los usuarios

 Los recursos de cómputo empleados por el usuario:

o Deberán ser afines al trabajo desarrollado.
o No deberán ser proporcionados a personas ajenas.
o No deberán ser utilizados para fines personales.
 Todo usuario debe respetar la intimidad, confidencialidad y derechos
individuales de los demás usuarios.
 Para reforzar la seguridad de la información de su cuenta, el usuario debe
respaldar su información, dependiendo de la importancia y frecuencia de
modificación de la misma.
 Queda estrictamente prohibido inspeccionar, copiar y almacenar programas
de cómputo, software y demás fuentes que violen la ley de derechos de
autor.
 Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los
recursos de cómputo y red de la organización, de acuerdo con las políticas
que en este documento se mencionan.
 A5-6

 Los usuarios deberán solicitar apoyo al departamento de sistemas ante

cualquier duda en el manejo de los recursos de cómputo de la institución.

De los Servidores de la Red

 El departamento de sistemas tiene la responsabilidad de verificar la

instalación, configuración e implementación de seguridad, en los servidores
conectados a la red.
 La instalación y/o configuración de todo servidor conectado a la red deberá
ser notificada a los usuarios que dependan del mismo.
 Durante la configuración del servidor se deberá normar el uso de los
recursos del sistema y de la red, principalmente la restricción de directorios,
permisos y programas a ser ejecutados por los usuarios.
 Los servidores que proporcionen servicios a través de la red e Internet
deberán:
o Funcionar 24 horas del día los 365 días del año.
o Recibir mantenimiento preventivo semanal.
o Recibir mantenimiento mensual que incluya revisión y depuración de
logs.
o Recibir mantenimiento semestral que incluya la revisión de su
configuración.
o Ser monitoreados por el departamento de sistemas de la empresa.
 La información de los servidores deberá ser respaldada de acuerdo con los
siguientes criterios:
o Diariamente, los correos e información crítica.
o Semanalmente, los documentos Web.
o Mensualmente, configuración del servidor y logs.
 Los servicios institucionales hacia Internet sólo podrán proveerse a través
de los servidores autorizados por el departamento de sistemas.
 El departamento de sistemas es el encargado de asignar las cuentas a los
usuarios para el uso de correo electrónico en los servidores que administra.
 Los servidores deberán ubicarse en un área física que cumpla las
recomendaciones para un centro de telecomunicaciones:
o Acceso restringido.
 A5-7

o Temperatura adecuada.
o Protección contra variaciones de voltaje y cortes de energía eléctrica.
o Mobiliario adecuado que garantice la seguridad de los equipos.
 En caso de olvido de la contraseña por parte del usuario, el departamento
de sistemas dará soporte para el cambio de contraseña, no para
devolvérsela.

Del Departamento de Sistemas

 El departamento de sistemas es el encargado de suministrar medidas de

seguridad adecuadas contra la intrusión o daños a la información
almacenada en los sistemas así como la instalación de cualquier
herramienta, dispositivo o software que refuerce la seguridad en cómputo.
Sin embargo, debido a la amplitud y constante innovación de los
mecanismos de ataque no es posible garantizar una seguridad completa.
 El departamento de sistemas debe mantener informados a los usuarios y
poner a disposición de los mismos el software que refuerce la seguridad de
los sistemas de cómputo de la empresa.
 El departamento de sistemas es el único autorizado para monitorear
constantemente el tráfico de paquetes sobre la red, con el fin de detectar y
solucionar anomalías, registrar usos indebidos o cualquier falla que
provoque problemas en los servicios de la red.

Renovación de Equipos

 Se deberán definir los tiempos estimados de vida útil de los equipos de

cómputo y telecomunicaciones para programar con anticipación su
renovación.