Post on 26-Nov-2015
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
1
NORMAS Y POLTICAS
DE
SEGURIDAD
INFORMTICA
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
2
I. INTRODUCCIN
En una organizacin la gestin de seguridad puede tornarse compleja y difcil
de realizar, esto no por razones tcnicas, mas bien por razones organizativas,
coordinar todos los esfuerzos encaminados para asegurar un entorno informtico
institucional, mediante la simple administracin de recurso humano y tecnolgico,
sin un adecuado control que integre los esfuerzos y conocimiento humano con las
tcnicas depuradas de mecanismos automatizados, tomar en la mayora de los
casos un ambiente inimaginablemente hostil, para ello es necesario emplear
mecanismos reguladores de las funciones y actividades desarrolladas por cada uno
de los empleados de la institucin.
El documento que se presenta como normas y polticas de seguridad, integra
estos esfuerzos de una manera conjunta. ste pretende, ser el medio de
comunicacin en el cual se establecen las reglas, normas, controles y
procedimientos que regulen la forma en que la institucin, prevenga, proteja y
maneje los riesgos de seguridad en diversas circunstancias.
Las normas y polticas expuestas en este documento sirven de referencia, en
ningn momento pretenden ser normas absolutas, las mismas estn sujetas a
cambios realizables en cualquier momento, siempre y cuando se tengan presentes
los objetivos de seguridad.
Toda persona que utilice los servicios que ofrece la red, deber conocer y
aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no
exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la
seguridad de la informacin o de la red institucional.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
3
En trminos generales el manual de normas y polticas de seguridad
informtica, engloba los procedimientos ms adecuados, tomando como
lineamientos principales cuatro criterios, que se detallan a continuacin:
Seguridad Organizacional
Dentro de este, se establece el marco formal de seguridad que debe sustentar
la institucin, incluyendo servicios o contrataciones externas a la infraestructura de
seguridad, Integrando el recurso humano con la tecnologa, denotando
responsabilidades y actividades complementarias como respuesta ante situaciones
anmalas a la seguridad.
Seguridad Lgica
Trata de establecer e integrar los mecanismos y procedimientos, que permitan
monitorear el acceso a los activos de informacin, que incluyen los procedimientos
de administracin de usuarios, definicin de responsabilidades, perfiles de
seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas,
que van desde el control de cambios en la configuracin de los equipos, manejo de
incidentes, seleccin y aceptacin de sistemas, hasta el control de software
malicioso.
Seguridad Fsica
Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de
seguridad, de forma que se puedan establecer controles en el manejo de equipos,
transferencia de informacin y control de los accesos a las distintas reas con base
en la importancia de los activos.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
4
Seguridad Legal
Integra los requerimientos de seguridad que deben cumplir todos los
empleados, socios y usuarios de la red institucional bajo la reglamentacin de la
normativa interna de polticas y manuales de procedimientos de la Universidad de
Oriente en cuanto al recurso humano, sanciones aplicables ante faltas cometidas,
as como cuestiones relacionadas con la legislacin del pas y contrataciones
externas.
Cada uno de los criterios anteriores, sustenta un entorno de administracin de
suma importancia, para la seguridad de la informacin dentro de la red institucional
de la Universidad de Oriente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
5
II. GENERALIDADES
INDICADORES DE VERSION
Versin 1.0.0.0 1=Documento Original (Primera Edicin) 0=Revisin 0=Posrevisin 0=Revisin Aceptada
INSTRUCCIONES DE INTERPRETACIN La informacin presentada como normativa de seguridad, ha sido organizada
de manera sencilla para que pueda ser interpretada por cualquier persona que
ostente un cargo de empleado o terceros con un contrato de trabajo por servicios
en la Universidad de Oriente, con conocimientos informticos o sin ellos.
Las polticas fueron creadas segn el contexto de aplicacin, organizadas por
niveles de seguridad y siguiendo un entorno de desarrollo, sobre la problemtica de
la institucin o previniendo futuras rupturas en la seguridad, aplicada sobre los
diferentes recursos o activos de la institucin.
El esquema de presentacin del documento consta de tres secciones, la
primera que trata especficamente de las polticas de seguridad, las cuales estn
organizadas por niveles, dentro de stos se engloban los dominios que se detallan
en el texto subsiguiente a estas lneas.
La segunda seccin esta integrada por lo que son las normas de seguridad,
que tienen una relacin directa, en base a la ejecucin y soporte de las polticas de
seguridad informtica. Estas siguen el mismo enfoque organizativo que las
polticas, con la salvedad de seguir un enlace figurativo sobre cada poltica dentro
de los dominios.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
6
Por ejemplo: El artculo 1 de las polticas de seguridad habla acerca de los
servicios de la red institucional; en la seccin de normas de seguridad, el artculo
1.1 de ese mismo dominio y control, habla de la responsabilidad del usuario sobre
las disposiciones relativas a la poltica. A diferencia de las dos secciones anteriores
la tercera seccin trata especficamente de los anexos que complementan a las
polticas y normas de seguridad.
Los formularios han sido diseados, para que puedan ser utilizados en el
entorno administrativo y de seguridad de la red institucional, la normativa consta
con una gua de referencias desde una determinada poltica o norma hacia un
instrumento de control especfico.
Los niveles de seguridad fueron organizados constatando un enfoque objetivo
de la situacin real de la institucin, desarrollando cada poltica con sumo cuidado
sobre qu activo proteger, de qu protegerlo cmo protegerlo y por qu protegerlo;
Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO
17799 (mejores prcticas de seguridad) y que a continuacin se presenta:
Nivel de Seguridad Organizativo:
o Seguridad Organizacional
o Polticas de Seguridad
o Excepciones de Responsabilidad
o Clasificacin y Control de Activos
Responsabilidad por los Activos
Clasificacin de la Informacin
o Seguridad Ligada al Personal
Capacitacin de Usuarios
Respuestas a Incidentes y Anomalas de Seguridad
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
7
Nivel de Seguridad Fsica:
o Seguridad Fsica
o Seguridad Fsica y Ambiental
o Seguridad de los Equipos
o Controles Generales
Nivel de Seguridad Lgico:
o Control de Accesos
o Administracin del Acceso de Usuarios
o Seguridad en Acceso de Terceros
o Control de Acceso a la Red
o Control de Acceso a las Aplicaciones
o Monitoreo del Acceso y Uso del Sistema
Nivel de Seguridad Legal:
o Seguridad Legal
o Conformidad con la Legislacin
o Cumplimiento de Requisitos Legales
o Revisin de Polticas de Seguridad y Cumplimiento Tcnico
o Consideraciones Sobre Auditorias de Sistemas
El lector de las polticas y normas deber enmarcar sus esfuerzos sin importar
el nivel organizacional en el que se encuentre dentro de la institucin, por cumplir
todas las polticas pertinentes a su entorno de trabajo, utilizacin de los activos o
recursos informticos en los que ste se desenvuelve.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
8
DEFINICIN DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA Que son las Normas de Seguridad?
Las normas son un conjunto de lineamientos, reglas, recomendaciones y
controles con el propsito de dar respaldo a las polticas de seguridad y a
los objetivos desarrollados por stas, a travs de funciones, delegacin de
responsabilidades y otras tcnicas, con un objetivo claro y acorde a las
necesidades de seguridad establecidas para el entorno administrativo de la
red institucional.
Que son las Polticas de Seguridad?
Son una forma de comunicacin con el personal, ya que las mismas
constituyen un canal formal de actuacin, en relacin con los recursos y
servicios informticos de la organizacin. Estas a su vez establecen las
reglas y procedimientos que regulan la forma en que una organizacin
previene, protege y maneja los riesgos de diferentes daos, sin importar el
origen de estos.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
9
IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS
Como parte integral de un Sistema de Gestin de Seguridad de la Informacin
(SGSI), un manual de normas y polticas de seguridad, trata de definir; Qu?,
Por qu?, De qu? y Cmo? se debe proteger la informacin. Estos engloban
una serie de objetivos, estableciendo los mecanismos necesarios para lograr un
nivel de seguridad adecuado a las necesidades establecidas dentro de la
institucin. Estos documentos tratan a su vez de ser el medio de interpretacin de
la seguridad para toda la organizacin.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
10
ORGANIZACIN DE LA SEGURIDAD INFORMTICA
GERENCIA
Autoridad de nivel superior que integra el comit de seguridad. Bajo su
administracin estn la aceptacin y seguimiento de las polticas y normativa de
seguridad en concordancia con las autoridades de nivel superior.
GESTOR DE SEGURIDAD
Persona dotada de conciencia tcnica, encargada de velar por la seguridad de
la informacin, realizar auditorias de seguridad, elaborar documentos de seguridad
como, polticas, normas; y de llevar un estricto control con la ayuda de la unidad de
informtica referente a los servicios prestados y niveles de seguridad aceptados
para tales servicios.
UNIDAD DE INFORMTICA
Entidad o Departamento dentro de la institucin, que vela por todo lo
relacionado con la utilizacin de computadoras, sistemas de informacin, redes
informticas, procesamiento de datos e informacin y la comunicacin en s, a
travs de medios electrnicos.
RESPONSABLE DE ACTIVOS Personal dentro de los diferentes departamentos administrativos de la
institucin, que velar por la seguridad y correcto funcionamiento de los activos
informticos, as como de la informacin procesada en stos, dentro de sus
respectivas reas o niveles de mando.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
11
III. BASE LEGAL
La elaboracin del manual de normas y polticas de seguridad informtica,
est fundamentado bajo la norma ISO/IEC 17799, unificada al manual interno de
trabajo y el manual de normas y polticas de recurso humano de la Universidad de
Oriente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
12
IV. VIGENCIA
La documentacin presentada como normativa de seguridad entrar en
vigencia desde el momento en que ste sea aprobado como documento tcnico de
seguridad informtica por las autoridades correspondientes de la Universidad de
Oriente. Esta normativa deber ser revisada y actualizada conforme a las
exigencias de la universidad, o en el momento en que haya la necesidad de realizar
cambios sustanciales en la infraestructura tecnolgica de la Red Institucional
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
13
V. VISIN
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y
correcto funcionamiento de la normativa y polticas de seguridad informtica,
basado en el sistema de gestin de seguridad de la informacin, a travs de la
utilizacin de tcnicas y herramientas que contribuyan a optimizar la administracin
de los recursos informticos de la Universidad de Oriente.
VI. MISIN
Establecer las directrices necesarias para el correcto funcionamiento de un
sistema de gestin para la seguridad de la informacin, enmarcando su
aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los
estndares internacionales desarrollados para tal fin.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
14
VII. ALCANCES Y REA DE APLICACIN
El mbito de aplicacin del manual de normas y polticas de seguridad
informtica, es la infraestructura tecnolgica y entorno informtico de la red
institucional de la Universidad de Oriente.
El ente que garantizar la ejecucin y puesta en marcha de la normativa y
polticas de seguridad, estar bajo el cargo de la Unidad de Informtica, siendo el
responsable absoluto de la supervisin y cumplimiento, el Gestor de Seguridad,
supervisados por la vice-rectora acadmica.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
15
VIII. GLOSARIO DE TERMINOS
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de
propiedad de una persona natural o jurdica que por lo general son generadores de renta o fuente de beneficios, en el ambiente informtico llmese activo a los bienes de informacin y procesamiento, que posee la institucin. Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos.
Administracin Remota: Forma de administrar los equipos informticos o
servicios de la Universidad de Oriente, a travs de terminales o equipos remotos, fsicamente separados de la institucin.
Amenaza: Es un evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos.
Archivo Log: Ficheros de registro o bitcoras de sistemas, en los que se recoge o anota los pasos que dan (lo que hace un usuario, como transcurre una conexin, horarios de conexin, terminales o IPs involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Confidencialidad: Proteger la informacin de su revelacin no autorizada. Esto significa que la informacin debe estar protegida de ser copiada por cualquiera que no est explcitamente autorizado por el propietario de dicha informacin.
Cuenta: Mecanismo de identificacin de un usuario, llmese de otra manera, al mtodo de acreditacin o autenticacin del usuario mediante procesos lgicos dentro de un sistema informtico.
Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
16
Disponibilidad: Los recursos de informacin sean accesibles, cuando estos
sean necesitados.
Encriptacin Es el proceso mediante el cual cierta informacin o "texto plano" es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretacin. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir informacin sensible sta no pueda ser obtenida con facilidad por terceros.
Integridad: Proteger la informacin de alteraciones no autorizadas por la
organizacin.
Impacto: consecuencia de la materializacin de una amenaza. ISO: (Organizacin Internacional de Estndares) Institucin mundialmente
reconocida y acreditada para normar en temas de estndares en una diversidad de reas, aceptadas y legalmente reconocidas.
IEC: (Comisin Electrotcnica Internacional) Junto a la ISO, desarrolla estndares que son aceptados a nivel internacional.
Normativa de Seguridad ISO/IEC 17799: (Cdigo de buenas prcticas, para el manejo de seguridad de la informacin) Estndar o norma internacional que vela por que se cumplan los requisitos mnimos de seguridad, que propicien un nivel de seguridad aceptable y acorde a los objetivos institucionales desarrollando buenas prcticas para la gestin de la seguridad informtica.
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la institucin.
Responsabilidad: En trminos de seguridad, significa determinar que individuo en la institucin, es responsable directo de mantener seguros los activos de cmputo e informacin.
Servicio: Conjunto de aplicativos o programas informticos, que apoyan la labor educativa, acadmica y administrativa, sobre los procesos diarios que demanden informacin o comunicacin de la institucin.
SGSI: Sistema de Gestin de Seguridad de la Informacin
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
17
Soporte Tcnico: (Personal en Outsourcing) Personal designado o
encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la institucin.
Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo,
en un Dominio o en toda la Organizacin. Terceros: Investigadores/Profesores, instituciones educativas o de
investigacin, proveedores de software, que tengan convenios educativos o profesionales con la institucin.
Usuario: Defnase a cualquier persona jurdica o natural, que utilice los servicios informticos de la red institucional y tenga una especie de vinculacin acadmica o laboral con la institucin.
Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una
amenaza sobre un Activo.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
18
1. POLTICAS DE SEGURIDAD INFORMTICA
1.1. OBJETIVO
Dotar de la informacin necesaria en el ms amplio nivel de detalle a los
usuarios, empleados y gerentes de la Universidad de Oriente, de las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la
red institucional de la Universidad de Oriente, as como la informacin que es
procesada y almacenada en estos.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
19
Nivel 1
SEGURIDAD ORGANIZATIVA
1.2. SEGURIDAD ORGANIZACIONAL
1.2.1. POLTICAS DE SEGURIDAD
Art. 1. Los servicios de la red institucional son de exclusivo uso acadmico, de investigacin, tcnicos y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, ser expresa y adecuada como poltica de seguridad en este documento.
Art. 2. La Universidad de Oriente nombrar un comit de seguridad, que de
seguimiento al cumplimiento de la normativa y propicie el entorno necesario para crear un SGSI1, el cual tendr entre sus funciones:
a) Velar por la seguridad de los activos informticos
b) Gestin y procesamiento de informacin. c) Cumplimiento de polticas. d) Aplicacin de sanciones. e) Elaboracin de planes de seguridad. f) Capacitacin de usuarios en temas de seguridad. g) Gestionar y coordinar esfuerzos, por crear un plan de
contingencia, que d sustento o solucin, a problemas de seguridad dentro de la institucin. El mismo orientar y guiar a los empleados, la forma o mtodos necesarios para salir avante ante cualquier eventualidad que se presente.
h) Informar sobre problemas de seguridad a la alta administracin
universitaria. i) Poner especial atencin a los usuarios de la red institucional
sobre sugerencias o quejas con respecto al funcionamiento de los activos de informacin.
1 Glosario de Trminos SGSI
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
20
El comit de seguridad estar integrado por los siguientes miembros: i. Gerencia ii. Gestor de Seguridad iii. Administrador Red Administrativa iv. Administrador Red Educativa
Art. 3. El administrador de cada unidad organizativa dentro de la red
institucional es el nico responsable de las actividades procedentes de sus acciones.
Art. 4. El administrador de sistemas es el encargado de mantener en buen
estado los servidores dentro de la red institucional.
Art. 5. Todo usuario de la red institucional de la Universidad de Oriente, gozar de absoluta privacidad sobre su informacin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilcitos o contraproducentes para la seguridad de la red institucional, sus servicios o cualquier otra red ajena a la institucin.
Art. 6. Los usuarios tendrn el acceso a Internet, siempre y cuando se cumplan
los requisitos mnimos de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de informtica.
Art. 7. Las actividades acadmicas (clases, exmenes, prcticas, tareas, etc.)
en los centros de cmputo, tienen la primera prioridad, por lo que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat") sin estos fines, se le podr solicitar dejar libre la estacin de trabajo, si as, fuera necesario. Esto es importante para satisfacer la demanda de estaciones en horas pico o el uso de estaciones con software especializado.
1.2.2. EXCEPCIONES DE RESPONSABILIDAD
Art. 1. Los usuarios que por disposicin de sus superiores realicen acciones que perjudiquen a otros usuarios o la informacin que estos procesan, y si estos no cuentan con un contrato de confidencialidad y proteccin de la informacin de la institucin o sus allegados.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
21
Art. 2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir
algunas de las polticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas. Estas excepciones debern ser solicitadas formalmente y aprobadas por el comit de seguridad, con la documentacin necesaria para el caso, siendo la gerencia quien d por sentada su aprobacin final.
1.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS
1.2.3.1. RESPONSABILIDAD POR LOS ACTIVOS
Art. 1. Cada departamento o facultad, tendr un responsable por el/los activo/s crtico/s o de mayor importancia para la facultad, departamento y/o la universidad.2
Art. 2. La persona o entidad responsable de los activos de cada unidad
organizativa o rea de trabajo, velar por la salvaguarda de los activos fsicos (hardware y medios magnticos, aires acondicionados, mobiliario.), activos de informacin (Bases de Datos, Archivos, Documentacin de sistemas, Procedimientos Operativos, configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)3
Art. 3. Los administradores de los sistemas son los responsables de la
seguridad de la informacin almacenada en esos recursos.
1.2.3.2. CLASIFICACIN DE LA INFORMACIN
Art. 1. De forma individual, los departamentos de la Universidad de Oriente, son responsables, de clasificar de acuerdo al nivel de importancia, la informacin que en ella se procese.4
Art. 2. Se tomarn como base, los siguientes criterios, como niveles de
importancia, para clasificar la informacin: a) Pblica b) Interna c) Confidencial
2 Anexo # 1 Formulario Clasificacin de Activos
3 Anexo # 2 3 Formularios Control de Software, Control de Hardware.
4 Anexo #1 Formulario Clasificacin de Activos
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
22
Art. 3. Los activos de informacin de mayor importancia para la institucin
debern clasificarse por su nivel de exposicin o vulnerabilidad.
1.2.4. SEGURIDAD LIGADA AL PERSONAL Referente a contratos:
Art. 1. Se entregar al contratado, toda la documentacin necesaria para ejercer sus labores dentro de la institucin, en el momento en que se de por establecido su contrato laboral.
El empleado:
Art. 1. La informacin procesada, manipulada o almacenada por el empleado es propiedad exclusiva de la Universidad de Oriente.
Art. 2. La Universidad de Oriente no se hace responsable por daos causados
provenientes de sus empleados a la informacin o activos de procesamiento, propiedad de la institucin, daos efectuados desde sus instalaciones de red a equipos informticos externos.
1.2.4.1. CAPACITACIN DE USUARIOS
Art. 1. Los usuarios de la red institucional, sern capacitados en cuestiones de seguridad de la informacin, segn sea el rea operativa y en funcin de las actividades que se desarrollan.
Art. 2. Se deben tomar todas las medidas de seguridad necesarias, antes de
realizar una capacitacin a personal ajeno o propio de la institucin, siempre y cuando se vea implicada la utilizacin de los servicios de red o se exponga material de importancia considerable para la institucin.
1.2.4.2. RESPUESTAS A INCIDENTES Y ANOMALAS DE SEGURIDAD
Art. 1. Se realizarn respaldos de la informacin, diariamente, para los activos
de mayor importancia o crticos, un respaldo semanal que se utilizar en caso de fallas y un tercer respaldo efectuado mensualmente, el cul deber ser guardado y evitar su utilizacin a menos que sea estrictamente necesaria.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
23
Art. 2. Las solicitudes de asistencia, efectuados por dos o ms empleados o reas de proceso, con problemas en las estaciones de trabajo, deber drseles solucin en el menor tiempo posible.
Art. 3. El gestor de seguridad deber elaborar un documento donde deba
explicar los pasos que se debern seguir en situaciones contraproducentes a la seguridad y explicarlo detalladamente en una reunin ante el personal de respuesta a incidentes.
Art. 4. Cualquier situacin anmala y contraria a la seguridad deber ser
documentada, posterior revisin de los registros o Log de sistemas con el objetivo de verificar la situacin y dar una respuesta congruente y acorde al problema, ya sea est en el mbito legal o cualquier situacin administrativa.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
24
Nivel 2
SEGURIDAD LGICA
1.3. SEGURIDAD LGICA
1.3.1. CONTROL DE ACCESOS
Art. 1. El Gestor de Seguridad proporcionar toda la documentacin necesaria para agilizar la utilizacin de los sistemas, referente a formularios, guas, controles, otros.
Art. 2. Cualquier peticin de informacin, servicio o accin proveniente de un
determinado usuario o departamento, se deber efectuar siguiendo los canales de gestin formalmente establecidos por la institucin, para realizar dicha accin; no dar seguimiento a esta poltica implica:
a) Negar por completo la ejecucin de la accin o servicio. b) Informe completo dirigido a comit de seguridad, mismo ser
realizado por la persona o el departamento al cual le es solicitado el servicio.
c) Sanciones aplicables por autoridades de nivel superior,
previamente discutidas con el comit de seguridad.
1.3.1.1. ADMINISTRACIN DEL ACCESO DE USUARIOS
Art. 1. Son usuarios de la red institucional los docentes de planta, administrativos, secretarias, alumnos, y toda aquella persona, que tenga contacto directo como empleado y utilice los servicios de la red institucional de la Universidad de Oriente.
Art. 2. Se asignar una cuenta de acceso a los sistemas de la intranet, a todo
usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario.
Art. 3. Los alumnos, son usuarios limitados, estos tendrn acceso nicamente a
los servicios de Internet y recursos compartidos de la red institucional, cualquier cambio sobre los servicios a los que estos tengan acceso, ser motivo de revisin y modificacin de esta poltica, adecundose a las nuevas especificaciones.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
25
Art. 4. Se consideran usuarios externos o terceros, cualquier entidad o persona
natural, que tenga una relacin con la institucin fuera del mbito de empleado/estudiante y siempre que tenga una vinculacin con los servicios de la red institucional.
Art. 5. El acceso a la red por parte de terceros es estrictamente restrictivo y
permisible nicamente mediante firma impresa y documentacin de aceptacin de confidencialidad hacia la institucin y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso.
Art. 6. No se proporcionar el servicio solicitado por un usuario, departamento o
facultad, sin antes haberse completado todos los procedimientos de autorizacin necesarios para su ejecucin.
Art. 7. Se crear una cuenta temporal del usuario, en caso de olvido o extravo
de informacin de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de identidad personal.5
Art. 8. La longitud mnima de caracteres permisibles en una contrasea se
establece en 6 caracteres, los cuales tendrn una combinacin alfanumrica, incluida en estos caracteres especiales.
Art. 9. La longitud mxima de caracteres permisibles en una contrasea se
establece en 12 caracteres, siendo esta una combinacin de Maysculas y minsculas.
1.3.1.2. RESPONSABILIDADES DEL USUARIO
Art. 1. El usuario es responsable exclusivo de mantener a salvo su contrasea.
Art. 2. El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas o servicios.
Art. 3. Se debe evitar el guardar o escribir las contraseas en cualquier papel o
superficie o dejar constancia de ellas, amenos que sta se guardada en un lugar seguro.
5 Anexo #5 Formulario cuenta temporal
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
26
Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos
proporcionados por el Gestor de Seguridad, que contenga informacin que pueda facilitar a un tercero la obtencin de la informacin de su cuenta de usuario.
Art. 5. El usuario es responsable de evitar la prctica de establecer contraseas
relacionadas con alguna caracterstica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaos o alguna otra fecha importante.
Art. 6. El usuario deber proteger su equipo de trabajo, evitando que personas
ajenas a su cargo puedan acceder a la informacin almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contrasea, el cual deber activarse en el preciso momento en que el usuario deba ausentarse.
Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los
sistemas informticos de la institucin, est obligado a reportarlo a los administradores del sistema o gestor de seguridad.
Art. 8. Los usuarios estudiantes y docentes, son responsables de guardar sus
trabajos en discos flexibles, siempre y cuando hayan sido revisados por el administrador del centro de cmputo o persona encargada de dicha unidad, y as evitar cualquier prdida de informacin valiosa.
Uso de correo electrnico:
Art. 1. El servicio de correo electrnico, es un servicio gratuito, y no garantizable, se debe hacer uso de el, acatando todas las disposiciones de seguridad diseadas para su utilizacin y evitar el uso o introduccin de software malicioso a la red institucional.
Art. 2. El correo electrnico es de uso exclusivo, para los empleados de la
Universidad de Oriente y accionistas de la misma.
Art. 3. Todo uso indebido del servicio de correo electrnico, ser motivo de suspensin temporal de su cuenta de correo o segn sea necesario la eliminacin total de la cuenta dentro del sistema.
Art. 4. El usuario ser responsable de la informacin que sea enviada con su
cuenta.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
27
Art. 5. El comit de seguridad, se reservar el derecho de monitorear las
cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red institucional.
Art. 6. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de software o reproducir informacin sin conocimiento del autor.
1.3.1.3. SEGURIDAD EN ACCESO DE TERCEROS
Art. 1. El acceso de terceros ser concedido siempre y cuando se cumplan con los requisitos de seguridad establecidos en el contrato de trabajo o asociacin para el servicio, el cual deber estar firmado por las entidades involucradas en el mismo.
Art. 2. Todo usuario externo, estar facultado a utilizar nica y exclusivamente
el servicio que le fue asignado, y acatar las responsabilidades que devengan de la utilizacin del mismo.
Art. 3. Los servicios accedidos por terceros acataran las disposiciones
generales de acceso a servicios por el personal interno de la institucin, adems de los requisitos expuestos en su contrato con la universidad.
1.3.1.4. CONTROL DE ACCESO A LA RED Unidad de Informtica y afines a ella.
Art. 1. El acceso a la red interna, se permitir siempre y cuando se cumpla con
los requisitos de seguridad necesarios, y ste ser permitido mediante un mecanismo de autenticacin.
Art. 2. Se debe eliminar cualquier acceso a la red sin previa autenticacin o
validacin del usuario o el equipo implicado en el proceso.
Art. 3. Cualquier alteracin del trfico entrante o saliente a travs de los dispositivos de acceso a la red, ser motivo de verificacin y tendr como resultado directo la realizacin de una auditoria de seguridad.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
28
Art. 4. El departamento de informtica deber emplear dispositivos de red para
el bloqueo, enrutamiento, o el filtrado de trfico evitando el acceso o flujo de informacin, no autorizada hacia la red interna o desde la red interna hacia el exterior.
Art. 5. Los accesos a la red interna o local desde una red externa de la
institucin o extranet, se harn mediante un mecanismo de autenticacin seguro y el trafico entre ambas redes o sistemas ser cifrado con una encriptacin de 128 bit.6
Art. 6. Se registrara todo acceso a los dispositivos de red, mediante archivos de
registro o Log, de los dispositivos que provean estos accesos.
Art. 7. Se efectuara una revisin de Log de los dispositivos de acceso a la red en un tiempo mximo de 48 horas.
1.3.1.5. CONTROL DE ACCESO AL SISTEMA OPERATIVO
Art. 1. Se deshabilitarn las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditora, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema.
Art. 2. Al terminar una sesin de trabajo en las estaciones, los operadores o
cualquier otro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilizacin de la estacin de trabajo.
Servidores
Art. 3. El acceso a la configuracin del sistema operativo de los servidores, es nicamente permitido al usuario administrador.
Art. 4. Los administradores de servicios, tendrn acceso nico a los mdulos de
configuracin de las respectivas aplicaciones que tienen bajo su responsabilidad.
6 Glosario de Trminos, Encriptacin
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
29
Art. 5. Todo servicio provisto o instalado en los servidores, correr o ser
ejecutado bajo cuentas restrictivas, en ningn momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrn que ser eliminados o configurados correctamente.7
1.3.1.6. CONTROL DE ACCESO A LAS APLICACIONES
Art. 1. Las aplicaciones debern estar correctamente diseadas, con funciones de acceso especificas para cada usuario del entorno operativo de la aplicacin, las prestaciones de la aplicacin.
Art. 2. Se deber definir y estructurar el nivel de permisos sobre las
aplicaciones, de acuerdo al nivel de ejecucin o criticidad de las aplicaciones o archivos, y haciendo especial nfasis en los derechos de escritura, lectura, modificacin, ejecucin o borrado de informacin.
Art. 3. Se debern efectuar revisiones o pruebas minuciosas sobre las
aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de informacin u otras anomalas.
Art. 4. Las salidas de informacin, de las aplicaciones, en un entorno de red,
debern ser documentadas, y especificar la terminal por la que deber ejecutarse exclusivamente la salida de informacin.
Art. 5. Se deber llevar un registro mediante Log de aplicaciones, sobre las
actividades de los usuarios en cuanto a accesos, errores de conexin, horas de conexin, intentos fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen informacin relevante y revisable posteriormente.
1.3.1.7. MONITOREO DEL ACCESO Y USO DEL SISTEMA
Art. 1. Se registrar y archivar toda actividad, procedente del uso de las aplicaciones, sistemas de informacin y uso de la red, mediante archivos de Log o bitcoras de sistemas.
7 http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_iis_6_0.mspx
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
30
Art. 2. Los archivos de Log, almacenarn nombres de usuarios, nivel de
privilegios, IP de terminal, fecha y hora de acceso o utilizacin, actividad desarrollada, aplicacin implicada en el proceso, intentos de conexin fallidos o acertados, archivos a los que se tubo acceso, entre otros.
Art. 3. Se efectuar una copia automtica de los archivos de Log, y se conducir
o enviara hacia otra terminal o servidor, evitando se guarde la copia localmente donde se produce.
1.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES
1.3.2.1. RESPONSABILIDADES Y PROCEDIMIENTOS OPERATIVOS
Art. 1. El personal administrador de algn servicio, es el responsable absoluto
por mantener en ptimo funcionamiento ese servicio, coordinar esfuerzos con el gestor de seguridad, para fomentar una cultura de administracin segura y servios ptimos.
Art. 2. Las configuraciones y puesta en marcha de servicios, son normadas por
el departamento de informtica, y el comit de seguridad.
Art. 3. El personal responsable de los servicios, llevar archivos de registro de fallas de seguridad del sistema, revisara, estos archivos de forma frecuente y en especial despus de ocurrida una falla.
1.3.2.2. PLANIFICACIN Y ACEPTACIN DE SISTEMAS
Art. 1. La unidad de informtica, o personal de la misma dedicado o asignado en el rea de programacin o planificacin y desarrollo de sistemas, efectuar todo el proceso propio de la planificacin, desarrollo, adquisicin, comparacin y adaptacin del software necesario para la Universidad de Oriente.
Art. 2. La aceptacin del software se har efectiva por la Gerencia de la
institucin, previo anlisis y pruebas efectuadas por el personal de informtica.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
31
Art. 3. nicamente se utilizar software certificado o en su defecto software
previamente revisado y aprobado, por personal calificado en el rea de seguridad.
Art. 4. La aceptacin y uso de los sistemas no exonera, de responsabilidad
alguna sobre el gestor de seguridad, para efectuar pruebas o diagnsticos a la seguridad de los mismos.
Art. 5. El software diseado localmente o llmese de otra manera desarrolladas
por programadores internos, debern ser analizados y aprobados, por el gestor de seguridad, antes de su implementacin.
Art. 6. Es tarea de programadores el realizar pruebas de validacin de entradas,
en cuanto a: o Valores fuera de rango. o Caracteres invlidos, en los campos de datos. o Datos incompletos. o Datos con longitud excedente o valor fuera de rango. o Datos no autorizados o inconsistentes. o Procedimientos operativos de validacin de errores o Procedimientos operativos para validacin de caracteres. o Procedimientos operativos para validacin de la integridad de los
datos. o Procedimientos operativos para validacin e integridad de las
salidas.
Art. 7 Toda prueba de las aplicaciones o sistemas, se deber hacer teniendo en cuenta las medidas de proteccin de los archivos de produccin reales.
Art. 8. Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera
deber ser documentada y cualquier documento o archivo que haya sido necesario para su ejecucin deber ser borrado de los dispositivos fsicos, mediante tratamiento electrnico.
1.3.2.3. PROTECCIN CONTRA SOFTWARE MALICIOSO
Art. 1. Se adquirir y utilizar software nicamente de fuentes confiables.
Art. 2. En caso de ser necesaria la adquisicin de software de fuentes no confiables, este se adquirir en cdigo fuente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
32
Art. 3. Los servidores, al igual que las estaciones de trabajo, tendrn instalado y
configurado correctamente software antivirus actualizable y activada la proteccin en tiempo real.
1.3.2.4. MANTENIMIENTO
Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informtica, o del personal de soporte tcnico.
Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificacin
aceptable y verificable por el gestor de seguridad.
Art. 3. Se llevar un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalacin.
1.3.2.5. MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO
Art. 1. Los medios de almacenamiento o copias de seguridad del sistema de
archivos, o informacin de la institucin, sern etiquetados de acuerdo a la informacin que almacenan u objetivo que suponga su uso, detallando o haciendo alusin a su contenido.
Art. 2. Los medios de almacenamiento con informacin crtica o copias de
respaldo debern ser manipulados nica y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda.
Art. 3. Todo medio de almacenamiento con informacin crtica ser guardado
bajo llave en una caja especial a la cual tendr acceso nicamente, el gestor de seguridad o la gerencia administrativa, esta caja no debera ser removible, una segunda copia ser resguardada por un tercero, entidad financiera o afn.
Art. 4. Se llevar un control, en el que se especifiquen los medios de
almacenamiento en los que se debe guardar informacin y su uso.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
33
Nivel 3
SEGURIDAD FSICA
1.4. SEGURIDAD FSICA
1.4.1. SEGURIDAD FSICA Y AMBIENTAL
1.4.1.1. SEGURIDAD DE LOS EQUIPOS
Art. 1. El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cables, llmese a estos de corriente o energa elctrica, para evitar interferencias.
Art. 2. Los servidores, sin importar al grupo al que estos pertenezcan, con
problemas de hardware, debern ser reparados localmente, de no cumplirse lo anterior, debern ser retirados sus medios de almacenamiento.
Art. 3. Los equipos o activos crticos de informacin y proceso, debern
ubicarse en reas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las personas responsables por esos activos, quienes debern poseer su debida identificacin.
1.4.1.2. CONTROLES GENERALES
Art. 1. Las estaciones o terminales de trabajo, con procesamientos crticos no deben de contar con medios de almacenamientos extrables, que puedan facilitar el robo o manipulacin de la informacin por terceros o personal que no deba tener acceso a esta informacin.
Art. 2. En ningn momento se deber dejar informacin sensible de robo,
manipulacin o acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta informacin.
Art. 3. Deber llevarse un control exhaustivo del mantenimiento preventivo y
otro para el mantenimiento correctivo que se les haga a los equipos.8
8 Anexo # 6-7 Formularios de Mantenimiento.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
34
Art. 4. Toda oficina o rea de trabajo debe poseer entre sus inventarios,
herramientas auxiliares (extintores, alarmas contra incendios, lmpara de emergencia), necesarias para salvaguardar los recursos tecnolgicos y la informacin.
Art. 5. Toda visita a las oficinas de tratamiento de datos crticos e informacin
(unidad de informtica, sala de servidores entre otros) deber ser registrada mediante el formulario de accesos a las salas de procesamiento crtico, para posteriores anlisis del mismo.9
Art. 6. La sala o cuarto de servidores, deber estar separada de las oficinas
administrativas de la unidad de informtica o cualquier otra unidad, departamento o sala de recepcin del personal, mediante una divisin en la unidad de informtica, recubierta de material aislante o protegido contra el fuego, Esta sala deber ser utilizada nicamente por las estaciones prestadoras de servicios y/o dispositivos a fines.
Art. 7. El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo para los equipos de cmputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demandan grandes cantidades de energa.
Art. 8. El suministro de energa elctrica debe estar debidamente polarizado, no
siendo conveniente la utilizacin de polarizaciones locales de tomas de corriente, si no que debe existir una red de polarizacin.
Art. 9. Las instalaciones de las reas de trabajo deben contar con una adecuada
instalacin elctrica, y proveer del suministro de energa mediante una estacin de alimentacin ininterrumpida o UPS para poder proteger la informacin.
Art. 10. Las salas o instalaciones fsicas de procesamiento de informacin
debern poseer informacin en carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la misma o de la informacin que ah se procesa.
9 Anexo # 8 Formulario de Accesos.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
35
Nivel 4
SEGURIDAD LEGAL
1.5. SEGURIDAD LEGAL
1.5.1. CONFORMIDAD CON LA LEGISLACIN
1.5.1.1. CUMPLIMIENTO DE REQUISITOS LEGALES
Licenciamiento de Software:
Art. 1. La Universidad de Oriente, se reserva el derecho de respaldo, a cualquier miembro facultativo, estudiante o miembro de las reas administrativas, ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratera de software.
Art. 2. Todo el software comercial que utilice la Universidad de Oriente, deber
estar legalmente registrado, en los contratos de arrendamiento de software con sus respectivas licencias.
Art. 3. La adquisicin de software por parte de personal que labore en la
institucin, no expresa el consentimiento de la institucin, la instalacin del mismo, no garantiza responsabilidad alguna para la universidad, por ende la institucin no se hace responsable de las actividades de sus empleados.
Art. 4. Tanto el software comercial como el software libre son propiedad
intelectual exclusiva de sus desarrolladores, la universidad respeta la propiedad intelectual y se rige por el contrato de licencia de sus autores.
Art. 5. El software comercial licenciado a la Universidad de Oriente, es
propiedad exclusiva de la institucin, la misma se reserva el derecho de reproduccin de ste, sin el permiso de sus autores, respetando el esquema de cero piratera y/o distribucin a terceros.
Art. 6. En caso de transferencia de software comercial a terceros, se harn las
gestiones necesarias para su efecto y se acataran las medidas de licenciamiento relacionadas con la propiedad intelectual.
Art. 7. Las responsabilidades inherentes al licenciamiento de software libre son
responsabilidad absoluta de la Universidad de Oriente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
36
Art. 8. Cualquier cambio en la poltica de utilizacin de software comercial o
software libre, se har documentado y en base a las disposiciones de la respectiva licencia.
Art. 9. El software desarrollado internamente, por el personal que labora en la
institucin es propiedad exclusiva de la Universidad de Oriente.
Art. 10. La adquisicin del software libre o comercial deber ser gestionado con las autoridades competentes y acatando sus disposiciones legales, en ningn momento se obtendr software de forma fraudulenta.
Art. 11. Los contratos con terceros, en la gestin o prestacin de un servicio,
debern especificar, las medidas necesarias de seguridad, nivel de prestacin del servicio, y/o el personal involucrado en tal proceso.
1.5.1.2. REVISIN DE POLTICAS DE SEGURIDAD Y CUMPLIMIENTO TCNICO
Art. 1. Toda violacin a las polticas de licenciamiento de software, ser motivo
de sanciones aplicables al personal que incurra en la violacin.
Art. 2. El documento de seguridad ser elaborado y actualizado por el gestor de seguridad, junto al comit de seguridad, su aprobacin y puesta en ejecucin ser responsabilidad de la gerencia administrativa.
Art. 3. Cualquier violacin a la seguridad por parte del personal que labora, para
la universidad, as como terceros que tengan relacin o alguna especie de contrato con la institucin se harn acreedores a sanciones aplicables de ley.10
1.5.1.3. CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS
Art. 1. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a
la red, trimestral, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas por personal tcnico especializado o en su defecto personal capacitado en el rea de seguridad.11
Art. 2. Toda auditoria a los sistemas, estar debidamente aprobada, y tendr el
sello y firma de la gerencia.
10
Manual de Normas y Polticas de Administracin de Recursos Humanos, Cp. 3.21 Aspectos Disciplinarios
Faltas Graves: Lit. A, C, I. 11
Anexo #9 formulario de Auditoria
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
37
Art. 3. Cualquier accin que amerite la ejecucin de una auditoria a los sistemas
informticos deber ser documentada y establecida su aplicabilidad y objetivos de la misma, as como razones para su ejecucin, personal involucrada en la misma y sistemas implicados.
Art. 4. La auditoria no deber modificar en ningn momento el sistema de
archivos de los sistemas implicados, en caso de haber necesidad de modificar algunos, se deber hacer un respaldo formal del sistema o sus archivos.
Art. 5. Las herramientas utilizadas para la auditoria debern estar separadas de
los sistemas de produccin y en ningn momento estas se quedaran al alcance de personal ajeno a la elaboracin de la auditoria.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
38
2. NORMAS DE SEGURIDAD INFORMTICA
2.1. OBJETIVO
Proporcionar las directrices necesarias para la correcta administracin del Sistema de Gestin de Seguridad de la Informacin, bajo un entorno normativamente regulado e interpretable por los usuarios de la red institucional y ajustada a las necesidades de la Universidad de Oriente. 2.2. SEGURIDAD ORGANIZACIONAL
2.2.1. EN CUANTO A POLTICAS GENERALES DE SEGURIDAD Unidad de Informtica:
Art. 1.1 El usuario acatar las disposiciones expresas sobre la utilizacin de los servicios informticos de la red institucional.
Art. 4.1 El administrador har respaldos peridicos de la informacin as como la depuracin de los discos duros.
Art. 4.2 El gestor de seguridad, junto al administrador de sistemas, realizarn
auditorias peridicas en el sistema con el fin de localizar intrusos o usuarios que estn haciendo mal uso de los recursos de un servidor.
Art. 4.3 El administrador decidir, sobre el uso de los recursos del sistema
restriccin de directorios y programas ejecutables para los usuarios. Art. 4.4 Se revisar el trfico de paquetes que se estn generando dentro de un
segmento de red, a fin de determinar si se est haciendo mal uso de la red o se esta generando algn problema que pueda llevar a que se colapsen los sistemas.
Art. 4.5 El administrador de sistemas, dar de alta y baja a usuarios y revisar
las cuentas peridicamente para estar seguros de que no hay usuarios ficticios.
Art. 4.6 Recomendar sobre el uso e implementacin de nuevas tecnologas para
administracin de los sistemas y la red.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
39
Art. 4.7 Reportar a las autoridades universitarias, las fallas en el desempeo de
la red. Solucionar junto al gestor de seguridad, los problemas que se generen en su red local.
Art. 5.1 La universidad se guarda el derecho de divulgacin o confidencialidad
de la informacin personal de los usuarios de la red institucional, si estos se ven envueltos en actos ilcitos.
Art. 5.2 El gestor de seguridad monitoreara las acciones y tareas de los
usuarios de la red institucional. Art. 6.1 Se prestar el servicio de Internet, siempre que se encuentren
presentes los requisitos de seguridad mnimos. Art. 6.2 El usuario no tiene derecho sobre el servicio de Internet sino es
mediante la aceptacin de la normativa de seguridad. Art. 7.1 se suspender cualquier usuario que utilice los centros de cmputo
fuera del mbito acadmico, y los objetivos para los que estos fueron creados.
2.2.2. EXCEPCIONES DE RESPONSABILIDAD Art. 1.1 La institucin debe establecer con sus empleados un contrato de
confidencialidad de comn acuerdo. Art. 1.2 Toda accin debe seguir los canales de gestin necesarios para su
ejecucin.
Art. 2.1 El comit de seguridad proveer la documentacin necesaria para aprobar un acuerdo de no responsabilidad por acciones que realicen dentro de la red institucional.
Art. 2.2 Las gestiones para las excepciones de responsabilidad son acordadas
bajo comn acuerdo de la gerencia y el comit de seguridad.
2.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS
2.2.3.1. RESPONSABILIDAD POR LOS ACTIVOS Art. 1.1 El comit de seguridad nombrar un responsable de activos en cada
departamento de la Universidad de Oriente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
40
Art. 2.1 Los jefes de cada departamento de la institucin, son responsables de
mantener o proteger los activos de mayor importancia.
2.2.3.2. CLASIFICACIN DE LA INFORMACION
Art. 1.1 Cada jefe de departamento dar importancia a la informacin en base al nivel de clasificacin que demande el activo.
Art. 2.1 La informacin pblica puede ser visualizada por cualquier persona
dentro o fuera de la institucin. Art. 2.2 La informacin interna, es propiedad del estudiante y de la institucin,
en ningn momento intervendrn personas ajenas a su proceso o manipulacin.
Art. 2.3 La informacin confidencial es propiedad absoluta de la institucin, el
acceso a sta es permitido nicamente a personal administrativo. Art. 3.1 Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel
de seguridad medio y nivel de seguridad alto.
2.2.4. SEGURIDAD LIGADA AL PERSONAL
Referente a contratos. Art. 1.1 Todo empleado ejercer las labores estipuladas en su contrato de
trabajo.
El empleado. Art. 1.1 El empleado no tiene ningn derecho sobre la informacin que procese
dentro de las instalaciones de la red institucional. Art. 1.2 La informacin que maneja o manipula el empleado, no puede ser
divulgada a terceros o fuera del mbito de laboral. Art. 2.1 El usuario se norma por las disposiciones de seguridad informtica de la
Universidad de Oriente.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
41
Art. 2.2 Los usuarios son responsables de las acciones causadas por sus
operaciones con el equipo de la red institucional.
2.2.4.1. CAPACITACIN DE USUARIOS
Art. 1.1 El comit de seguridad capacitar los usuarios de la red institucional,
por departamentos. Art. 1.2 El comit de seguridad proporcionara las fechas en que se impartirn
las capacitaciones. Art. 1.3 El material de apoyo (manuales, guas, etc.) ser entregado minutos
antes de iniciar la capacitacin, en la sala donde ser efectuada la capacitacin.
Art. 2.1 En cada capacitacin se revisarn los dispositivos de conexin de
servicios involucrados en la capacitacin. Art. 2.2 Las capacitaciones deben realizarse fuera de reas de procesamiento
de informacin. Art. 2.3 Entre los deberes y derechos de los empleados institucionales y
personal denotado como tercero, se encuentran acatar o respetar las disposiciones sobre capacitaciones y por ende asistir a ellas sin excepcin alguna, salvo casos especiales.
2.2.4.2. RESPUESTA A INCIDENTES Y ANOMALIAS DE SEGURIDAD
Art. 1.1 Los respaldos de informacin debern ser almacenados en un sitio
aislado y libre de cualquier dao o posible extraccin por terceros dentro de la institucin.
Art.1.2 Los respaldos se utilizarn nicamente en casos especiales ya que su
contenido es de suma importancia para la institucin. Art. 1.3 La institucin debe contar con respaldos de la informacin ante
cualquier incidente. Art. 1.4 Generar procedimientos manuales de respaldo de informacin.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
42
Art.2.1 La unidad de informtica tendr la responsabilidad, de priorizar una
situacin de la otra en cuanto a los problemas en las estaciones de trabajo.
Art. 2.2 En situaciones de emergencia que impliquen reas como atencin al
cliente entre otros, se da prioridad en el orden siguiente. a. rea de contabilidad b. rea acadmica c. rea administrativa.
Art.3.1 El documento de seguridad se elaborar, tomando en cuenta aspectos
basados en situaciones pasadas, y enmarcarlo en la pro actividad de situaciones futuras.
Art. 3.2 Se prioriza la informacin de mayor importancia para la institucin. Art. 3.3 Se evacua la informacin o activo de los niveles confidenciales de la
institucin.
Art. 4.1 Respaldar los archivos de logs o registro de los sistemas en proceso, cada cierto tiempo durante el da.
Art. 4.2 Llevar un registro manual de las actividades sospechosas de los
empleados.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
43
2.3. SEGURIDAD LGICA
2.3.1. CONTROL DEL ACCESO DE USUARIOS A LA RED INSTITUCIONAL
Art. 1.1 La documentacin de seguridad ser resguardada por el gestor de
seguridad, esto incluye folletos, guas, formularios, controles entre otros. Art. 1.2 La elaboracin de la documentacin relacionada con formularios, guas,
etc. Ser elaborada por el comit de seguridad. Art. 2.1 Los canales de gestin y seguimiento para realizar acciones dentro de
la red institucional, no pueden ser violentados bajo ninguna circunstancia.
Art. 2.2 El personal encargado de dar soporte a la gestin de comunicaciones
entre servicios y la prestacin del mismo, no est autorizado a brindar ninguna clase de servicios, mientras no se haya seguido todos y cada uno de los canales de gestin necesarios.
2.3.1.1. ADMINISTRACIN DEL ACCESO DE USUARIOS A LOS SERVICIOS INFORMTICOS DE LA UNIVERSIDAD.
Art. 1.1 Sin excepcin alguna se consideran usuarios de la red institucional de la
Universidad de Oriente todos y cada uno del personal que se encuentra denotado en la poltica de administracin de acceso de usuarios.
Art. 2.1 El acceso a los sistemas y servicios de informacin, es permitido nicamente a los usuarios que dispongan de los permisos necesarios para su ejecucin.
Art. 2.2 El usuario deber proveer toda la informacin necesaria para poder
brindarle los permisos necesarios para la ejecucin de los servicios de la red institucional.
Art. 3.1 El acceso a la Internet por parte de los usuarios alumnos esta sujeto a
la normativa desarrollada por cada centro de cmputo, horarios, y sus disposiciones generales, estos usuarios no necesitan la aprobacin del gestor o del comit de seguridad, para tener acceso.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
44
Art. 3.2 Las necesidades y aprobacin de acceso, de los alumnos a los servicios
de la red institucional, deber ser documentada y actualizada su informacin, en la poltica que norma su uso.
Art. 4.1 La vinculacin de servicios por parte de terceros con la red institucional,
es caracterstica propia del personal en outsourcing, investigadores, proveedores de software.
Art. 5.1 La identificacin del usuario se har a travs del formulario que le
proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma impresa de la persona que tendr acceso al sistema o se acreditar con su cuenta de usuario12
Art. 6.1 Cualquier peticin de servicio, por parte de personal de la institucin o ajeno a la misma, no se conceder sino es mediante la aprobacin de la poltica de acceso y prestacin de servicio.
Art. 7.1 La cuenta temporal es usada nicamente con propsitos legales y de ejecucin de tareas, por olvido de la informacin de la cuenta personal.
Art. 7.2 La cuenta temporal es nicamente acreditable, si se proporciona la
informacin necesaria para su uso. Art. 7.3 Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa
verificacin o asignacin de una nueva cuenta, al usuario propietario de la cuenta a eliminar.
Art. 7.4 El par usuario/contrasea temporal, ser eliminada del sistema como
tal, por el gestor de seguridad, en el preciso momento en que sea habilitada una cuenta personal para el usuario que haya solicitado su uso.
Art. 8.1 El sistema no aceptar contraseas con una longitud menor a la
expresada en la poltica de creacin de contraseas. Art. 8.2 Los usuarios darn un seguimiento estricto sobre las polticas de
creacin de contraseas, acatando sus disposiciones en su totalidad.
12
Anexo #4 Formulario Cuenta de Usuario.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
45
Art. 9.1 El sistema revocar toda contrasea con una longitud mayor a la expresada en la poltica de creacin de contraseas.
Art. 9.2 El usuario se responsabiliza en crear una contrasea fuerte y difcil de
adivinar. Art. 9.3 Se recomienda utilizar una frase coma base para la creacin de la
contrasea, tomando la letra inicial de cada palabra. Por ejemplo: El azar favorece una mente brillante
2.3.1.2. RESPONSABILIDADES DEL USUARIO
Art. 1.1 El gestor de seguridad debe desactivar cualquier caracterstica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseas.
Art. 1.2 El usuario deber estar consiente de los problemas de seguridad que
acarrea la irresponsabilidad en la salvaguarda y uso de su contrasea. Art. 2.1 El usuario deber ser precavido al manipular su cuenta de acceso a los
sistemas, tomando medidas de seguridad que no pongan en riesgo su integridad como persona.
Art. 2.2 Las cuentas de usuario son personales, en ningn momento deben ser
utilizadas por personal ajeno al que le fue asignada. Art. 3.1 La prctica de guardar las contraseas en papel adherido al monitor o
reas cercanas al equipo de trabajo, es una falta grabe y sancionable. Art. 3.2 Las contraseas deben ser memorizadas desde el mismo momento en
que le es asignada. Art. 4.1 Se desechar, toda documentacin que tenga que ver con informacin
relacionada a su cuenta de usuario, minutos despus de habrsele entregado y siempre que haya sido memorizada o resguarda su informacin.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
46
Art. 5.1 Es importante que el usuario establezca contraseas fuertes y
desligadas de su vida personal o de su entorno familiar o no emplean do formatos comunes de fechas.
Art. 6.1 El servidor de dominio deber bloquear cualquier estacin de trabajo
con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.
Art. 7.1 El usuario es parte esencial en la seguridad de la red institucional, su
experiencia como operador en las estaciones de trabajo es de suma importancia para el comit de seguridad.
Art. 7.2 Toda falla en el equipo debe ser documentado por el operador de las estacin de trabajo.
Art. 8.1 El usuario estudiante y los usuarios docentes, harn copias de
seguridad de la informacin que procesan en discos flexibles o unidades flash, continuamente durante una sesione en las centros de cmputo.
Normativa del uso de correo electrnico.
Art. 1.1 El correo electrnico es un medio de comunicacin directo y confidencial, entre el emisor del mensaje y el receptor o receptores del mismo, por ende deber ser visto o reproducido por las personas implicadas en la comunicacin.
Art. 1.2 El servidor de correo bloquear archivos adjuntos o informacin nociva
como archivos .exe o de ejecucin de comandos como applets java, javascript o archivos del tipo activeX o IFrame.
Art. 2.1 Ningn usuario externo a la institucin, puede usar los servicios de correo electrnico proporcionado por la red institucional.
Art. 2.2 Es responsabilidad del usuario hacer un correcto empleo del servicio de correo electrnico.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
47
Art. 3.1 Cualquier actividad no consecuente con los tems siguientes se
considera un mal uso:
a) El no mandar ni contestar cadenas de correo. b) El uso de su cuenta con fines acadmicos y/o investigacin.
c) La depuracin de su bandeja de entrada del servidor (no dejar correos
por largos periodos).
d) El no hacer uso de la cuenta para fines comerciales.
e) El respetar las cuentas de otros usuarios.
f) El uso de un lenguaje apropiado en sus comunicaciones.
g) El respetar las reglas de "Conducta Internet" para las comunicaciones.
h) Respetar los trminos dados en el contrato de trabajo sobre normativas y polticas de seguridad.
Art. 5.1 Las cuentas de correo que no cumplan con la normativa de seguridad o
los fines acadmicos o de investigacin para lo que fueron creadas, pierden automticamente su caracterstica de privacidad.
Art. 6.1 La cuenta de usuario que mostrase un trafico excesivo y que
almacenare software de forma ilegal sern deshabilitadas temporalmente.
Art. 6.2 La informacin y el software tienen la caracterstica de ser propiedad
intelectual, la universidad no se responsabiliza por el uso del correo electrnico de parte de sus empleados violentando la ley de derechos de autor.
2.3.1.3. SEGURIDAD EN ACCESO DE TERCEROS
Art. 1.1 Al ser contratado como empleados de la Universidad de Oriente, se les entregar la documentacin necesaria para cubrir todas las necesidades inherentes a su cargo.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
48
Art. 1.2 Los requisitos mnimos de seguridad se expresan, en cuestin del
monitoreo y adecuacin de un servicio con respecto a su entorno o medio de operacin.
Art. 2.1 El administrador de sistemas tomar las medidas necesarias para
asignar los servicios a los usuarios externos. Art. 2.2 El no cumplimiento de las disposiciones de seguridad y responsabilidad
sobre sus acciones por parte de los usuarios de la red institucional, se obliga a la suspensin de su cuenta de usuario de los servicios.
2.3.1.4. CONTROL DE ACCESO A LA RED Art. 1.1 El administrador de sistemas disear los mecanismos necesarios para
proveer acceso a los servicios de la red institucional. Art. 1.2 Los mecanismos de autenticacin y permisos de acceso a la red,
debern ser evaluados y aprobados por el gestor de seguridad. Art. 2.1 El comit de seguridad, har evaluaciones peridicas a los sistemas de
red, con el objetivo de eliminar cuentas de acceso sin proteccin de seguridad, componentes de red comprometidos.
Art. 3.1 El personal que de soporte a escritorio remoto efectuar la conexin
desde un maquina personal, en ningn momento lo har desde una red o rea de servicios pblicos.
Art. 3.2 El administrador de sistemas, verificar que el trafico de red sea,
estrictamente normal, la variacin de este sin ninguna razn obvia, pondr en marcha tcnicas de anlisis concretas.
Art. 4.1 Los dispositivos de red, estarn siempre activos, y configurados
correctamente para evitar anomalas en el trafico y seguridad de informacin de la red institucional.
Art. 5.1 Se utilizarn mecanismos y protocolos de autenticacin como, ssh, IPsec, Claves pblicas y privadas, autenticacin usuario/contrasea, cualquiera de ellos ser valido para la autenticacin.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
49
Art. 6.1 Los archivos de registro o logs de los dispositivos de red, debern estar
activados y configurados correctamente, en cada dispositivo.
2.3.1.5. MONITOREO DEL ACCESO Y USO DEL SISTEMA
Personal de Informtica:
Art. 1.1 El administrador de sistemas tendr especial cuidado al momento de instalar aplicaciones en los servidores, configurando correctamente cada servicio con su respectivo permisos de ejecucin.
Art. 2.1 La finalizacin de la jornada laboral, termina con cualquier actividad desarrolla en ese momento, lo cual implica guardar todo cuanto se utilice y apagar equipos informticos antes de salir de las instalaciones.
Art. 2.2 El servidor de dominios, verificar y desactivar cualquier estacin de
trabajo, que este en uso despus de la hora de salida o finalizacin de la jornada laboral.
Art. 2.3 No le esta permitido al usuario operador, realizar actividades de
configuracin del sistema, bajo ninguna circunstancia.
Art. 3.1 Los servidores estarn debidamente configurados, evitando el abuso de personal extrao a la administracin estos.
Art. 4.1 En el caso de haber la necesidad de efectuar configuracin de servicios
por ms de un usuario administrador de estos, se conceder acceso exclusivo mediante una cuenta referida al servicio.
Art. 5.1 La cuenta administrativa, es propiedad exclusiva del administrador de sistemas.
Art. 5.2 Las aplicaciones prestadoras de servicios corrern con cuentas
restrictivas y jams con privilegios tan altos como los de la cuenta administrativa.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
50
2.3.1.6. CONTROL DE ACCESO A LAS APLICACIONES
Art. 1.1 Las aplicaciones debern contar con su respectiva documentacin, la cual ser entregada a cada empleado de la institucin.
Art. 1.2 El usuario tendr los permisos de aplicaciones necesarios para ejercer
su trabajo. Art. 2.1 Tienen acceso total a las aplicaciones y sus archivos, los usuarios que
lo ameriten por su cargo dentro de la institucin, siempre que sea aprobado por el comit de seguridad.
Art. 2.2 Los niveles de privilegio son definidos por el comit de seguridad, en
base a lo importante o critico de la informacin que procesar el usuario. Art. 3.1 Antes de ser puestas en ejecucin, las aplicaciones recibirn una
auditoria sobre fallos o informacin errnea que puedan procesar. Art. 3.2 Se hace nfasis en la importancia que tienen las salidas de informacin
provistas por una aplicacin, sin importar el medio de salida. Art. 3.3 El programador, apoyado por el comit de seguridad, depurar el
cdigo, de las aplicaciones, antes de ser puestas en un entorno operativo.
Art. 4.1 Se llevar un seguimiento en limpio sobre que terminales es posible
efectuar las salidas de informacin desde el servidor. Art. 4.2 La informacin ser visualizada nicamente en terminales previamente
definidas, ya sea mediante direccionamiento de hardware o direccionamiento IP.
Art. 5.1 En el registro de sucesos del sistema se registran todas las actividades realizadas por un determinado usuario, sobre las aplicaciones.
Art. 5.2 Se verifica constantemente la operatividad de los registros de logs, que
no sean alterados de forma fraudulenta.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
51
2.3.1.7. MONITOREO DEL ACCESO Y USO DEL SISTEMA Art. 1.1 Los archivos de registro de sucesos de los sistemas de aplicacin y de
operacin, se mantienen siempre activos y en ningn momento debern ser deshabilitados.
Art. 2.1 De ser necesarios, se crearan archivos de ejecucin de comandos por
lotes para verificar que se cumpla el grabado completo de la informacin a la que es accedida por los usuarios, aplicaciones, sistemas, y para los dispositivos que guardan estos archivos.
Art. 3.1 Es necesario efectuar un respaldo de los archivos de registro o logs,
fuera de los dispositivos que les creen. Art. 3.2 Los archivos de logs deben ser respaldados en tiempo real, sus
nombres deben contener la hora y la fecha en la que fueron creados sus originales.
2.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES
2.3.2.1. RESPONSABILIDADES DEL USUARIO SOBRE LOS PROCEDIMIENTOS OPERATIVOS.
Art. 2.1 Es la unidad de informtica quien crea las reglas para la ejecucin de
algn servicio. Art. 2.2 Es el comit de seguridad quien aprueba la normas creadas para la
ejecucin de los servicios. Art. 3.1 Los sistemas son configurados para responder de forma automtica,
con la presentacin de un informe que denote las caractersticas propias de un error en el sistema.
2.3.2.2. PLANIFICACIN Y ACEPTACIN DE SISTEMAS
Art. 1.1 Ninguna otra persona que no sea la expresada en el la poltica de aceptacin y creacin de sistemas puede intervenir, sino es por peticin expresa de alguna de estas.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
52
Art. 3.1 Ninguna persona que labore para la institucin, est facultada para
instalar software en las estaciones de trabajo, sin antes haberse aprobado su utilizacin.
Art. 4.1 Sin importar el origen del software y la utilizacin del mismo dentro de la
institucin, ste ser evaluado, haya sido o no aprobada su utilizacin. Art. 5.1 Ninguna clase de cdigo ejecutable ser puesto en marcha sin antes
haber pasado el control de anlisis sobre seguridad del mismo. Art. 7.1 Antes de efectuar cualquier anlisis o prueba sobre los sistemas de
produccin, se realizarn backups generales, de la informacin que en ellos se procesa y del sistema en si.
Art. 8.1 Los sistemas o dispositivos que aun estn conectados a la red, pero
que no tienen utilizacin productiva alguna para la institucin, se les deber eliminar cualquier rastro de informacin que hayan contenido.
2.3.2.3. PROTECCIN CONTRA SOFTWARE MALICIOSO
Art. 1.1 El software que venga de empresas no reconocidas o acreditadas como no confiables, no tendr valor alguno para la institucin siempre que esta sea en formato ejecutable.
Art. 3.1 El comit de seguridad supervisar la instalacin y correcta
configuracin de software antivirus en todas y cada una de las estaciones de trabajo de la institucin.
2.3.2.4. MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CMPUTO
Art. 1.1 El usuario no est facultado a intervenir fsica o lgicamente ninguna
estacin de trabajo, que amerite reparacin. Art. 2.1 En ningn momento es aceptable la modificacin de archivos en los
equipos informticos, sino es bajo circunstancias especiales, en las que de no hacerse de esa manera el sistema queda inutilizable.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
53
Art. 2.2 En caso de ser afirmativo el cambio de archivos se har un backup
general de la aplicacin o sistema al cual se le realiza el cambio. Art. 2.3 Cualquier falla efectuada en las aplicaciones o sistemas, por la
manipulacin errnea de archivos, posterior mantenimiento deber ser notificada y reparada por el personal tcnico encargado en dicha funcin.
Art. 3.1 Se deber haber una bitcora completa, en cuando a las versiones de
actualizacin del software y de las revisiones instaladas en los sistemas.
2.3.2.5. SEGURIDAD EN EL MANEJO DE LOS MEDIOS DE ALMACENAMIENTO
Art. 1.1 La clasificacin e identificacin de los medios de almacenamiento, es
acorde al propsito u objetivo por el cual se respalda. Art. 2.1 Es totalmente prohibido para los usuarios de la red institucional el
intervenir con las labores de respaldo del personal de informtica. Art. 2.2 Bajo ninguna circunstancia se dejarn desatendidos los medios de
almacenamiento, o copias de seguridad de los sistemas. Art. 3.1 Todo medio de almacenamiento deber ser documentado e
inventariado en un registro especfico y nico sobre medios de almacenamiento.
Art. 3.2 La ubicacin de los medios de almacenamiento deber estar alejada del
polvo, humedad, o cualquier contacto con material o qumicos corrosibles.
Art. 3.3 La llave de seguridad que da acceso a los medios de almacenamiento
resguardados bajo supervisin de la gerencia, ser mantenida bajo estricta seguridad por cualquiera de las dos entidades encargadas de mantener la seguridad de los medios.
Art. 4.1 Entre la documentacin de seguridad deber existir un control para la clasificacin y resguardo de los medios de almacenamiento.13
13
Anexo #10 Control de medios de almacenamiento
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
54
2.4. SEGURIDAD FSICA
2.4.1. LA SEGURIDAD EN LOS DIFERENTES DEPARTAMENTOS DE PROCESAMIENTO DE INFORMACIN
2.4.1.1. RESGUARDO DE LOS EQUIPOS DE CMPUTO
Usuarios comunes y administrativos:
Art. 1.1 La unidad de informtica disear, toda la red de la institucin siguiendo la normativa de cableado estructurado.
Art. 1.2 Es totalmente prohibido, salvo autorizacin o supervisin expresa de la
unidad de informtica, la intervencin fsica de los usuarios sobre los recursos de la red institucional (cables, enlaces, estaciones de trabajo, dispositivos de red).
Art. 1.3 Solo el personal autorizado es el encargado exclusivo de intervenir
fsicamente los recursos de la red institucional.
Personal de Informtica:
Art. 2.1 El soporte tcnico a las estaciones de trabajo y servidores, es responsabilidad de la unidad de informtica, por tanto deben tomarse todas las medidas de seguridad necesarias para evitar cualquier anomala por manipulacin errnea efectuada por terceros.
Art. 2.2 Las estaciones de trabajo y servidores, deben operar en ptimas
condiciones, efectuando un mantenimiento constante y acorde a las especificaciones de los fabricantes del equipo.
Art. 3.1 Se deber proteger las salas que contengan los servidores, o equipos de informacin crticos, con paredes recubiertas de material aislante o antiincendios.
Art. 3.2 Las lneas de alimentacin de energa externa debern estar protegidas
con filtros de proteccin para rayos.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
55
Art. 3.3 Los centros de procesamiento de datos o unidades de procesos crticos,
son zonas restringidas, nicamente accesibles por personal autorizado o que labore en dichas instalaciones.
Art. 3.4 Al permanecer en las instalaciones de procesamiento de informacin, se
dedicara nica y exclusivamente a los procesos relacionados con las actividades propias del centro de procesamiento, evitando cualquier actividad contraria a los objetivos para los que fue diseada.
Art. 3.5 El personal debe contar con su respectiva identificacin, donde se
identifique su nombre, rea de trabajo, cargo que desempea dentro de dicha rea y su fotografa.
Art. 3.6 Cada estacin de procesamiento crtico de informacin deber estar
protegido con un dispositivo de alimentacin ininterrumpida, que deber ser de uso exclusivo para dicha estacin.
2.4.1.2. CONTROLES FSICOS GENERALES
Art. 1.1 Los respaldos de informacin de las estaciones de procesos crticos, solo lo realizara el personal responsable de dicho proceso.
Art. 1.2 Las disqueteras y lectoras de CD debern deshabilitarse en aquellas
mquinas en que no se necesiten. Art. 2.1 Cada empleado de la institucin, velar por la correcta salvaguarda de
la informacin, el dejar informacin desatendida sin ningn medio de seguridad verificable es una practica prohibida y sancionable.
Art. 3.1 Se debe establecer los periodos de mantenimiento preventivo. Art. 3.2 El comit de seguridad deber llevar el registro del mantenimiento que
se realizan a los equipos de cmputo. Art. 5.1 No se permite el ingreso a las instalaciones de procesos crticos, sin
antes haberse completado el proceso de registro de informacin, en el documento especificado para ese uso.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
56
Art. 6.1 Dentro de las instalaciones de la unidad de informtica, habr un
espacio dedicado nica y exclusivamente al rea de servidores, la cual se mantiene separado mediante una divisin de pared y protegido su acceso bajo llave.
Art. 6.2 Cualquier actividad anmala, efectuada dentro de las instalaciones
fsicas de procesamiento de informacin ser cancelada en el momento en que se constatase la actividad.
Art. 6.3 El personal de procesamiento de informacin ser relevado de su cargo,
si este no est cumpliendo con las actividades asignadas a su cargo y por lo contrario dedicase su tiempo a realizar actividades extraas a los objetivos del centro de procesamiento.14
Art. 6.4 Al ingresar a las reas de procesamiento de informacin, se da por
aceptada la normativa de permanencia en las instalaciones, desarrollada bajo la poltica de acceso y permanencia a las reas de procesamiento de datos.
Art. 7.1 Los equipos de oficina, como cafeteras, oasis, aires acondicionados,
entre otros no deben estar conectados al mismo circuito que los sistemas informticos.
Art. 7.2 Se har una revisin peridica de los equipos de respaldo de energa o
UPS, constatando su capacidad y correcto funcionamiento, se registrara cada revisin en una bitcora de control y funcionamiento de los equipos.
Art. 9.1 Los UPS son de uso exclusivo de cada estacin de trabajo. Art. 9.2 Es responsabilidad de los usuarios la correcta utilizacin de los UPS. Art. 9.3 Al finalizar con la jornada laboral es necesario que cada usuario de las
estaciones de trabajo verifique el apagado correctamente el equipo y dispositivo UPS.
Art. 9.4 Se debe efectuar una revisin peridica de los circuitos.
Art. 10.1 Es responsabilidad del gestor de seguridad proveer los materiales
informativos (carteles) necesarios en las diferentes salas o instalaciones fsicas de procesamiento de informacin.
14
Manual de Normas y Polticas de Administracin de Recursos Humanos, Faltas Graves; Lit. D, Faltas Leves;
Lit. D.
MANUAL DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA
UNIVERSIDAD DE ORIENTE UNIVO
57
Art. 10.2 El material debe ser claramente entendible y visible por todos los
usuarios.
2.4.1.3. ACCESO Y PERMANENCIA EN CENTROS DE CMPUTO
Art. 1.1 Los encargados o administradores de centros de cmputo son los responsables del desarrollo de la normativa reguladora de las actividades en dichos centros.
Art. 2.1 Las normas desarrolladas para dichas instalaciones debern estar en pleno