Manual de polticas des eguridad informtica

MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN

Instituto de Altos Estudios Nacionales 1

MANUAL DE POLÍTICAS

DE SEGURIDAD

INFORMÁTICA



INFORMACIÓN GENERAL:

� Control de Cambios:

Fecha de elaboración

Versión Elabora cambios o revisiones

Naturaleza del cambio

4 de agosto de 2008

1.0 Gabriel Cevallos Primera Edición

5 de agosto de 2008

1.1 Ximena Garbay Revisión

16 de mayo de 2011

1.2 Soraya Carrasco Actualizaciones

� Indicadores de revisión:

1.x: 1: Edición del documento, documento original.

X: Número de revisión efectuada en el documento

� Dirigido a:

El presente documento está dirigido a todo el personal del IAEN.



CONTENIDO:

Antecedentes 4

Marco Jurídico Administrativo 4

Justificación 5

Objetivo general 6

Objetivos Específicos 6

Alcance 6

Sanciones 7

Beneficios 7

Vigencia 7

Manual de Políticas de Seguridad Informática para el IAEN 7

Generalidades 7

Políticas y Normas de Seguridad Personal 8

Políticas y Normas de Seguridad Física y Ambiental 8

Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11

Políticas y Normas de Controles de Acceso Lógico 15

Políticas y Normas de Cumplimiento de Seguridad Informática 17

Glosario de términos 18



ANTECEDENTES

El IAEN como Universidad de Postgrado se encuentra en una continua innovación académica y

tecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte del

fortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que es

permanentemente actualizada con propósitos de brindar calidad de servicios a las nuevas

exigencias que persigue la misión del IAEN.

La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjunto

de normas y políticas de uso y seguridad informática de los equipos y aplicaciones a

implementarse.

MARCO JURÍDICO ADMINISTRATIVO

En el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría General

del Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo para

el manejo y administración de bienes del Sector Público; el mismo que señala:

Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes de

propiedad de los organismos y entidades del sector público..… y para los bienes de terceros

que por cualquier causa estén en el sector público bajo custodia o manejo”.

Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, no

habrá persona alguna que por razón de su cargo, función o jerarquía esté exenta del

cumplimiento de las disposiciones del presente reglamento…”

Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de los

bienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de sus

funciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada institución

emitirá las disposiciones administrativas correspondientes…”

Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector público

sólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichos

bienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particulares

y/o extrañas al servicio público.”

La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en

su sección V, Disposiciones especiales sobre ciertas obras, escribe:

Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales.

Dicha protección se otorga independientemente de que hayan sido incorporados en un

ordenador y cualquiera sea la forma en que estén expresados…..”.

En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley de

Propiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:



Art. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cinco

mil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuicios

ocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique,

utilice con fines comerciales, oferte en venta, venda, importe o exporte:

...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marca

notoria o de alto renombre, registrada en el país o en el exterior;

Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial

507 del 19 de enero del 2005 se declara:

Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a la

información pública y este reglamento, se aplican a todos los organismos entidades e

instituciones del sector público y privado que tengan participación del Estado…”.

Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento,

llevarán un listado ordenado de todos los archivos e información considerada reservada…”

Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando:

b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”

JUSTIFICACIÓN

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto

relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la

institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por

esta razón es un paso primordial el establecer normativas y estándares que permitan obtener

una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación del

IAEN.

El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la

información que fluye a través del sistema de comunicaciones del IAEN agrupando todas las

normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de

seguridad considerados en recomendaciones internacionales.

El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a la

manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los

procesos informáticos y elevará el nivel de seguridad de los mismos.

OBJETIVO GENERAL

� Divulgar un manual de políticas de seguridad informática para el conocimiento y

cumplimiento del mismo entre todo el personal del IAEN sobre los recursos

informáticos asignados o utilizados.



OBJETIVOS ESPECÍFICOS

� Elaborar un manual de políticas de seguridad informática para el personal del IAEN

adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza

de la información que se maneja en el mismo.

� Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad

para la fácil aplicación de las mismas por parte del personal del IAEN.

� Establecer niveles de seguridad en base a recomendaciones internacionales

permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo

que se traduce en un enfoque más objetivo de la situación de la institución.

ALCANCE

El presente manual describe todas las normas, políticas y estándares que se aplicarán de

manera obligatoria de parte del personal del IAEN respecto a seguridad informática para

precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para el

presente manual se ha considerado sugerencias y recomendaciones del estándar británico

británicas BS7799.

BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a

la necesidad de proteger la exactitud de la información, así como los métodos utilizados para

procesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitada

por las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a la

garantía de que aquellos que han sido autorizadas a hacer uso de la información tienen acceso

a ella y todos los asociados activos cuando sea necesario.

El manual incluye cinco capítulos, a saber:

- SEGURIDAD PERSONAL

- SEGURIDAD FÍSICA Y AMBIENTAL

- SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO

- CONTROL DE ACCESO LÓGICO

- CUMPLIMIENTO

Cada capítulo incluye la política relacionada, así como el conjunto de normas respectivas

consideradas en cada caso.



SANCIONES

Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que

asumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio

de las autoridades del IAEN.

BENEFICIOS

El cumplimiento del presente manual de seguridad informática hará posible un mejor

mantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como un

manejo más confiable de toda la información del instituto.

VIGENCIA

El presente manual entrará en vigencia, previa aprobación de las autoridades del IAEN

correspondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todo

cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros

causados por las exigencias del instituto hará necesario efectuar una revisión y actualizaciones

del presente documento, estas actualizaciones y revisiones están previstas dentro del control

de cambios adjunto al presente documento.

MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN

GENERALIDADES

INSTRUCCIONES DE INTERPRETACIÓN

El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje

claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo

e independientemente de su nivel de conocimientos informáticos.

La aplicación de las normas expuestas en el presente documento se han ideado de forma que

su cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con las

funciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar sus

esfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo y

utilización de recursos informáticos se cumplan a cabalidad.

POLÍTICAS Y NORMAS DE SEGURIDAD

Políticas.- Las políticas de seguridad informática establecen la visión y actitud general a

establecerse dentro del personal de la organización con respecto a los recursos y servicios

tecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarse

dentro de la organización para su cumplimiento; en otras palabras las políticas establecen que

se entiende por seguridad dentro de una determinada organización.



Normas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscan

cumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen la

concepción de seguridad dentro de la organización, las normas estableces las acciones

relacionadas con ese concepto.

POLÍTICAS Y NORMAS DE SEGURIDAD PERSONAL

POLÍTICA

Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar

equipos y servicios tecnológicos de la infraestructura de comunicación del Instituto,

independientemente de su jerarquía dentro de la institución, debe firmar un convenio en el

que acepte: condiciones de confidencialidad y manejo de información digital generada en sus

funciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a las

normas y políticas del presente manual.

OBLIGACIONES DE LOS USUARIOS

Es responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir las

políticas y normas del Manual de Políticas de Seguridad Informática para el IAEN.

ENTRENAMIENTO Y CAPACITACIÓN

Parte de los objetivos del manual es presentarse de fácil entendimiento para todo el personal

cualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sin

embargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referente

al Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidad

de Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentro

de los puntos principales de la inducción se tratará a modo general las obligaciones del usuario

así como las sanciones relacionadas en caso de incumplimiento.

SANCIONES

En caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimiento

de las normas y políticas descritas en el presente manual, deberá emitir el reporte o informe

correspondiente a la Unidad Administrativa para que se ejecuten las medidas

correspondientes.

Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de la

infraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam.

POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTAL

POLÍTICA

Los mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAEN

den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e



información del IAEN, dentro de estas áreas restringidas se consideran en especialmente las

oficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajo

abiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a los

equipos computacionales y la información almacenada en los mismos.

MANEJO DE LA INFORMACIÓN

Todos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales que

presente el área física en que desempeñan sus funciones para los equipos de cómputo o de

comunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc.

Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintas

magnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas del

usuario son responsabilidad del mismo, junto con la información contenida en los mismos, aún

cuando no se utilicen.

La información almacenada en los ordenadores asignados a los funcionarios del IAEN son

responsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equipos

es obligación del usuario.

CONTROL DE INGRESO DE EQUIPOS

Cualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de su

ingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles o

celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control

sobre el tráfico de los equipos computacionales y de computación que entran y salen del

Instituto. En el caso de los cursantes se podrá declarar con anterioridad los equipos

computacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva.

Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación e

información podrán salir de las instalaciones del IAEN previa autorización de la autoridad

respectiva.

SEGURIDAD DEL CENTRO DE DATOS

El centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizado

por la Dirección de Desarrollo Tecnológico tiene acceso al mismo.

TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOS

La reubicación o movimiento de equipos de computación y comunicación, la instalación y

desinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento de

sistema operativo o de programas de herramientas ofimáticas son atributos del personal de la

Dirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previa

autorización de la Dirección Administrativa y con apoyo de la misma.



Todo usuario es responsable de los equipos tecnológicos computacionales y de comunicación

asignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equipos

será de uso exclusivo de las funciones del IAEN.

En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para el

manejo de herramientas informáticas relacionadas con su labor de forma que se reduzca el

riesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso o

desconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas.

Toda la información obtenida y desarrollada en base a las funciones de los usuarios se

guardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse de

manera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación o

respaldo de archivos.

La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación y

comunicación está prohibida.

La colocación de cualquier objeto sobre los equipos computacionales o la ubicación de

obstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y parte

lateral de los CPU y monitores de los computadores) están prohibidas.

La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños en

los equipos por estos agentes.

Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y el

cable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no sean

pisados, aplastados o pinchados por personas u objetos.

Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración,

remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección de

Desarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para prever

las medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estos

movimientos y reubicaciones deben estar autorizados por la Dirección Administrativa.

Está prohibido que los usuarios abran o desarmen los equipos de computación y de

comunicación asignados por el IAEN.

MANTENIMIENTO DE EQUIPOS

Los servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de la

Dirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, es

responsabilidad del usuario solicitar información e identificación de la persona o personas

designadas antes de permitir el acceso al equipo asignado.

En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuarios

deberán hacer respaldos de la información que consideren crítica o relevante para sus



funciones; de esta manera se asegura que la pérdida involuntaria de información que podría

suceder como efecto de la reparación pueda subsanarse.

PÉRDIDA DE EQUIPO

El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de

robo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estos

casos.

Los equipos de computación portátiles asignados tienen carácter intransferible y son de

responsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estos

equipos.

La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados)

debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de Desarrollo

Tecnológico y al órgano de Control de Bienes del IAEN.

PERIFÉRICOS Y DISPOSITIVOS ESPECIALES

Los usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD o

ambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentos

originales y copias de software autorizadas al IAEN vía contrato.

El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) de

cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo

resguardo esté el equipo computacional.

DAÑO DEL EQUIPO

El daño por negligencia, maltrato o descuido del usuario en los equipos de computación y

comunicación asignados será cubierto por el responsable previa verificación de la

descompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función del

daño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo.

POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DE

OPERACIONES DE CÓMPUTO

POLÍTICA

Los funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocupar

mecanismos tecnológicos para la protección y privacidad de la información que manejan y

generan.

La protección de la información también compete a la prevención de código maliciosos al

computador asignado, ya sea este virus, gusano, caballo de troya u otros.



USO DE MEDIOS DE ALMACENAMIENTO

No se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepción

de documentos internos se hará vía correo electrónico para que quede constancia del envío y

de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones

interno del Instituto.

Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones

del IAEN son susceptibles de auditoría y revisión.

INSTALACIÓN DE SOFTWARE

Todos los usuarios que debido a sus actividades requieran el uso de software propietario,

deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de Desarrollo

Tecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando en

que equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa en

cuestión y el período de tiempo estimado de uso.

La instalación de cualquier tipo de programa en computadores, servidores o cualquier otro

equipo conectado a la red del IAEN sin la autorización de la Dirección de Desarrollo

Tecnológico está prohibida.

IDENTIFICACIÓN DEL INCIDENTE

En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de

seguridad informática deberá reportarlo de inmediato a la Dirección de Desarrollo

Tecnológico, justificando con claridad porque lo ocurrido se considera como incidente de

seguridad informática.

De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sin

autorización del usuario se deberá también notificar el incidente al Director de la Unidad

respectiva.

Cualquier incidente relacionado con la utilización de equipos computacionales y de

comunicación deben reportarse a la Dirección de Desarrollo Tecnológico.

ADMINISTRACIÓN DE LA CONFIGURACIÓN

Está prohibido el alterar la configuración del equipo asignado por cualquier motivo, el

establecer redes de área local, conexiones remotas internas o externas, el intercambio de

información a través del protocolo FTP o cualquier otro protocolo de transferencia de datos

tampoco está permitido sin la autorización previa de la Dirección de Desarrollo Tecnológico

SEGURIDAD PARA LA RED

El uso del equipo computacional asignado para exploración de los recursos compartidos de la

infraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo de



hallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico se

considera un ataque a la seguridad de la red.

USO DEL CORREO ELECTRÓNICO

El correo electrónico institucional es personal e intransferible, cada usuario mantiene su propia

cuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir

mensajes de correo.

El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones

institucionales está prohibido a menos que exista autorización de la Dirección de Desarrollo

Tecnológico.

Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a los

buzones institucionales se consideran propiedad del IAEN.

Los mensajes enviados por correo electrónico se consideran como una comunicación privada y

directa entre el emisor y el receptor.

El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntos

enviados a través del correo institucional, al existir sospecha de envío de información que

comprometa la seguridad de la red, o cualquier otra acción no autorizada.

El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funciones

que le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correo

electrónico está prohibido.

Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico.

Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las

comunicaciones por correo electrónico.

El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabras

ofensivas o altisonantes que afecten la honra y estima de terceros.

CONTROLES CONTRA CÓDIGO MALICIOSO

Para evitar la inducción de código malicioso dentro de los equipos computacionales, el

personal hará uso sólo del software o programas de ordenador instalados y validados por la

Dirección de Desarrollo Tecnológico del IAEN.

Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda información

contenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USB

esté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado en

cada equipo computacional por la Dirección de Desarrollo Tecnológico.



Debe verificarse la presencia o no de código malicioso en todos los archivos adjuntos

comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose el

programa antivirus autorizado antes de ejecutarse la descompresión.

El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones

en cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse,

dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o

componentes del equipo computacional como memorias o periféricos será sancionado por la

autoridad competente como ataque contra la seguridad informática del IAEN.

Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano o

cualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar el

particular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivas

de re-establecimiento del equipo y eliminación del código malicioso.

Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitar

periódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus.

Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus

instaladas en cada equipo computacional para prevenir la propagación de código malicioso.

Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentar

erradicarlos por sí mismo.

USO DEL INTERNET

El acceso a Internet provisto para el personal del IAEN a través de equipos computacionales es

exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y

función que desempeña.

Todos los accesos de Internet deben ser provistos a través de los canales previstos para el

efecto, de necesitarse una conexión a Internet especial de características diferenciadas esta

debe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico.

Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informática

deben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con los

justificativos respectivos sobre las sospechas para la verificación del incidente.

Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que:

- Las actividades realizadas en Internet serán sujeto de monitoreo.

- Conocen la prohibición al acceso de páginas no autorizadas

- Conocen la prohibición de descarga de software y archivos de música o video sin la

autorización de la Dirección de Desarrollo Tecnológico.



- La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no

para propósitos personales.

POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICO

POLÍTICA

Cada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es su

identificador de usuario y password necesarios para acceder a la información e infraestructura

de comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de los

mismos.

El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorga

en base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios para

el desempeño del cargo o rol.

CONTROLES DE ACCESO LÓGICO

Todos los usuarios de equipos computacionales son responsables de la confidencialidad del

identificador de usuario y el password de su equipo, así como de aplicaciones especiales que

requieran el mismo control de acceso lógico.

Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antes

de tener acceso a los recursos de la Infraestructura tecnológica del IAEN.

No está permitido a los usuarios el proporcionar información a personal externo sobre los

mecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo el

caso de autorización expresa del generador de la información y la Dirección de Desarrollo

Tecnológico.

El identificador de usuario dentro de la red es único y personalizado, no está permitido el uso

del mismo identificador de usuario por varios miembros del personal.

El usuario es responsable de todas las actividades realizadas con su identificador de usuario,

por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está

prohibido usar el identificador de usuario de otros.

ADMINISTRACIÓN DE PRIVILEGIOS

Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso

a diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a la

Dirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridad

que ordena el cambio.



EQUIPO DESANTENDIDO

El usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal o

equipo computacional precautelando la seguridad de la información a través del mecanismo

de control de acceso lógico.

ADMINISTRACIÓN Y USO DE PASSWORDS

Es obligación del usuario cambiar la clave por defecto asignada por la Dirección de Desarrollo

Tecnológico.

Los passwords son individuales, está prohibido que varios usuarios compartan un password.

Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección de

Desarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevo

password, y el momento de recibirlo deberá personalizar uno nuevo.

Está prohibido mantener ayudas escritas o impresas referentes al password en lugares donde

personas no autorizadas pueden descubrirlos.

La revelación del password o contraseña a terceros responsabiliza al usuario que prestó su

password de todas las acciones que se realicen con el mismo.

Los usuarios deberán observar las siguientes guías para la construcción de su contraseña:

- La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7)

caracteres y máximo 12 (doce).

- Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del

empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.

La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra persona

debe cambiarse inmediatamente.

Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de Desarrollo

Tecnológico serán notificados posteriormente al solicitante y al superior inmediato de manera

que se pueda detectar cualquier cambio no solicitado.

CONTROL DE ACCESOS REMOTOS

El uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, se

considera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN.

La administración remota de equipos conectados a Internet no está permitida, salvo que se

cuente con la autorización y un mecanismo de control de acceso seguro autorizado por el

dueño de la información y la Dirección de Desarrollo Tecnológico.



POLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA

POLÍTICA

La Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de las

políticas y normas de seguridad informática que permitan realizar acciones correctivas y

preventivas para el cuidado y mantenimiento de los equipos que forman parte de la

infraestructura tecnológica del Instituto.

DERECHOS DE PROPIEDAD INTELECTUAL

Las leyes de propiedad intelectual prohíben la reproducción de programas de ordenador o

software sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto.

Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Dirección

de Desarrollo Tecnológico son propiedad del IAEN.

REVISIONES DE CUMPLIMIENTO

La Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento de

manual de políticas de seguridad informática, lo que incluye mecanismos de revisión de

tendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados.

El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológico

será reportado conforme a lo indicado en la política de Seguridad de Personal.

VIOLACIONES DE SEGURIDAD INFORMÁTICA

Se prohíbe el uso de herramientas de hardware o software que alteren o eviten los controles

de seguridad informática, a menos que exista autorización expresa de la Dirección de

Desarrollo Tecnológico.

Está prohibido realizar pruebas a los controles efectuados por la Dirección de Desarrollo

Tecnológico, ninguna persona puede probar o intentar comprometer los controles internos a

menos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea un

órgano interno de control.

La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección de

Desarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquier

usuario no autorizado.

La propagación de código malicioso de forma intencional para probar el desempeño de la red

de parte de usuarios no autorizados está prohibido totalmente.



GLOSARIO DE TÉRMINOS

CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco, que a través de medios ópticos puede guardar información. Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computador y direcciones de buzón virtuales a través de una red privada o Internet y software diseñado para el efecto. CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicas de cada proceso, en la práctica se usa también para denominar a todo el equipamiento que contiene al procesador. Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” y posteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desuso por la entrada de unidades de almacenamiento con más capacidad y confiabilidad. DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica en forma de disco de alta densidad que permite manejar formatos de audio y video de alta calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que soporta más de 4 veces la capacidad de este. FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite la transferencia de archivos en la mayoría de redes actuales, FTP es soportado por varios sistemas operativos, incluidas todas las versiones actuales del Windows. Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo, suele usar las operaciones automáticas de archivos propios del sistema operativo del computador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicación ocupa ancho de banda y enlentece los procesos. Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en la infraestructura de una red para acceder a la información de la misma. MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byte agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno (1) o cero (0). RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .rar. Software.- Se denomina software a todo programa, que instalado en un computador permite el aceceso al usuario a la manipulación de información o uso de periféricos como impresoras, videocámaras u otros.

Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correo electrónico, el envío de spam en la red de Internet es uno de los mayores causantes de saturación de la red.



Troyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador para recabar información que permita el acceso de usuarios externos al computador local con los consiguientes problemas de seguridad informática. USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4 terminales para recepción, transmisión, y energización del equipo; los puertos USB se encuentran presentes en todas las computadoras actuales y permiten la conexión de unidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todo tipo de periféricos. UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en cualquier época como por ejemplo la canasta familiar. Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información del computador que lo aloja. ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .zip.

Manual de polticas des eguridad informtica

Education

Transcript of Manual de polticas des eguridad informtica