Contenido

Software legal................................................................................................ 3
Precaucin con el correo electrnico..............................................................5
Antivirus......................................................................................................... 8
Administrador y usuario estndar..................................................................9
Contraseas seguras.................................................................................... 10
Navegacin segura....................................................................................... 13
Copias de seguridad..................................................................................... 14

Polticas de Seguridad

Pgina 0

POLTICAS DE SEGURIDAD
1. Actualice frecuentemente sus aplicaciones como
los" parches de seguridad"

Disminuya los riesgos de seguridad y la degradacin del

rendimiento controlando el modo y el momento en que se
aplican los parches de seguridad.

Apruebe auditoras y demuestre el cumplimiento con informes

generados en el acto y vistas de paneles.

Deshabilitar los usuarios de invitado (guest)

Limitar el nmero de cuentas en tu servidor

Eliminar cualquier usuario innecesario: duplicados (por ejemplo

invitado y guest), prueba, compartidos, departamento, etc.

Limitar los accesos de la cuenta de administracin

Configurar polticas de seguridad en su servidor y su red

Microsoft provee kits de herramientas para la configuracin de
seguridad a su medida. Estos kits proveen plantillas para
seleccionar el nivel de seguridad que su organizacin requiere y
se pueden editar aspectos como: perfil de usuarios, perisologa
de

carpetas,

tipos

de

autenticacin,

etc.

Pata

mayor

informacin

al

respecto puede consultar las pginas

de technet de Microsoft

Habilitar la auditora en su servidor.- La forma ms bsica

para detectar intrusos en un sistema operativo microsoft es
habilitar las auditoras.

Colocar proteccin a sus archivos de registros de eventos

Responsabilidades

de

seguridad: estipule

los

roles

responsabilidades de los usuarios, colaboradores clave y

gestores. Con estas tres categoras de responsabilidad los
colaboradores entendern cul es el rol que deben desempear
en cuanto a la seguridad y los procesos. De la misma manera se
deben clasificar los datos como internos, externos, generales y
confidenciales. As cada colaborador sabr a qu tipo de datos
tiene acceso y cul es su responsabilidad sobre los mismos.

Polticas del servicio de networking: genere polticas para

un acceso remoto seguro, gestin y configuracin de IP,
procesos de seguridad para los router y switch y estipulaciones
para las listas de accesos. Indique qu colaboradores clave
deben revisar y cambiar dichos procesos. En caso de requerir
zonas de WIFI para invitados, mantenga segmentaciones
diferenciadas para proteger la red interna.

Polticas del sistema: defina la configuracin para todos los

sistemas operativos y servidores de vital importancia. Incluya
qu servicios deben funcionar en cada red, polticas de
mantenimiento de cuentas, polticas de gestin de contraseas,
mensajera, bases de datos, antivirus, firewall Establezca una
poltica clara de actualizaciones de seguridad o parches para
reducir el riesgo de ataques por vulnerabilidades.

Seguridad electrnica: defina cmo va a proteger el edificio y

los controles de acceso, dnde se instalan las cmaras de
seguridad,

cmo

se

van

gestionar

los

accesos

de

colaboradores y visitantes, cules son las normas para el

inventario y las normas a seguir para el envo y recepcin de
mercanca. Recuerde que la seguridad informtica debe ir
acompaada de la seguridad fsica.

Gestin de incidentes y responsabilidad: especifique los

procesos a seguir en caso de incidentes de seguridad. Incluya
polticas para evaluar el incidente, cmo reportar el mismo,
mitigar su efecto y cmo erradicar el problema y qu personas
deben ser quienes tomen el control de la situacin.

Polticas de comportamiento y usos aceptables: estipule

el comportamiento esperado por parte de sus colaboradores y
su equipo de gestin, indique qu documentos o formularios
deben leer, revisar y rellenar, no se olvide de especificar de
cules deben realizar un seguimiento. Los colaboradores deben
ser informados de estas polticas y es recomendable que firmen
el documento a modo de aceptacin del mismo, para que se
puedan

tomar

acciones

disciplinarias

en

caso

de

incumplimiento de las normas.

Capacitacin en seguridad: el equipo debe estar actualizado

en cuanto a la seguridad para que las polticas de seguridad
establecidas sean sostenibles.

Software legal

El uso del equipo de cmputo es personal e intransferible,

debiendo ser utilizado para realizar actividades de trabajo. Por
tanto el usuario asume responsabilidad en forma expresa de su
uso personal o por parte de terceros.

Es responsable de verificar el cumplimiento de los presentes

lineamientos el Departamento de Tecnologa de la Informacin.

En el caso de que algn usuario requiera alguna precisin a

estos lineamientos, la Direccin de Desarrollo Tecnolgico
atender cualquier solicitud puntual hecha por escrito.

El Departamento de Tecnologa de la Informacin debern

asignar e instalar, nicamente software que cuente con licencia
de uso vigente y hardware, que hayan sido adquiridos por la
empresa o donados.

Cualquier equipo de cmputo y/o perifrico propiedad de la

empresa y que no han sido asignados a un usuario, deber ser
registrado en la base de datos del Departamento de Tecnologa
de la Informacin conocida como Almacn nico de Hardware.

Los equipos de cmputo propiedad de la empresa que no hayan

sido asignados an; debern ubicarse fsicamente en un
almacn acondicionado para este propsito, bajo resguardo del
Departamento de Tecnologa de la Informacin.

La solicitud de asignacin de equipos se realiza por escrito por

parte del director del rea del nuevo usuario. El escrito deber
estar dirigido a la Direccin de Desarrollo Tecnolgico y deber
indicar el nombre completo del usuario, su cargo oficial con las
funciones principales (para dimensionar el tipo de equipo de
cmputo que se le asignar).

Es atribucin exclusiva de la Direccin de Desarrollo Tecnolgico

dimensionar la necesidad de hardware de la empresa.

Las asignaciones de equipos porttiles por un perodo mayor a

una semana, se realizarn a peticin del Director del rea
usuaria; haciendo uso del formato de la Subdireccin de
Tecnologa de la Informacin acompaado de una justificacin y
descripcin de las actividades a realizar con el equipo porttil.

El jefe del Departamento de Tecnologa de la informacin

informar a los responsables de equipos porttiles asignados
por un periodo mayor a dos das cuando debern presentar el
equipo en el Departamento de Tecnologa de la Informacin,
esto con el fin de proveer mantenimiento preventivo y/o
correctivo al equipo as como actualizaciones de software o en
apoyo en actividades del Departamento de Tecnologa de la
Informacin.

Ser responsabilidad del Departamento de Tecnologa de la

Informacin llevar el equipo a los responsables de equipos
porttiles asignados por un periodo mayor a dos das antes de
la hora de salida.

El equipo porttil que sea utilizado para un viaje de trabajo de

la empresa ser asignado a travs del formato de prstamo y
deber indicar que es para uso externo.

El equipo porttil que sea utilizado dentro de las instalaciones

de la empresa deber ser indicado dentro del formato de
prstamo de equipo porttil. Por tanto el usuario est obligado a
respetar el uso dentro de las instalaciones de la empresa. En
caso de cambio del requerimiento del usuario y que sus
actividades sean externas, ste se encontrar obligado a
rehacer el formato e indicar que sus actividades son externas.

Dentro y fuera de la empresa el usuario es responsable de la

integridad del equipo de cmputo, hardware, software y/o
perifrico que le sea entregado por el Departamento de
Tecnologa de la Informacin y que a su vez haya firmado la
responsiva de la(s) misma(s);

El Departamento de Tecnologa de la Informacin realizar

conciliaciones aleatorias de inventario en coordinacin con la
Direccin de Administracin. Las inconsistencias detectadas

sern notificadas por escrito a las Direcciones de Desarrollo

Tecnolgico y Administracin. Captulo III Sobre uso de software

Las licencias propiedad de la empresa debern ubicarse

fsicamente en un almacn acondicionado para este propsito,
bajo

resguardo

del

Departamento

de

Tecnologa

de

la

Informacin.

Precaucin con el correo electrnico

No enviar correos en cadena. Evitar esta prctica ya que

este tipo de mensajes generalmente suelen estar relacionados
con algn tipo

de

engao

(Hoax).

Ahora

bien

si

por algn motivo se desea reenviar el mensaje a muchos

destinatarios, se recomienda entonces usar el campo CACO
(con copia oculta) para insertar all las direcciones. De esta
manera las direcciones de correo de los usuarios de destino, no
podrn ser visualizadas. Adems tomate un segundo para
borrar aquellas direcciones del mensaje anterior que por lo
general, al momento de reenviar quedan consignadas en el
cuerpo del mensaje.

No publicar el correo electrnico en foros, sitios web, blog,

redes sociales, conversaciones en lnea y dems, ya que esto lo
que hace es facilitarle las cosas a los usuarios dedicados al
envo de spam (spammers) que podrn capturar tu cuenta e
incluirla en su selecta lista para envi masivo de spam.

Utilizar cuentas de email alternativas para los casos en los

que se requiera tener que navegar o registrarse en sitios de
dudosa procedencia o baja reputacin. Esto con el fin de evitar
la recepcin de un mayor volumen de spam en la bandeja de

entrada de nuestro email principal. Tambin es recomendable

usar cuentas de correos temporales y desechables, utilizando
servicios como por ejemplo: 10 Minute Mail, as es posible usar
servicios en lnea sin llenar nuestro buzn de correos no
deseados. Siempre es bueno tener ms de una cuenta de email,
por lo menos 2 o 3 y cada una con un propsito especifico, es
decir, una para el trabajo, otra personal y alguna otra para uso
pblico.

No responder a los correos tipo spam, ya que de hacerlo, le

estar confirmando al spammer que su cuenta de correo se
encuentra activa y en consecuencia seguir recibiendo ms
mensajes de esta clase.

Utilizar contraseas seguras para el acceso a su cuenta

de correo y configure su pregunta secreta de manera tal que
sea difcil de adivinar. De esta forma evitamos el robo de
nuestra cuenta. Para ms informacin sobre cmo crear
contraseas seguras y mantenerlas protegidas, puedes revisar
el artculo: Crear contraseas seguras y fciles de recordar en 7
pasos.

Eliminar el historial de navegacin, archivos temporales,

cookies, datos en cache, etc., cuando termine una sesin de
correo electrnico a la que haya accedido desde en una red
pblica. Tambin en estos casos de uso de email en sitios
pblicos como por ejemplo un ciber-caf o un hotel, resulta una
buena prctica utilizar el modo de navegacin annima o
privada, la cual es una funcionalidad disponible en muchos
navegadores web en la actualidad.

No descargar archivos adjuntos si no est seguro de su

procedencia. En caso de hacerlo, revselo con una solucin
antivirus con capacidades de deteccin proactiva como ESET
NOD32

Antivirus y

as

garantizar

que

no

se

trat

de algn cdigo daino que pueda afectar su equipo. Adems

verifique si estos archivos tienen doble extensin; si es as, sea
precavido

ya

que

probablemente

se

trate

de

un gusano o troyano, los cuales utilizan este modo de engao

para su propagacin.

Tener presente que las empresas, no adjuntan archivos en sus

actualizaciones

de

productos.

El

envo

de archivos con

supuestas actualizaciones se constituye en un tipo de engao

muy comn hoy da para propagar malware a travs del email.
Del mismo modo las organizaciones bancarias y financieras,
nunca le solicitaran informacin personal por medio del correo.
Si llega a recibir un mensaje de este tipo, tenga cuidado ya que
pude ser vctima de un ataque de phishing que busque robarle
sus datos. En estos casos denuncie el hecho en su entidad
financiera de confianza.

Como medida de seguridad, considerar bloquear la visualizacin

de imgenes en el cuerpo de los mensajes de sus correos.
Muchos servicios de webmail actualmente cuentan con esta
funcionalidad. De esta manera es posible descargar o hacer
visibles la imgenes solo cuando estemos seguros de que el
correo es de confianza. Muchos spammers en la actualidad,
utilizan las imgenes para propagar sus anuncios publicitarios y
evitar de esta manera los filtros antispam.

Por ltimo, configurar su cliente de correo electrnico con un

filtro anti-spam como el que trae incorporado ESET Smart
Security que permite bloquear la recepcin de estos correos no
deseados.

Ser precavido con la ejecucin de archivos adjuntos que

provengan

de

remitentes

desconocidos

poco

confiables: A pesar de que es una tctica antigua, los

ciberdelincuentes siguen utilizando el correo electrnico para
propagar malware debido al bajo costo que les insume y a que
an algunos usuarios incautos suelen caer en este tipo de
estrategias.

Evitar hacer clic en cualquier enlace incrustado en un

correo electrnico: Como ocurre con los archivos adjuntos,
resulta sencillo para un cibercriminal enviar un enlace malicioso
accediendo al cual la vctima infecta su equipo. En este tipo de
engaos se suele suplantar la identidad de grandes empresas,
de modo de despertar confianza en el usuario.

Utilizar distintas cuentas de correo de acuerdo a la

sensibilidad de su informacin: Es recomendable utilizar
ms de una cuenta de correo electrnico, contando en cada una
de ellas con una contrasea diferente. Por ejemplo, se puede
disponer de una cuenta laboral, una personal para familiares y
amigos y, por ltimo, una tercera cuenta para usos generales
en dnde recibir todos los correos de poca o nula importancia.

Utilizar el envo en Copia Oculta (CACO): En caso de enviar

un mensaje a muchos contactos, o reenviar uno que recibiste,
asegrate de utilizar copia oculta en lugar de agregar a todos
los remitentes en los campos de Para o CC (Con copia), a fin de
proteger sus direcciones de e-mail.

Por ltimo, s el mayor guardin de tu privacidad y de tu

informacin sensible: En la mayora de los casos es el propio
usuario quin facilita al cibercriminal su informacin personal,
de

modo

que

es

fundamental

mantenerse

atentos

actualizados en materia de seguridad informtica, adems de

implementar buenas prcticas de seguridad.

Antivirus

Utilice el antivirus usado por la Universidad Latina, el antivirus

soportado estar disponible dentro un sitio de la Universidad
Latina. Baje e instale la ltima versin del antivirus, actualice al
ltimo patrn y motor disponible.

Nunca habr archivos o macros adjuntas a un correo de

procedencia desconocida, sospechosa o fuente no confiable.
Borre los archivos adjuntos inmediatamente, luego haga un
doble borrado, vaciando su papelera de reciclaje.

Borre el spam, cadenas y cualquier correo chatarra. No realice

reenvo de los mismos. Leer Las Polticas de Uso Aceptable.

Nunca descargue archivos de sitios desconocidos o fuentes

sospechosas

Evite compartir directamente los discos del ordenador con

permisos

de

lectura

extremadamente

escritura,

necesario

por

la

menos
existencia

que
de

sea
un

requerimiento del negocio.

Siempre revise con el antivirus sus unidades de disco flexible,

discos removibles o memorias flash ante de usarlas

Respalde informacin crtica y configuracin de sistemas en

forma regular y almacene la informacin en un lugar seguro.

Administrador y usuario estndar

Rol para visitantes.- Los usuarios que no hayan ingresado

(entrado con nombre de usuario y contrasea) al sitio sern
tratados como si tuvieran el rol aqu especificado, otorgado en
el contexto del sitio. El rol de invitado est por defecto y es la
configuracin recomendada para sitios Moodle estndar. Al
usuario an se le pedir que ingrese para aprticipar en
cualquier actividad (pueden ver todo, pero sin tocar nada).

Rol para invitados.- Impedir totalmente el acceso a invitados

al sitio

Rol por defecto para todos los usuarios.- Se recomienda

que el rol por defecto para todos los usuarios se configure
a Usuario autenticado. Para configurarlo a un rol personalizado,
este

rol

personalizado

deber

de

ser

asignable

en

el contexto del sistema y tener su arquetipo de rol configurado

a ninguno (none).

Nota: No es recomendable que el rol por defecto para todos los

usuarios se configure a estudiante por las razones expuestas
en MDL-26805.

Invitado con auto-ingreso.-Si no se activa, entonces los

visitantes debern de hacer click en el botn para "Ingresar
como un invitado" antes de poder entrar a un curso que permita
el acceso de invitado.
Nota: Si est activado el auto-ingresar invitados, el botn para
ingreso del invitado tambin debe configurarse para que se
muestre (en Administracin > Administracin del sitio > Plugins
> Autenticacin > Gestionar autenticacin), aun y cuando los
visitantes no necesariamente lo usen.

Ocultar campos de usuario.- Los siguientes campos de

usuarios aparecen en las pginas del perfil del usuario. Ciertos
campos del usuario tambin estn enlistados en la pgina de
participantes del curso. Usted puede aumentar la privacidad del
estudiante al ocultar campos de usuario seleccionados.

Contraseas seguras

Se deben utilizar al menos 8 caracteres para crear la clave

Se recomienda utilizar en una misma contrasea dgitos, letras

y caracteres especiales.

Es

recomendable

que

las

letras

alternen

aleatoriamente

maysculas y minsculas.

Elegir una contrasea que pueda recordarse fcilmente y es

deseable que pueda escribirse rpidamente, preferiblemente,
sin que sea necesario mirar el teclado.

Las contraseas hay que cambiarlas con una cierta regularidad.

Utilizar signos de puntuacin si el sistema lo permite. P. ej.:

Tr-.3Fre. Dentro de ese consejo se incluira utilizar smbolos
como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

Existen algunos trucos para plantear una contrasea que no sea

dbil y se pueda recordar ms fcilmente. Por ejemplo Com
mucho chocolate el domingo 3, por la tarde, resultara la
contrasea: cmCeD3-:xLt.

No utilice solamente palabras o nmeros.- Nunca debera

utilizar nicamente letras o slo nmeros en una contrasea.
Algunos ejemplos inseguros incluyen:
o 8675309
o juan
o atrpame

No utilice palabras reconocibles.- Palabras tales como

nombres propios, palabras del diccionario o hasta trminos de
shows de televisin o novelas deberan ser evitados, an si
estos son terminados con nmeros.
Algunos ejemplos inseguros incluyen:
o john1
o DS-9
o mentat123

No

utilice

palabras

en

idiomas

extranjeros.-

Los

programas de descifrado de contraseas a menudo verifican

contra listas de palabras que abarcan diccionarios de muchos
idiomas. No es seguro confiarse en un idioma extranjero para
asegurar una contrasea.
Algunos ejemplos inseguros incluyen:

o che Guevara
o bienvenue1
o 1dumbKopf

No utilice terminologa de hackers.- Si piensa que usted

pertenece a una lite porque utiliza terminologa hacker
tambin llamado hablar l337 (LEET) en su contrasea, piense
otra vez. Muchas listas de palabras incluyen lenguaje LEET.
Algunos ejemplos inseguros incluyen:
o H4X0R
o 1337

No utilice informacin personal.- Mantengase alejado de la

informacin personal. Si un atacante conoce quin es usted, la
tarea de deducir su contrasea ser an ms fcil. La lista
siguiente muestra los tipos de informacin que debera evitar
cuando est creando una contrasea:
Algunos ejemplos inseguros incluyen:
o Su nombre
o El nombre de sus mascotas
o El nombre de los miembros de su familia
o Fechas de cumpleaos
o Su nmero telefnico o cdigo postal

No

invierta

palabras

reconocibles.-

Los

buenos

verificadores de contraseas siempre invierten las palabras

comunes, por tanto invertir una mala contrasea no la hace
para nada ms segura.
Algunos ejemplos inseguros incluyen:
o R0X4H

o nauj
o 9-DS

No escriba su contrasea.- Nunca guarde su contrasea en

un papel. Es mucho ms seguro memorizarla.

No utilice la misma contrasea para

todas

las

mquinas.- Es importante que tenga contraseas separadas

para

cada

mquina.

De

esta

forma,

si

un

sistema

es

comprometido, no todas sus mquinas estarn en peligro

inmediato.

Navegacin segura

Utilizar versiones actualizadas de los navegadores para que

est protegido frente a vulnerabilidades.

Navegar por sitios Web conocidos.

No

dejar

desatendidos

los

ordenadores

mientras

estn

conectados.

No aceptar la ejecucin de programas cuya descarga se active

sin que nos lo solicite.

No descargues/ejecutes ficheros desde sitios sospechosos

porque pueden contener cdigo potencialmente malicioso.

No aceptar certificados de servidor de pginas Web si su

navegador le indica que no lo reconoce. Pueden tratarse de
pginas falsas ideadas para capturar informacin personal o
privada.

Analizar con un antivirus todo lo que descargas antes de

ejecutarlo en tu equipo.

Configurar el nivel de seguridad de tu navegador segn tus

preferencias.

Instalar

un cortafuegos que

impida

accesos

no

deseados

a/desde Internet.

Descargar los programas desde los sitios oficiales para evitar

suplantaciones maliciosas.

Utilizar

programas anti

pop-up para

eliminar

las

molestas

ventanas emergentes que aparecen durante la navegacin, o

configurar tu navegador para evitar estas ventanas.

Utilizar un usuario sin permisos de Administrador para navegar

por Internet, as impides la instalacin de programas y cambios
en los valores del sistema.

Borrar las cookies, los ficheros temporales y el historial cuando

utilices equipos ajenos (pblicos o de otras personas) para no
dejar rastro de tu navegacin.

Copias de seguridad

Realizar copias de seguridad diarias de aquella informacin que

se actualiza frecuentemente, y de alto valor para tu negocio.

Realizar copias

semanales

de

aquella

informacin

menos

sensible, pero que an contenga un cierto valor para la

empresa, adems de la informacin habitual diaria.

Identificador de copia.- Mediante esta cadena alfanumrica

identificamos de manera unvoca cada una de las copias de
seguridad realizadas.

Tipo de copia.- Se debe de decir si la copia es incremental,

diferencial o completa.

Fecha.- en la que se realiz la copia.

Contenido.-. Siempre se incluir el contenido en clave que

almacena la copia de seguridad. En caso de querer recuperar

un determinado archivo lo buscaremos sin necesidad de estar

cargando cada una de las copias en el equipo.

Responsable.- Debe figurar el tcnico que realiz la copia de

seguridad para poder pedirle que facilite las consultas o las
peticiones de actualizacin y restauracin de la misma.

Identificador de la etiqueta.- Es un cdigo que se incluye en

la etiqueta para poder localizar de manera rpida la copia de
seguridad.

Tipo de soporte.- Especificar si la copia se ha realizado en una

cinta, disco duro, unidad USB

Ubicacin.- Dependiendo del nmero de copias de seguridad y

de la importancia de las mismas estarn ubicadas en unos u
otros

lugares.

realizadas

Se
los

debern
motivos

registrar
que

las

han

restauraciones

ocasionado

dicha

recuperacin. En las hojas de registro de las restauraciones se

deben incluir los siguientes campos:
o Fecha.- de restauracin en

la

que

se

realiz

la

recuperacin de la copia.
o Incidencia que ha motivado la restauracin.- Decir la
causa que ocasiona la prdida de informacin.
o Ubicacin.- Decir el equipo en el que se realiza la
restauracin de la informacin perdida.
o Tcnico.- Saber quin es el responsable que lleva a cabo
la actuacin.

Determinar la persona o personas responsables encargadas de

realizar y mantener las copias de seguridad.

Se debe analizar los datos susceptibles de ser salvaguardados

en copias de seguridad.

Se debe determinar el tipo de copia a realizar en funcin de los

datos a salvaguardar y de la periodicidad con la que se
modifican.

Determinar la frecuencia con la que se realizarn las copias de

seguridad.

Determinar la ventana de backup teniendo en cuenta la

duracin que cada tipo de copia consumir.

Determinar el tipo de soporte en el que se realizarn las copias

de seguridad.

Determinar la ubicacin de las copias de seguridad.