Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MANUAL DE POLÍTICAS
DE SEGURIDAD
TECNOLOGÍA DE LA
INFORMACIÓN (TI).
Tabla de Contenido
1. INTRODUCCIÓN....................................................................................................................3
2. OBJETIVO...............................................................................................................................4
3. CONCEPTOS TECNICOS......................................................................................................5
4. DOCUMENTOS DE REFERENCIA......................................................................................8
INFORMACIÓN........................................................................................................................21
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 3 de 20
(Pendiente)
1. INTRODUCCIÓN
Agencias Internacionales, S.A. desarrolla una plataforma tecnológica con las utilidades de
almacenar, procesar y transmitir la información interna de la empresa, incluye equipos de
cómputo de usuario y un servidor que se interconectan por medio de una red de datos local,
así como servicio de internet y correo electrónico empresarial. Siendo la información un
activo valioso para la Empresa, y es por esto que se debe involucrar y capacitar al personal
para proteger su integridad y confidencialidad.
La meta de este Manual de Seguridad de TI, es establecer y dar a conocer las Políticas de
Seguridad de Tecnología de la Información, que deben aplicar y acatar nuestros
colaboradores y contratistas de Agencias Internacionales, puesto que la responsabilidad por
la seguridad de la información es de todos.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 4 de 20
(Pendiente)
2. OBJETIVO
Concretar y efectuar las Políticas de Seguridad de Tecnología de la Información que dan las
pautas y rigen para la gestión, el uso adecuado y la seguridad de la información de los
sistemas informáticos y en general, sobre el ambiente tecnológico de Agencias
Internacionales, para que se apliquen y verifique periódicamente.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 5 de 20
(Pendiente)
3. CONCEPTOS TECNICOS.
6) Cifrado de datos: Proceso por el que una información legible se transforma mediante
un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto.
12) Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno
de los equipos de dicha red la administración de los usuarios y los privilegios que cada
uno de los usuarios tiene en la red.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 7 de 20
(Pendiente)
19) Recurso informático: Son todos aquellos componentes de Hardware y Software que
son necesarios para el buen funcionamiento y la optimización del trabajo.
20) Red de datos: Es un conjunto de ordenadores que están conectados entre sí, y
comparten recursos, información, y servicios.
25) Software de gestión: Son todos aquellos programas utilizados a nivel empresarial, que
por su definición genera acción de emprender algo y por su aplicación persigue fines
lucrativo y no lucrativo.
26) Tráfico de red: Es la cantidad de datos enviados y recibidos por los usuarios de la red.
4. DOCUMENTOS DE REFERENCIA
Las normas ISO son normas o estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que
se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a
cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el
comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.
ISO/IEC Vocabulario estándar para el SGSI para todas las normas de la familia. Se
27000 encuentra en desarrollo actualmente.
ISO/IEC Certificación que deben obtener las organizaciones. Norma que especifica los
27001 requisitos para la implantación del SGSI. Es la norma más importante de la familia.
Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los
procesos. Fue publicada como estándar internacional en octubre de 2005.
ISO/IEC Information Technology - Security Techniques - Code of Practice for Information
27002 Security Management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es
un código de buenas prácticas para la gestión de seguridad de la información. Fue
publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC
27002:2005 el 1 de julio de 2007.
ISO/IEC Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC
27003 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente.
ISO/IEC Métricas para la gestión de seguridad de la información. Es la que proporciona
27004 recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la
información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al
14
español actualmente.
ISO/IEC Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la
27005 información. Proporciona recomendaciones y lineamientos de métodos y técnicas de
evaluación de riesgos de Seguridad en la Información, en soporte del proceso de
gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual
British Standar BS 7799 parte 3. Publicada en junio de 2008.
ISO/IEC Requisitos para la acreditación de las organizaciones que proporcionan la certificación
27006 de los sistemas de gestión de la seguridad de la información. Esta norma específica
requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1,
la norma genérica de acreditación.
ISO/IEC Guía para auditar al SGSI. Se encuentra en preparación.
27007
ISO/IEC Guía para implementar ISO/IEC 27002 en la industria de la salud.
27799:200
8
SGC AICA- FTI-002 Check List de Verificación & Mantenimiento de Sistemas TIC
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 10 de 20
(Pendiente)
Contar por lo menos con dos extintores de incendio adecuado y cercano al cuarto de
telecomunicaciones.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 11 de 20
(Pendiente)
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 12 de 20
(Pendiente)
14
g. Ningún equipo debe salir de la empresa, por razones de control de equipos y riesgos
de virus o daño físico del mismo.
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 13 de 20
(Pendiente)
h. No tomar líquidos o comer encima o cerca del equipo. Riesgos de caer agua o
alimentos que llamen insectos.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 14 de 20
(Pendiente)
b. Las contraseñas de acceso deben poseer un mínimo de seis (6) caracteres y debe
contener al menos una letra mayúscula, una letra minúscula, un número y un
carácter especial (+-*/@#$%&). No debe contener vocales tildadas, ni eñes, ni
espacios.
14
c. Solamente puede solicitar cambio o restablecimiento de contraseña desde el
servidor el colaborador al cual pertenece dicho usuario, o el jefe inmediato mediante
solicitud motivada al correo electrónico del área de TIC´S.
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 15 de 20
(Pendiente)
d. Se debe evitar colocar objetos encima de los equipos de cómputo que obstruyan las
salidas de ventilación de la CPU del equipo (laptop).
b. Toda información que provenga de un archivo externo de la Entidad o que deba ser
restaurado tiene que ser analizado con el antivirus institucional vigente.
a. El control de los equipos tecnológicos deberá estar bajo la responsabilidad del área
de TI, así como la asignación de usuarios y la ubicación física.
g. El acceso a los sistemas de información y red de datos será controlado por medio de
nombres de usuario personales y contraseña. El área de TI será la encargada de crear
y asignar las cuentas de acceso y sus permisos a dominio de red, sistemas de
información y correo electrónico, previo cumplimiento del procedimiento
establecido para tal fin.
14
h. Las cuentas de acceso a sistemas, servicios y aplicaciones no podrán ser eliminadas
al retiro del colaborador, debe aplicarse la inactivación del usuario.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 18 de 20
(Pendiente)
b. Los clientes podrán conectarse a la red wifi proporcionada por Agencias para que
esperen su turno tranquilamente, pero la clave de acceso a wifi será cambiada cada
determinado tiempo para evitar así, problemas de latencia o congestión en la red.
8.1. Objetivo
Establecer las normas para la ejecución y control de las copias de seguridad de la información
digital perteneciente a Agencias Internacionales S.A.
8.2. Alcance
Información de la Empresa:
Entiéndase como información institucional aquella relativa a las operaciones realizadas por
cada una de las dependencias de Agencias Internacionales, S.A. su producción,
almacenamiento y gestión está a cargo de cada uno de los colaboradores. Información que se
encuentra alojada en los equipos de cómputo.
14
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 19 de 20
(Pendiente)
Bases de Datos:
Los archivos de restauración son la copia de las unidades necesarias para que se ejecute el
Sistema Operativo, son la herramienta para recuperar el Sistema Operativo de un error grave o
TIPO DE INFORMACIÓN FRECUENCIA DE COPIA
Información de la Empresa Una vez por semana
Bases de Datos Tres o 4 veces por semana
Archivos de Restauración del Sistema Semestral
restaurar el equipo si la unidad de disco duro o el equipo dejan de funcionar.
14
1. Backup completo: se hace un respaldo completo de todos archivos del equipo. El backup
abarca el 100% de los datos.
2. Backup incremental: se hace una copia de todos los archivos que han sido modificados
desde que fue ejecutado el último backup completo.
Vinculado al: MANUAL DE
POLÍTICAS GENERALES-MPG01
MANUAL DE POLÍTICAS DE
SEGURIDAD TI
Versión: 02
Fecha de aprobación:
Página 20 de 20
(Pendiente)
La página web de Agencias Internacionales, S.A. tiene como función principal proveer
información y servicios a las personas o clientes interesados en saber más sobre nosotros.
Cualquier usuario o cliente, puede acceder desde cualquier parte del mundo al sitio web de
agencias, sin contratiempos y sin solicitar ninguna información personal para su acceso. La
página web de Agencias, no solicita ningún pago o información de tarjetas o claves, por lo que
el usuario puede entrar de manera segura al sitio web www.aica.com.do.
Se presume que cuando un usuario o cliente accede al sitio web de Agencias Internacionales lo
hace bajo su total responsabilidad y que, por tanto, acepta plenamente y sin reservas el
contenido de los siguientes términos y condiciones de uso del sitio web de la entidad.
Si el usuario utiliza los servicios de la página web de Agencias, significa que ha leído,
entendido y aceptado sus términos. Si no está de acuerdo con ellos, tiene la opción de no
proporcionar ninguna información personal, o no utilizar el servicio de la página web.
14
El sitio web y su contenido son de propiedad intelectual de Agencias Internacionales, la
información allí suministrada solo y únicamente será para uso personal, está prohibido su
comercialización sin autorización.
Respecto a los contenidos que aparecen en el sitio web de Agencias, el usuario se obliga a:
d. Agencias Internacionales, S.A. no se hace responsable por el uso indebido que hagan
los usuarios del contenido de su sitio web.
e. El visitante o usuario del sitio web se hará responsable por cualquier uso indebido,
ilícito o anormal que haga de los contenidos, información o servicios del sitio Web.
f. El visitante o el usuario del sitio no alterará, bloqueará o realizará cualquier otro acto
que impida mostrar o acceder a cualquier contenido, información o servicios del sitio
web de Agencias Internacionales.
14
Los gerentes, supervisores, encargados y el departamento de TI, son responsables de conocer
y asegurar la implementación de las políticas de seguridad de Tecnología de la información,
dentro de sus áreas de responsabilidad, así como del cumplimiento de las políticas por parte de
su equipo de trabajo.
14