Professional Documents
Culture Documents
Manual de
Polticas de Seguridad
T.S.U:
Figuera Josimar C.I 19.516.152
Franco Anmily C.I 20.473.408
Sojo Liz
C.I 19.272.355
Manual de Usuario
NDICE
INTRODUCCIN
Polticas de Control de Accesos
Generalidades
Misin
Visin
Objetivo
Alcance
3
3
3
3
3
3
4
Poltica
1. Requisitos De Negocio Para El Control De Acceso
1.1. Entrada y salida de personal
1.2. Entrada y salida de visitantes
1.3. Entrada y salida de informacin, material, mobiliario y equipo
1.4. Control de acceso para reas restringidas
1.5. Sanciones
2. Gestin de acceso de usuario
2.1. Registro De Usuario
2.2. Gestin De Privilegios
2.3. Gestin De Contraseas De Usuario
2.4. Revisin De Los Derechos De Acceso De Usuario
3. Responsabilidades Del Usuario
3.1. Equipo de usuario desatendido
3.2. Poltica de puesto de trabajo despejado y pantalla limpia
4. Control de acceso a Red
4.1. Poltica de Acceso a Usuarios Internos a la Red
4.2. Poltica de Acceso a Usuarios Externos a la Red
5. Control De Acceso Al Sistema Operativo
5.1. Procedimientos seguro de inicio de sesin
5.2. Identificacin y autenticacin de usuarios
5.3. Sistema de gestin de contrasea
5.4. Responsabilidades del usuario
5.5. Uso de los recursos del
sistema
5.6. Desconexin automtica de sesin
6. Implementacin de la seguridad
4
4
4
5
5
6
6
6
6
7
8
9
9
10
10
10
10
11
11
11
12
12
13
RECOMENDACIONES
CONCLUSIONES
REFERENCIAS BIBLIOGRFICAS
18
19
20
13
14
14
INTRODUCCIN
Segn se van desarrollando los requerimientos de seguridad que
involucren el uso de la tecnologa, se producen nuevas situaciones que
conllevan a la aparicin de nuevas amenazas a las que se enfrentan los
sistemas de informacin, por medio de la globalizacin de la web.
Establecer polticas y estndares de seguridad dentro de las
organizaciones ah sido un tema de gran importancia en la actualidad, debido a
ello la importancia de conocer algunas de las polticas de seguridad, tomando
en cuenta la estructura con la que cuentan cada una de ellas.
Se quiere que los usuarios de informtica no se sientan restringidos de
manejar el sistema ms bien se busca brindar seguridad y confiabilidad sobre
la informacin.
Generalidades
Cumplir con las restricciones de los procesos de acceso de los usuarios
de todos los niveles; de forma que se conozca desde el registro inicial de
nuevos usuarios hasta la privacin final de derechos de los usuarios que ya no
requieren el acceso.
Misin
Implantar las directrices que sean necesarias para el correcto
funcionamiento de las polticas de seguridad establecidas.
Visin
Crear niveles de seguridad altamente confiables y que garanticen el
cumplimiento de las directrices establecidas, conforme a la optimizacin de los
sistemas de informacin.
Objetivo
Establecer las polticas
seguridad de los datos.
idneas
para
garantizar
la
Alcances
Definir las polticas y estndares de seguridad con las que deber
cumplir el sistema para el control de morbilidad y seguridad epidemiolgica de
las empresas asociadas a la corporacin de asesores en proteccin y
seguridad C.A. (CAPSCA).
Polticas
1.5 Sanciones
Se establece trabajar con 3 niveles de falta
1. 1er nivel: se notificara una amonestacin por escrito.
2. 2do nivel: si existe repeticin de la falta se levantara un
acta administrativa.
3. 3er nivel: segn sea la gravedad de la falta se aplicara
una sancin de persistir el problema.
Estableciendo conectividad
10
servicio mdico de la empresa para hacer uso del sistema. Para esto se
debern aplicar los siguientes controles:
o Investigar y conocer quines son los integrantes del servicio mdico y
cul es su rol.
o Realizar un pequeo anlisis comparativo de los niveles de usuario
determinados en el sistema (administrador, medico y secretaria) con del
rol que cumplen los integrantes del servicio mdico.
o Decidir qu nivel de usuario tendr cada integrante.
o Mantener solo una cuenta de acceso para la base de datos.
o Al culminar su trabajo, ningn usuario, sin importar su nivel, deber dejar
la estacin de trabajo con su sesin abierta.
o El nmero mximo de intentos para iniciar sesin son de 3 veces.
o La sesin de usuario tendr un tiempo determinado para estar inactivo.
En caso de superar ese tiempo la sesin se cerrara.
Identificacin y autenticacin de usuarios
Todos los usuarios sern identificados a travs de su nombre de usuario
y contrasea, este nombre ser para su uso exclusivo. El usuario no dar
indicios del nivel de usuarios que se posee. Cada usuario debe ser nico ya
que de esta manera las actividades que realicen quedaran registradas en las
auditorias y podrn ser identificadas fcilmente.
o El usuario se identificara y se autenticara a travs de un formulario en la
pgina de inicio del sistema. Se compararan la coincidencia del nombre
de usuario y la contrasea.
o El sistema no aceptara contraseas con requisitos menores a las
estipuladas en las polticas de creacin de contraseas.
o El usuario se responsabiliza de escribir una pregunta y respuesta
secreta que sean posibles de recordar para l.
Sistema de gestin de contrasea
La contrasea constituye el principal mtodo de seguridad para tener
acceso al sistema. Que cada usuario tenga una contrasea adecuada y
suficientemente segura es primordial para mantener la seguridad del sistema.
Un buen sistema de gestin de contrasea en el sistema gestionado debera:
a) Permitir que el usuario pueda componer su propia contrasea.
b) Requerir la confirmacin de contraseas cuando el usuario ingrese a
opciones que impliquen ver datos del sistema.
c) Dar opciones en caso de olvidar la contrasea.
11
12
Mantenimiento
o El mantenimiento tanto preventivo como correctivo de software y
hardware ser responsabilidad exclusiva del personal de informtica
de la empresa.
o Los cambios de archivos u cambios de otro tipo en el sistema estn
prohibidos.
o El personal de informtica debe llevar un registro de los equipos y
cambios que se realizaron desde la instalacin del sistema.
6. Implementacin de la Seguridad
Introduccin
Los diversos conocimientos que hemos adquirido hasta ahora nos han
hecho ms capaces de entender el funcionamiento y los procesos que hay que
aplicar al implementar las polticas de seguridad informtica en una empresa.
As implantar las polticas nos podemos enfrentar a problemas que aunque
algunos puede ser previstos otros pueden aparecer sorpresivamente
resultando en un obstculo al implementar las polticas de seguridad.
13
Objetivos
-
Importancia de la implementacin
Ya que se conocen las diferentes amenazas y riesgos que puede sufrir
la empresa, es hora de tomar las medidas necesarias para la implementacin
de las acciones de seguridad que se establecieron o las que son
recomendadas. Para CAPSCA, que cuenta con una diversidad de clientes de
todo tipo no es fcil asegurarse de que todas se estn cumpliendo. No es
suficiente con conocer cules son los riesgos y amenazas sino tambin es
importante que CAPSCA, como empresa principal proveedora de servicios,
instale o incite a instalar herramientas, divulgar reglas o recomendaciones,
muestre la importancia de salvaguardar la informacin de la base de datos, etc.
Adems resulta necesario determinar cul es el propsito especfico que
se quiere lograr para as establecer una medida que pueda lograr ese alcance.
Consideracin de la aplicacin
Las medidas que se recomiendan para reducir las vulnerabilidades de la
informacin son:
o
o
o
o
o
o
o
o
14
Consideracin de la implantacin
A continuacin se muestran algunas acciones a considerarse en la
implementacin de la seguridad de la informacin:
a) Plan de seguridad: a partir de las polticas de seguridad se procede a
definir las acciones que se tomaran para implementarlas. Estas acciones
deben ser incluidas en un plan de seguridad, donde se documenten
cuales acciones tomaremos y como lo haremos para lograr un nivel ms
alto de seguridad. Adems el plan nos permitir darle una prioridad a
cada una de las acciones, tomando en cuenta su impacto, costo o
beneficio, y as establecer si son a corto, mediano o largo plazo.
b) Plan de accin: al definirse el plan de seguridad se parte a definir el plan
de acciones con fechas para la implementacin de las medidas.
c) Recomendaciones de los fabricantes: es importante tomar en cuentas
las recomendaciones de los fabricantes del hardware donde se
implementara las medidas, as como tambin las recomendaciones de
los desarrolladores del software que servir de apoyo.
d) Soporte: tomar en cuenta que se puede necesitar la ayuda de
profesionales para aplicar ciertas medidas.
e) Planificacin de la implantacin: planificar por separado aquel software o
equipo que deba ser instalado o configurado con varios das de
duracin y afectar a varios ambientes, procesos o personas.
f) Plataforma de pruebas: en algunos casos es necesaria una plataforma
de pruebas para evaluar la solucin y reducir los posibles riesgos sobre
el ambiente.
g) Metodologa de implementacin: es importante elegir una metodologa
que defina los pasos necesarios para realizar en plan de accin y
seguirla al pie de la letra.
h) Registro de seguridad: es importante mantener el registro de lo que fue
implementado. Por lo que cada vez que se aplique una medida se debe
registrar informacin como:
- Que fue registrado
- Los activos involucrados
15
Dificultades encontradas
Como fueron superadas las dificultades
Cronograma
Todo plan debe contener un cronograma donde se indiquen las
tareas, acciones y actividades que se realicen. Debe estipularse el tiempo
de duracin del proceso y otros marcos importantes. A pesar que debe
sufrir alteraciones en el proceso de ejecucin es importante establecer un
inicio y final fijo.
16
RECOMENDACIONES
aun
las
normar
establecidas
cuentan
con
un
buen
funcionamiento.
17
CONCLUSIONES
18
REFERENCIAS BIBLIOGRFICAS
19