Manual Politicas de Seguridad de La Informacion

MANUAL POLÍTICAS VERSIÓN FECHA
SEGURIDAD DE LA
INFORMACIÓN 1.0 Mayo de 2010
INFORMÁTICA
MANUAL DE POLÍTICAS
SEGURIDAD DE LA INFORMACIÓN
FUNDACIÓN EDITORIAL EL PERRO Y LA RANA
DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

POR:
Nabetse Viloria. FECHA CALIFICACIÓN
Mary Fonseca.
ING. DE SISTEMAS Joe Rivas. ING. ALFREDO AGREDA Mayo de
Carlos Oliveros. 2010
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
TABLA DE CONTENIDO
Contenido Pág.
Introducción 3
Historia del Documento 4
Objetivo General 5
Objetivos Específicos 5
Alcance 6
Justificación 6
Políticas de Seguridad de la Información 7
Política de Seguridad de Información para los Usuarios
Políticas de Seguridad Física 9
Políticas de Seguridad para la Administración de Operaciones de
Infraestructura IT. 10
Políticas de Controles de Acceso Lógico 14
Políticas de Cumplimiento de Seguridad Informática 15
Definiciones Básicas 17 - 26

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Introducción
El Manual Políticas de Seguridad de la Información de Fundación Editorial La

Rana, es un documento que permite especificar de manera simple; las directrices
de las líneas ejecutivas, en cuanto al uso y confidencialidad de la información
manejada por el personal que interactúa con los sistemas y herramientas
tecnológicas de la organización.
Se especifica claramente las responsabilidades, clasificación o perfiles de

usuarios, riesgos, niveles de toma de decisiones, trazas de auditoría, entre otros.
Se debe entender por seguridad de la información no sólo el aspecto lógico

sino también el física, pues la infraestructura IT debe contar con espacios
adecuados, de acuerdo a la normativa nacional e internacional que rige la materia
como lo son: ISO 9000, 10.000 y 14.000.
Se debe destacar en la legislación nacional la Ley Orgánica Contra Ilícitos

Tecnológicos que incluso abraca las directrices en cuanto a seguridad de los
archivos históricos a nivel de BD con los que debe contar, las organizaciones que
utilizan los sistemas como medio de almacenamiento de la información institucional.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Historia del Documento
Control de Cambios
Fecha de Fecha Versión Elaboró Naturaleza del

elaboración autorización cambio
30/05/2010 19/05/2010 1.0 Nabetse Viloria CREACIÓN
Revisado por
Área / Dirección Persona
Ingeniero Alfredo Agreda
Ingeniero Rafael Matos
Copia para
Área / Dirección Persona

Estudiantes de Ingeniería Equipo de Trabajo

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Objetivo General
El presente documento tiene como finalidad especificar las políticas de seguridad de

información, derivadas de las directrices dictaminadas por el personal ejecutivo de
Fundación Editorial La Rana, las cuales permitirán a la organización garantizar la
confidencialidad y control de la información y correcta utilización de las herramientas
tecnológicas utilizadas por el personal, en sus diferentes niveles de toma de decisión.
Objetivos Específicos
Consolidar en forma ordenada, secuencial y detallada, las políticas relacionadas a

las operaciones que se efectúan en el Área de Informática.
Establecer formalmente los métodos y técnicas de trabajo que deben seguirse para
asesorar y prestar soporte técnico a todas las áreas de Fundación La Rana en
materia de automatización, sistematización y procesamiento de datos, permitiendo
una mayor agilización y simplificación en la implantación, mantenimiento seguimiento
y control de los sistemas de información de la institución.
Precisar responsabilidades operativas de los usuarios y personal de sistemas que
interactúan con la información necesaria, para realizar las operaciones diarias de la
Fundación Editorial La Rana.
Facilitar las labores de auditoría, control interno, control de gestión y el monitoreo de
resultados del área, mejorando así la eficacia y eficiencia de los productos/servicios
finales del área.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Alcance
El presente documento abarca las políticas de seguridad de la información de

Fundación Editorial El Perro y La Rana pasando por la organización, planificación,
seguimiento y control de la seguridad física y lógica que garantiza la
confidencialidad de la información y el resguardo óptimo de la misma.
Justificación
El área de Tecnología de acuerdo a las directrices emanadas del personal

ejecutivo de Fundación Editorial El Perro y La Rana se encuentra facultada para el
diseño, desarrollo e implantación de las políticas de seguridad de la información
física y lógica, con la el objeto de garantizar, el manejo eficiente y la
confidencialidad de la información registrada, actualizada y desincorporada de los
sistemas organizativos.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Políticas de Seguridad de la Información
1. Las políticas de seguridad de la información de Fundación Editorial El Perro y La Rana

están basadas en la legislación venezolana, específicamente la Ley Especial Contra Los
Delitos Informáticos.
2. La confidencialidad y uso de la información de Fundación Editorial El Perro y La Rana está

basado en la Ley Sobre el Derecho de Autor vigente en Venezuela a partir del año 1.993.
Política de Seguridad de Información para los Usuarios
1. Los usuarios los sistemas de información de Fundación Editorial El Perro y La Rana deben
aceptar los convenios de seguridad y confidencialidad de la información; así como su uso
adecuado cumpliendo estrictamente con las directrices descritas den el presente
documento.
2. Las políticas de seguridad deben ser cumplidas, sin excepción por la totalidad de los
usuarios pertenecientes a las diferentes áreas y niveles de tomas de decisión que
conforman Fundación Editorial La Rana.
3. Los perfiles de usuarios definidos en la red y los sistemas de la Fundación Editorial El Perro
y La Rana son los siguientes:
Administrador.
Personal Ejecutivo.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Gerentes.
Jefes de Departamento / Coordinador.
Analistas.
Asistentes / Secretarias /Recepcionistas
4. Los usuarios de los sistemas de información deben comprometerse y acordar con

Fundación Editorial La Rana, a través de formato escrito garantizar la seguridad y
confidencialidad de la información contenida en sus sistemas y la red tecnológica en
general.
5. Los usuarios de los sistemas de información deben ser entrenados constantemente en el

uso de las herramientas tecnológicas y datos contenidos en la Base de Datos de Fundación
Editorial La Rana.
6. Las trazas de auditoría deben ser capaces de identificar el incumplimiento en el manejo de

los sistemas de información y herramientas tecnológicas.
7. Se considera una falta grave y causal de desincorporación o destitución de los funcionarios

las violaciones graves, robo, daño o divulgación de información confidencial perteneciente a
Fundación Editorial La Rana.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Políticas de Seguridad Física
1. El acceso a las áreas donde se encuentre la infraestructura IT, donde se resguarda la

información de Fundación Editorial El Perro y La Rana debe contar con un control de
acceso físico para el personal.
2. El acceso de terceros a las áreas de trabajo de la Fundación Editorial El Perro y La Rana

debe ser mediante control de acceso y en compañía de funcionarios de la organización.
3. El personal de Fundación Editorial La Rana, al detectar cualquier tipo de riesgo potenciales

o reales, para la información / equipos de computo y comunicaciones debe reportarlo de
inmediato al área de tecnología.
4. El personal de Fundación Editorial El Perro y La Rana tiene la obligación de proteger los

dispositivos de almacenamiento local y extraíbles contentivos de la información que corren
en los sistemas de la empresa.
5. Los equipos IT personales de los usuarios deben ser registrados en control de acceso al
momento de su entrada / Salida.
6. El centro de cómputo es un área restringida para el personal distinto a la Gerencia de

Tecnología.
7. Los movimientos de equipos de cómputo o telecomunicaciones sólo es realizado por la

Gerencia de infraestructura IT.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
8. El área de Clasificación de Activos Fijos y Gerencia de Infraestructura IT, debe categorizar y

controlar la existencia de equipos.
9. Las estaciones de trabajo no pueden ser utilizadas, como lugar de consumo para cualquier
tipo de alimentos y bebidas.
10. El resguardo o respaldo de la información, perteneciente a las procesos diarios ejecutados

por el usuario deben realizarse de inmediato y manteniendo un Back Office.
11. El mantenimiento de equipos IT, únicamente es potestad de la Gerencia de Infraestructura

de Fundación Editorial La Rana.
12. Los dispositivos de almacenamiento extraíble deben ser utilizados de acuerdo a las
políticas de seguridad física, pues allí se respalda información perteneciente a Fundación
Editorial La Rana.
13. El Equipo de cómputo o cualquier recurso de tecnología de información que sufra alguna
descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda
el equipo, deberá cubrir el valor de la reparación o reposición del equipo o accesorio
afectado. Para tal caso la Gerencia de Infraestructura IT a Usuarios determinará la causa
de dicha descompostura.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Políticas de Seguridad para la Administración de Operaciones de Infraestructura IT
1. El personal de Fundación Editorial El Perro y La Rana debe utilizar las herramientas e

infraestructura IT para garantizar la protección de información confidencial que motivado a
requerimientos mandatorios deban ser trasmitidos a través de la red interna, VPN y/o FTP.
2. La administración, seguimiento y control de la información contenida en carpetas

compartidas que reposen en los servidores debe encontrarse en custodia del gerente del
área usuaria.
3. La Gerencia de Administración de BD debe realizar el respaldo diario de la información

crítica, que garantiza la continuidad del negocio y operaciones de Fundación Editorial La
Rana.
4. Los respaldos de la información contenida en los sistemas de Fundación Editorial El Perro y

La Rana deben cumplir con las políticas de archivo que rigen el sector editorial tal como Ley
de Archivo Nacional vigente a partir de 1945 y la normativa IT vigente en nuestro país.
5. La instalación de software y/o herramientas tecnológicas debe ser sustentada y ajustada a

la legalidad y a las licencias adquiridas por la fundación a menos que sean aplicaciones
pertenecientes al software libre.
6. Los usuarios de las áreas de la Fundación Editorial El Perro y La Rana no deben

establecer redes de área local, conexiones remotas a redes internas o externas,
intercambio de información con otros equipos de cómputo utilizando el protocolo de

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
transferencia de archivos (FTP), sólo debe ser ejecutado por el área de Seguridad de
Información.
7. Las claves de acceso a la red de cada estación de trabajo es única e intransferible, por lo
cual los sistemas, correo, accesos a Internet, entre otras sólo pueden ser utilizadas por el
usuario asignado a la cuenta de red.
8. La Gerencia de Seguridad de la Información se reserva el derecho de acceder a los correos

electrónicos en los cuales se detecte uso inadecuado de la herramienta en cuanto a
contenido y fuga de información.
9. Los usuarios no deben tener acceso a la descarga de archivos distintos a los autorizados
por la Gerencia de Seguridad de la Información.
10. Los antivirus deben ser corridos en la red institucional tres veces al día, en las horas de
menos demanda de información.
11. Los usuarios no deberán alterar o eliminar, las configuraciones de seguridad para detectar
y/o prevenir la propagación de virus que sean implantadas por la FEPR en: Antivirus,
Outlook, office, Navegadores u otros programas.
12. El acceso a Internet será limitado a páginas corporativas, entes reguladores y correos
personales previa autorización del Gerente / Jefe de Área.
13. Los usuarios del servicio de navegación en Internet, al aceptar el servicio están aceptando
que:

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Serán sujetos de monitoreo de las actividades que realiza en Internet.

Saben que existe la prohibición al acceso de páginas no autorizadas.
Saben que existe la prohibición de transmisión de archivos reservados o
confidenciales no autorizados.
Saben que existe la prohibición de descarga de software sin la autorización de la
Gerencia de Seguridad de la Información.
La utilización de Internet es para el desempeño de su función y puesto en la
Fundación Editorial El Perro y La Rana no para propósitos personales.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Políticas de Controles de Acceso Lógico
1. El usuario es el custodio de su usuario y contraseña, asignados para acceder a la red de

Fundación Editorial El Perro y La Rana, la misma es de carácter intransferible.
2. La permisología de acuerdo a los niveles de usuario establecidos en el Capítulo I Política

de Estándares de Seguridad de Información para los Usuarios, debe ser gestionada por
la máxima autoridad del área a la cual pertenece el personal.
3. Los usuarios VPN sólo aplican para las líneas gerenciales altas, por lo cual la
administración de las mismas queda a potestad del área usuaria previa negociación con el
área tecnológica.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Políticas de Cumplimiento de Seguridad Informática
1. La Gerencia de Seguridad de la Información debe diseñar, desarrollar, proponer y revisar el

cumplimiento de normas y políticas de seguridad, que garanticen acciones preventivas y
correctivas para la salvaguarda de equipos e instalaciones de cómputo, así como la
custodia y resguardo de la base de datos de la Fundación.
2. Debido a la regulación existente en nuestro país en cuanto al resguarda de información y

derechos de autor ningún software o información debe ser respaldada o utilizada sin previa
autorización del autor o la compra de los derechos para usufructuar la herramienta.
3. La Gerencia de Tecnología podrá implantar mecanismos de control que permitan identificar

tendencias en el uso de recursos informáticos del personal interno o externo, para revisar la
actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal
uso de los recursos informáticos que se detecte será reportado de acuerdo a las políticas
de seguridad de los usuarios.
4. Las pruebas de fallas detectadas en la implementación de las políticas de seguridad de la

información serán realizadas solo por el personal de Tecnología, las personas distintas a
estas áreas que realicen este tipo de actividad serán sancionadas de acuerdo a lo
establecido en el presente documento y las leyes que rigen la materia.
5. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar,

ejecutar o intentar introducir cualquier tipo de código (programa) conocidos como virus,

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
gusanos ó caballos de Troya, diseñado para auto replicarse, dañar o afectar el desempeño
o acceso a las computadoras, redes o información

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
Definiciones Básicas
ANTIVIRUS: es un programa creado para prevenir o evitar la activación de los

virus informáticos, así como su propagación y contagio. Cuenta además con rutinas
de detención, eliminación y reconstrucción de los archivos y las áreas infectadas
del sistema.
ACCESO: Tipo específico de interacción entre un sujeto y un objeto que resulta en
el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un
objeto.
ACCESO FÍSICO: es la actividad de ingresar a un área.
ACCESO LÓGICO: es la habilidad de comunicarse y conectarse a un activo
tecnológico para utilizarlo, o bien usar su información.
ACCESO REMOTO: conexión de dos dispositivos de cómputo ubicados en
diferentes lugares físicos por medio de líneas de comunicación ya sean telefónicas
o por medio de redes de área amplia que permiten el acceso de aplicaciones e
información de la red. Este tipo de acceso normalmente viene acompañado de un
sistema robusto de autenticación
APLICACIÓN: acción que se realiza a través de un programa de manera directa
con el usuario. Navegadores, Chat, correo electrónico, etc. son algunos ejemplos
de aplicaciones en el medio de Internet.
ANTIVIRUS: programa que busca y eventualmente elimina los virus informáticos
que pueden haber infectado un disco rígido o disquete.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
ATAQUE: actividades encaminadas a quebrantar las protecciones establecidas de

un activo específico, con la finalidad de obtener acceso a ese activo y lograr
afectarlo.
ARCHIVO: una colección identificada de registros relacionados.
AUTORIZACIÓN: es el proceso de asignar a los usuarios permisos para realizar
actividades de acuerdo a su perfil o puesto.
BASE DE DATOS: Conjunto de registros relacionados entre sí por una clave
primaria y clave foránea.
CABLEADO ESTRUCTURADO: Infraestructura de cable única y completa,
destinada a transportar a lo largo y ancho de un edificio.
CICLO DE VIDA CLASICO PARA EL DESARROLLO DE SISTEMAS: El método
de ciclo de vida para el desarrollo de sistemas es el conjunto de actividades que los
analistas, diseñadores y usuarios realizan para desarrollar e implantar un sistema
de información. El método del ciclo de vida para el desarrollo de sistemas consta
de 6 fases:
1). Investigación Preliminar.
2). Determinación de los requerimientos del sistema.
3). Diseño del sistema.
4). Desarrollo de la Política.
5). Prueba de la Política.
6).Eliminación de la Política.
CONECTORES RJ-45: La RJ-45 es una interfaz física comúnmente usada para

conectar redes de cableado estructurado, (categorías 4, 5, 5e y 6).

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
CORREO ELECTRÓNICO: Es una herramienta que permite al usuario mantener

comunicación formal y escrita a través de una herramienta tecnológica.
CD: medio de almacenamiento de información.
CÓDIGO MALICIOSO: Hardware, software o firmware que es intencionalmente
introducido en un sistema con un fin malicioso o no autorizado. Un caballo de Troya
es ejemplo de un código malicioso.
COMPRIMIR (ZIP): Reducir el tamaño de los archivos sin que éstos pierdan nada
de su información. Zip es el nombre de la extensión que contiene un archivo
comprimido.
COMPUTADORA: Es un conjunto de dispositivos electrónicos que forman una
máquina electrónica capaz de procesar información siguiendo instrucciones
almacenadas en programas.
CONFIDENCIALIDAD: Se refiere a que la información no sea divulgada a personal
no autorizado para su conocimiento.
CONTROL DE ACCESO: Es un mecanismo de seguridad diseñado para prevenir,
salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un
activo tecnológico.
COPYRIGHT: Derecho que tiene un autor, incluido el autor de un programa
informático, sobre todas y cada una de sus obras y que le permite decidir en qué
condiciones han de ser éstas reproducidas y distribuidas. Aunque este derecho es
legalmente irrenunciable puede ser ejercido de forma tan restrictiva o tan generosa
como el autor decida.
DIAGNÓSTICO: Calificación del estado de un equipo informático.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
DISPOSITIVO DE ALMACENAMIENTO MASIVO: Es un hardware que permite el

almacenamiento de grandes cantidades de información a grandes velocidades de
procesamiento.
DESCARGAR: Acción de transferir información computarizada de una
computadora a otra.
DESCOMPRIMIR (UNZIP): Acción que se lleva a cabo después de haber
comprimido un archivo para regresarlo a su estado original.
DISCOS FLEXIBLES (DISKETTES): Medios de almacenamiento magnéticos de
información de 1.44 Mb llamados comúnmente discos de 3 ½.
DISCOS ÓPTICOS: Los discos ópticos son medios de almacenamiento de
información que presentan una capa interna protegida, donde se guardan los bits
mediante el uso de un rayo láser, éste al ser reflejado, permite detectar variaciones
microscópicas de propiedades “óptico-reflectivas” ocurridas como consecuencia de
la grabación realizada en la escritura. Un sistema óptico con lentes encamina el
haz luminoso, y lo enfoca como un punto en la capa del disco que almacena los
datos.
DISPONIBILIDAD: Se refiere a que la información esté disponible en el momento
que se requiera.
DOMINIO: Sistema de denominación de host en Internet. Conjunto de caracteres
que identifica y diferencian los diferentes sitios Web.
EQUIPOS INFORMÁTICOS: Componentes físicos relacionados con tecnología de
información (PC, Switch, Impresoras, entre otros).
EQUIPOS DE TELECOMUNICACIONES: Componentes físicos relacionados con
la comunicación de los equipos informáticos de una red en una empresa.
POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
ESTACIONES DE TRABAJO: Computadora personal de propiedad de una

empresa asignada a un trabajador para su desempeño en la empresa.
ENCRIPCIÓN: proceso matemático donde los datos de un mensaje, por seguridad,
son codificados para protegerlos de accesos no deseados. El término encripción
como tal, no existe en el lenguaje español, el término correcto es cifrado de datos.
FALTA ADMINISTRATIVA: es la consecuencia que resulta del incumplimiento de
la normatividad.
FREEWARE (SOFTWARE LIBRE): Programas que se pueden bajar desde
Internet sin cargo.
FTP: protocolo de transferencia de Archivos. Es un protocolo estándar de
comunicación, que proporciona un camino simple para extraer y colocar archivos
compartidos entre computadoras sobre un ambiente de red.
HARDWARE: se refiere a las características técnicas y físicas de las
computadoras.
HELP DESK / CAU: soporte técnico brindado a los usuarios telefónicamente, su
función es proveer conocimientos especializados de los sistemas de producción
para identificar y asistir en el ámbito / desarrollo de sistemas y en la resolución de
problemas.
HERRAMIENTAS DE SEGURIDAD: son mecanismos de seguridad automatizados
que sirven para proteger o salvaguardar a la infraestructura tecnológica de una
Comisión.
LOS ESTÁNDARES: son actividades, acciones, reglas o regulaciones obligatorias
diseñadas para proveer a las políticas de la estructura y dirección que requieren
para ser efectivas y significativas.
POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
INTERFAZ: Visualización grafica de una aplicación.

INTERNET: es la red de redes.
IMPACTO: magnitud del daño ocasionado a un activo en caso de que se
materialice una amenaza
INCIDENTE DE SEGURIDAD: cualquier evento que represente un riesgo para la
adecuada conservación de la confidencialidad, integridad o disponibilidad de la
información utilizada en el desempeño de nuestra función
INTEGRIDAD: se refiere a la pérdida o deficiencia en la autorización, totalidad o
exactitud de la información de la organización. Es un principio de seguridad que
asegura que la información y los sistemas de información no sean modificados de
forma intencional o accidental.
INTRUSIÓN: es la acción de introducirse.
MALTRATO, DESCUIDO O NEGLIGENCIA: son todas aquellas acciones que de
manera voluntaria o involuntaria el usuario ejecuta y como consecuencia daña los
recursos tecnológicos propiedad de Fundación Editorial La Rana.
MECANISMOS DE SEGURIDAD O DE CONTROL: es un control manual o
automático para proteger la información, activos tecnológicos, instalaciones, etc.
que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea
explotada, o bien ayude a reducir el impacto en caso de que sea explotada.
MEDIOS MAGNÉTICOS (MEDIOS DE ALMACENAMIENTO): son todos aquellos
medios en donde se pueden almacenar cualquier tipo de información (diskettes,
CDs, Cintas, Cartuchos, etc.).
MECANISMOS DE SEGURIDAD O DE CONTROL: es un control manual o
automático para proteger la información, activos tecnológicos, instalaciones, etc.
POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea
explotada, o bien ayude a reducir el impacto en caso de que sea explotada.
METODOLOGÍA: es un conjunto de procedimientos ordenados y documentados
que son diseñados para alcanzar un objetivo en particular y comúnmente son
divididos en fases o etapas de trabajo previamente definidas.
MÓDEM: es un aparato electrónico que se adapta una Terminal o computadora y
se conecta a una red de comunicaciones (red telefónica). Los módems convierten
los pulsos digitales de una computadora en frecuencias dentro de la gama de audio
del sistema telefónico. Cuando actúa en calidad de receptor, un módem decodifica
las frecuencias entrantes.
“NECESIDAD DE SABER”, PRINCIPIO O BASE: es un principio o base de
seguridad que declara que los usuarios deben tener exclusivamente acceso a la
información, instalaciones o recursos tecnológicos de información entre otros que
necesitan para realizar o completar su trabajo cumpliendo con sus roles y
responsabilidades dentro de la Comisión.
Nodo: Punto principal en el cual se les da acceso a una red a las terminales o
computadoras.
NORMATIVIDAD: conjunto de lineamientos que deberán seguirse de manera
obligatoria para cumplir un fin dentro de una organización
Página Web: ver sitio Web.
Parche (patch): un parche (algunas veces llamado Fix) son piezas de programación que
representan una solución rápida al software o sistema, para incrementar la seguridad o
incrementar la funcionalidad del mismo.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
PERIFÉRICOS: Se entenderá por periférico al conjunto de dispositivos que

permitan realizar operaciones de entrada/salida (E/S) complementarias al proceso
de datos que realiza una computadora o estación de trabajo.
CONTRASEÑA: secuencia de caracteres utilizados para determinar que un
usuario específico requiere acceso a una computadora personal, sistema,
aplicación o red en particular. Típicamente está compuesto de 6-10 caracteres
alfanuméricos.
QUEMADORA: un grabador de CD/DVD, escritor de CD/DVD o quemador de
CD/DVD es un dispositivo de disco usado para producir copias de discos legibles.
Un grabador de DVD produce discos de DVD que se pueden leer en reproductores
de vídeo o dispositivos de DVD-ROM. Los "grabadores" necesitan de un programa
especializado para poder reproducir los discos.
Respaldo: archivos, equipo, datos y procedimientos disponibles para el uso en
caso de una falla o pérdida, si los originales se destruyen o quedan fuera de
servicio.
Riesgo: es el potencial de que una amenaza tome ventaja de una debilidad de
seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la seguridad
de éste. Usualmente el riesgo se mide por el impacto que tiene y su probabilidad
de ocurrencia.
ROUTER: En castellano enrutador es un dispositivo de hardware para
interconexión de red de computadoras que opera en la capa tres (nivel de red).
Este dispositivo permite asegurar el enrutamiento de paquetes entre redes o
determinar la ruta que debe tomar el paquete de datos.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
SERVIDOR: Equipo informático cuyo propósito es proveer datos / servicios de

modo que otros equipos informáticos puedan utilizar esos datos/ servicios.
SISTEMA OPERATIVO: Un sistema operativo es un programa de sistema, es
decir, un conjunto de programas de computadora destinado a permitir una
administración eficaz de sus recursos. Comienza a trabajar cuando se enciende el
computador, y gestiona el hardware de la máquina desde los niveles más básicos,
permitiendo también la interacción con el usuario.
SWITCH: En castellano conmutador, es un dispositivo electrónico de interconexión
de redes de computadoras que opera en la capa (nivel de enlace de datos) del
modelo OSI (Open Systems Interconnection). Un conmutador interconecta dos o
más segmentos de red, funcionando de manera similar a los puentes (bridges),
pasando datos de un segmento a otro, de acuerdo con la dirección MAC de destino
de los datagramas en la red.
SOFTWARE: es programas y documentación de respaldo que permite y facilita el
uso de la computadora. El software controla la operación del hardware.
SOFTWARE ANTIVIRUS: aplicaciones que detectan, evitan y posiblemente
eliminan todos los virus conocidos, de los archivos ubicados en el disco duro y en
la memoria de las computadoras.
TARJETA INTELIGENTE: es una tarjeta de plástico del tamaño de una tarjeta de
crédito, que incorpora un microchip, en el cual se puede cargar datos como
números telefónicos anteriormente llamados, pagos realizados a través de medios
electrónicos y otro tipo de aplicaciones, las cuales pueden ser actualizadas para
usos adicionales.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.
SEGURIDAD DE LA
INFORMÁTICA
User-ID (identificación de usuario): se denomina al nombre de usuario con el

cual accedemos a una página o sistema en el que previamente nos hemos
registrado. Este nombre puede estar compuesto de letras, números o signos.
Usuario: este término es utilizado para distinguir a cualquier persona que utiliza
algún sistema, computadora personal, o dispositivo (hardware).
Virus: programas o códigos maliciosos diseñados para esparcirse y copiarse de
una computadora a otra por medio de los enlaces de telecomunicaciones o al
compartir archivos o diskettes de computadoras.
Vulnerabilidad: es una debilidad de seguridad o hueco de seguridad, el cual indica
que el activo es susceptible a recibir un daño a través de un ataque, ya sea
intencionado o accidental.

POR:
Mary Fonseca.
Irma Toro.
Ana Ezenbaum.

Manual Politicas de Seguridad de La Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Politicas de Seguridad de La Informacion

Cargado por

Copyright:

Formatos disponibles

MANUAL POLÍTICAS VERSIÓN FECHA

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

El Manual Políticas de Seguridad de la Información de Fundación Editorial La

Se especifica claramente las responsabilidades, clasificación o perfiles de

Se debe entender por seguridad de la información no sólo el aspecto lógico

Se debe destacar en la legislación nacional la Ley Orgánica Contra Ilícitos

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Historia del Documento

Fecha de Fecha Versión Elaboró Naturaleza del

Área / Dirección Persona

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

El presente documento tiene como finalidad especificar las políticas de seguridad de

Consolidar en forma ordenada, secuencial y detallada, las políticas relacionadas a

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

El presente documento abarca las políticas de seguridad de la información de

El área de Tecnología de acuerdo a las directrices emanadas del personal

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Políticas de Seguridad de la Información

1. Las políticas de seguridad de la información de Fundación Editorial El Perro y La Rana

2. La confidencialidad y uso de la información de Fundación Editorial El Perro y La Rana está

Política de Seguridad de Información para los Usuarios

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

4. Los usuarios de los sistemas de información deben comprometerse y acordar con

5. Los usuarios de los sistemas de información deben ser entrenados constantemente en el

6. Las trazas de auditoría deben ser capaces de identificar el incumplimiento en el manejo de

7. Se considera una falta grave y causal de desincorporación o destitución de los funcionarios

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Políticas de Seguridad Física

1. El acceso a las áreas donde se encuentre la infraestructura IT, donde se resguarda la

2. El acceso de terceros a las áreas de trabajo de la Fundación Editorial El Perro y La Rana

3. El personal de Fundación Editorial La Rana, al detectar cualquier tipo de riesgo potenciales

4. El personal de Fundación Editorial El Perro y La Rana tiene la obligación de proteger los

6. El centro de cómputo es un área restringida para el personal distinto a la Gerencia de

7. Los movimientos de equipos de cómputo o telecomunicaciones sólo es realizado por la

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

8. El área de Clasificación de Activos Fijos y Gerencia de Infraestructura IT, debe categorizar y

10. El resguardo o respaldo de la información, perteneciente a las procesos diarios ejecutados

11. El mantenimiento de equipos IT, únicamente es potestad de la Gerencia de Infraestructura

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Políticas de Seguridad para la Administración de Operaciones de Infraestructura IT

1. El personal de Fundación Editorial El Perro y La Rana debe utilizar las herramientas e

2. La administración, seguimiento y control de la información contenida en carpetas

3. La Gerencia de Administración de BD debe realizar el respaldo diario de la información

4. Los respaldos de la información contenida en los sistemas de Fundación Editorial El Perro y

5. La instalación de software y/o herramientas tecnológicas debe ser sustentada y ajustada a

6. Los usuarios de las áreas de la Fundación Editorial El Perro y La Rana no deben

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

8. La Gerencia de Seguridad de la Información se reserva el derecho de acceder a los correos

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Serán sujetos de monitoreo de las actividades que realiza en Internet.

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Políticas de Controles de Acceso Lógico

1. El usuario es el custodio de su usuario y contraseña, asignados para acceder a la red de

2. La permisología de acuerdo a los niveles de usuario establecidos en el Capítulo I Política

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS

Políticas de Cumplimiento de Seguridad Informática

1. La Gerencia de Seguridad de la Información debe diseñar, desarrollar, proponer y revisar el

2. Debido a la regulación existente en nuestro país en cuanto al resguarda de información y

3. La Gerencia de Tecnología podrá implantar mecanismos de control que permitan identificar

4. Las pruebas de fallas detectadas en la implementación de las políticas de seguridad de la

5. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar,

DOCUMENTADO ELABORADO POR: REVISADO POR: APROBACIÓN UPOMS