UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS

DEL VALLE DE SULA

Catedrático: Lic. Darlin Noe Madrid

Asignatura: Administración pública y políticas de informática

Sección: 18:00

Nombre #Cuenta

Carlos Roberto Rivera 20142005529

Mercy Alejandra Paredes 20162031106

Branly Anhtobely Flores 20132002708

Yolanda Carolina Mejia 20070007495

Marvin Monnar 20122005564

Julio de 2022, S. P.S

 INTRODUCCIÓN

El presente Manual de Políticas y Procedimientos es llevado a cabo con fines educativos

con el objetivo de poder conocer, implementar y llevar a cabo los diferentes
procedimientos y políticas que se deben aplicar para las buenas prácticas en toda una
empresa u organización, para evitar o tratar de minimizar los distintos problemas que se
puedan dentro de la empresa u organización.

Este Manual quiere dar a conocer el acceso razonable los diferentes recursos que ofrece
el internet, que debe tener propósito educativo o empresarial y que debemos dar un uso
responsable y apropiado.
 Objetivo General

 El objetivo general del manual de políticas y procedimientos es aplicar medidas

de seguridad en los sistemas de información para llevar a cabo acciones que no
tengan errores en una empresa y tener la información con disponibilidad siendo
un instrumento que sirva para la orientación para el personal.
 Objetivos Específicos

 Crear y definir las políticas generales y específicas que faciliten la ejecución de

las actividades de tecnología de la información en las diferentes áreas de la
Institución.

 Promover el uso adecuado de los recursos humanos, materiales y activos

tecnológicos adecuados.

 Normar los procesos de información con la finalidad de mejorar el rendimiento de

la empresa.

 Establecer las políticas para resguardo y garantía de acceso apropiado de la

información. Incorporar medidas de seguridad en los sistemas de información
desde su desarrollo e implementación y durante su mantenimiento, con el fin de
reducir los riesgos de error humano y sucesos de origen natural.
 Alcance
 Este manual abarcara las políticas que serán aplicadas en la organización para
su adecuada regulación. Es preciso expresar generalidades para llevar a cabo
acciones que deben realizarse en cada unidad administrativa y de esta manera
agilizar el proceso decisorio.

Autorización

 El presente manual de políticas y procedimientos podría ser autorizado por las

empresas, previo a revisión y verificación de las personas correspondientes.
 Introducción del uso de internet

Propósito

 Se reconoce el uso de internet como una herramienta de trabajo que nos ayuda a
facilitar las comunicaciones y permite realizar diferentes gestiones con clientes,
proveedores por medio de uso y de herramientas que requieren de uso como,
correo electrónico, páginas webs necesarias para que los usuarios realicen sus
labores al igual que permite que la empresa sea más competitiva
 El propósito de esta política es establecer normas que garanticen el uso seguro y
apropiado del acceso a internet, lo cual garantiza el buen funcionamiento del
mismo.

Normas y controles

 Em la empresa el encargado de monitorear y controlar el tráfico de red es el

departamento de IT y serán quienes aplicarán normas y estándares
internacionales con los que la empresa debe cumplir.

 El uso de este recurso se otorgará únicamente siguiendo el debido proceso por

medio de soporte IT, para activar el acceso al usuario al cual su función justifique
el uso del recurso, el cual será sometido por su supervisor, el mismo se someterá
a un monitoreo activo por parte del software dedicado y el departamento de IT, de
su historial de navegación y/o comunicaciones externas.

Prohibiciones

 De ninguna manera se podrá acceder a páginas web de entretenimiento, pornografía o

fuera del contexto laboral.
 El usuario no deberá bajar (o copiar) archivos de la red sin autorización de la Oficina de
Informática y Sistemas.
 No debe usarse el Internet para acceder a redes sociales (Facebook, Twitter, etc.).
 El usuario no debe bajar ningún programa ni ejecutar (software), sin la debida autorización
de la Oficina de Informática y Sistemas, tales como: Shareware, software de evaluación,
programas de entretenimiento, etc., ya que estos no poseen licencia para su uso y pueden
ocasionar daños a los sistemas e información alojados en los
equipos.
 El usuario no debe instalar ningún programa para entretenimiento como, por ejemplo:
música (MP3, RA, WAV); emisoras de radio vía Internet. para ver vídeos o emisoras de
televisión vía Internet.
 No debe usarse el Internet para realizar llamadas locales, nacionales o internacionales.
 No se puede realizar ningún tipo de compras a través del internet institucional.
 Todos los empleados que tenga acceso a la Internet que realicen
actividades no autorizadas, podrán estar sujeto a investigaciones disciplinarias, de
acuerdo con el rol que cumple en el entorno el departamento de IT.
 Al ser encontrado algún Empleado haciendo mal uso al Internet, el departamento de IT o
quien lo detecte procederá a comunicarle al, Jefe, Coordinador o Supervisor sobre el mal
uso que se le está dando a Internet en su área.

Procedimientos

 Todo usuario que por su función requiera hacer uso del internet su supervisor
deberá haber sometido con anticipación la solicitud de este justificando dicho
acceso al departamento de IT quien es el encargado de procesarla y velar por que
la seguridad del sistema para evitar fallas este debe tener y cumplir lo siguiente.
 El equipo de computación deberá contar con software antivirus.
 El firewall debe estar activo.
 Todo equipo conectado a la red deberá estar actualizado tanto su sistema
operativo como su software de antivirus.
 Todo esto para asegurar que la conexión del usuario sea segura.
 Copias de respaldo

Propósito

 La recuperación de sistemas resulta necesaria posterior a la interrupción del

servicio. Estas no siempre se deben a factores extraordinarios, sino que, pueden
surgir de un mal funcionamiento del sistema, errores humanos u otras fallas, que
producen un tiempo de caída del sistema comparativamente menor al que
produciría un desastre.
 En tales circunstancias se exige una acción rápida para recuperar el estado
operativo anterior a la ocurrencia del siniestro. Esta acción rápida puede
desarrollarse si se cuenta con el respaldo adecuado de la información, esto es, la
información que reside en el sistema resguardada en algún otro dispositivo como
cintas, Cd´s, cartridge, etc. Los procedimientos de resguardo (backups) y
recuperación (recovery) de la información tienen el propósito de preparar a la
Organización para dichas situaciones.

Normas y controles

 Todo sistema deberá contar con la documentación de los procedimientos de

resguardo y recuperación antes de entrar en producción.

 La misma será controlada por el área responsable de la Seguridad Informática

para verificar que es clara, completa y contempla como m ínimo la recuperación
de los elementos
 El reemplazo de los servidores críticos.

 El sistema operativo y su configuración (parámetros, file systems, particiones,

usuarios y grupos, etc.).
Prohibiciones

 Dejar el backup en el mismo equipo en el que estaban los archivos originales

 No controlar los archivos del backup
 No ejecutar el backup periódicamente

Procedimientos

 Selección del material clave a respaldar: información irremplazable, de gran valía

económica, etc.

 En un sistema seguro de acuerdo con las posibilidades del individuo o de la

organización. Si es posible, se debe hacer un respaldo local (propio) y un respaldo
externo (en otra empresa o servicio) que resulte conveniente.

 Del respaldo tomando en cuenta los datos modificados de la información a guardar

y la frecuencia con que se los modifica, de modo que el backup esté siempre lo
más al día posible y la pérdida de información se minimice.

Contraseñas

Propósito

 Por la seguridad de los servicios y sistemas en los que existen cuentas de

usuarios, debemos de garantizar la que las credenciales de autenticación se
generan, actualizan y revocan de forma óptima y segura.

 En el control de accesos el nombre de usuario nos identifica y la contraseña nos

autentica (con ella se comprueba que somos quienes decimos ser). Todo sistema
de autenticación de usuarios se basa en la utilización de uno, o varios.
Normas y controles

 El proceso de identificación consiste en otorgarle a cada usuario legalmente

reconocido, un código o nombre que lo identifica ante el sistema; este identificador
puede ser, por ejemplo, su propio nombre o una derivación de él.
 La etapa de autenticación, consistente en utilizar algún método que le brinde al
usuario la posibilidad de demostrar que es quien dice ser y no un usurpador. En
los sistemas actuales se utilizan tres métodos para resolver este problema y se
basan en algo que solo el usuario sabe, tiene o es.

Prohibiciones

 No elegir contraseña, o continuar empleando la proporcionada por defecto por

desarrolladores o fabricantes.
 Utilizar información personal en la contraseña: nombre y apellidos del usuario, de
familiares o conocidos, personajes de ficción o lugares frecuentados, fecha de
nacimiento, números del DNI, teléfono o matrícula del auto, entre otros.
 Enviar la contraseña por correo electrónico o en un SMS, o mencionarla en una
conversación o comunicación de cualquier tipo.
 Escribir las contraseñas en ordenadores en los que se desconoce su nivel de
seguridad, y puedan estar monitoreados.
 Compartir la contraseña.

Procedimientos

 Gestión de Contraseñas definir un sistema de gestión de contraseñas avanzados

que contempla todos los aspectos relativos a su ciclo de vida.
 Técnicas de autenticación externas debemos considerar la utilización de sistemas
de autenticación externos descentralizados.
 Cambiar la contraseña de forma periódica. Reseteo de contraseñas.
  Se deben tener documentadas las solicitudes de creación e inhabilitación de
cuentas y las solicitudes de reinicio de contraseñas. Junto con lo anterior, se debe
tener almacenado la documentación de entrega de cuentas y acceso de terceros.

Correo Electrónico

Propósito

 Permite enviar y recibir mensajes de cualquiera de los usuarios de internet en el

mundo. Se pueden transferir información como texto, imágenes, sonido.
 Garantizar que los usuarios utilicen el correo electrónico de una manera
consonante con los objetivos de la compañía.
 Asegurar que los colaboradores /usuarios sean responsables de sus acciones por
correo electrónico.

Normas y controles

 Respete la privacidad de los mensajes y el destinatario.

 Incluya siempre en su correo un “ASUNTO” del mensaje.
 No difundir un correo no solicitado
 No abrir ficheros. Si desconoce la procedencia del remitente procura no abrirlos y
menos cuando tengan la extensión .EXE.

Prohibiciones

 No inscribirse en sitios web y servicios ilegales, pocos fiables, de amala reputación

o sospechosos.
 No enviar contenidos de marketing o correos electrónicos de solicitud no
autorizados.
 No enviar mensajes y contenidos insultantes o discriminatorios.
 El uso inadecuado (acoso o intimidación vía correo electrónico).
Procedimientos

 Regístrese en la cuenta con el dominio de la compañía.

 Coloque el usuario, contraseña que le fue asignada por el departamento IT es
única y exclusiva.
 La cuenta de correo es intransferible.
 El depto. De IT es responsable de desarrollar todas las acciones necesarias para
mantener el servicio operativo.
 Aunque el departamento encargado de acciones operativas no se realizará
monitoreo o inspecciones de las cuentas sin el consentimiento del responsable de
las mismas.

Separación de Ambientes

Propósito
Tiene como objetivo reducir el riesgo de cambios o accesos no autorizados en el
ambiente de producción. Los ambientes de desarrollo, prueba y operación
estarán separados preferentemente en forma física y se definirá y documentará
las reglas para la transferencia de software desde el estado de desarrollo hacia el
estado operativo. Cada ambiente tiene su propia base de datos y su copia de los
binarios de la aplicación de forma que no haya interferencias en los ambientes y
entre los diferentes participantes en la construcción del software.

Normas y controles
La introducción de nuevos sistemas y los principales cambios a los sistemas
existentes deben seguir un proceso formal de documentación, especificaciones,
pruebas, control de calidad e implementación administrada.
 Para sistemas relevantes, se debe incluir una evaluación de riesgos, análisis de
los impactos de los cambios a introducir y la especificación de los controles de
seguridad necesarios.
Se debe cautelar que los controles de Seguridad de la Información existentes no
se vean comprometidos.
Se debe obtener acuerdo formal de aprobación y vuelta atrás de cualquier
cambio significativo.

Prohibiciones
A no ser que sea bajo circunstancias excepcionales y con la autorización
escrita del usuario responsable, no se deberían realizar pruebas en los
sistemas productivos.
Los compiladores, editores y otras herramientas de desarrollo o utilidades del
sistema no deberán estar accesibles desde los sistemas operacionales
cuando no sea necesario.
Los usuarios deben utilizar distintos perfiles de usuario para los sistemas
operacionales y de prueba y se deberán mostrar menús para mostrar
mensajes de identificación adecuados para reducir el riesgo de errores.
Toda modificación de software crítico por parches o módulos adicionales debe
ser analizado previamente en los ambientes de desarrollo y prueba.
Se debe planificar detalladamente las etapas de paso a producción,
incluyendo respaldos, recursos, conjunto de pruebas pre y post-instalación,
criterio de aceptación del cambio y un plan de vuelta atrás.

Procedimientos
Separación de equipos y sistemas operativos
Los niveles de pruebas asignados y los datos para ellas.
Los controles de acceso deben diferenciar cada entorno para su autorización.
Se deben configurar perfiles distintos e identificar el entorno accesado.
 Plan De Continuidad

Propósito

Los requisitos de seguridad de la información deben determinarse al planificar la

continuidad de los procesos comerciales y la recuperación ante desastres.
La organización debe establecer, documentar, implementar y mantener procesos,
procedimientos y cambios de implementación para mantener los controles de seguridad
de la información existentes durante un evento adverso.
Si los controles de seguridad no pueden continuar protegiendo la información de eventos
adversos, se deben establecer, implementar y mantener otros controles para mantener
un nivel aceptable de seguridad de la información.
Las organizaciones deben verificar la validez y eficacia de las medidas de continuidad de
la seguridad de la información con regularidad, especialmente cuando cambian los
sistemas de información, los procesos, los procedimientos y los controles de seguridad
de la información, o los procesos y soluciones establecidos. para la gestión de la
continuidad del negocio.

Normas y controles

La gestión de la Continuidad del Negocio forma parte del listado de Controles incluidos en
el Anexo A de la norma ISO 27001 2017. Como su nombre lo indica, trata de asegurar
que la organización pueda sobrevivir a un evento que podría poner en riesgo su
negocio. futuro. Es un control costoso de implementar, ya que debemos definir planes de
contingencia, implementarlos en la organización y probar periódicamente su correcto
funcionamiento.
Los mismos hechos no afectan del mismo modo a unas u otras empresas, ya que su
actividad y los requerimientos de sus clientes hacen que las consecuencias de un mismo
hecho sean anecdóticas o muy críticas. Por ejemplo, un incendio de CPD en una
empresa de desarrollo informático puede significar la ruina, mientras que en un bufete de
abogados puede significar perder algunas horas de trabajo.
Prohibiciones

No distribuya su plan a personas que no necesitan tenerlo. Su BCP contendrá cierta

información privada y de la empresa que podría ser utilizada por un empleado
descontento para fines inapropiados.

Procedimientos

Tanto los procedimientos de contingencia como de continuidad del negocio deben ser
aprobados por la dirección de la empresa.
En cada trámite hay que insertar:
La persona encargada de iniciar el proceso.

Las condiciones perfectas para que comience el proceso.

Escalar accidentes.
Organizar a los trabajadores.
Gestionar el incidente.
Mantener actividades.
Implementar prioridades de recuperación.
 Redes Y Equipos De Comunicaciones

Propósito
El enfoque principal de las redes y equipos de información es garantizar las buenas
prácticas de seguridad de la red, dando continuidad a la información que pasa por estos
medios tecnológicos, tratando de evitar la mayor vulnerabilidad que puede ocurrir en
diferentes circunstancias. Esta norma aporta mejoras, permitiendo una visión general de
cómo hacerlo.

Normas y Controles

Los sistemas de información actuales cuentan con redes vulnerables al acceso no

autorizado, por lo que deben ser protegidos. Los controles para ello son:
Política de utilización de los servicios en línea. Es necesario establecer cómo se va
a utilizar la red y sus servicios, y definir cómo se van a asignar los accesos. Esta
política debe ser coherente con la política de acceso de la organización.
Diagnóstico remoto y protección de los puertos de configuración. Cuando sea
necesario mantener un puerto abierto para estas tareas, se debe controlar tanto el
acceso físico como el lógico permitido para este puerto.
Seguridad de las comunicaciones entre redes mediante pasarelas de seguridad:
Proporciona una visión general de las pasarelas de seguridad mediante una
descripción de las diferentes arquitecturas.
Segregación de redes. Cuando sea apropiado y práctico, los servicios de
información, los servicios de usuario y los sistemas se separarán en redes
diferentes, evitando así las fugas de información o las modificaciones.
Prohibiciones
Al ignorar estas recomendaciones, estamos dando ventaja a los hackers,
vulnerabilidades que pueden atacar, y nuestro sistema de información puede verse
afectado en términos de integridad y confidencialidad.
Para asegurar el sistema interno de las amenazas, generalmente suplantación de
usuarios legítimos de la red o por acceso a través de un agujero en el sistema, los
conmutadores y repetidores son los que filtran el tráfico, y permiten una protección
básica al implementar estos equipos.
Autoridades de Certificación que nos aseguran que estamos introduciendo una
clave segura y no alguien que suplanta estas IPs y nos garantiza enlaces seguros
para el intercambio de información confidencial.
Ejecución de programas desconocidos a través del correo electrónico o cualquier
otro medio.