Polticas de Proteccin de Equipos de Empleados a Nivel Empresarial

Ing. Fernando de Len

Estudiante Maestra Tecnologas de la Informacin y Comunicacin Universidad de San Carlos de Guatemala fdeleon@gmail.com

Ing. Jennifer Martinez

Estudiante Maestra Tecnologas de la Informacin y Comunicacin Universidad de San Carlos de Guatemala jeniloimd@gmail.com 200516341

RESUMEN
El presente documento detalla una serie de polticas para el manejo de la seguridad de informacin, equipo y otros activos, tanto dentro como fuera de la empresa, para poder conectarse o trabajar remotamente, as tambin localmente.

Entre los dispositivos a cubrir bajo este documento de polticas tenemos:

Computadoras de escritorio y laptops Tablets y smartphones Servidores, redes, y equipo de telecomunicaciones

Palabras Clave
Trabajo remoto, seguridad, criptografa, servidores, equipo de cmputo.

SEGURIDAD DE LA INFORMACIN
La informacin que el usuario maneje en su equipo de cmputo o mvil ser responsabilidad nica y exclusivamente de este, debiendo apegarse a las normas establecidas por la empresa.

ANTECEDENTES
Actualmente el trabajo desde casa va siendo una prctica cada vez ms comn, principalmente por estudios que han reflejado que esto puede incluso incrementar la productividad de los empleados, as como ahorros debido al uso de instalaciones entre otros para las empresas. Pero a la vez en algunas empresas crea temor ante las amenazas que implica hacia sus activos el permitir que existan accesos desde fuera de los muros de una empresa. Por ello se deben tomar en cuenta varios aspectos clave, para asegurar que esto pueda ser posible logrando beneficio a las empresas, tomando en cuenta que en la actualidad hay distintos mtodos de comunicacin como dispositivos disponibles para ello.

Los equipos debern ser registrados dentro del dominio para poderles asignar un cdigo nico de identificacin del mismo. As mismo deber cumplir con distintas caractersticas segn corresponda a su naturaleza, tales como:

Por lo anterior es importante detallar polticas en distintos niveles de la organizacin para que el objetivo principal pueda cumplirse.

Clave para acceder al BIOS del equipo (PCs y laptops) Encriptacin del disco utilizando la suite de McAfee Endpoint Encryption Bloqueo de puertos USB para acceso a unidades de almacenamiento masivo Bloqueo de unidades pticas Antivirus Bloqueo de acceso con usuario y contrasea (para todos los dispositivos)

DISPOSITIVOS
En el actual documento se ven afectados todo aquel dispositivo electrnico que sea parte de los activos de la empresa, as como los propios de los empleados que sean utilizados para conectarse a la red interna, o bien manejar informacin de esta.

La seguridad de las claves como del equipo son responsabilidad nicamente del empleado.

La informacin ser clasificada, en base a esto ser o no obligatoria la necesidad de cifrar en todo momento su almacenamiento. La informacin sensible o clasificada ser

obligatoriamente cifrada al momento de no estar siendo utilizada o consultada.

Accesos Fsicos
Los servidores, routers, cableado, switches, entre otros equipos locales, podrn ser accedidos nicamente por el personal autorizado, as mismo los mantenimientos y manejo del mismo estar resguardado por un equipo de acceso especial por medio de tarjetas electrnicas y un log de accesos a estos.

Seguridad del Correo Electrnico

A cada uno de los miembros de la organizacin se le ser asignada una cuenta de correo electrnico, la cual ser nicamente para uso exclusivo de temas que conciernen a la empresa. Debido a esto, el contenido ser propiedad de la empresa y estar disponible para auditoras internas o externas.

Para cada una de las cuentas se contarn con los siguientes factores:

Las tarjetas electrnicas que tengan acceso a las reas restringidas sern asignadas a cada uno de los empleados autorizados, y no podrn compartirse o prestarse. En caso de robo o perdida es responsabilidad de la persona a la que se le asign presentar la denuncia del hecho al departamento de Recursos Humanos para que ellos soliciten inhabilitar el acceso lo antes posible.

Firma Digital, asociada con el empleado Bloqueo de archivos adjuntos sospechosos Escaneo por medio de antivirus de cada mensaje enviado y recibido

As mismo, la informacin histrica de los accesos se encontrarn debidamente encriptados.

GESTIN DE SOFTWARE SEGURIDAD FSICA

El empleado es responsable de velar por la responsabilidad fsica del equipo asignado, tanto del asignado por la empresa como del propio. Se debern considerar los siguientes puntos: El equipo previo a ser autorizado para utilizarse dentro o fuera de la empresa deber pasar un anlisis de software para determinar que cuenta con las herramientas mnimas de seguridad en el equipo, as mismo para evaluar que no tenga archivos que no sean permitidos por la empresa, tales como videos, fotografas o msica de contenido inadecuado u obsceno.

El equipo deber mantenerse resguardado fsicamente en un lugar seguro cuando este no est siendo utilizado. Contar con protectores adecuados para el equipo, principalmente el equipo mvil para evitar daos al mismo. Cuando el equipo no est siendo utilizado, este deber ser bloqueado para evitar que al menor descuido puedan tener acceso a la red.

Todas las aplicaciones sern evaluadas para verificar que no signifiquen riesgos de seguridad para el equipo, informacin y empresa en general.

No se permitir contar con software que no est legalmente activado o asignado al equipo en el que se encuentra instalado y/o configurado.

Mantenimiento
El mantenimiento del equipo deber realizarse nicamente por el personal autorizado para el mismo. Est completamente prohibido que el usuario de mantenimiento fsico al equipo.

La instalacin de software adicional deber ser gestionado por el departamento encargado, y previamente autorizado por el gerente o director a cargo del empleado, indicando claramente los accesos necesarios, las aplicaciones solicitadas y el detalle del uso de las mismas.

Los mantenimientos programados debern informarse al equipo tcnico por medio del jefe, gerente o director, y todo mantenimiento deber ser aprobado por alguna de estas figuras segn corresponda.

El software existente deber ser actualizado constantemente, tanto del sistema operativo como de las dems herramientas dentro del mismo. A menos que se informara lo contrario previamente va correo electrnico o escrita de parte del equipo tcnico.

Los mantenimientos preventivos debern realizarse al menos una vez al ao para cada uno de los equipos, tomando en cuenta actualizaciones y limpieza, tanto fsicas como de software.

INTERNET
El uso de internet est restringido a todos los miembros de la organizacin, salvo casos donde sea autorizado su uso, se har de la siguiente manera:

Se tendr un servidor remoto exclusivo para navegacin, donde cada persona tendr un usuario creado en ese servidor localmente para no exponer claves de usuario de dominio. El acceso a contenido de internet tambin estar regulado por lo que no se permitir el ingreso a pginas de video por demanda, webmails, chats, redes sociales, entre otros. La descarga de archivos estar regulada exclusivamente por el rea de TI de la organizacin, teniendo el usuario que justificar la razn por la cual quiere bajar cierto contenido de internet, y contar con previa autorizacin del jefe o gerente.

corresponda a la informacin. Lo cual determinara el tamao de la llave asignada a dicha tarea.

Los respaldos pueden ser solicitados por medio de los jefes, supervisores, gerentes o directores, especificando la periodicidad, tamao, nivel de confidencialidad y razn del respaldo.

Los respaldos principales se clasificarn en 3 niveles:

MONITOREO DE ACTIVIDADES
Todo equipo que est en contacto con la red interna de la empresa, ya sea internamente o bien remotamente, estar abierto a auditoras y monitoreo por parte de la empresa para poder garantizar el uso adecuado de los accesos como del propio equipo.

Diario, para la informacin ms sensible y que cambia diariamente (nivel transaccional), el cual ser cifrado con llaves de un mnimo de 128bits. Semanal, para la informacin ms sensible pero que no cambia tan continuamente. Este ser cifrado con llaves de un mnimo de 64bits. Mensual, para aquella informacin menos sensible, y que no cambia continuamente.

SEGURIDAD EN LAS COMUNICACIONES

Los equipos propios de la empresa contarn con un software de monitoreo de actividades para poder bloquear actividades no permitidas, as como para determinar que el equipo sea utilizado correctamente. Para los equipos que estn conectados fsicamente dentro de la red de la organizacin se aplicarn las siguientes polticas: Cifrado de comunicaciones entre los equipos cliente y los servidores de la organizacin Utilizacin de certificados SSL para sitios web internos de la empresa Accesos controlados hacia los servidores de la organizacin desde las maquinas clientes de los colaboradores por medio de firewalls

INFRAESTRUCTURA
A continuacin se especifican las caractersticas con las que contar la infraestructura interna de la empresa brindando las herramientas necesarias para que estas polticas puedan ser cumplidas y evaluadas.

Servidor de claves aleatorias, esto para los ingresos a los sistemas ms delicados. Firewall, el cual ser redundante para poder proteger las aplicaciones y a otro nivel la base de datos. Roles con el mnimo necesario, los permisos sern asignados de manera que se tenga acceso nicamente aquello a lo que se est autorizado y que sea necesario para desarrollar sus actividades. Servidor de VPN, para asegurar la comunicacin entre los dispositivos. IDS para asegurar la identidad de quien est intentando acceder al sistema.

Para los equipos que puedan conectarse remotamente a la red de la empresa tendr que contar con el siguiente software: Cliente de VPN: Es el cliente por medio del cual se har el enlace de la comunicacin hacia la red de la empresa, esto asegurar que nicamente se pueda acceder por esa va y de forma segura cifrando toda la comunicacin en este canal. Para esto se necesita el software de Checkpoint Endpoint Security Generacin de claves aleatorias: WikID Token Polticas de seguridad en VPN Usuarios: Los usuarios con los que se conectar cada miembro de la empresa a travs de la VPN no tendrn que ser los mismos que sus usuarios de dominio sino que sern generados usuarios en otra plataforma distinta que servir exclusivamente para al autenticacin de los usuarios, esto evitar que al momento de darse un ataque se obtengan claves de usuarios que tengan privilegios crticos dentro del dominio Accesos: Los accesos a travs de la VPN sern distintos a los que se tienen estando autenticado dentro de la red fsica de la empresa, esto para evitar abrir todos los accesos a travs de la VPN

La infraestructura interna de la empresa deber contar con los elementos siguientes para brindar las herramientas necesarias

BACKUPS
Los respaldos de informacin sern responsabilidad del equipo tcnico asignado, asegurndose que la informacin se encuentre correctamente cifrada segn el nivel de confidencialidad que le