Política sobre Seguridad de la información sensitiva

Propósito

La Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones

legales vigentes y las de la entidad, con el objeto de gestionar adecuadamente la seguridad de
la información, los sistemas informáticos y el ambiente tecnológico.

Normas y controles

 Garantizar que la información sea accesible sólo a aquellas personas autorizadas a

tener acceso a la misma, confidencialidad.
 Garantizar que los usuarios autorizados tengan acceso a la información y a los
recursos relacionados con la misma, toda vez que lo requieran, disponibilidad.
 Asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se
garantiza el origen de la información, validando el emisor para evitar suplantación de
identidades, autenticidad.
 Asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo
contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto
de simular múltiples peticiones del mismo remitente original, protección a la
duplicación
 Evitar que una entidad que haya enviado o recibido información alegue ante terceros
que no la envió o recibió, no repudio.

Prohibiciones

 El uso de usuarios y contraseñas es personal y no se debe compartir para que otros

usuarios hagan transacciones.
 Asegurar que la información es válida requiere de respaldos que no deben
excluirse del proceso de la obtención de los datos y se prohíbe la autorización de
cualquier transacción si no cumple con los requerimientos.
 Se prohíbe modificar los datos ya contabilizados sobre su mismo formato.
 La disponibilidad de los datos está en función del uso y mantenimiento de
software y hardware por lo que se prohíbe el uso de estos en actividades distintas a
las de la entidad.
  Asegurar que la información se envió y recibió es necesario el respaldo y
confirmación del emisor y receptor por lo que se prohíbe enviar información a
través de plataformas no autorizadas por la entidad

Procedimientos

El conjunto de tareas relacionadas lógicamente que se realizan para lograr un resultado

determinado en un sistema de información y el uso de una estrategia de seguridad que va
desde:

1. Prevenir un ataque con buenos programas de detección de virus, ataques de malware y

la buena educación de todos los que tienen acceso a la información.
2. Proteger la información con la encriptación de los datos, uso de contraseñas seguras y
actualizadas y teniendo un buen backup actualizado de datos.
3. Actuar en caso de ataque restaurando los datos de forma rápida y efectiva para poder
continuar con el negocio y no perjudicar a nuestros clientes, cuanto mas completo sea
el backup y más reciente, mejor será la restauración de la información y menor el daño
sufrido.

Herramientas recomendadas

1. Prevenir ataques Bitdefender, Norton, McAfee.

2. En el cifrado tenemos dos métodos:
 Cifrado simétrico: es el que consta de una clave que sirve tanto para cifrar
como para descifrar, esto causa problemas por que el emisor y el receptor de
un documento encriptado se pueden comunicar la clave por un medio no
seguro, es un método más rápido.
 Cifrado asimétrico: tiene una clave para cifrar y una para descifrar, la primera
es publica y se puede compartir con las personas a quien enviaremos un
archivo cifrado, la segunda es privada esta no se debe compartir nunca, es un
método más seguro.

Enigmail Este programa de cifrado se utiliza principalmente para encriptar las

comunicaciones por email. Gracias a esta herramienta se pueden enviar correos electrónicos
cifrados, cuya clave se puede generar desde el propio programa, o con un software de
terceros.

Ha sido desarrollada para Mozilla Thunderbird y es compatible con sistemas operativos

Windows, Mac y Linux.

BitLocker Sin duda, una de las mejores herramientas para cifrar archivos del disco duro. Es
una herramienta desarrollada por Microsoft bajo la plataforma Trusted Platform Module
(TPM) que permite encriptar el disco duro para proteger todos los archivos del equipo e
incluso el sistema operativo.

AES Crypt AES Crypt es un avanzado software de cifrado que permite encriptar casi todo
tipo de archivos. Se trata de una de las herramientas de este tipo más completas que se puede
usar en Windows, Mac OS o Linux. Emplea el sistema AES o Advanced Encryption
Standard, un esquema de cifrado de alta seguridad que es usado, entre otros, por el gobierno
de Estados Unidos.

3. Empresas que ofrecen respaldo en línea o en la nube son:

 AWS Storage Gateway
 Carbonite Backup Software
 Blackblaze.

Política sobre seguridad de equipos de comunicación

Propósito

Establece los requisitos mínimos para las configuraciones de seguridad de equipos de

comunicaciones, aplica a todos los asociados y afiliados de una entidad, con los equipos de
comunicación podemos reproducir y transmitir mensajes y documentos, definiéndose como el
hardware utilizado para la comunicación de datos y son complementados por un software para
el uso optimo, dentro de los equipos tenemos Router, modem, switch, radio, televisores,
teléfonos, celulares, conmutadores, digital video recorder, computadoras, repetidoras, radio
trasmisores, entre otros no menos importantes.

Normas y controles

 Los recursos tecnológicos se deben usar exclusivamente para propósitos relacionados

con la actividad desempeñada en la organización.
 La organización hará la entrega oficial del equipo de cómputo en funcionamiento, con
el respectivo software instalado y autorizado, de acuerdo con el rol del usuario.
 Sólo el personal autorizado por el departamento de informática o administración
puede llevar a cabo cualquier tipo de mantenimiento tanto del hardware como del
software y de la configuración de acceso a la red de la organización.
 Sólo personal autorizado podrá realizar actividades de administración remota de
dispositivos, equipos o servidores de la infraestructura de procesamiento de
información de la organización; las conexiones establecidas para este fin, utilizarán el
software y los esquemas de seguridad definidos por la gerencia.
 El uso de medios de almacenamiento removibles (USB, discos duros extraíbles,
tarjetas de memoria, entre otros) y equipos personales portátiles Autorizados por la
administración debe realizarse con precaución. Es responsabilidad de los usuarios
verificar que estos dispositivos se encuentren libre de código malicioso, antes de
utilizarlos en la infraestructura tecnológica de la entidad.

Prohibiciones

 No se permite a los usuarios retirar de las instalaciones de la organización, accesorios

o partes de computadores, sin la autorización debidamente documentada y aprobada
por la gerencia.
 No está permitido la instalación de dispositivos o software de redes distintos a los
autorizados.
 No está permitido intervenir las redes de cableado, instalar cables no suministrados
por el departamento de informática, cortar o empalmar cables, desprender marcaciones
de tomas, puertas o ductos, golpear o forzar tubos y/o canaletas, así como cualquier
otra acción que atente contra la integridad de las redes informáticas de la organización.
 No se permite a los usuarios realizar cambios en las estaciones de trabajo relacionados
con la configuración del equipo, tales como conexiones de red, usuarios locales de la
máquina, archivos de configuración, entre otros.
 No se permite a los usuarios realizar cualquier actividad que ponga en riesgo la
integridad física de los recursos tecnológicos de la organización, el usuario debe
reportar cualquier tipo de daño del recurso tecnológico.
 Procedimientos

La organización deberá tener un departamento de informática responsable de la

planeación, desarrollo, mantenimiento, soporte, evaluación y control de las tecnologías de
información y comunicación, de acuerdo con planeación general de la organización
apoyados con las políticas sobre el uso de los equipos de la entidad, normas dirigidas a los
usuarios y personal encargado del departamento autorizado para su manejo.

Política de seguridad en redes con terceros

Propósitos

La red de datos de la organización, tiene como propósito principal servir en la comunicación

de datos e intercambio de información, dentro de la organización entre los departamentos
internos y agentes externos, el departamento de informática tiene la responsabilidad exclusiva
de verificar la instalación, configuración e implementación de la seguridad, en los servidores
conectados a la red.

El despliegue del SGSI de Red. se iniciará a partir del Análisis de Riesgos, que permitirá
determinar el nivel de riesgo de seguridad de la información en que se encuentra la entidad e
identificar los controles de seguridad necesarios y oportunidades de mejora para el
tratamiento del riesgo y llevarlo a un nivel aceptable. Las redes empresariales se suelen
centrar en los estándares LAN, que normalmente utilizan conmutadores de hardware,
dispositivos de enrutamiento, cableado de Ethernet, conexiones wifi y software de cortafuegos
integrado para crear una red de área local.

Normas y controles

 La responsabilidad de la administración y mantenimiento de la red compete

directamente al departamento de informática de la organización.
 Durante la configuración de un servidor los encargados del departamento de
informática deberán normar el uso de los recursos del sistema y de la red,
principalmente la restricción de directorios, permisos y programas a ser ejecutados
por los usuarios.
  Los puntos de acceso a la red deberán ser autorizada enviando la solicitud a la
gerencia, una vez aprobado el departamento de informática lo habilitara.
 En caso de detección de un uso anormal de la red local o conexiones remotas, el
usuario será notificado de inmediato y podrá ser desconectado de esta.
 Se establecerá un orden de prioridad para resolver asuntos relacionados con el uso
de la red.

Prohibiciones

 Ningún asociado puede conectar ni instalar cualquier equipo de comunicaciones a

la red.
 Prohibido compartir el punto de acceso a la red sin autorización
 No mantener información de uso personal en los servidores conectaos a la red.
 No compartir usuario y contraseñas personales que dan acceso a la red.

Procedimientos

Las redes empresariales funcionan a través de dispositivos conmutadores y enrutadores de alta

velocidad que regulan las transferencias de datos entre ordenadores, servidores y otros
dispositivos. Los conmutadores y enrutadores de red se conectan físicamente a las conexiones
de fibra óptica y de banda ancha. Estos se suelen utilizar para ejecutar software de cortafuegos
como parte del firmware de los dispositivos. Los administradores de red y los técnicos de
servicio conectan los ordenadores a los enrutadores de las oficinas o lugares de fabricación
mediante cables de Ethernet o wifi. Cada dispositivo queda designado con un número de
identificación de red y es preciso establecer cuentas de usuario para que los empleados
puedan conectarse con unas credenciales verificadas. Los administradores de sistemas
establecen las reglas del cortafuegos y las restricciones de acceso a Internet para la red
conforme a los requisitos de gestión de la organización.

Herramientas

Son los softwares para la administración de redes como:

 PAESSLER PRTG Network Monitoring Software.

 Advanced IP Scanner
 Zenmap