Psi

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA
12 de diciembre de 2009
Manual De Normas y Polticas de Seguridad Informtica

MANUAL DE NORMAS Y
SEGURIDAD INFORMTICA
POLITICAS DE SEGURIDAD INFORMATICA
Departamento De Posgrado Maestra En Gestin De Tecnologas De La Informacin Proyecto Final Iso 27000 (Politicas De Control De Accesos) Estudiantes: Carlos Gutirrez Soria Carlos J. Liceaga Rosas Esteban Baker Thomas Ramiro Aguilar Garca 12 de Mxico de 2009
1
Indic
INTRODUCCION
Marco Terico ISO 270000 Polticas de Control de Accesos Generalidades Misin Visin Objetivo Alcance Responsabilidad
Poltica 1. Requisitos De Negocio Para El Control De Acceso 1.1. 1.2. 1.3. 1.4. 1.5. Entrada y salida de personal Entrada y salida de visitantes Entrada y salida de informacin, material, mobiliario y equipo Control de acceso para reas restringidas Sanciones
2. Gestin de acceso de usuario 2.1. 2.2. 2.3. 2.4. Registro De Usuario Gestin De Privilegios Gestin De Contraseas De Usuario Revisin De Los Derechos De Acceso De Usuario
3. Responsabilidades Del Usuario 3.1. Uso de contraseas 3.2. Equipo de usuario desatendido 3.3. Poltica de puesto de trabajo despejado y pantalla limpia 4. Control de acceso a Red 4.1. Poltica de Acceso a Usuarios Internos a la Red 4.2. Poltica de Acceso a Usuarios Externos a la Red 5. Control De Acceso Al Sistema Operativo
5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7.
Procedimientos seguro de inicio de sesin Identificacin y autenticacin de usuarios Sistema de gestin de contrasea Responsabilidades del usuario Uso de los recursos del sistema Desconexin automtica de sesin Limitacin del tiempo de conexin
6. Implementacin de la seguridad
RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS
INTRODUCCIN Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como los son la de Internet y en particular la relacionada con el Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen polticas que norman el uso adecuado de estas destrezas tecnolgicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad en informtica que proponemos emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de las fallas y de las debilidades, de tal forma que permiten a la organizacin cumplir con su misin. El proponer esta poltica de seguridad requiere un alto compromiso con la institucin, agudeza tcnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantas bsicas del individuo, y no pretende ser una camisa de fuerza, y ms bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institucin. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la prctica como son: los inventarios y su control, se mencionan, as como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologas de la informacin; se han contemplado tambin las polticas que reflejan la visin de la actual administracin respecto a la problemtica de seguridad informtica organizacional.
ISO 27000 (POLTICAS DE CONTROL DE ACCESOS)
Marco terico de ISO 27000
Un Sistema Administrativo de Seguridad de la Informacin (Information Security Management System ISMS) es una forma sistemtica de administrar la informacin sensible de una compaa, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologas de la Informacin. BSI ha publicado un reglamento de prcticas para estos sistemas, el ISO/IEC 17799, que est siendo internacionalmente adoptado.
La seguridad de la informacin no termina al implementar el ms reciente "firewall", o al sub-contratar a una compaa de seguridad las 24 horas. La forma total de la Seguridad de la Informacin, y la integracin de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aqu es donde entra el Sistema Administrativo de Seguridad de la Informacin - que le permite a la empresa, poder coordinar sus esfuerzos de seguridad con mayor efectividad.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin, por lo que el aseguramiento de dicha informacin y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de forma metdica, documentada y basada en unos 5
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin.
Seguidamente se resumen las distintas normas que componen la serie ISO 27000:
ISO/IEC 27000 proporcionar una visin general del marco normativo y un vocabulario comn utilizado por todas las normas de la serie.
ISO/IEC 27001:2005. Especificaciones para la creacin de un sistema de gestin de la seguridad de la informacin (SGSI). Publicada en 2005. ISO/IEC 27002:2005. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin describe el conjunto de objetivos de control y controles a utilizar en la construccin de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.
ISO/IEC 27003 proporcionar una gua de implantacin de la norma ISO/IEC 27001.
ISO/IEC 27004 describir los criterios de medicin y gestin para lograr la mejora continua y la eficacia de los SGSI. ISO/IEC 27005 proporcionar criterios generales para la realizacin de anlisis y gestin de riesgos en materia de seguridad. Se espera su publicacin en breve.
ISO/IEC 27006:2007 es una gua para el proceso de acreditacin de las entidades de certificacin de los SGSI. Publicada en 2007. ISO/IEC 27007 ser una gua para auditar SGSI. ISO/IEC TR 27008 proporcionar una gua para auditar los controles de seguridad de la norma ISO 27002:2005.
ISO/IEC 27010 proporcionar una gua especfica para el sector de las comunicaciones y sistemas de interconexin de redes de industrias y Administraciones, a travs de un conjunto de normas ms detalladas que comenzarn a partir de la ISO/IEC 27011.
ISO/IEC
27011
ser
una
gua
para
la
gestin
de
la
seguridad
en
telecomunicaciones (conocida tambin como X.1051). ISO/IEC 27031 estar centrada en la continuidad de negocio. ISO/IEC 27032 ser una gua para la cyberseguridad.
ISO/IEC 27033 sustituir a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.
ISO/IEC 27034 proporcionar guas para la seguridad en el desarrollo de aplicaciones. ISO/IEC 27799 no ser estrictamente una parte de la serie ISO 27000 aunque proporcionar una gua para el desarrollo de SGSI para el sector especfico de la salud.
Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.
Polticas de Control de Accesos Generalidades El acceso por medio de un sistema de restricciones y excepciones a la informacin es la base de todo sistema de seguridad informtica. Para impedir el acceso no autorizado a los sistemas de informacin se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas de informacin, bases de datos y servicios de informacin, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privacin final de derechos de los usuarios que ya no requieren el acceso.
La cooperacin de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseas y la seguridad del equipamiento.
Misin Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestin para la seguridad de la informacin, enmarcando su aplicabilidad en un proceso
de desarrollo continuo y actualizable, apegado a los estndares internacionales desarrollados para tal fin.
Visin
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y polticas de seguridad informtica, basado en el sistema de gestin de seguridad de la informacin, a travs de la utilizacin de tcnicas y herramientas que contribuyan a optimizar la administracin de los recursos informticos de la organizacin. Objetivo Impedir el acceso no autorizado a los sistemas de informacin, bases de datos y servicios de informacin. Implementar seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. Controlar la seguridad en la conexin entre la red del Organismo y otras redes pblicas o privadas. Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos. Garantizar la seguridad de la informacin cuando se utiliza computacin mvil e instalaciones de trabajo remoto. Alcance La Poltica definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de informacin, bases de datos o servicios de informacin de la empresa, cualquiera sea la funcin que desempee.
Asimismo se aplica al personal tcnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad. Responsabilidad El Responsable de Seguridad Informtica estar a cargo de: Definir normas y procedimientos para: la gestin de accesos a todos los sistemas, bases de datos y servicios de informacin multiusuario; el monitoreo del uso de las instalaciones de procesamiento de la informacin; la solicitud y aprobacin de accesos a Internet; el uso de computacin mvil, trabajo remoto y reportes de incidentes relacionados; la respuesta a la activacin de alarmas silenciosas; la revisin de registros de actividades; y el ajuste de relojes de acuerdo a un estndar preestablecido. Definir pautas de utilizacin de Internet para todos los usuarios. Participar en la definicin de normas y procedimientos de seguridad a implementar en el ambiente informtico y validarlos peridicamente. Controlar la asignacin de privilegios a usuarios. Analizar y sugerir medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios. Verificar el cumplimiento de las pautas establecidas, relacionadas con control de accesos, registracin de usuarios, administracin de privilegios, administracin de contraseas, utilizacin de servicios de red, autenticacin de usuarios y nodos, uso controlado de utilitarios del sistema, alarmas silenciosas, desconexin de terminales por tiempo muerto, limitacin del horario de conexin, registro de eventos, proteccin de puertos, subdivisin de redes, control de conexiones a la red, control de ruteo de red, etc. Concientizar a los usuarios sobre el uso apropiado de contraseas y de equipos de trabajo. Verificar el cumplimiento de los procedimientos de revisin de registros de auditora. Asistir a los usuarios que corresponda en el anlisis de riesgos a los que se expone la informacin y los componentes del ambiente informtico que sirven de soporte a la misma.
Los Propietarios de la Informacin estarn encargados de: Evaluar los riesgos a los cuales se expone la informacin con el objeto de: o Determinar los controles de accesos, autenticacin y utilizacin a ser implementados en cada caso. o Definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisin de los mismos. Aprobar y solicitar la asignacin de privilegios a usuarios. Llevar a cabo un proceso formal y peridico de revisin de los derechos de acceso a la informacin. Definir un cronograma de depuracin de registros de auditora en lnea.
Los Propietarios de la Informacin junto con la Unidad de Auditora Interna o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin, definirn un cronograma de depuracin de registros en lnea en funcin a normas vigentes y a sus propias necesidades.
Los Responsable de los departamentos, junto con el Responsable de Seguridad Informtica, autorizarn el trabajo remoto del personal a su cargo, en los casos en que se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la informacin, de modo de cumplir con las normas vigentes. Asimismo autorizarn el acceso de los usuarios a su cargo a los servicios y recursos de red y a Internet.
El Responsable del rea Informtica cumplir las siguientes funciones: Implementar procedimientos para la activacin y desactivacin de derechos de acceso a las redes. Analizar e implementar los mtodos de autenticacin y control de acceso definidos en los sistemas, bases de datos y servicios. Evaluar el costo y el impacto de la implementacin de enrutadores o gateways adecuados para subdividir la red y recomendar el esquema apropiado. Implementar el control de puertos, de conexin a la red y de ruteo de red.
10
Implementar el registro de eventos o actividades de usuarios de acuerdo a lo definido por los propietarios de la informacin, as como la depuracin de los mismos. Definir e implementar los registros de eventos y actividades correspondientes a sistemas operativos y otras plataformas de procesamiento. Evaluar los riesgos sobre la utilizacin de las instalaciones de procesamiento de informacin, con el objeto de definir medios de monitoreo y tecnologas de identificacin y autenticacin de usuarios (Ej.: biometra, verificacin de firma, uso de autenticadores de hardware). Definir e implementar la configuracin que debe efectuarse para cada servicio de red, de manera de garantizar la seguridad en su operatoria. Analizar las medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios. Otorgar acceso a los servicios y recursos de red, nicamente de acuerdo al pedido formal correspondiente. Efectuar un control de los registros de auditora generados por los sistemas operativos y de comunicaciones.
La Unidad de Auditora Interna o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin, tendr acceso a los registros de eventos a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. El Comit de Seguridad de la Informacin aprobar el anlisis de riesgos de la informacin efectuado. Asimismo, aprobar el perodo definido para el mantenimiento de los registros de auditora generados. Poltica Requerimientos para el Control de Acceso Poltica de Control de Accesos En la aplicacin de controles de acceso, se contemplarn los siguientes aspectos: a) Identificar los requerimientos de seguridad de cada una de las aplicaciones. b) Identificar toda la informacin relacionada con las aplicaciones.
11
c) Establecer criterios coherentes entre esta Poltica de Control de Acceso y la Poltica de Clasificacin de Informacin de los diferentes sistemas y redes. d) Identificar la legislacin aplicable y las obligaciones contractuales con respecto a la proteccin del acceso a datos y servicios. e) Definir los perfiles de acceso de usuarios estndar, comunes a cada categora de puestos de trabajo. f) Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles.
Reglas de Control de Acceso Las reglas de control de acceso especificadas, debern: a) Indicar expresamente si las reglas son obligatorias u optativas b) Establecer reglas sobre la premisa Todo debe estar prohibido a menos que se permita expresamente y no sobre la premisa inversa de Todo est permitido a menos que se prohba expresamente. c) Controlar los cambios en los rtulos de informacin que son iniciados automticamente por herramientas de procesamiento de informacin, de aquellos que son iniciados a discrecin del usuario. d) Controlar los cambios en los permisos de usuario que son iniciados automticamente por el sistema de informacin y aquellos que son iniciados por el administrador. e) Controlar las reglas que requieren la aprobacin del administrador o del Propietario de la Informacin de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobacin.
1. Requisitos De Negocio Para El Control De Acceso
Art.1 Los accesos a los inmuebles, debern estar controlados loas 24 horas los 365 das del ao
Art. 2 El personal de vigilancia, deber apoyar al responsable del centro de datos para controlar el acceso al mismo.
12
Art. 3 Los centro de datos debern contar con cmaras de video y estar dirigidas hacia las puertas de acceso y se colocaran de forma que se tenga una visin panormica del mismo, para permitir una vigilancia constante por parte de personal de seguridad.
Art. 4 Queda estrictamente prohibido el ejercicio de actividades relativas al comercio y lucro para beneficio personal
Art. 5 Queda estrictamente prohibido la introduccin de cualquier tipo de armas a toda persona ajena al personal de seguridad del inmueble, excepto a empresas de valores que deban de portar armas cortas en espacios cerrados o reducidos.
Art. 6 Queda prohibido por razones de seguridad, el acceso a menores de edad.
Art. 7 Queda estrictamente prohibido el acceso a personas ajenas a la institucin en das de trabajo inhbiles
Art. 8 Queda prohibido el ingreso de animales o propiciar su estancia en las instalaciones de propiedad o de uso institucional.
Art. 9 Queda estrictamente prohibido la introduccin, deposito y consumo de todo tipo de alimentos en los lugares de trabajo con excepcin de agua embotellada.
Art. 10 Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las reas de servicio crtico estar sujeto a las que especifiquen las autoridades superiores de la institucin.
Art. 11 El rea de seguridad deber proveer de la infraestructura de seguridad requerida con base en los requerimientos especficos de cada rea. 1.1. Entrada Y Salida De Personal
13
Art. 1 En cada puesto de vigilancia y control de acceso, se tendr un registro de las entradas y salidas del personal, visitantes, proveedores, as como una bitcora que registre material o quipos que se introduzcan o salgan del Centro de Datos . Art. 2 Sin excepcin, todos los empleados debern portar en un lugar visible la credencial vigente y autorizada para ingresar o permanecer en las instalaciones. Art. 3 Queda prohibido el prstamo o intercambio de gafetes de identificacin Art. 4 En caso de no contar con la credencial vigente para ingresar a las instalaciones, el empleado deber registrarse en el mdulo de vigilancia y obtener contra entrega de una identificacin oficial con fotografa, el gafete de empleado, mismo que deber portar en un lugar visible todo el tiempo que permanezca dentro de las inhalaciones. Art. 5 Sin excepcin, toda bolsa, portafolio, mochila, paquete o bulto que se pretenda introducir o sacar de las instalaciones, ser sujeto a revisin por el personal de seguridad en forma fsica y/o utilizando la banda de rayos x. Art. 6 Queda estrictamente prohibido el acceso a las instalaciones a todo empleado en visible estado de ebriedad o bajo los efectos de drogas. Art. 7 En el caso de las reas que requieran la fluctuacin de personal por turnos , debern de notificar y mantener actualizadas las listas de empleados autorizados.
1.2.
Entrada Y Salida De Visitantes
Art. 1 Las visitas de ndole personal, podrn ser recibidas por el empleado visitado en el mdulo de vigilancia del acceso principal del inmueble y tratara su asunto en esta misma rea. Art. 2 El acceso de todo visitante deber ser autorizado por el rea visitada, toda vez que haya cumplido con los requisitos que indica el procedimiento de registro correspondiente. Art. 3 El personal visitado, es responsable por las acciones el proveedor durante el tiempo que este permanezca en las instalaciones, por lo que deber escoltarlo de la entrada al lugar de reunin, durante su estancia en el inmueble y hasta el momento en que se retire. Art. 4 El personal externo que se encuentre en las instalaciones, deber portar siempre a la vista el distintivo de visitante proporcionado por el personal de vigilancia. 14
Art. 5 Cuando el personal externo al centro de datos, se encuentre en las instalaciones por varios das, se le deber asignar una credencial provisional que indique su nombre, empresa o institucin a la que pertenece, hacindose
responsable de ste personal el lder del proyecto o evento a realizarse.
1.3.
Entrada Y Salida De Informacin, Material, Mobiliario Y Equipo
Art. 1 Toda persona que ingrese material, informacin, mobiliario y/o equipo a las instalaciones, proporcionara los datos correspondientes y mostrara el bien en cuestin a los vigilantes encargados de los accesos. Art. 2 Solo se permitir la entrada de software y equipo de computo de propiedad particular cuando se presente la autorizacin por escrito y firmado por el administrador de rea o por el personal registrado. Art. 3 El equipo de computo propiedad del proveedor o visitante, deber ser registrado en el mdulo de vigilancia indicando el periodo de estancia del equipo en el inmueble y estar bajo la responsabilidad de las reas visitadas o resguardantes del mismo. Art. 4 La salida del equipo de computo propiedad del proveedor o visitante,
deber de ser revisado por el rea visitada o resguardante del mismo , respecto a que no deber contener informacin propiedad de la empresa, as, como contar con el pase de salida oficial confirmado. Art. 5 La salida del material, mobiliario o equipo solo ser permitido por el medio del pase de salida oficial con firma del personal autorizado. Art. 6 Todo ingreso de dispositivos porttiles de almacenamiento de informacin as como CDs, disquetes, dats, cintas, unidades porttiles de almacenamiento de informacin que utilicen alguno de los siguientes tipos de conexin: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o cualquier tipo de medio de almacenamiento de informacin deber ser registrado. Art. 7 No se permitir la salida de informacin impresa, dispositivos porttiles de almacenamiento de informacin, CDs, disquetes, dats, cintas, unidades porttiles de almacenamiento de informacin que utilicen alguno de los siguientes tipos de conexin: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o
15
cualquier tipo de medio de almacenamiento de informacin similar sin el pase de salida avalado con firma del personal autorizado. Art. 8 Las reas vinculadas con procesos que dependen directamente de la recepcin de informacin y con la atencin al usuario, podrn utilizar discrecionalmente los dispositivos porttiles de almacenamiento de informacin referidos en los anteriores artculos. Su uso y portabilidad dentro de las instalaciones institucionales , quedan bajo supervisin y responsabilidad de los encargados de las reas de atencin al usuario que corresponda. Art. 9 En otros casos y para cualquier otra rea las unidades porttiles de almacenamiento a que se refieren los artculos anteriores, solo podrn ser utilizadas cuando los medios disponibles no satisfagan las necesidades de capacidad y portabilidad requeridas y siempre bajo la responsabilidad y autorizacin del Administrador de cada rea. Art. 10 No se permitir la entrada de grabadoras o reproductoras de audio y video, as como cmaras fotogrficas salvo previa autorizacin del responsable del inmueble. 1.4. Control De Acceso Para Areas Restringidas
Art. 1 Se considera rea restringida propiamente a los centros de Datos (Bunker) y otras reas que por su funcin debern ser limitadas en su acceso de manera permanente o temporal Art. 2 En las reas restringidas queda estrictamente prohibido el uso de telfonos celulares, agendas electrnicas y dems dispositivos citados en los artculos 6, 7 y 8 del apartado anterior. Art. 3 Para las reas restringidas no se permitir la entrada o salida de dispositivos de almacenamiento magntico, digital o electrnico sin la autorizacin del rea responsable. Art. 4 Toda persona que pretenda ingresar a las reas restringidas, deber contar con la aprobacin y autorizacin y deber cumplir el procedimiento de registro correspondiente. Art. 5 Toda persona o visitante que pretendan ingresar a las reas restringidas, debern portar su gafete
16
Art. 6 Solo se permitir el acceso a las diferentes reas restringidas con e material que sea estrictamente necesario para llevar a cabo las actividades en beneficio de la institucin, lo que se deber de verificar y autorizar previamente por el responsable del rea a la cual se solicita el acceso. Art. 7 Al entrar o salir de las reas restringidas, el vigilante del punto revisar minuciosamente y en presencia del portador, el contenido de cajas, bolsas, portafolios , botes, o cualquier contenedor similar, as como gabardinas, abrigos o cualquier atuendo voluminoso. Art. 8 Dentro del centro de datos o de procesamiento, queda estrictamente prohibido el ingreso de cualquier sustancia lquida como agua, caf, refresco, limpiadores u otros lquidos. Art. 9 No se permitir el acceso al Centro de Datos o de procesamiento con: imanes, clips, cigarros, cerillos, encendedores y materiales o maquinas similares, que, puedan causar daos a las instalaciones , informacin, maquinas y dispositivos que se encuentren en el. Art. 10 Queda estrictamente prohibido fumar, ingerir bebidas o alimentos, el uso de radios, transmisores o receptores de radio digitales o anlogas en cualquier frecuencia, incluyendo: televisores, grabadoras, video grabadoras, equipo
personal de computo , agendas y aparatos diversos o equipos no autorizados para el uso de telecomunicaciones, dentro del Centro de Datos. 1.5. Sanciones
2. La primera incurrencia de Nivel 1, para la primera ocasin se har una amonestacin por escrito 3. La reincidencia a partir de la segunda ocasin ser una falta de Nivel 2 y se levantar un acta administrativa 4. El incumpliendo a estos artculos deber ser sancionado de acuerdo a su gravedad.
2. Gestin de acceso de usuario La capacidad de Gestin de Identidad y Accesos describe cmo debe gestionarse la identidad de las personas y los equipos y cmo proteger los datos de identificacin 17
(sincronizacin, gestin de passwords y aprovisionamiento de usuarios), y cmo se gestionan los accesos a recursos por parte de usuarios mviles de la empresa, clientes y/o externos fuera de los lmites del firewall.
Art. 1 Existencia de un mecanismo de identificacin inequvoca de todos los usuarios y accesos a los recursos, basada en la aportacin de credenciales gestionadas por medio de tecnologas de seguridad y cifrado (login y password, certificados digitales, dispositivos especiales biomtricos, etc). Art. 2 Existencia de un repositorio unificado de identidades que se aplican de forma homognea a todo el mbito de IT de la organizacin para la validacin de accesos y gestin de permisos sobre los recursos. Art. 3 Existencia de un servicio de directorio que contenga la informacin de identidad y permita su uso en otros mbitos (correo, mensajera instantnea, etc). Art. 4 Organizacin del acceso a los recursos de manera centralizada empleando roles de actividad u otros criterios de agrupamiento. Art. 5 Existencia de mecanismos de propagacin de los permisos y privilegios de acceso a recursos a travs de la red de manera automtica, mediante directivas de mbito corporativo. Art. 6 Existencia de medios de autoaprovisionamiento de recursos para cuentas de usuario Art. 7 Existencia de mecanismos de federacin de la identidad para permitir el acceso de usuarios externos a la propia organizacin a ciertos recursos para fines de trabajo en equipo.
2.2.
Registro De Usuario
El Responsable de Seguridad Informtica definir un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de informacin multiusuario, el cual debe comprender: Art. 1 Utilizar identificadores de usuario nicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de mltiples perfiles de acceso para un mismo empleado. El uso de identificadores grupales slo debe ser
18
permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas. Art. 2 Verificar que el usuario tiene autorizacin del Propietario de la Informacin par el uso del sistema, base de datos o servicio de informacin. Art. 3 Verificar que el nivel de acceso otorgado es adecuado para el propsito de la funcin del usuario y es coherente con la Poltica de Seguridad del Organismo, por ejemplo, que no compromete la separacin de tareas. Art. 4 Entregar a los usuarios un detalle escrito de sus derechos de acceso. Art. 5 Requerir que los usuarios firmen declaraciones sealando que comprenden y aceptan las condiciones para el acceso. Art. 6 Garantizar que los proveedores de servicios no otorguen acceso hasta que se hayan completado los procedimientos de autorizacin. Art. 7 Mantener un registro formal de todas las personas registradas para utilizar el servicio. Art. 8 Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revoc la autorizacin, se desvincularon del Organismo o sufrieron la prdida/robo de sus credenciales de acceso. Art. 9 Efectuar revisiones peridicas con el objeto de: o o Cancelar identificadores y cuentas de usuario redundantes Inhabilitar cuentas inactivas por ms de (indicar perodo no mayor a 60 das) o Eliminar cuentas inactivas por ms de (indicar perodo no mayor a 120 das)
En el caso de existir excepciones, debern ser debidamente justificadas y aprobadas. Art. 10 Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios. Art. 11 Incluir clusulas en los contratos de personal y de servicios que especifiquen sanciones si el personal o los agentes que prestan un servicio intentan accesos no autorizados.
19
2.3.
Gestin De Privilegios
Se limitar y controlar la asignacin y uso de privilegios, debido a que el uso inadecuado de los privilegios del sistema resulta frecuentemente en el factor ms importante que contribuye a la falla de los sistemas a los que se ha accedido ilegalmente. Los sistemas multiusuario que requieren proteccin contra accesos no autorizados, deben prever una asignacin de privilegios controlada mediante un proceso de autorizacin formal. Se deben tener en cuenta los siguientes pasos: Art. 1 Identificar los privilegios asociados a cada producto del sistema, por ejemplo sistema operativo, sistema de administracin de bases de datos y aplicaciones, y las categoras de personal a las cuales deben asignarse los productos. Art.2 Asignar los privilegios a individuos sobre la base de la necesidad de uso y evento por evento, por ejemplo el requerimiento mnimo para su rol funcional. Art.3 Mantener un proceso de autorizacin y un registro de todos los privilegios asignados. Los privilegios no deben ser otorgados hasta que se haya completado el proceso formal de autorizacin. Art. 4 Establecer un perodo de vigencia para el mantenimiento de los privilegios (en base a la utilizacin que se le dar a los mismos) luego del cual los mismos sern revocados. Art. 5 Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios. Los Propietarios de Informacin sern los encargados de aprobar la asignacin de privilegios a usuarios y solicitar su implementacin, lo cual ser supervisado por el Responsable de Seguridad Informtica. 2.4. Gestin De Contraseas De Usuario
Art. 1 Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario y password necesarios para acceder a la informacin y a la infraestructura tecnolgica de la empresa, por lo cual deber mantenerlo de forma confidencial.
20
Art. 2 El acceso a la infraestructura tecnolgica de la institucin, para personal externo debe ser autorizado al menos por un administrador de proyectos, quien deber notificarlo a la Direccin General de Informtica quien ser el encargado de habilitar. Art. 3 Esta prohibido que los usuarios utilicen la infraestructura tecnolgica de la institucin para obtener acceso no autorizado a la informacin u otros sistemas de informacin de la empresa. Art. 4 Todos los usuarios de servicios de informacin son responsables por el UserID y password que recibe para el uso y acceso de los recursos Art. 5 Todos los usuarios debern autenticarse por los mecanismos de control de acceso provistos por la Direccin General Informtica antes de poder usar la infraestructura tecnolgica de la institucin. Art. 6 Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de la institucin, a menos que se tenga la autorizacin del dueo de la informacin y de la Direccin General Informtica. Art. 7 Cada usuario que acceda a la infraestructura tecnolgica de la institucin debe contar con un identificador de usuario (UserID) nico y personalizado. Por lo cual no est permitido el uso de un mismo UserID por varios usuarios. Art. 8 Los usuarios son responsables de todas las actividades realizadas con su identificador de usuario (UserID). Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tienen prohibido utilizar el UserID de otros usuarios. Art. 9 Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la infraestructura tecnolgica de la institucin, debern ser notificados a Mesa de Ayuda con el visto bueno de su administrador del rea. Art. 10 Los usuarios debern mantener sus equipos de cmputo con controles de acceso como passwords y protectores de pantalla (screensaver) previamente instalados y autorizados por la Direccin General de Informtica cuando no se encuentren en su lugar de trabajo. Art. 11 La asignacin del password debe ser realizada de forma individual, por lo que el uso de passwords compartidos est prohibido. 21
Art. 12 Cuando un usuario olvide, bloquee o extrave su password, deber levantar un reporte al Centro de Atencin a Usuarios (CAU) para que se le proporcione un nuevo password y una vez que lo reciba deber cambiarlo en el momento en que acceda nuevamente a la infraestructura tecnolgica. Art. 13 La obtencin o cambio de un password debe hacerse de forma segura, el usuario deber acreditarse ante el Centro de Informacin como empleado de la institucin. Art. 14 Esta prohibido que los passwords se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. Art. 15 Sin importar las circunstancias, los passwords nunca se deben compartir o revelar. Hacer esto responsabiliza al usuario que prest su password de todas las acciones que se realicen con el mismo. Art. 16 Todos los usuarios debern observar los siguientes lineamientos para la construccin de sus passwords: Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10), estos caracteres deben ser alfanumricos. Deben ser difciles de adivinar, esto implica que los passwords no deben relacionarse con el trabajo o la vida personal del usuario, y no deben contener caracteres que expresen listas secuenciales y caracteres de control. No deben ser idnticos o similares a passwords que hayan usado previamente.
22
Art. 17 El password tendr una vigencia de 90 das, finalizando este periodo el usuario recibe una solicitud electrnica de cambio de contrasea. Art. 18 Todo usuario que tenga la sospecha de que su password es conocido por otra persona, deber cambiarlo inmediatamente. Art. 19 Los usuarios no deben almacenar los passwords en ningn programa o sistema que proporcione esta facilidad. Art. 20 Los cambios o desbloqueo de passwords solicitados por el usuario al Centro de Informacin, sern notificados con posterioridad por correo electrnico al solicitante con copia al Director General correspondiente, de tal forma que se pueda detectar y reportar cualquier cambio no solicitado. 2.5. Revisin De Los Derechos De Acceso De Usuario
A fin de mantener un control eficaz del acceso a los datos y servicios de informacin, el Propietario de la Informacin de que se trate llevar a cabo un proceso formal, a intervalos regulares de (indicar periodicidad no mayor a 6 meses), a fin de revisar los derechos de acceso de los usuarios. Se debern contemplar los siguientes controles: Art. 1 Revisar los derechos de acceso de los usuarios a intervalos de (especificar tiempo no mayor a 6 meses). Art. 2 Revisar las autorizaciones de privilegios especiales de derechos de acceso a intervalos de (especificar tiempo no mayor a 3 meses). Art. 3 Revisar las asignaciones de privilegios a intervalos de (especificar tiempo no mayor a 6 meses), a fin de garantizar que no se obtengan privilegios no autorizados.
3. Responsabilidades Del Usuario
3.2.
Uso de contraseas
Los usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de contraseas. Las contraseas constituyen un medio de validacin y autenticacin de la identidad de un usuario, y consecuentemente un medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de informacin. 23
Los usuarios deben cumplir las siguientes directivas:
Art. 1 Mantener las contraseas en secreto. Art. 2 Pedir el cambio de la contrasea siempre que exista un posible indicio de compromiso del sistema o de las contraseas. Art. 3 Seleccionar contraseas de calidad, de acuerdo a las prescripciones informadas por el Responsable del Activo de Informacin de que se trate, que: 1. Sean fciles de recordar. 2. No estn basadas en algn dato que otra persona pueda adivinar u obtener fcilmente mediante informacin relacionada con la persona, por ejemplo nombres, nmeros de telfono, fecha de nacimiento, etc. 3. No tengan caracteres idnticos consecutivos o grupos totalmente numricos o totalmente alfabticos. Art. 4. Cambiar las contraseas cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contraseas. Art. 5. Cambiar las contraseas provisorias en el primer inicio de sesin (log on). Art. 6. Evitar incluir contraseas en los procesos automatizados de inicio de sesin, por ejemplo, aquellas almacenadas en una tecla de funcin o macro. Art. 7. Notificar oportunamente cualquier incidente de seguridad relacionado con sus contraseas: prdida, robo o indicio de prdida de confidencialidad. Art. 8. Las cuentas de usuario son personales, en ningn momento deben ser utilizadas por personal ajeno al que le fue asignada. Art. 9. Las contraseas deben ser memorizadas desde el mismo momento en que le es asignada. Art. 10. Se desechar, toda documentacin que tenga que ver con informacin relacionada a su cuenta de usuario, minutos despus de habrsele entregado y siempre que haya sido memorizada o resguarda su informacin. Art. 11. Es importante que el usuario establezca contraseas fuertes y desligadas de su vida personal o de su entorno familiar o no emplean do formatos comunes de fechas. Art. 12. Toda falla en el equipo debe ser documentado por el operador de las estacin de trabajo. 24
Si los usuarios necesitan acceder a mltiples servicios o plataformas y se requiere que mantengan mltiples contraseas, se notificar a los mismos que pueden utilizar una nica contrasea para todos los servicios que brinden un nivel adecuado de proteccin de las contraseas almacenadas y en trnsito.
3.3.
Equipo de usuario desatendido
Los usuarios debern garantizar que los equipos desatendidos sean protegidos adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo estaciones de trabajo o servidores de archivos, requieren una proteccin especfica contra accesos no autorizados cuando se encuentran desatendidos.
El Responsable de Seguridad Informtica debe coordinar con el rea de Recursos Humanos las tareas de concientizacin a todos los usuarios y contratistas, acerca de los requerimientos y procedimientos de seguridad, para la proteccin de equipos desatendidos, as como de sus funciones en relacin a la implementacin de dicha proteccin.
Los usuarios cumplirn con las siguientes pautas: Art. 1. Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contrasea. Art. 2. Proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contrasea de acceso cuando no se utilizan.
3.4.
Poltica de puesto de trabajo despejado y pantalla limpia
Art. 1. El servidor de dominio deber bloquear cualquier estacin de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto. Art. 2. La prctica de guardar las contraseas en papel adherido al monitor o reas cercanas al equipo de trabajo, es una falta grave y sancionable.
25
Art. 3. El usuario es parte esencial en la seguridad de la red institucional, su experiencia como operador en las estaciones de trabajo es de suma importancia para el comit de seguridad. Art. 4. El gestor de seguridad debe desactivar cualquier caracterstica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseas. Art. 5. El usuario deber estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contrasea. Art. 6. El usuario deber ser precavido al manipular su cuenta de acceso a los sistemas, tomando medidas de seguridad que no pongan en riesgo su integridad como persona.
4. Control de acceso a Red
Ser considerado como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autorizada por la Direccin General de Informtica, en la cual los usuarios realicen la exploracin de los recursos informticos en la red, as como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible vulnerabilidad. El Responsable de Seguridad Informtica definir controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo, contra el acceso no autorizado, considerando la ejecucin de las siguientes acciones:
Art. 1. Establecer los procedimientos para la administracin del equipamiento remoto, incluyendo los equipos en las reas usuarias, la que ser llevada a cabo por el responsable establecido en el punto Asignacin de Responsabilidades en Materia de Seguridad de la Informacin. Art. 2. Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas. Art. 3. Garantizar mediante actividades de supervisin, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de informacin. El Responsable del rea Informtica implementar dichos controles. 26
Art. 4. Dado el carcter unipersonal del acceso a la Red, el departamento de Cmputo verificar el uso responsable, de acuerdo al Reglamento para el uso de la red. Art. 5. El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de supercmputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cmputo. Art 6. Todo el equipo de cmputo que est o sea conectado a la Red, o aquellas que en forma autnoma se tengan y que sean propiedad de la institucin, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cmputo.
4.2.
Poltica de Acceso a Usuarios Internos a la Red
Objetivo Este documento describe las polticas bajo las cuales personal interno podr hacer uso de la red.
Alcance Esta poltica es aplicable a todas las conexiones de acceso a recursos informticos pblicos y no pblicos.,
Poltica Anlisis de seguridad Todas las solicitudes para conectar equipos de cmputo a la red debern de ser revisadas por la Gerencia de Tecnologa, para garantizar que se cumplan los requisitos de seguridad establecidos.
Instalacin de equipo de cmputo Todos los equipos que sean instalados en la Red, debern de contar con todas las actualizaciones de Microsoft as como tener instalado el cliente de antivirus Symantec y ser necesario ingresar al usuario al dominio.
Acceso a Servicios Informticos 27
Todas las solicitudes de conexin para los servicios informticos debern de ser mediante correo electrnico y por el jefe inmediato del interesado. Estableciendo conectividad Todos los accesos a los servicios informticos, debern basarse en el principio de menor acceso, de acuerdo con los requerimientos y el anlisis de seguridad realizado. Modificacin de conexin y acceso Todos los cambios de acceso deben ir acompaados de una justificacin vlida relacionada y apegada al anlisis de seguridad.
Fin de acceso Cuando ya no se requiera el acceso a los servicios informticos, ser necesario que se notifique mediante un correo electrnico y por el jefe inmediato al administrador de la red LAN para poder restringir el acceso a los servicios.
Se deber realizar una auditoria anual de las conexiones permitidas con la finalidad de asegurar que stas an sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen ms debern ser finalizadas inmediatamente.
Si existe un incidente de seguridad o se identifica que un acceso a la red indebido, ser necesario una modificacin a los permisos actuales, o en efecto, que se de fin a la conexin.
Aplicacin Cualquier empleado que viole estas polticas ser sancionado de acuerdo a los criterios establecidos.
28
4.3.
Poltica de Acceso a Usuarios Externos a la Red
Objetivo Este documento describe las polticas bajo las cuales personal externo (proveedores, consultores, outsourcing, etc.), podrn conectarse a la red con fines exclusivos de proporcionar algn servicio. Alcance Esta poltica es aplicable a todas las conexiones entre terceros que requieran acceso a recursos informticos no pblicos, sin importar el tipo de tecnologa que se est utilizando para este fin. Poltica Anlisis de seguridad Todas las solicitudes de terceros para conectar equipos de cmputo a la red debern ser revisados por el rea de tecnologa. En esta revisin, el rea, deber asegurarse de que las conexiones cumplan con los requisitos de seguridad que se han establecido.
Acuerdo de conexin de terceros Todas las solicitudes de conexin entre terceros hacia los equipos y sistemas requieren que se establezca un acuerdo firmado tanto por el responsable legal del tercero en cuestin, as como por el Gerente de Tecnologa.
Casos de uso para propsito del negocio Todas las conexiones hacia los recursos de cmputo y comunicaciones debern estar justificadas por escrito; dicha documentacin deber ser aprobado por el rea de tecnologa, as como las condiciones de operacin de las mismas. Estos requerimientos sern integrados como parte de la documentacin de convenio o contratacin de los servicios del tercero.
Punto de contacto 29
La persona designada que funge como contacto representa a su organizacin y es el responsable del cumplimiento de esta poltica y del acuerdo firmado por ambas partes en donde se le involucre.
En caso de que el contacto cambie, se le deber notificar al rea de tecnologa de la organizacin. Estableciendo conectividad El solicitante debe proporcionar la informacin completa de la propuesta para controlar el acceso a los recursos de informacin de la organizacin de los terceros.
El solicitante que desee establecer conexin con terceros, debern realizar una nueva solicitud al Administrador de la red LAN en cuestin. Este a su vez evaluar junto con el rea de Tecnologa los requerimientos de seguridad inherentes a la solicitud.
Todas las conexiones solicitadas como VPN, Wireless y Red LAN, debern basarse en el principio de menor acceso, de acuerdo con los requerimientos y el anlisis de seguridad realizado.
Bajo ninguna circunstancia, la organizacin confiar en terceros para proteger la red o los sistemas de informacin del Fondo. Modificacin de conexin y acceso Todos los cambios de acceso deben ir acompaados de una justificacin vlida relacionada y apegada al anlisis de seguridad. El solicitante es el responsable de notificar al rea de tecnologa del Fondo.
Fin de acceso Notifique al rea de tecnologa sobre el estatus de la conexin para negar su acceso. En el mejor de los casos, esto puede significar una modificacin de permisos existentes hasta un bloqueo permanente a la red.
30
El rea de tecnologa deber realizar una auditora anual de las conexiones permitidas con la finalidad de asegurar que stas an sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen ms para asuntos relacionados a la organizacin, debern ser finalizadas inmediatamente. Si existe un incidente de seguridad o se identifica que un acceso a la red ha sido negado, mismo que ya no ser requerido para tratar asuntos relacionados con la organizacin; ser necesario una modificacin a los permisos actuales, o en efecto, que se de fin a la conexin. En este caso, el rea de tecnologa o el administrador de la red LAN, debern dar aviso al contacto o al patrocinador.
Aplicacin Cualquier empleado que viole estas polticas ser sancionado de acuerdo a los criterios establecidos por el rea de tecnologa. Los terceros que violen los lineamientos de esta poltica sern sancionados con la terminacin de su contrato de servicio. finicin
Termino Solicitante
Definicin Personal o Departamento de la organizacin que solicita que un tercero tenga acceso a la red y a los recursos de cmputo del Fondo. Organizacin o persona fsica que no forma parte o es subsidiaria
Tercero
Trmino Definicin
5. Control De Acceso Al Sistema Operativo 5.2. Procedimientos seguro de inicio de sesin
A fin de mantener un control eficaz del acceso a los datos y servicios de informacin, el Propietario de la Informacin de que se trate llevar a cabo un proceso formal, a intervalos regulares de un mes, a fin de revisar los derechos de acceso de los usuarios. Para lo cual se debern contemplar los siguientes controles
Art. 1. Revisar los derechos de acceso de los usuarios cada mes. Art. 2. Revisar las autorizaciones de privilegios especiales de derechos de acceso cada mes. 31
Art. 3. Revisar las asignaciones de privilegios cada mes, a fin de garantizar que no se obtengan privilegios no autorizados. Art. 4. Se deshabilitarn las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditora, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema. Art. 5. Al terminar una sesin de trabajo en las estaciones, los operadores o cualquier otro usuario, evitar dejar encendido el equipo, pudiendo proporcionar un entorno de utilizacin de la estacin de trabajo.
5.3.
Identificacin y autenticacin de usuarios
Todos los usuarios (incluido el personal de soporte tcnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrn un identificador nico (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los identificadores de usuario no darn ningn indicio del nivel de privilegio otorgado.
En circunstancias excepcionales, cuando existe un claro beneficio para el Organismo, podr utilizarse un identificador compartido para un grupo de usuarios o una tarea especfica. Para casos de esta ndole, se documentar la justificacin y aprobacin del Propietario de la Informacin de que se trate.
Si se utilizar un mtodo de autenticacin fsico (por ejemplo autenticadores de hardware), deber implementarse un procedimiento que incluya: a) Asignar la herramienta de autenticacin. b) Registrar los poseedores de autenticadores. c) Rescatar el autenticador al momento de la desvinculacin del personal al que se le otorg. d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.
Art. 1. La identificacin del usuario se har a travs del formulario que le proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma impresa 32
de la persona que tendr acceso al sistema o se acreditar con su cuenta de usuario. Art. 2. Cualquier peticin de servicio, por parte de personal de la empresa o ajeno a la misma, no se conceder sino es mediante la aprobacin de la poltica de acceso y prestacin de servicio. Art. 3. La cuenta temporal es usada nicamente con propsitos legales y de ejecucin de tareas, por olvido de la informacin de la cuenta personal.
Art. 4. La cuenta temporal es nicamente acreditable, si se proporciona la informacin necesaria para su uso. Art. 5. Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa verificacin o asignacin de una nueva cuenta, al usuario propietario de la cuenta a eliminar. Art. 6. El par usuario/contrasea temporal, ser eliminada del sistema como tal, por el gestor de seguridad, en el preciso momento en que sea habilitada una cuenta personal para el usuario que haya solicitado su uso. Art. 7. El sistema no aceptar contraseas con una longitud menor a la expresada en la poltica de creacin de contraseas. Art. 8. Los usuarios darn un seguimiento estricto sobre las polticas de creacin de contraseas, acatando sus disposiciones en su totalidad. Art. 9. El sistema revocar toda contrasea con una longitud mayor a la expresada en la poltica de creacin de contraseas. Art. 10. El usuario se responsabiliza en crear una contrasea fuerte y difcil de adivinar. Art. 11. Se recomienda utilizar una frase coma base para la creacin de la contrasea, tomando la letra inicial de cada palabra. Por ejemplo: El azar favorece una mente brillante <<EaFUmB>>
5.4.
Sistema de gestin de contrasea
Las contraseas constituyen uno de los principales medios de validacin de la autoridad de un usuario para acceder a un servicio informtico. Los sistemas de administracin de contraseas deben constituir una herramienta eficaz e interactiva que garantice contraseas de calidad. 33
El sistema de gestin de contraseas debe: a) Imponer el uso de contraseas individuales para determinar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseas (luego de cumplido el plazo mnimo de mantenimiento de las mismas) e incluir un procedimiento de confirmacin para contemplar los errores de ingreso. c) Imponer una seleccin de contraseas de calidad segn lo sealado en el punto Uso de Contraseas. d) Imponer cambios en las contraseas en aquellos casos en que los usuarios mantengan sus propias contraseas, segn lo sealado en el punto Uso de Contraseas. e) Obligar a los usuarios a cambiar las contraseas provisorias en su primer procedimiento de identificacin, en los casos en que ellos seleccionen sus contraseas. f) Mantener un registro de las ltimas contraseas utilizadas por el usuario, y evitar la reutilizacin de las mismas. g) Evitar mostrar las contraseas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseas y los datos de sistemas de aplicacin. i) Almacenar las contraseas en forma cifrada utilizando un algoritmo de cifrado unidireccional. j) Modificar todas las contraseas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseas, asegure que no se tenga acceso a informacin temporal o en trnsito de forma no protegida.
Art. 1. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red la empresa, siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario.
34
Art. 2. Se crear una cuenta temporal del usuario, en caso de olvido o extravo de informacin de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de identidad personal. Art.3. La longitud mnima de caracteres permisibles en una contrasea se establece en 6 caracteres, los cuales tendrn una combinacin alfanumrica, incluida en estos caracteres especiales. Art. 4. La longitud mxima de caracteres permisibles en una contrasea se establece en 12 caracteres, siendo esta una combinacin de Maysculas y minsculas. 5.5. Responsabilidades del usuario
Art. 1. El usuario es responsable exclusivo de mantener a salvo su contrasea. Art. 2. El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. Art. 3. Se debe evitar el guardar o escribir las contraseas en cualquier papel o superficie o dejar constancia de ellas, a menos que sta se guardada en un lugar seguro. Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Gestor de Seguridad, que contenga informacin que pueda facilitar a un tercero la obtencin de la informacin de su cuenta de usuario. Art. 5. El usuario es responsable de evitar la prctica de establecer contraseas relacionadas con alguna caracterstica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaos o alguna otra fecha importante. Art. 6. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la informacin almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contrasea, el cual deber activarse en el preciso momento en que el usuario deba ausentarse. Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informticos de la institucin, est obligado a reportarlo a los administradores del sistema o gestor de seguridad. 5.6. Servidores 35 Uso de los recursos del sistema
Art. 3. El acceso a la configuracin del sistema operativo de los servidores, es nicamente permitido al usuario administrador. Art. 4. Los administradores de servicios, tendrn acceso nico a los mdulos de configuracin de las respectivas aplicaciones que tienen bajo su responsabilidad. Art. 5. Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo cuentas restrictivas, en ningn momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrn que ser eliminados o configurados correctamente.
Monitoreo del acceso y uso del sistema Art. 1. Se registrar y archivar toda actividad, procedente del uso de las aplicaciones, sistemas de informacin y uso de la red, mediante archivos de Log o bitcoras de sistemas.
Art. 2. Los archivos de Log, almacenarn nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilizacin, actividad desarrollada, aplicacin implicada en el proceso, intentos de conexin fallidos o acertados, archivos a los que se tuvo acceso, entre otros.
Art. 3. Se efectuar una copia automtica de los archivos de Log, y se conducir o enviara hacia otra terminal. Mantenimiento Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informtica, o del personal de soporte tcnico.
Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificacin aceptable y verificable por el gestor de seguridad.
Art. 3. Se llevar un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalacin.
36
Uso de Utilitarios de Sistema La mayora de las instalaciones informticas tienen uno o ms programas utilitarios que podran tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Es esencial que su uso sea limitado y minuciosamente controlado. Se deben considerar los siguientes controles:
Art. 1. Utilizar procedimientos de autenticacin para utilitarios del sistema.
Art. 2. Separar entre utilitarios del sistema y software de aplicaciones.
Art. 3. Limitar el uso de utilitarios del sistema a la cantidad mnima viable de usuarios fiables y autorizados. Art. 4. Evitar que personas ajenas al Organismo tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informticas. Art. 5. Establecer autorizaciones para uso ad hoc de utilitarios de sistema. Art. 6. Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado. Art. 7. Registrar todo uso de utilitarios del sistema. Art. 8. Definir y documentar los niveles de autorizacin para utilitarios del sistema. Art. 9. Remover todo el software basado en utilitarios y software de sistema innecesarios.
5.7.
Desconexin automtica de sesin
El Responsable de Seguridad Informtica, junto con los Propietarios de la Informacin de que se trate definirn cules se consideran terminales de alto riesgo, por ejemplo reas pblicas o externas fuera del alcance de la gestin de seguridad de la empresa, o que sirven a sistemas de alto riesgo. Las mismas se apagarn despus de un periodo definido de inactividad, tiempo muerto, para evitar el acceso de personas no autorizadas. Esta herramienta de desconexin por tiempo muerto deber limpiar la pantalla de la terminal y deber cerrar tanto la sesin de la aplicacin como la de red. El lapso por tiempo muerto responder a los riesgos de seguridad del rea y de la informacin que maneje la terminal. 37
Para las PCs, se implementar la desconexin por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicacin o de red.
Por otro lado, si un agente debe abandonar su puesto de trabajo momentneamente, activar protectores de pantalla con contraseas, a los efectos de evitar que terceros puedan ver su trabajo o continuar con la sesin de usuario habilitada. 5.8. Limitacin del tiempo de conexin
Las restricciones al horario de conexin deben suministrar seguridad adicional a las aplicaciones de alto riesgo. La limitacin del periodo durante el cual se permiten las conexiones de terminales a los servicios informticos reduce el espectro de oportunidades para el acceso no autorizado. Se implementar un control de esta ndole para aplicaciones informticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo, por ejemplo reas pblicas o externas que estn fuera del alcance de la gestin de seguridad de la empresa.
Entre los controles que se deben aplicar, se enuncian:
Art. 1. Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas peridicas de corta duracin.
Art. 2. Limitar los tiempos de conexin al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensin horaria.
Art. 3. Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorizacin. Tambin cuando el Propietario de la Informacin autorice excepciones para una extensin horaria ocasional.
38
6. Implementacin de la seguridad
6.1.
Introduccin
El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarnos ms a la toma de acciones dentro de nuestra organizacin. Dichas acciones deben llevar un orden adecuado que permita una utilidad real para nuestra empresa. El siguiente artculo menciona algunas consideraciones importantes al respecto.
La poltica de seguridad en la empresa es una cosa, implementarla es algo completamente distinto. En el artculo del autor Charles Cressonwood titulado "Policies: The Path to Less Pain & More Gain", publicado en la fuente mostrada al final de este prrafo, se muestran los resultados de una
encuesta, en la cual se demuestra que una compaa que cuenta con una poltica de seguridad implantada puede tener tantos o ms problemas que aquella que no la tiene, lo que sugiere fallos en su implementacin.
Fuente consultada: http://www.infosecuritymag.com/articles/1999/augcover.shtml
6.1.1. Objetivos La importancia del plan de implementacin de seguridad en la
empresa, que permita que la ejecucin del mismo sea un xito. Revisar ejemplos de acciones a tomar dentro de la empresa, con el fin de tener una mayor base para la seleccin de dichas acciones en nuestra propia implementacin.
39
6.1.2. Importancia de la Implementacin
Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, o despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en la poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin de recomendadas o establecidas las acciones de seguridad
Recordemos que las amenazas son agentes capaces de explotar fallos de seguridad, que denominamos puntos dbiles y, como consecuencia de ello, causan prdidas o daos a los activos de una empresa y afectan sus negocios.
No basta conocer las fragilidades del ambiente o tener una poltica de seguridad escrita. Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informacin, configurar los ambientes etc. Debemos elegir e implementar cada medida de proteccin, para contribuir con la reduccin de las vulnerabilidades.
Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propsitos definidos. Estos propsitos tienen que ser muy claros
6.1.3. Consideracin de la aplicacin Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las vulnerabilidades existentes en los activos de la empresa
Son varias las medidas de proteccin que recomendamos para la reduccin vulnerabilidades de la informacin. Entre otras: Proteccin contra virus
de las
40
Implementacin de firewalls Control de acceso a los recursos de la red Control de acceso fsico Sistemas de vigilancia Deteccin y control de invasiones Polticas generales o especficas de seguridad Equipos Configuracin de ambientes Entrenamiento Campaas de divulgacin Planes de continuidad Clasificacin de la informacin VPN - Virtual Private Network Acceso remoto seguro Monitoreo y gestin de la seguridad ICP - Infraestructura de llaves pblicas
No olvidemos que el objetivo de la implementacin de las medidas de seguridad excede los lmites de la informtica, definida en el diccionario como "la
ciencia que tiene en vista el tratamiento de la informacin a travs del uso de equipos y procedimientos del rea de procesamiento de datos". Por ello
debemos comprender los ambientes que tratan de la informacin, no slo en los medios electrnicos, sino en los convencionales.
Resulta intil definir reglas para crear y usar contraseas difciles de adivinar, si los usuarios las comparten o escriben en recados y las pegan al lado de su monitor.
6.1.4. Consideracin de la Implementacin
A continuacin incluimos algunas acciones a considerarse en la implementacin de la seguridad de la informacin. Consideraciones en la implementacin de acciones de seguridad de la informacin: 41
a. Plan de Seguridad A partir de la poltica de seguridad, se definen qu acciones deben implementarse (herramientas de software o hardware, campaas de toma de conciencia, entrenamiento etc.), para alcanzar un mayor nivel de seguridad. Estas acciones deben estar incluidas en un plan de seguridad para dar prioridad a las acciones principales en trminos de su impacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementacin, para establecer as las acciones de corto, mediano y largo plazo.
b. Plan de accin Una vez definido y aprobado el plan de seguridad, se parte hacia la definicin del plan de accin para las medidas que se deben implementar. c. Recomendaciones de los fabricantes Es muy importante que las recomendaciones de los fabricantes de los productos sean conocidas antes de la implementacin. d. Soporte Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la ejecucin de determinadas actividades. e. Planificacin de la implantacin Algunas de las cosas a implantar (aplicaciones, equipos, campaas de divulgacin y toma de conciencia entre otras) pueden durar varios das y afectar a varios ambientes, procesos y personas de la organizacin. En esos casos, siempre es til una planificacin por separado.
f. Plataforma de Pruebas En algunos casos, una plataforma de pruebas es necesaria para evaluar la solucin y reducir los posibles riesgos sobre el ambiente de produccin. g. Metodologa de Implementacin Al realizar la implementacin propiamente dicha, es muy importante seguir una 42
metodologa, que: defina cmo dar los pasos necesarios para ejecutar un plan de accin mantenga un mismo estndar de calidad en la implementacin sin importar quin lo est ejecutando.
Por lo tanto, es importante definir cmo se realiza el seguimiento del progreso de la implementacin y, en caso de dificultades, saber qu acciones tomar y quin debe ser notificado. h. Registro de Seguridad Despus de la implementacin de una nueva medida de seguridad, es importante mantener el registro de lo que fue implementado. Se deben registrar informaciones como: lo que fue implementado (herramienta, entrenamiento etc.); cules son los activos involucrados; qu dificultades fueron encontradas y cmo fueron superadas; hasta qu punto se alcanz el objetivo esperado, etc.
Este registro tiene dos objetivos principales: mantener el control de todas las medidas implementadas y aprovechar la experiencia acumulada. i. Monitoreo y Administracin del Ambiente
La administracin de un ambiente seguro involucra a todo un ciclo de macro actividades. Como lo mencionamos, la primera fase de ese ciclo es el anlisis de riesgos, donde se conoce el ambiente y lo que se debe implementar. Adems vimos tambin los aspectos relacionados con la poltica de seguridad la y actualmente de
abordaremos
implementacin
medidas de seguridad.
Es
necesario
monitorear
los
activos, 43
desde la medicin constante de indicadores que muestren qu tan eficaces son las medidas adoptadas y lo que se necesita cambiar. A partir de la lectura de esos indicadores, se hace otro anlisis de riesgos y se comienza el ciclo otra vez (ver diagrama adjunto).
El xito de una implementacin de seguridad slo se alcanza al buscar la administracin efectiva de todo el ciclo. qu dificultades fueron encontradas y cmo fueron superadas; hasta qu punto se alcanz el objetivo esperado, etc.
Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos. En el caso de las pruebas, podemos mencionar la implantacin de un laboratorio para revisar diferentes soluciones antivirus, que nos permita valorar su eficacia y facilidad de administracin. Tambin es necesario revisar con cuidado los documentos provenientes de los fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por ejemplo, la manera correcta de instalar un servidor, saber cunto espacio, temperatura y dems caractersticas son necesarias. En el caso del monitoreo, existen algunas aplicaciones que permiten identificar el desempeo de un servidor de base de datos, y con esto nos damos cuenta si las medidas de seguridad tomadas a favor de dicho desempeo fueron de verdadera utilidad.
6.2.
Plan de seguridad
El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada accin los siguientes puntos que enseguida se describen brevemente. Para mayor claridad aadimos un ejemplo de cada uno de los puntos.
Si no sabemos con cules recursos contamos, no podemos realizar una planeacin adecuada de nuestra implantacin de seguridad en la empresa, por ello hay que analizar con cuidado los recursos con los que contamos.
44
Siguiendo con el mismo tema, enseguida daremos una informacin adicional de algunos tipos de recursos: Los recursos humanos
El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialistas. Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al objeto del trabajo, las tareas, mtodo, plazos, etc. Pero es importante recordar que tambin es necesario: Comprometer a los responsables por la liberacin de los recursos humanos con el xito del plan. Mantener elevada la moral de los equipos. Facilitar la relacin. Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilidad, etc. Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos. Integrar y sintetizar conocimientos. Suministrar toda la informacin complementaria. Conocer y saber utilizar los recursos disponibles.
Los recursos materiales
Necesitamos contar con el equipo adecuado, que nos facilite la realizacin de las tareas en materia de seguridad, de esto depende que se realicen dichas actividades con el impacto necesario.
Recordatorios importantes Seleccionar y utilizar recursos que estn de acuerdo con la modalidad de la tarea. Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.
Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo. Leer con atencin las orientaciones para el acceso y la utilizacin de los 45
recursos materiales y orientar los equipos en lo que se refiere a su manipulacin. Cuidar el mantenimiento de los recursos seleccionados para que estn siempre en orden cuando sean necesarios.
Los recursos financieros
Adems del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos a contar es importante para dimensionar la capacidad de inversin en materia de seguridad, tanto para la compra de nuevos activos como para la contratacin de personal o capacitacin, en caso de ser necesario.
Recordatorios importantes Hacer la previsin presupuestaria y financiera. Establecer un sistema de control de los gastos. Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proceso para reducir los costos. Dar preferencia a recursos que se utilicen en ms de una tarea. Eso ayuda al proceso a su economa. Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de tal manera que se realicen ms en menor tiempo sin, por otro lado, perjudicar la calidad
Despus de todo el anlisis que realizamos hasta ahora, es importante revisar el cronograma sobre las tareas en materia de seguridad. A continuacin revisaremos lo relevante a este concepto
46
Cronograma
Todo plan exige un cronograma. En l deben estar indicadas las actividades y tareas, responsables, plazos, subordinacin de las etapas y/o indicacin de las que se pueden realizar simultneamente, o de forma independiente si es el caso. En durante el
ese cronograma tambin indicamos la periodicidad de la evaluacin proceso y otros marcos importantes.
Considerando que el plan puede sufrir alteraciones
en el transcurso
de su
ejecucin, es interesante fijar una lnea de base inicial de la planificacin para fines de control.
Una herramienta recomendada es MS PROJECT con la cual podemos controlar todo su plan. Veamos la imagen que se muestra enseguida:
Para mayor referencia dirigirse al documento Proyecto Politicas de Seguridad.mpp
47
RECOMENDACIONES
Crear un Sistema de Gestin de Seguridad de la Informacin, que supervise y normalice, toda actividad relacionada con la seguridad informtica.
Aprobar y poner en marcha el manual de polticas y normas de seguridad informtica.
Actualizar de forma constante, transparente y de acuerdo a las necesidades existentes al momento, el manual de normas y polticas de seguridad informtica.
Asignar presupuesto para la gestin de seguridad de la informacin, independiente de la unidad de informtica.
Asignar personal al rea de seguridad de la informacin.
Crear un comit de seguridad de la informacin.
Involucrar tanto personal tcnico, como directivos de la institucin, o a la alta gerencia en temas de seguridad.
Fijar objetivos para la salvaguarda de la informacin.
Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y parte de la institucin.
Dar seguimiento a estndares internacionales sobre temas de seguridad de la informacin.
Realizar pruebas de intrusin, locales y externas por personal de la institucin, de forma peridica.
48
Contratar los servicios de terceros (Hacking tico), para ejecutar pruebas completas de intrusin a los sistemas de la red institucional.
Capacitar los empleados de la institucin, en temas de seguridad, adoptando un estricto control de las tcnicas ms comunes de persuasin de personal (Ingeniera Social).
El departamento de recursos humanos, deber constatar, una clara y eficiente informacin sobre el individuo en proceso de reclutamiento, referente a problemas o situaciones anmalas con otras empresas o en el menor de los casos una solvencia judicial.
Conclusiones
La implementacin a mediano y largo plazo de aquellos aspectos que as lo exijan para lograr un nivel de seguridad ptimo, como por ejemplo la introduccin de medios tcnicos de seguridad, modificacin de locales, etc. La preparacin y capacitacin del personal en materia de seguridad informtica, segn su participacin en el sistema diseado, ya sea a travs de cursos especficos, mediante la imparticin de materias relacionadas con el tema u otras medidas de divulgacin. La organizacin y ejecucin de pruebas, inspecciones y auditoras (internas y externas) para asegurar la continuidad de la integridad funcional del Sistema de Seguridad Informtica existente, mencionando con qu frecuencia se realizan, quienes participan y el contenido de las mismas. Todas las acciones en las que se comprometa la seguridad de la organizacin y que no estn previstas en esta poltica, debern ser revisadas por la Direccin General y la Direccin de Informtica para dictar una resolucin sujetndose al estado de derecho. Se describirn las medidas y procedimientos de neutralizacin y recuperacin ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informtica o degraden su funcionamiento, minimizando el impacto negativo de stas sobre la organizacin.
49
A partir de los resultados obtenidos en el anlisis de riesgos, se determinarn las acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad de ocurrencia en caso de materializarse, as como para la recuperacin de los procesos, servicios o sistemas afectados, precisando en cada caso: Que acciones se deben realizar. Quin las realiza. En qu momento debe realizarlas. Como debe realizarlas. De qu recursos debe disponer.
Referencias Bibliogrficas
Secretaria de Hacienda y Crdito Pblico. SAT Servicio de administracin Tributaria. Manual de seguridad Fsica y Lgica (Julio de 2006) Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI). Universidad de los Andes, Colombia. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.
50

Psi

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Psi

Caricato da

Copyright:

Formati disponibili

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Manual De Normas y Polticas de Seguridad Informtica

POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7.

RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

ISO 27000 (POLTICAS DE CONTROL DE ACCESOS)

Marco terico de ISO 27000

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

ISO/IEC 27003 proporcionar una gua de implantacin de la norma ISO/IEC 27001.

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

1. Requisitos De Negocio Para El Control De Acceso

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Art. 6 Queda prohibido por razones de seguridad, el acceso a menores de edad.

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Entrada Y Salida De Visitantes

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

responsable de ste personal el lder del proyecto o evento a realizarse.

Entrada Y Salida De Informacin, Material, Mobiliario Y Equipo

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

3. Responsabilidades Del Usuario

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Los usuarios deben cumplir las siguientes directivas:

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Equipo de usuario desatendido

Poltica de puesto de trabajo despejado y pantalla limpia

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

4. Control de acceso a Red

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Poltica de Acceso a Usuarios Internos a la Red

Acceso a Servicios Informticos 27

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Poltica de Acceso a Usuarios Externos a la Red

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Identificacin y autenticacin de usuarios

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Sistema de gestin de contrasea

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Art. 1. Utilizar procedimientos de autenticacin para utilitarios del sistema.

Art. 2. Separar entre utilitarios del sistema y software de aplicaciones.

Desconexin automtica de sesin

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

Entre los controles que se deben aplicar, se enuncian: