Recomendaciones para Seguridad de Informacin Digital Gubernamental

Recomendaciones para Seguridad de Informacin Digital Gubernamental

Servicio/Actividad Servicio de videoconferencia Objetivo Fortalecer la seguridad en las video-conferencias Interinstitucionales Acciones Asignar formalmente un responsable para administrar la video conferencia por cada Institucin Elaborar un documento tipo check-list con parmetros bsicos de seguridad para habilitar el acceso a la red de fibra ptica Crear contraseas para el ingreso a la configuracin de los equipos Crear contraseas de acceso en las salas virtuales de videoconferencia Deshabilitar la respuesta automtica de los equipos de video-conferencia Bloquear el acceso a servicios de email, llamadas, videoconferencia y chat pblicos a todos los funcionarios. Se abrirn por excepcin. Desinstalar programas de chat y videollamadas en computadoras no autorizadas Bloquear la descarga de archivos ejecutables, audio y video que no pertenezcan a cuentas de correo institucionales Prohibir y bloquear el envo de correos y adjuntos de cuentas institucionales a cuentas de dominios pblicos (ej. Hotmail, Yahoo, Gmail, etc) Restringir el tamao mximo de envo y recepcin de email a 4 Mb por correo (incluyendo adjuntos) Bloquear el acceso y uso de programas FTP /TELNET/SSH desde las computadoras personales a usuarios finales Publicar los sistemas de correo como servicios Web-mail seguros para acceso desde cualquier lugar Permitir nicamente el envo correos desde cuentas institucionales a cuentas institucionales y/o corporativas Prohibir y bloquear el envo de adjuntos por medio de programas chat (mensajera) en caso que se habilite el servicio Prohibir y bloquear el respaldo de informacin gubernamental en servicios pblicos de archivado de informacin. Activar el filtrado de contenidos y sitios Web para navegacin en la Web Formalizar la autorizacin (por parte de jefes inmediatos) para monitoreo del uso de servicios a funcionarios autorizados Mantener listados actualizados de los funcionarios autorizados a usar servicios restringidos Evaluar niveles de confidencialidad y seguridad con proveedores (medidas contra pinchazos, reserva datos llamadas, SMS, etc.) Elaborar un documento de especificaciones para contratacin celulares con encriptacin para autoridades de ms alto nivel Evitar envo de archivos de informacin gubernamental sensible desde telfonos celulares (documentos, presentaciones, imgenes, etc.) Crear grupos en redes locales para despachos autoridades, reas, etc, restringiendo el acceso a usuarios no autorizados Implementar redes locales virtuales en los despachos de autoridades especialmente ministeriales Deshabilitar puntos de acceso de redes inhalmbricas mientras no se utilicen Habilitar todas las seguridades para acceso a redes inhalmbricas Coordinar la ejecucin de pruebas de vulnerabilidad o hacking etico a la infraestructura de red institucional Habilitar acceso a red almbrica e inhalmbrica mediante el registro de direcciones MAC o protocolo 802.1X Elaborar e implantar un proceso de gestin de la seguridad informtica basado en las normas INEN - ISO 200001 Y 20002 Formalizar acta responsabilidad respecto del uso, custodia y confidencialidad de informacin gubernamental firmada por cada funcionario Prohibir el envo de cadenas de correo electrnico de presentaciones, videos, tarjetas, archivos desconocidos, etc. Controlar el uso de redes internas y externas para transferencia de informacin sin autorizacin. Desinstalar programas de quemado de DVD, CDs, puertos inhalmbricos y desactivar los dispositivos para evitar la fuga de informacin Elaborar y difundir un documento de consejos para crear contraseas seguras Habilitar la caducidad de contraseas cada 90 das a nivel de bases de datos, aplicaciones, dominios de red, correo electrnico, etc) Institucionalizar un procedimiento de seguridad a ejecutarse en caso de vinculacin o desvinculacin del personal de una institucin Activar protectores de pantalla con contrasea y tiempo Instruir a los funcionarios sobre posibles ataques a travs de Ingeniera Social (entrega de contraseas, fuga de informacin, etc.) Implantar sistemas de seguridad fsica (ej. CCTV) y lgica (ej. IDS) Habilitar clave para acceso al BIOS (a cargo de TI) y para encendido de computador porttil (funcionario custodio) Restringir uso puertos infrarrojos y bluetooth de computadoras personales y laptops para transferencia de informacin Apagar/deshabilitar tarjetas de red inhalmbricas que no se utilicen. Inventariar las PCs y porttiles en el entorno de los despachos de la autoridades especialmente ministeriales Restringir el uso de puertos USB y lectoras de memorias flash Minimizar el transporte de informacin sensible utilizando memorias flash, celulares, reproductores digitales, discos duros externos, etc. Inventariar las impresoras y copiadoras en el entorno de despachos presidencial y ministerial respectivamente Evitar la utilizacin de impresoras esclavas por impresoras de red
Enero 2010

Servicios de correo electrnico e Internet

Controlar el buen uso del Internet, aplicaciones Web y correo electrnico institucionales para evitar filtrado de informacin

Minimizar el riesgo de filtrado Servicios telefona celular de informacin por medio de (voz, datos, video) telfonos celulares

Fortalecer la seguridad en la Servicios de red de datos redes de datos para evitar y comunicaciones accesos no autorizados

Gestin de informacin digital a nivel lgico

Asegurar la informacin digital para evitar fuga por medio de dispositivos externos no autorizados

Gestin acceso a informacin digital a nivel fsico

Controlar el acceso de personas no autorizadas a equipos/instalaciones computacionales

Subsecretara de Informtica