Professional Documents
Culture Documents
MANUAL DE POLTICAS Y ESTNDARES DE SEGURIDAD INFORMTICA ....................................................... 3 INTRODUCCIN ........................................................................................................................................... 3 1.- DISPOSICIONES GENERALES .................................................................................................................... 3 1.1 MBITO DE APLICACIN Y FINES ....................................................................................................................... 3 1.2 FRECUENCIA DE EVALUACIN DE LAS POLTICAS ................................................................................................... 3 1.3 BENEFICIOS .................................................................................................................................................. 4 2.- POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL ...................................................................... 4 2.1.1 USUARIOS NUEVOS ..................................................................................................................................... 4 2.1.2 OBLIGACIONES DE LOS USUARIOS ................................................................................................................... 4 2.2 ENTRENAMIENTO EN SEGURIDAD INFORMTICA ................................................................................................... 4 2.3 MEDIDAS DISCIPLINARIAS ................................................................................................................................ 5 3.- POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL ............................................................. 5 3.1 RESGUARDO Y PROTECCIN DE LA INFORMACIN ................................................................................................. 5 3.2 CONTROLES DE ACCESO FSICO .......................................................................................................................... 5 3.3 SEGURIDAD EN REAS DE TRABAJO .................................................................................................................... 6 3.4 PROTECCIN Y UBICACIN DE LOS EQUIPOS ......................................................................................................... 6 3.5 MANTENIMIENTO DE EQUIPO ........................................................................................................................... 7 3.6 PRDIDA DE EQUIPO....................................................................................................................................... 7 3.7 USO DE DISPOSITIVOS ESPECIALES...................................................................................................................... 7 4.- POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO .......... 8 4.1 USO DE MEDIOS DE ALMACENAMIENTO .............................................................................................................. 8 4.2 INSTALACIN DE SOFTWARE. ............................................................................................................................ 8 4.3 IDENTIFICACIN DEL INCIDENTE ........................................................................................................................ 8 4.4 ADMINISTRACIN DE LA CONFIGURACIN ........................................................................................................... 9 4.5 SEGURIDAD PARA LA RED ................................................................................................................................. 9 4.6 USO DEL CORREO ELECTRNICO........................................................................................................................ 9 4.7 CONTROLES CONTRA CDIGO MALICIOSO ........................................................................................................... 9 4.8 INTERNET ................................................................................................................................................... 10 5.- POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO ............................................................ 11 5.1 CONTROLES DE ACCESO LGICO ...................................................................................................................... 11 5.2 ADMINISTRACIN DE PRIVILEGIOS ................................................................................................................... 11 5.3 EQUIPO DESATENDIDO .................................................................................................................................. 12 5.4 ADMINISTRACIN Y USO DE CONTRASEA ......................................................................................................... 12 5.5 CONTROL DE ACCESOS REMOTOS .................................................................................................................... 12 6.- POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA ..................................... 12 6.1 DERECHOS DE PROPIEDAD INTELECTUAL ........................................................................................................... 13 6.2 REVISIONES DEL CUMPLIMIENTO ..................................................................................................................... 13 6.3 VIOLACIONES DE SEGURIDAD INFORMTICA ...................................................................................................... 13 7.- MANTENIMIENTO PREVENTIVO ............................................................................................................ 13 7.1 MANTENIMIENTO PREVENTIVO ANUAL ............................................................................................................. 13 7.2 MANTENIMIENTO PREVENTIVO. ..................................................................................................................... 14 8.- MANTENIMIENTO CORRECTIVO ............................................................................................................ 15 9.- MANEJO DE INCIDENTES ....................................................................................................................... 15
Introduccin
La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad Informtica comienza con la definicin de las polticas y estndares. La Seguridad Informtica, es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de la CGADM en materia de seguridad. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: Seguridad de Personal. Seguridad Fsica y Ambiental. Administracin de Operaciones de Cmputo. Controles de Acceso Lgico. Cumplimiento.
De igual forma es una herramienta que: Difunde las polticas y estndares de seguridad informtica a todo el personal de la Coordinacin General Administrativa Asegurara: Mayor integridad, confidencialidad y confiabilidad de la informacin generada por la CGADM al personal, los datos y el hardware y software disponibles; Minimiza: los riesgos en el uso de las tecnologas de informacin
1.3 Beneficios
Las polticas y estndares de seguridad informtica establecidas dentro de este documento son la base para la proteccin de los activos tecnolgicos e informacin de la CGADM.
Todo usuario de bienes y servicios informticos al ingresar como personal CGADM acepta las condiciones de confidencialidad, de uso adecuado de los recursos informticos y de informacin de la Coordinacin General Administrativa, as como el estricto apego al Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. Los usuarios debern cumplir con lo establecido en el Manual de Polticas y Estndares de Seguridad Informtica para Usuarios.
Al igual estos mismos derechos sern dados de baja cuando el usuario ya no labore en esta misma coordinacin y esto deber ser notificado por el rea de Recursos Humanos.
Informtica para Usuarios, donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir en caso de incumplimiento.
Los mecanismos de control de acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas de la Coordinacin General Administrativa slo a personas autorizadas para la salvaguarda de los equipos de cmputo y de comunicaciones.
3.2.4 En caso de que alla perdida de informacin dentro del servidor podrn recuperar su informacin solicitndolo con un incidente indicando el nombre del archivo y la ruta del mismo para poder encontrarlo dentro del sistema de respaldos. Nota: Los respaldos se hacen de manera diario, 1 semana Lunes, Mircoles y Viernes.
3.4.2 El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos en la ubicacin autorizada por el Sistemas y Tcnica. 3.4.3 El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones de la Coordinacin General Administrativa. 3.4.4 Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas. 3.4.5 Es responsabilidad de los usuarios almacenar su informacin nicamente en la particin de disco duro en el servidor o en mis Mis Documentos ya que las otras estn destinadas para archivos de programa y sistema operativo. 3.4.6 Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos. 3.4.7 Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU. 3.4.8 Se debe mantener el equipo informtico en un entorno limpio y sin humedad. 3.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el personal de Sistemas y Calidad. 3.4.10 Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de Sistemas y Calidad a travs de un plan detallado.
6
3.4.11 Queda prohibido que el usuario abra o desarme los equipos de cmputo.
3.7.3 Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la necesidad de contar con uno de ellos, deber ser justificado y autorizado por el rea de Tecnologas de la Informacin.
3.8 Dao del equipo 3.8.1 El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de polticas de seguridad.
Los usuarios debern proteger la informacin que reside y utiliza la infraestructura tecnolgica de la Coordinacin General Administrativa. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna de la Coordinacin General Administrativa o hacia redes externas como Internet. Los usuarios de la CGADM que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de Troya o gusanos de red.
4.3.3 Cualquier incidente generado durante la utilizacin u operacin de los activos de tecnologa de informacin de la CGADM debe ser reportado al Sistemas y Calidad de la Informacin.
4.7.1 Para prevenir infecciones por virus informtico, los usuarios de la CGADM no deben hacer uso de software que no haya sido proporcionado y validado por el rea de Tecnologas de la Informacin. 4.7.2 Los usuarios de la CGADM deben verificar que la informacin y los medios de almacenamiento, estn libres de cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus autorizado por el rea de Sistemas y Calidad.
4.7.3 Todos los archivos de computadora que sean proporcionados por personal externo o interno considerando al menos programas de software, bases de datos, documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe verificar que estn libres de virus utilizando el software antivirus autorizado antes de ejecutarse.
4.7.4 Ningn usuario, empleado o personal externo, podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la debida autorizacin del rea de Sistemas y Calidad. 4.7.5 Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y llamar al rea de Sistemas y Calidad para la deteccin y erradicacin del virus. 4.7.6 Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la CGADM en: Antivirus, Outlook, Office, Navegadores u otros programas. 4.7.7 Debido a que algunos virus son extremadamente complejos, ningn usuario de la CGADM debe intentar erradicarlos de las computadoras.
4.8 Internet
4.8.1 El acceso a Internet provisto a los usuarios de la CGADM es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempea. 4.8.2 Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por la CGADM, en caso de necesitar una conexin a Internet especial, sta tiene que ser notificada y aprobada por el rea de Sistemas y Calidad.
4.8.3 Los usuarios de Internet de la CGADM tienen que reportar todos los incidentes de seguridad informtica al rea de Sistemas y Calidad inmediatamente despus de su identificacin, indicando claramente que se trata de un incidente de seguridad informtica. 4.8.4 Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que: Sern sujetos de monitoreo de las actividades que realiza en Internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
10
Saben que existe la prohibicin de descarga de software sin la autorizacin del rea de Sistemas y Calidad. La utilizacin de Internet es para el desempeo de su funcin y puesto en la CGADM y no para propsitos personales.
Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario y contrasea necesarios para acceder a la informacin y a la infraestructura tecnolgica de la CGADM, por lo cual deber mantenerlo de forma confidencial. El permiso de acceso a la informacin que se encuentra en la infraestructura tecnolgica de la CGADM, debe ser proporcionado por el dueo de la informacin, con base en el principio de la necesidad de saber el cual establece que nicamente se debern otorgar los permisos mnimos necesarios para el desempeo de sus funciones.
11
5.4.3 Est prohibido que las contraseas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. 5.4.4 Sin importar las circunstancias, las contraseas nunca se deben compartir o revelar. Hacer esto responsabiliza al usuario que prest su contrasea de todas las acciones que se realicen con el mismo. 54.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, deber cambiarlo inmediatamente. 5.4.6 Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad.
12
6.2.2 El rea de Sistemas y Calidad podr implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la poltica de Seguridad de Personal. 6.2.3 Los jefes y responsables de los procesos establecidos en la CGADM deben apoyar las revisiones del cumplimiento de los sistemas con las polticas y estndares de seguridad informtica apropiadas y cualquier otro requerimiento de seguridad.
13
2. Una vez hecha la solicitud, realizada el concurso con las empresas invitadas a participar, estas designadas por el rea de compras. 3. Una vez revisadas las cotizaciones y teniendo una empresa ganadora esta tendr que ser aprobada por el secretario de la Coordinacin General Administrativa.
4. Aprobada la cotizacin es procede a calendarizar va correo con los jefes de rea cuales podran ser las posibles fechas y horarios en los que se podra realizar el mantenimiento preventivo de los equipos, esto para no afectar las actividades de cada rea. 5. Una vez organizado el calendario de actividades de se procede a llamar a la empresa ganadora del concurso indicando la fecha en la que se realizara el mantenimiento preventivo.
6. El da de la fecha del mantenimiento, se levanta el incidente respectivo al proceso de mantenimiento en la cual la empresa realizara las siguientes acciones de limpieza. Monitor CPU Teclado Mouse
Nota: Por ningn motivo la empresa encargada del mantenimiento preventivo deber realizar mantenimiento de software ya que eso es responsabilidad del rea de sistemas de la Coordinacin General Administrativa. 7. Una vez realizado el mantenimiento de cada equipo se procede a su revisin por parte del usuario de que todo funcione correctamente y este dar su firma de conformidad dentro de la bitcora de conformidad. Esta firma se realizara por cada usuario que reciba dicho mantenimiento. 8. Cuando se finaliza todo el mantenimiento se procede al escaneo de la bitcora de firmas para poder subirla al incidente digitalmente y se procede al cierre del incidente. Nota: El mantenimiento preventivo anual podr realizarse o no, esto siendo determinado por el rea de sistemas y tcnica esto por motivo de que puede que los equipos no lo necesiten.
3. Se procede a verificar el posible problema o la amenaza que pueda provocar un problema en el futuro. 4. Se procede hacer el anlisis de la situacin para solventar el posible problema y as evitar futuras complicaciones. 5. Una vez s que all resuelto la posible amenaza se procede a realizar el cierre del incidente. Nota: Cuando nos referimos a amenazas futuras, hacemos referencia a lentitud en los equipos, falta de memoria, falta de espacio en disco duro etc., Esto significa que la amenaza no est afectando el funcionamiento completamente del equipo, pero puede que en algn momento lo haga.
15
Puntos a seguir para el registro de incidente: 1. Tipo de Solicitud. Incidente 2. Estado de la solicitud. Cerrado Abierto En espera Resuelto 3. Modo de solicitud. E-mail Llamada Telefnica Personal (Esta es la forma ms comn de solicitud por ser una coordinacin pequea) Va Web
16
4. Nombre del usuario solicitante. En este punto se agrega el nombre con la falla o el problema. 5. Tcnico. Es el responsable de resolver el problema en cuestin. 6. Prioridad. Alta (1 Hora) Baja ( 8 Horas) Media( 2 Horas) Normal( 4 Horas) Sin tiempo de respuesta (51 Das) Nota1: Los tiempos de respuesta son designados dependiendo del criterio del rea de sistemas por el tipo de problema se genere. Nota2: La prioridad Sin tiempo de respuesta est asignado a 51 das, porque esa prioridad se asigna cuando son fallas normalmente de hardware he interfieren factores externos como, solicitud de compra, existencia de consumibles, tiempo de reparacin. 7. Categora. Tipos de problemas que se atienden dentro de la Coordinacin General Administrativa Correo (Exchange, Outlook) General (Problemas en falla general de servicios a nivel UDG) Hardware(Problemas fsicos dentro de cualquier equipo) Impresin (Problemas para imprimir en cualquier impresora) Otros (Problemas que no entran en ninguna de estas categoras que se especifican dentro de los incidentes) Red (Problemas red dentro de piso 4) Software (Problemas de programas instalados en los equipos) Solicitud (Cualquier solicitud que no es un problema.) Telefona (Problemas dentro de telefona local o celular) 8. Asunto. Es una descripcin muy pequea del problema 9. Descripcin. Es la descripcin detallada del problema. Vista de cierre de incidente.
17
18