EXCLUSIVO DE USO DOCENTE

POLITICAS DE SEGURIDAD INFORMÁTICA

GRUPPO DE TRABAJO N°1

SANTIAGO, 05 AGO 2019

I. TEMA:
POLÍTICAS DE SEGURIDAD PARA EL CONTRATO DE SERVICIO
DE IMPRESORA.

El presente trabajo es un análisis para el levantamiento de un centro de

impresión y se presenta como un documento directivo que a su vez imparte
disposiciones técnicas para los DICE/SICE y orienta a los Oficiales de
Seguridad a tomar las medidas necesarias para el control, especialmente a al
personal externo que ofrece el servicio. Tanto así, las directrices hablan sobre
las consideraciones que debe tener el Oficial de Finanzas para la contratación
del servicio.
 EJEMPLAR Nº____/HOJA Nº____/

DISPOSICIONES DE SEGURIDAD PARA EL CONTRATO DE

SERVICIO DE IMPRESORA.

Considera las medidas de seguridad que deberá implementar él DICE/SICE en

la Unidad para obtener un nivel de seguridad para el contrato de servicio de
centro de impresión conforme a anexo N° 1.

A. MEDIDAS BÁSICAS DE IMPRESORAS DE CARGO.

1. Las impresoras de red deben ser administradas por el servidor o

aplicación.
2. Las impresoras de red en su configuración no deben incluir la puerta de
enlace o puerta de enlace predeterminada (gateway).
3. Modificar las claves de administración de las impresoras y verificar que
todos posean claves para ingresar al sistema de mantenimiento y
administración conforme a lo siguiente:

4. No se moverán los dispositivos o reubicarlos sin la autorización previa

del DICE/SICE. Será solo esta unidad técnica la autorizada para efectuar
las modificaciones de ubicación conforme con el requerimiento y previo
estudio de factibilidades.
5. De igual forma queda prohibido la conexión de impresoras particulares a
las redes institucionales sin la autorización del DICE/SICE respectivo.
6. Al igual que otros dispositivos, las impresoras, conforme con el cargo
informático de la unidad, deberá encontrarse claramente identificados e
individualizados según las características propias.
 EJEMPLAR Nº____/HOJA Nº____/

B. MEDIDAS DE CONTROL DE SERVICIOS DE CENTROS DE

IMPRESIÓN.

1. En cuanto a la seguridad de los dispositivos de impresión.

a. Los DICE/SICE verificaran que las impresoras cuenten la capacidad

de detectar intrusiones en tiempo de ejecución para brindar protección
en el inicio y durante la operación. Idealmente si se detecta malware,
la impresora debe apagarse automáticamente y que se reinicie el
dispositivo. Cada vez que una impresora se encienda o se reinicie con
un error, valide automáticamente la integridad del código del BIOS y
que se autorrepare si fuera necesario.
b. Verificará que incluyan listas blancas para ayudar a garantizar que
solo se cargue en la memoria el firmware auténtico y que se sepa que
funcione bien (firmado digital).
c. Pondrán especial atención si el servicio cuenta con la capacidad de
impedir que el malware se ponga en contacto con servidores
malintencionados, robe datos y ponga en peligro su red y que evalúe
las conexiones de red salientes para determinar qué es normal y a su
vez detener solicitudes sospechosas y activar automáticamente un
reinicio para la recuperación automática.

2. En cuanto a la seguridad de datos de los dispositivos de impresión.

a. Para la protección de los datos, deben priorizar que la empresa que

ofrece el servicio cuente con un sistema de seguridad para asegurar
que solo el personal autorizado, puedan acceder a los dispositivos y
las redes a las que están conectados. Deberán buscar las soluciones
de autenticación para que los usuarios ingresen una contraseña o PIN
o escaneen su credencial de identificación o su huella digital en el
centro o dispositivo de impresión.
b. En atención a los datos en tránsito se verificará que el servicio cuente
con un protocolo tal que los datos que viajen entre las PC y la red
estén cifrados y así no descuidar el flujo de datos desde y hacia las
impresoras.
c. Los DICE/SICE tienen prohibido conectar dispositivos de impresión
a redes inalámbricas y tomará las medidas de seguridad necesarias
para que ningún usuario vulnere esta disposición. De lo contrario
 EJEMPLAR Nº____/HOJA Nº____/

solicitará a DINE casos excepcionales. Por lo tanto, tomará atención

a que el servicio pueda proveer protocolos de cifrado de red y Wi-Fi
junto con el máximo de soluciones de seguridad y aplique certificados
firmados a las impresoras y multifunción en red para instalar y
renovar certificados automáticamente.

3. En cuanto a la seguridad de documentos impresos.

a. Los DICE/SICE pondrán atención al servicio en cuanto al acceso a la

documentación impresa, generalmente los trabajos de impresión que
nadie retira son una de las formas más comunes de exposición de
información clasificada. Cualquier documento impreso corre peligro
de ser retirado por cualquier personal de otra área, si el destinatario
indicado no se encuentra en el lugar cuando el trabajo sale de la
impresora. Además, los documentos a menudo se envían a la
impresora y se olvidan allí, quedando a disposición de cualquiera que
los quiera tomar.
b. Por lo tanto y de acuerdo con el punto anterior el servicio de
impresión debe contar con una solución de autenticación del usuario
para que los documentos no se impriman hasta que el usuario se
identifique en el dispositivo con los protocolos de seguridad de
identificación.

C. MEDIDAS DE CONTROL EN LA CONTRATACIÓN DE SERVICIOS

1. Al contratar y trabajar con empresas externas a la Institución se debe

cumplir con las siguientes medidas de seguridad.
a. El acceso a la información por parte del proveedor debe ser restringido
al ámbito del proyecto.
b. Todo contrato de prestación de servicios deberá incluir como
cláusulas las siguientes obligaciones respecto al tratamiento de la
información:
1) La información no podrá salir de las dependencias físicas de la
Institución por ningún medio físico o electrónico, a menos que lo
autorice el comandante de la Unidad en forma escrita.
2) El proveedor no podrá comunicar información a personas no
autorizadas, aún después de concluida la presentación del servicio.
3) La información no podrá ser usada para fines distintos a los
expresados en el contrato.
 EJEMPLAR Nº____/HOJA Nº____/

4) Si se autoriza por escrito la salida de información mediante un soporte

físico, este deberá ser devuelto una vez que la prestación ha concluido.
También deberá ser devuelta toda copia de estos datos realizada en
cualquier otro medio físico o electrónico.
5) Una vez recepcionados los medios antes descritos, se procederá a su
eliminación, si corresponde, conforme con las disposiciones vigentes
en la Institución para la eliminación de información o eliminación de
archivos.

c. Celebrar un acuerdo de confidencialidad con la persona natural o jurídica

que proveerá los servicios contratados. En este caso, la firma del acuerdo
de confidencialidad es un requisito obligatorio y previo a la celebración
del contrato de prestación de servicios.
d. Informar por escrito al personal externo, respecto a las normas de
seguridad que deben respetarse en la Institución.
e. Se deben realizar sesiones informativas donde se presente y justifiquen
verbalmente estas normas, para difundirlas y crear conciencia de la
importancia de su cumplimiento.
f. En las charlas se deben advertir que las operaciones realizadas, tanto en
las aplicaciones como en la red, serán monitoreadas o auditadas. Además,
deberá existir documentación, firmada por ambas partes, que acredite la
participación del personal externo e interno en estas charlas o reuniones
informativas, lo cual debe estar a cargo del organismo directivo de
seguridad militar o quien sea designado por el comandante de la unidad.
g. Prohibición de acceso tanto a las instalaciones militares, como a la
información, a personas extranjeras, especialmente si estas son de países
limítrofes.
h. Restringir en los lugares de trabajo el uso de dispositivos extraíbles o
cualquier medio que pueda favorecer la fuga de información.
i. Toda empresa contratada por la Institución debe remitir un listado con el
personal que participará en los trabajos a realizar y sus documentos
asociados, tales como el currículo y certificado de antecedentes para fines
especiales, entre otros, que permita verificar que se cumplen las
disposiciones de seguridad vigentes.
j. El administrador de la red de la unidad debe crear cuentas especiales de
acceso al personal externo, en base a las necesidades del proveedor. Estas
cuentas deben ser aprobadas y autorizadas por el CSI de la unidad. Los
permisos deben dar acceso solo a los recursos mínimos necesarios para
 EJEMPLAR Nº____/HOJA Nº____/

que el proveedor pueda ejecutar los trabajos solicitados. Concluido el

servicio contratado estas cuentas deben ser eliminadas.
k. Auditar periódicamente las acciones del personal externo, comprobando
el nivel de acceso a los recursos, con las cuentas suministradas, revisando
log y registros de eventos de sistemas y servidores, auditar
periódicamente las estaciones utilizadas por el proveedor, en busca de
software malicioso, documentación no autorizada.
l. Restringir el acceso físico del personal externo o no autorizado a aquellas
áreas que se hayan definido como sensibles. En caso de autorizar el
acceso, las personas deben quedar registradas en una bitácora de acceso
a los recintos antes mencionados, indicando fecha, hora de ingreso, hora
de salida, motivo del ingreso al área sensible y personal que autoriza el
ingreso.
m. Si el personal externo accede físicamente a áreas sensibles, como por
ejemplo, de análisis y desarrollo de sistemas, de redes, en general,
cualquier área que se encuentre en una dependencia de computación,
debe ser por un tiempo limitado y acompañado por el personal de la
dependencia y permanecer donde este le indique.
n. Cualquier persona que trabaje en instalaciones informáticas debe
notificar, en el menor tiempo posible, al encargado, sobre cualquier
violación a las normas de seguridad ocurrida dentro de la instalación o
fuera de ella como, por ejemplo, difusión de información clasificada o
accesos remotos no autorizados a la red institucional, el encargado, a su
vez, deberá informar al organismo ejecutivo de seguridad militar tanto
del incidente como de las medidas adoptadas para neutralizar o corregir
el problema notificado.
o. El organismo ejecutivo de seguridad militar o quien sea designado deberá
hacer un extracto de las políticas y normas de seguridad (modelo en el
anexo 62), el cual será utilizado para capacitar, al personal externo en
estas materias.
p. Previo al ingreso del personal externo a realizar trabajos, se debe informar
al personal que trabajará directamente con el proveedor y el personal de
áreas sensibles, sobre las materias de esta y otras políticas relacionadas
que les competan, de manera que tengan completo conocimiento de qué
y a quién informar, de manera oportuna, situaciones o incidentes que
comprometan la seguridad de la unidad.
 EJEMPLAR Nº____/HOJA Nº____/

ANEXO N°1

LISTA DE CHEQUEO DE SEGURIDAD PARA CONTRATACION DE

SERVICIOS DE IMPRESIÓN

CARACTERISTICAS DE SEGURIDAD SI NO
Validación de seguridad de la BIOS en el arranque
Recuperación automática
Validación de código de firmware
software en el arranque2
Inspección de la memoria de tiempo de ejecución con recuperación
automática.
Detección de anomalías de comportamientos en la red
Protección de archivos/directorios del sistema Integración de
SIEM.
Autenticación de red 802.1x
Listas de control de acceso (ACL)
Integración de Active Directory
Bluetooth de baja energía ….BLOQUEADO
Certificado de CA configurable
Certificado de identidad de dispositivo configurable
Firmware/Software firmado digitalmente
Desactivación de puertos y protocolos de red
Desactivación de puertos físicos (USB, paralelo, etc.)
Disco duro cifrado integrado de forma predeterminada
FIPS 140 integrado
Hardware NFC integrado
Eliminación segura de archivos integrada
Eliminación segura de almacenamiento integrada
Wi-Fi Direct integrada
Contraseñas y PIN cifrados y con hash
Correo electrónico cifrado
Impresión cifrada
PIN de bloqueo de fax
Hardware Integration Pocket para soluciones de seguridad
Impresión cifrada por IPP
 EJEMPLAR Nº____/HOJA Nº____/

CARACTERISTICAS DE SEGURIDAD SI NO
IPsec
Integración de LDAP
PIN de varios usuarios (en el dispositivo)
Integración de Novell
Complejidad de la contraseña de forma predeterminada
Acceso basado en roles para controlar las características del panel
de control
Servidor SMTP seguro (HTTPS)
Registro de eventos de seguridad
Single sign-on (en dispositivo)
SNMPv3
TLS 1.1/1.2
Trusted Platform Module (TPM)
Activación/desactivación de actualización remota de firmware
(RFU) en dispositivo