FMSA

Fabrica de Mermeladas S.A. Calle S/N Frutillar X Regin - Chile

CISO
POLTICAS DE SEGURIDAD
Keila Caceres G. - Claudio Gonzlez N. kcaceresg@gmail.com - ciberclaude@gmail.com Septiembre 2010

Empresa propietaria Unidad / Divisin propietaria Unidad / Divisin responsable de la elaboracin

Fabrica de Mermeladas S.A.

Todas las reas de la organizacin. Seguridad de la Informacin.

Estado

Propuesta Revisin 0

Fecha Emisin

13-09-2010

Seguridad de la Informacin Poltica Organizacional

FMSA

INDICE GENERALIDADES ALCANCES OBJETIVOS BENEFICIOS RESPONSABILIDADES NORMATIVAS DE POLTICAS DE SEGURIDAD INFORMTICA DE LAS DISPOSICIONES GENERALES DE LA SEGURIDAD FISICA DE LA SEGURIDAD LOGICA DE LA AUTENTICACION DE USUARIO Y CONTRASEAS DE LAS RESPONSIBILADES PERSONALES DEL USO APROPIADO DE LOS RECURSOS DEL SOFTWARE DE LA EMPRESA DE LOS RECURSOS DE RED DE LA CONECTIVIDAD A INTERNET DE LAS ACTUALLIZACIONDE DE LAS PLITICAS DE SEGURIDAD ANEXOS 3 3 3 4 4 4 4 5 6 8 9 10 10 11 11 12 12

Seguridad de la Informacin Poltica Organizacional

FMSA

GENERALIDADES Cada da la seguridad informtica toma gran auge, debido a la aparicin de nuevas plataformas tecnolgicas. La posibilidad de interconectividad a travs de redes informticas y de comunicacin, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder globalizar sus productos, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan han llevado a que se desarrolle un directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa FMSA. En este sentido, las polticas de seguridad informtica definidas, surgen como una herramienta organizacional para concienciar a los colaboradores de FMSA sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer nuestra poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades en su aplicacin, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea a FMSA. ALCANCE DE LAS POLTICAS Esta Poltica se aplica a toda FMSA, a sus recursos y a la totalidad de los procesos, ya sean internos o externos vinculados a la entidad a travs de contratos o acuerdos con terceros. OBJETIVOS Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad fsica de los recursos informticos, as como resguardar los activos de la empresa". Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes: Disponibilidad: Para asegurar que los usuarios autorizados tengan acceso a la informacin, procesos, sistemas y redes que la soportan, cuando se requiera. Integridad: Para preservar la veracidad y completitud de la informacin y los mtodos de procesamiento. Confidencialidad: Para asegurar que la informacin solo sea accedida por aquellos que cuenten con la autorizacin respectiva. 3

Seguridad de la Informacin Poltica Organizacional

FMSA

BENEFICIOS Los beneficios de un sistema de seguridad con polticas claramente concebidas bien elaboradas son inmediatos, ya que FMSA trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. RESPONSABILIDADES Los CISO son los encargados de definir las polticas de seguridad, aprobar y aplicar su documentacin con objeto de difundirla en toda FMSA y de cumplir y hacer cumplir las normas que surjan para su implementacin. Los usuarios tienen la responsabilidad de hacer uso adecuado de los recursos que FMSA pone a su disposicin y respaldar las polticas de seguridad, empleando las normas y procedimientos establecidos para cada puesto de trabajo. NORMATIVAS DE POLTICAS DE SEGURIDAD INFORMTICA DE LAS DISPOSICIONES GENERALES Articulo 1.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informtico de las diferentes reas de FMSA. Articulo 2.- Para los efectos de este documento, se entiende por Polticas en Informtica, al conjunto de reglas obligatorias, que deben observar los Jefes de Area responsables del hardware y software existente en FMSA, siendo responsabilidad de la Administracin de Informtica, vigilar su estricta observancia en el mbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan. Articulo 3.- Las Polticas en Informtica son el conjunto de ordenamientos y lineamientos enmarcados en el mbito jurdico y administrativo de FMSA. Estas normas inciden en la

Seguridad de la Informacin Poltica Organizacional

FMSA

adquisicin y el uso de los Bienes y Servicios Informticos, las cuales se debern de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello. Articulo 4.- La instancia rectora de los sistemas de informtica de SASF es la Gerencia, y el organismo competente para la aplicacin de este ordenamiento, es el Comit. Articulo 5.- Las Polticas aqu contenidas, son de observancia para la adquisicin y uso de bienes y servicios informticos, en FMSA, cuyo incumplimiento generar que se incurra en responsabilidad administrativa; sujetndose a lo dispuesto en la seccin Responsabilidades Administrativas de Sistemas. Articulo 6.- FMSA deber contar con un Jefe o responsable, en el que recaiga la administracin de los Bienes y Servicios, que vigilar la correcta aplicacin de los ordenamientos establecidos por el Comit y dems disposiciones aplicables. DE LA SEGURIDAD FISICA Articulo 7.- Las instalaciones del equiamiento informtico, quedar sujeta a los siguientes lineamientos: Articulo 8.- Slo el personal autorizado de FMSA le est permitido el acceso a la Sala de Servidores. Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico de personas. Para protegerlos se debe tener en cuenta que: La temperatura no debe sobrepasar los 18 C y el limite de humedad no debe superar el 65% para evitar el deterioro. La Administracin de Informtica, as como las reas operativas debern contar con una copia actualizado de las instalaciones elctricas y de puntos de red del equipamiento computacional. Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su defecto resguardadas del paso de personas o mquinas, y libres de cualquier interferencia elctrica o magntica. Las instalaciones se apegarn estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de proteccin necesarios. En ningn caso se permitirn instalaciones improvisadas o sobrecargadas. 5

Seguridad de la Informacin Poltica Organizacional

FMSA

Para reducir los riesgos de incendio a los que se encuentra el equipamiento computacional se debe cumplir: En la sala de Servidores (rociadores). deben instalarse extintores manuales (porttiles) y/o automticos

El rea en la que se encuentran los computadores debe estar en un local que no sea combustible o inflamable. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. La Sala de servidores debe ser de piso flotante con lo cual elimina la estatica. No debe estar permitido fumar en las salas de servidores. Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los materiales plsticos e inflamables. Para reducir riesgos de inundaciones, la Sala de Servidores debe tener un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. La Sala de Servidores tiene que tener aire acondicionado separado y exclusivo. Articulo 9.- La supervisin y control de las instalaciones se llevar a cabo en los plazos y mediante los mecanismos que establezca el Comit. DE LA SEGURIDAD LOGICA Articulo 10.- La informacin almacenada en medios magnticos se deber inventariar, anexando la descripcin y las especificaciones de la misma. Articulo 11.- Los jefes de rea responsables de la informacin contenida en los departamentos a su cargo, delimitarn las responsabilidades de sus subordinados y determinarn quien est autorizado a efectuar operaciones emergentes con dicha informacin tomando las medidas de seguridad pertinentes. Articulo 12.- La informacin necesaria pero no indispensable, deber ser respaldada con una frecuencia mnima de una semana, rotando los dispositivos de respaldo y guardando respaldos histricos mensualmente. 6

Seguridad de la Informacin Poltica Organizacional

FMSA

Articulo 13.- El respaldo de la informacin ocasional o eventual queda a criterio del rea. Articulo 14.- La informacin almacenada en medios magnticos, de carcter histrico, quedar documentada como activos del rea y estar debidamente resguardada en su lugar de almacenamiento. Es obligacin del responsable del rea, la entrega conveniente de la informacin, a quien le suceda en el cargo. Articulo 15.- Los sistemas de informacin en operacin, como los que se desarrollen debern contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operacin y el manual tcnico que describa su estructura interna, programas, catlogos y archivos. Articulo 16.- Ningn colaborador en proyectos de software y/o trabajos especficos, deber poseer, para usos no propios de su responsabilidad, ningn material o informacin confidencial de FMSA tanto ahora como en el futuro. Articulo 17.- Por seguridad de los recursos informticos se deben establecer seguridades: Fisicas Sistema Operativo Software Comunicaciones Base de Datos Proceso Aplicaciones Parar ello se establecen los siguientes lineamientos: Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello. Verificar la informacin que provenga de fuentes externas a fin de corroborar que est libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos. Mantener plizas de seguros de los recursos informticos en funcionamiento Articulo 18.- En ningn caso se autorizar la utilizacin de dispositivos ajenos a los procesos informticos del rea. Por consiguiente, se prohbe el ingreso y/o instalacin de hardware y software particular, es decir que no sea propiedad de FMSA, excepto en casos emergentes que la Direccin autorice.

Seguridad de la Informacin Poltica Organizacional

FMSA

DE LA AUTENTICACION DE USUARIO Y CONTRASEAS Articulo 19.- Todos los usuarios con acceso a un sistema de informacin o a una red informtica, dispondrn de una nica autorizacin de acceso compuesta de usuario y contrasea. Articulo 20.- Ningn usuario recibir un identificador de acceso a la Red de Comunicaciones, Recursos Informticos o Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente de FMSA. Articulo 21.- Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la informacin. Artculo 22.- La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn constituidas por combinacin de caracteres alfabticos, numricos y especiales. Artculo 23.- Los identificadores para usuarios temporales se configurarn para un corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas. DE LAS RESPONSABILIDADES PERSONALES Artculo 24.- Los usuarios de FMSA son responsables de toda actividad relacionada con el uso de su acceso autorizado. Artculo 25.- Los usuarios de FMSA no deben revelar bajo ningn concepto su login y/o contrasea a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros. Artculo 26.- Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque dispongan de la autorizacin del propietario. Artculo 27.- Si un usuario tiene sospechas de que su acceso autorizado (login de usuario y contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su contrasea e informar a su jefe inmediato y ste reportar al responsable de la administracin de la red. Artculo 28.- El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres constituida por una combinacin de caracteres alfabticos, numricos y especiales. Artculo 29.- La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del ao, nombres de personas, telfonos. 8

Seguridad de la Informacin Poltica Organizacional

FMSA

Artculo 30.- En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la contrasea provisional asignada la primera vez que realiza un acceso vlido al sistema. Artculo 31.- En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave. Artculo 32.- Proteger, en la medida de sus posibilidades, los datos de carcter personal a los que tienen acceso, contra revelaciones no autorizadas o accidentales, modificacin, destruccin o mal uso, cualquiera que sea el soporte en que se encuentren contenidos los datos. Artculo 33.- Guardar por tiempo indefinido la mxima reserva y no se debe emitir al exterior datos de carcter personal contenidos en cualquier tipo de soporte. Artculo 34.- Utilizar el menor nmero de listados que contengan datos de carcter personal y mantener los mismos en lugar seguro y fuera del alcance de terceros. Artculo 35.- Cuando entre en posesin de datos de carcter personal, se entiende que dicha posesin es estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente despus de la finalizacin de las tareas que han originado el uso temporal de los mismos. Artculo 36.- Los usuarios slo podrn crear ficheros que contengan datos de carcter personal para un uso temporal y siempre necesario para el desempeo de su trabajo. Estos ficheros temporales nunca sern ubicados en unidades locales de disco de la computadora de trabajo y deben ser destruidos cuando hayan dejado de ser tiles para la finalidad para la que se crearon. Artculo 37.- Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de listados, cd pendrive, sospechas de uso indebido del acceso autorizado por otras personas, recuperacin de datos. Artculo 38.- Los usuarios nicamente introducirn datos identificativos y direcciones o telfonos de personas en las agendas de contactos de las herramientas ofimticas (por ejemplo en Outlook) DEL USO APROPIADO DE LOS RECURSOS Artculo 39.- Los Recursos Informticos, Datos, Software, Red Corporativa y Sistemas de Comunicacin Electrnica estn disponibles exclusivamente para cumplimentar las obligaciones y propsito de la operativa para la que fueron diseados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en su uso. 9

Seguridad de la Informacin Poltica Organizacional

FMSA

Queda Prohibido Artculo 40.- El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o bien con la extralimitacin en su uso. Artculo 41.- Las actividades, equipos o aplicaciones que no estn directamente especificados como parte del Software o de los Estndares de los Recursos Informticos propios de FMSA. Artculo 42.- Introducir en los Sistemas de Informacin o la Red Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos. Artculo 43.- Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteracin o dao en los Recursos Informticos. El personal contratado por FMSA tendr la obligacin de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos informticos. Artculo 44.- Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos, programas o documentos electrnicos. Artculo 45.- Albergar datos de carcter personal en las unidades locales de disco de los computadores de trabajo. Artculo 46.- Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a travs de soportes automatizados, Internet, correo electrnico o cualquier otro medio, deber cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual y control de virus. DEL SOFTWARE DE LA EMPRESA Artculo 47.- Todo el personal que accede a los Sistemas de Informacin de FMSA debe utilizar nicamente las versiones de software facilitadas y siguiendo sus normas de utilizacin. Artculo 48.- Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados. Artculo 49.- Tambin tiene prohibido borrar cualquiera de los programas instalados legalmente.

10

Seguridad de la Informacin Poltica Organizacional

FMSA

DE LOS RECURSOS DE RED De forma rigurosa, ninguna persona debe: Artculo 50.- Conectar a ninguno de los Recursos, ningn tipo de equipo de comunicaciones (Ej. mdem) que posibilite la conexin a la Red Corporativa. Artculo 51.- Conectarse a la Red Corporativa a travs de otros medios que no sean los definidos. Artculo 52.- Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados. Artculo 53.- Intentar acceder a reas restringidas de los Sistemas de Informacin o de la Red Corporativa. Artculo 54.- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemticos. Artculo 55.- Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros Usuarios, ni daar o alterar los Recursos Informticos. Articulo 56.- Se deben cumplir todas las normas enunciadas en el ANEXO 1: DETECCION DE INTRUSOS HOST y ANEXO 2: DETECCION DE INTRUSOS RED DE LA CONECTIVIDAD A INTERNET Artculo 57.- La autorizacin de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos los colaboradores de FMSA tienen las mismas responsabilidades en cuanto al uso de Internet. Artculo 58.- El acceso a Internet se restringe exclusivamente a travs de la Red establecida para ello, es decir, por medio del sistema de seguridad con cortafuegos incorporado en la misma. No est permitido acceder a Internet llamando directamente a un proveedor de servicio de acceso y usando un navegador, o con otras herramientas de Internet conectndose con un mdem. Artculo 59.- Internet es una herramienta de trabajo. Todas las actividades en Internet deben estar en relacin con tareas y actividades del trabajo desempeado. Artculo 60.- Slo puede haber transferencia de datos de o a Internet en conexin con actividades propias del trabajo desempeado. 11

Seguridad de la Informacin Poltica Organizacional

FMSA

Artculo 61.- En caso de tener que producirse una transmisin de datos importante, confidencial o relevante, slo se podrn transmitir en forma encriptada. Articulo 62.- Se deben cumplir todas las normas enunciadas en el ANEXO 4: FILTRO CONTENIDO. DE LAS ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD Artculo 63.- Debido a la propia evolucin de la tecnologa y las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, FMSA se reserva el derecho a modificar esta Poltica cuando sea necesario. Los cambios realizados en esta Poltica sern divulgados a todos los colaboradores de FMSA. Artculo 64.- Es responsabilidad de cada uno de los colaboradores de FMSA la lectura y conocimiento de la Poltica de Seguridad ms reciente. ANEXOS ANEXO 1: DETECCION DE INTRUSOS HOST ANEXO 2: DETECCION DE INTRUSOS RED ANEXO 3: AUDITORIAS ANEXO 4: FILTRO CONTENIDO ANEXO 5: MONITOREO ANEXO 6: PENETRACION DE INTRUSOS

Revisin Nombres Cargo Firma Fecha

Elaborado Keila Cceres G. Claudio Gonzlez N. CISO 13/09/2010

Revisado Keila Cceres G. Claudio Gonzlez N. CISO 13/09/2010

Aprobado Keila Cceres G. Claudio Gonzlez N. CISO 13/09/2010

12