Política de Gestión de Sistemas Operativos

Política de Gestión de Sistemas Operativos

15/03/2011

Profesor Leon JoannisMaestría en Administración de TI en EmpresaSistemas OperativosAlumnos:Brissa Rosas Arturo Lom HErnesto Martin del CampoOmar MadrigalRodrigo Rene C

Ver 001 Revisión Inicial 15/03/2011


Tabla de contenidoObjetivo........................................................................................................................................................................................................................... 3

Alcance............................................................................................................................................................................................................................ 4

Normatividad.................................................................................................................................................................................................................. 5

De las identidades...................................................................................................................................................................................................... 5

De Passwords......................................................................................................................................................................................................... 5

De Cuentas de Usuarios.........................................................................................................................................................................................6

De Terceros............................................................................................................................................................................................................ 7

De los Socios de Negocio.......................................................................................................................................................................................9

De la Separación de Funciones y de Personal......................................................................................................................................................10

Del Software y actualizaciones.................................................................................................................................................................................11

Del Software........................................................................................................................................................................................................ 11

De Antivirus......................................................................................................................................................................................................... 14

De las configuraciones.............................................................................................................................................................................................. 14

De Sistemas Operativos.......................................................................................................................................................................................15

De la Seguridad......................................................................................................................................................................................................... 16

De Control de Accesos.........................................................................................................................................................................................16

De la Continuidad..................................................................................................................................................................................................... 18

Del Manejo de Incidentes.................................................................................................................................................................................... 18

De la Seguridad Física.......................................................................................................................................................................................... 20

De los Respaldos....................................................................................................................................................................................................... 22

Del Respaldo de Servidores................................................................................................................................................................................. 22

Del Respaldo de Usuarios....................................................................................................................................................................................24

De los Servicios......................................................................................................................................................................................................... 24

De la Conectividad.................................................................................................................................................................................................... 24

De Comunicaciones y Redes................................................................................................................................................................................ 25

De la Administración de recursos.............................................................................................................................................................................26

Del Control de Servidores.................................................................................................................................................................................... 26

De Desechos Sensitivos........................................................................................................................................................................................29

De Equipos Personales......................................................................................................................................................................................... 31

Excepciones................................................................................................................................................................................................................... 32

Responsabilidades......................................................................................................................................................................................................... 32

Entrada en Vigor............................................................................................................................................................................................................ 33

| P á g i n a | 2


Modelo Financiero........................................................................................................................................................................................................ 34

| P á g i n a | 3


OBJETIVO

Establecer el marco general para la gestión de sistemas operativos dentro de la empresa

ALCANCE

Aplica en la organización,empresas afiliadas, asociadas y que por alguna razón o circunstancia, conotras empresas establezcan cualquier nexo que involucre un intercambio de información.

Aplica para todos los empleados de todas las unidades de negocio que establezcan comunicación laboral, comercial, jurídica y de operación en que la empresa se involucre.

Es obligatoria para: todos los usuarios y personal con acceso a sistemas y aplicaciones propiedad de la empresa

(podríamos quitar este punto y dejar sólo el siguiente). aplica a quien sea responsable de una cuenta de usuario y password para tener acceso a los

sistemas (aplicaciones, formularios de acceso, etc.), dispositivos de comunicaciones y equipos de cómputo propiedad de la empresa.

al área de Sistemas de la unidad de negocios y todos los administradores de redes. a toda persona externa que sin pertenecer a la empresa quiera conectarse a su red. aplica para todos los usuarios externos y terceros que tengan acceso a los portales Web y sitios

propiedad de la empresa.

Aplica a todas las computadoras conectadas a la red propiedad de la empresa. Los equipos incluyen servidores, computadoras de escritorio, computadoras laptops, y cualquier PC con equipo de laboratorio como generadores de gráficos, además de equipo de comunicaciones, conmutadores y teléfonos programables. Todo equipo o dispositivo desplegado dentro y fuera de los firewalls corporativos perteneciente y/u operado por la empresa (incluyendo hosts, routers, switches, etc.) y/o registrado en cualquier sistema de nombres de dominios DNS al cual pertenezca a la empresa. Todo equipo existente en presente y en futuro.

Socios comerciales o socios con riesgos compartidos ("jointventures"), quienes pueden intercambiar información, acceder a sistemas de información o compartir bases de datos. Los usuarios y terceros con

| P á g i n a | 4


requerimientos de atención a socios de negocio y a los sistemas Administradores de redes y aplicaciones que deben homogeneizar la infraestructura informática de la empresa y sus socios de negocios.

Todo el personal del área de Sistemas de la unidad de negocios que requiera de separar funciones en los sistemas de la empresa. Los usuarios y terceros con requerimientos de delimitación de funciones a los sistemas propiedad de la empresa.

NORMATIVIDAD

De las identidades.

De Passwords

Todos los passwords de cuentas que den acceso a recursos, servicios, dispositivos y archivos de LA EMPRESA, deberán seguir los siguientes lineamientos:

Todos los passwords de sistema (administradores Unix y Linux, administradores de servidores Windows, cuentas de administración de aplicaciones, dispositivos de comunicación, etc.) y los passwords de usuario (cuentas de correo electrónico, cuentas Web, cuentas de acceso a alguna aplicación, software, etc.), deben ser cambiados al menos cada tres meses.

Los passwords no deben ser difundidos en los mensajes de correo electrónico ni en ningún otro medio de comunicación. El password es único, personal, intransferible y confidencial para cada usuario autorizado, no debe almacenarse en archivos ni codificarse en programas o escribirse en papeles ó darse a conocer. El password debe ser memorizado. Con excepción temporal de cuando el administrador dé el alta o cambie el password del usuario y tenga que notificarlo. Cualquier irregularidad o abuso detectado con algún password, es total y absoluta responsabilidad del usuario propietario.

El password debe tener una longitud mínima de ocho caracteres y debe contener caracteres alfabéticos (mayúsculas y minúsculas), numéricos y al menos un carácter especial.

Cada vez que se cambie de password éste debe ser diferente al actual. Es decir, no deben ser reutilizados.

| P á g i n a | 5


El password no debe ser fácilmente asociado con el usuario (primer nombre, apellido, marcas, meses, nombre de la mascota, fechas, nombres de parientes, etc.) y debe ser diferente al nombre de la cuenta de usuario.

Al tercer intento fallido de ingreso a un sistema, se debe bloquear la cuenta de usuario. La reactivación debe solicitarla únicamente el responsable de la cuenta al administrador del sistema.

Todos los accesos fallidos a las aplicaciones, dispositivos y sistemas operativos deben ser registradas en una bitácora, estos registros deben ser revisados con una periodicidad mensual. Esto es responsabilidad del Área de seguridad de información y en caso de encontrar anomalías, se deben notificar al Comité de Seguridad.

De Cuentas de Usuarios

El personal de la empresa que tenga una cuenta de usuario debe tener una contraseña (password).

Las cuentas de usuario deben ser personales, no se deben difundir, ni prestar a otra persona para ser utilizada. El mal uso que se haga de la cuenta de usuario debe ser sancionado y será bajo responsabilidad del usuario responsable de la misma.

Sólo las personas que tengan razones de negocio válidas, son las que pueden acceder a las estaciones de trabajo, sistemas, datos, formularios de acceso y aplicaciones según se requiera.

Cada usuario debe tener solamente los derechos de acceso o privilegios requeridos para ejecutar su trabajo. Los privilegios de acceso son determinados por las actividades de trabajo de la persona y es solicitada por el supervisor o Responsable de Área. Se otorga el acceso por medio de una cuenta de usuario y sólo debe ser utilizada para los propósitos del negocio de LA EMPRESA.

En caso de ausencia temporal de un usuario (incapacidad, enfermedad, vacaciones, comisiones, etc.), su cuenta de usuario no puede ser utilizada por otra persona. En caso de requerirse, el supervisor o responsable de área debe solicitar el cambio de privilegios a las cuentas de las personas que cubran las funciones de quien se ausentó. El supervisor o Responsable de Área debesolicitar el restablecimiento de los privilegios así otorgados al regresar el usuario ausente.

Cuando el usuario deje de prestar sus servicios, o cambie de actividades dentro del mismo, es responsabilidad del supervisor o Responsable de Área, solicitar que se anulen sus privilegios o en su defecto su cuenta de usuario, al momento de dejar el puesto.

| P á g i n a | 6


Cualquier persona que requiera una cuenta de usuario, su supervisor o Responsable de Área debe solicitar y autorizar el alta con los privilegios que se le van a asignar.

El acceso a las cuentas de usuarios pueden suspenderse cuando existan violaciones de seguridad o se hagan mal uso de las mismas.

La cuenta de usuario debe formarse de por lo menos 6 caracteres.

Se debe crear un procedimiento para el registro, altas y bajas de cuentas de usuario.

Se debe comprobar la autorización con los supervisores oResponsables de Área de los usuarios que tengan una cuenta de usuario para la realización de bajas, altas o cambios.

La cuenta de usuario debe ser única, intransferible y personal. Se le debe entregar al usuario una relación escrita de sus derechos de acceso, en la cual se le hace responsable al usuario del uso que se le dé a su cuenta.

Se deben realizar revisiones periódicas para mantener actualizadas las cuentas de usuario.

De Terceros

Se deben firmar convenios de confidencialidad establecidos por LA EMPRESA, que involucren a terceros, para evitar fugas de información y divulgación no autorizada (Ver Convenio de Confidencialidad con Terceros).

Aquel que introduzca equipo y dispositivos de uso y propiedad ajenos a las instalaciones de LA EMPRESA, deberá acatar las normas de seguridad vigentes a los empleados de LA EMPRESAy regirse por la Política Corporativa de Seguridad de la Información. Se debe tener conocimiento y acceso a éstas políticas para mayores detalles. Su ignorancia no evita su cumplimiento.

El uso por parte de terceros, de recursos propiedad de LA EMPRESA, es para uso exclusivo de propósitos del negocio y debe quedar asentado en el convenio autorizado por la Gerencia General de la Unidad de Negocio y de la Gerencia General Jurídica de LA EMPRESA, con una copia firmada en poder de ambas partes, y con copia al área Legal de LA EMPRESA y en supervisión de personal de Sistemas de la Unidad de Negocio.

| P á g i n a | 7


Cuando, debido a la operación, horarios, instalaciones, sistemas, etc., se requiera de obtener respaldos o extraer archivos que deban ser manejados por terceros, ésta información es considerada propiedad de LA EMPRESA bajo las mismas implicaciones de confidencialidad, integridad y accesibilidad que LA EMPRESA mantenga en toda su información.

Se debe cumplir por parte de terceros con el procedimiento de solicitud de acceso a los sistemas propiedad de LA EMPRESA.

Está estrictamente prohibido que terceros instalen cualquier tipo de software en equipos propiedad de LA EMPRESA. Se entenderá como excepción los casos en que se cedan las licencias de uso a nombre de LA EMPRESA.

3.

| P á g i n a | 8


De los Socios de Negocio

Implementar lineamientos para controlar las actividades de LA EMPRESA y sus socios de negocio en los riesgos de seguridad de la información: contratistas, filiales, subsidiarias y organizaciones a los que se permite el uso de los sistemas de LA EMPRESA, las ubicaciones desde las cuales se puede acceder a las aplicaciones con seguridad.

Proteger contra pérdida, destrucción y falsificación en los registros importantes de LA EMPRESA debido a acciones inesperadas de los socios de negocio al tener que cumplir requisitos legales o normativos.

Fincar estrategias que permitan tener acceso exclusivo al software de LA EMPRESA, a los accesos, a las aplicaciones, a la guía de arquitectura y al soporte técnico dedicado de las plataformas propietarias.

Registrar cualquier dispositivo, que logre que la información fluya en todas direcciones en un nivel corporativo avanzado.

Establecer convenio que determine lo que cada socio implemente como controles para garantizar que la información ínter compañías esté protegida contra la pérdida, utilización indebida, acceso no autorizado, divulgación, etc. con el fin de evitar malos entendidos, suspicacias, presunciones, etc.

Verificar periódicamente la compatibilidad de los sistemas de información La verificación de la compatibilidad técnica comprende la revisión de los sistemas operacionales a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados para todos los socios de negocios.

De la Separación de Funciones y de Personal

| P á g i n a | 9


Separar la gestión o ejecución de las tareas en áreas de responsabilidad, a fin de reducir las oportunidades de modificación no autorizada o mal uso de la información y/o los servicios.

Cada servidor debe incluir una imposición de separación de tareas para la gestión de privilegios, accesos, servicios y rutas que a cada usuario le sea permitido, con el fin de minimizar riesgos, establecer controles y evitar fugas.

Definir y documentar las reglas para la transferencia de programas desde el estado de desarrollo hacia el estado operativo para evitar la modificación no deseada de archivos o sistemas o la rectificación no deseada de fallas de sistemas.

Implementar una separación entre las funciones de desarrollo y las de prueba en el que puedan llevarse a cabo auditorias significativas e impedirse accesos inadecuados por parte del personal ajeno a las mismas.

Los programas en desarrollo y en operaciones deben ejecutarse en diferentes procesadores o en diferentes dominios o directorios. Los compiladores, editores y otros utilitarios del sistema no deben ser accesibles desde los sistemas que sean operativos.

Identificar las aplicaciones sensibles o críticas que convienen retener en LA EMPRESA con respecto a la administración y procesamiento de información mediante contratos con terceros que contemplen el acceso a instalaciones.

Las instalaciones de procesamiento de información administradas por LA EMPRESA deben estar físicamente separadas de aquellas administradas por terceros.

Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación, así como los utilitarios de sistema de los datos de operación., porque pueden afectar los controles de seguridad establecidos, su administración; si no son convenientemente delimitados.

Establecer una separación de funciones entre quien/es emprende/n la revisión y aquellos cuyas actividades están siendo monitoreadas a efectos de auditoria, supervisión y control.

Separar las herramientas de auditoria de sistemas de los sistemas operacionales y de desarrollo para evitar el mal uso o el compromiso de las mismas.

Las áreas responsables deben definir el trabajo del personal (temporal y fijo) desde el punto de vista de realizar una separación de tareas, que permita definir los privilegios con los que cuentan los usuarios, los niveles de acceso y una diferenciación entre sus funciones generales y sus funciones específicas.

| P á g i n a | 10


Definir de manera única los casos de una separación de funciones que por necesidades del puesto deban mantenerse vigentes los accesos, cuentas de correo y privilegios del personal separado; siempre con conocimiento del Comité de Seguridad y hasta regularizar el flujo de información hacia los cauces establecidos por la operación.

La separación de funciones implica por parte del empleado separado el devolver todos los documentos confidenciales de trabajo a su jefe inmediato, permitiendo a su vez la revisión y auditoria de la empresa hacia su lugar de trabajo, su equipo de trabajo y su lugar asignado para resguardo, almacenamiento y archivo de efectos y datos evitando con ello su extravío o divulgación.

Del Software y actualizaciones

Del Software

Se debe cumplir con la Política de Proyectos de Inversión para la adquisición de software. Sistemas Centrales debe llevar control de las autorizaciones de software. Se deben firmar acuerdos de confidencialidad con terceros para evitar fugas de información y divulgación no autorizada. Ver Convenios de Confidencialidad.

Adquirir software bajo el marco de legalidad de uso del mismo.

Por ningún motivo se puede instalar software que no sea propiedad de LA EMPRESA.

El personal de LA EMPRESA, debe firmar una carta responsiva en la cual se hacen responsables del uso de software instalado por Sistemas Centrales o por las áreas de Sistemas de la unidad de negocios de la planta respectiva, así como de las instalaciones de software que ellos mismos realicen.

Se debe guardar la evidencia de la compra de software con la documentación de compra (CD's originales, certificado de autenticidad, contrato de licencia del usuario final, manual del usuario, original, y recibo de venta y el o los números de serie respectivos) en Sistemas Centrales cuando el proveedor de software es

| P á g i n a | 11


un proveedor de convenio (Microsoft, Symantec) o el área de Sistemas de la unidad de negocios cuando el software sea embarcado directamente a la unidad de negocio.

Dicha área debe contar con los medios para guardar las copias del software y las licencias en forma segura.

Sistemas de la unidad de negocio debe llevar un control y mantener actualizado el inventario de software periódicamente para garantizar que se cuente con el licenciamiento adecuado.

Sólo debe utilizarse el software en cumplimiento con la licencia aplicable y conforme a los acuerdos de adquisición.

El área de Sistemas de la unidad de negocios, Soporte Técnico y las áreas de Sistemas Centrales, son las únicas autorizadas para instalar software en los equipos de cómputo, basándose en las licencias adquiridas por el área de Compras Centrales de LA EMPRESA.

La Gerencia de Sistemas Centrales, es la encargada de definir el software estándar para el equipo de cómputo, esto incluye sistemas operativos y aplicaciones. De la misma forma, la Gerencia de Sistemas es quien define el hardware para que el software se desempeñe de forma adecuada.

El software particular o propiedad del usuario, no debe ser instalado en equipo propiedad de LA EMPRESA, independientemente de los términos y condiciones de la licencia correspondiente.

Cualquier duplicación de software con Copyright, excepto para propósitos de respaldo y archivado, constituye una violación a las leyes de Derecho de Autor vigentes nacionales e internacionales; así como una violación a esta Política.

Todo software adquirido por LA EMPRESA, debe ser respaldado y apegarse a la licencia o acuerdo aplicable, y ambas, el original y la copia, deben estar resguardados en un lugar seguro.

Sistemas de la unidad de negocio es la encargada de aplicar parches al software, cuando éstos ayuden a eliminar o reducir vulnerabilidades.

Las copias de software no deben ser utilizadas para las actividades de operación diarias, estas copias se deben utilizar para efectos de recuperación por infecciones de virus, fallos en discos duros y otros problemas del equipo de cómputo que provoquen la pérdida o daño de la instalación.

La producción y uso de copias de respaldo deben apegarse a la licencia o acuerdo aplicable.

| P á g i n a | 12


Cuando un usuario requiera de forma justificada la utilización de un producto de software, para el cual LA EMPRESAno cuente con una licencia, el usuario debe comunicarlo a su supervisor o Responsable de Área, para que lo solicite al área autorizada de las compras de software.

Cuando un usuario requiera de forma justificada la utilización de un producto de freeware lo debe de comunicar al área de Sistemas de la unidad de negocios para que lo descargue, lo instale y lleve un registro de dicho software (por ejemplo: Adobe Reader). Nota: el freeware no tiene soporte.

Deben quedar bajo la responsabilidad del área de Sistemas de la unidad de negocios las licencias de software por el manejo de todo equipo programable propiedad de LA EMPRESA como cámaras digitales, quemadores de CD´s, escanners, lectoras de código de barras, multifuncionales, etc.

Se debe documentar y llevar control por parte del usuario responsable y del área de Sistemas de la unidad de negocio, de las licencias de tiempo determinado cuando se requiera dejar instalado por parte de un tercero alguna aplicación y se deje software en equipos propiedad de LA EMPRESA.

Nadie está autorizado a realizar copias de ningún software para ningún propósito fuera de copias para licencias autorizadas o respaldo; administradas por el área de Sistemas.

No se permite vender, rentar, copiar, transmitir, transferir u otorgar el software propiedad de LA EMPRESA.

De Antivirus

Toda computadora debe tener funcionando un software antivirus programado para que se corra automáticamente en intervalos regulares, instalado por el área de Soporte Técnico, esté conectada a la red o no.

El área de Sistemas de la unidad de negocios debe crear procedimientos que aseguren que el software antivirus es ejecutado en intervalos regulares y que las computadoras están verificadas como libres de virus.

El software antivirus y los archivos de firmas de virus deben mantenerse actualizados con una periodicidad al menos diariamente, exceptuando los casos críticos donde se debe actualizar al momento de la alerta emitida por el área de Sistemas.

| P á g i n a | 13


Las computadoras infectadas con virus son bloqueadas de la red por el área de Comunicaciones hasta que sean revisadas, vacunadas y verificadas por el área de Soporte Técnico y no contengan virus. Se informa al responsable de Sistemas de la Unidad de Negocios del equipo en cuarentena para que se tomen las medidas correctivas.

Los usuarios son responsables de reportar cualquier anomalía, ya sea en la actualización, activación, detección o eliminación de virus al área de soporte técnico.

Ningún usuario debe desactivar el programa antivirus.

Es responsabilidad del empleado de LA EMPRESA verificar que la información intercambiada con externos mediante cualquier medio (Disquetes, CD-ROM´s, USB KEY, CORREO ELECTRÓNICO, etc.), no contenga virus., cuando exista intercambio de información con terceros en cualquier dispositivo (Disquetes, CD-ROM´s, USB KEY, etc.).

Los equipos de terceros, clientes y proveedores que requieran conectarse a la red interna de LA EMPRESA, deben tener instalado su propio programa antivirus con las últimas actualizaciones, así como la autorización para poder ejecutar dicha conexión.

De las configuraciones

| P á g i n a | 14


De Sistemas Operativos

El departamento de Sistemas Centrales debe estandarizar los sistemas operativos que se utilicen en LA EMPRESA.

El Área de Seguridad de Información debe revisar y probar las utilerías del sistema operativo para evitar dejar activos programas del fabricante, con el fin de asegurar que no impacten adversamente en el funcionamiento o en la Seguridad.

Área de Seguridad de Información debe revisar los procedimientos de control de la aplicación y de la integridad para asegurar que los cambios en el sistema operativo no han sido comprometidos.

Sistemas de la Unidad de Negocio debe descargar las actualizaciones que existan para los sistemas operativos y que Sistemas Centrales haya liberado para su uso en la red de LA EMPRESA. Esto es con la finalidad de disminuir vulnerabilidades y mantener en un buen nivel de seguridad la red de LA EMPRESA.

Para poder acceder al Sistema Operativo, se debe identificar al usuario antes de permitirle el acceso a los recursos. Ver Política Corporativa de Seguridad de la Información Secciones de Control de Accesos, de Usuarios, de Passwords y de Control de Software.

Sistemas de la Unidad de Negocio debe regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos.

Sistemas de la Unidad de Negocio debe controlar la instalación de software en los sistemas operativos. Para minimizar el riesgo de corrupción.

Los sistemas operativos deben tener código protegido porque muchas aplicaciones Web utilizan sus características para correr aplicaciones.

Sistemas Centrales debe establecer procedimientos y controles para salvaguardar los sistemas operativos. Este proceso debe cubrir:

Garantizar que el plan de soporte anual y el presupuesto cubren las revisiones y las pruebas del sistema que requieran los cambios del sistema operativo.

| P á g i n a | 15


Garantizar que la modificación de los cambios del sistema operativo se realiza a tiempo para que puedan hacerse las revisiones apropiadas antes de su implantación.

Garantizar que se realicen los cambios apropiados en los planes de continuidad del negocio.

Debe existir una persona responsable que administre los sistemas operativos instalados en LA EMPRESA. Debe estar capacitada en problemas de seguridad para evitar ataques de ingenierías sociales o más elaboradas como amenazas de intercepción, modificación, interrupción o generación que alteren los sistemas operativos.

Sistemas de la Unidad de Negocio debe cancelar el servicio de bienvenida, instalado por el fabricante, en los servidores IIS 4 y anteriores que facilitan el acceso de intrusos y muestran información sensible de los sistemas y de los datos.

LA EMPRESAse debe proteger de accesos no autorizados y virus al kernel y los comandos de registro de aplicaciones (regedit de Windows, por ejemplo), que son el centro del sistema operativo. Bloqueando utilerías del sistema operativo mediante permisos de administrador.

Sistemas de la Unidad de Negocio debe cancelar servicios y aplicaciones habilitadas por el fabricante que pueden ser aprovechadas para alterar los sistemas como el manejo de códigos arbitrarios, aceptar preguntas recursivas, filtros mal configurados, permitir sesiones nulas, posicionamientos vulnerables, elevar los rangos de privilegios, etc.

De la Seguridad

De Control de Accesos

Sistemas de la unidad de negocios debe establecer un procedimiento formal de registro y cancelación de usuarios con acceso a los sistemas que debe incluir identificadores únicos (que puedan vincularse entre los usuarios, sus responsabilidades y sus acciones), la autorización del propietario del sistema (que incluya los derechos de acceso autorizados) y el nivel de acceso adecuado.

Sistemas de la unidad de negocios debe cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas o se desvincularon de LA EMPRESA. Además, se deben verificar periódicamente y cancelar identificadores y cuentas de usuarios redundantes para que no se asignen a otros usuarios.

| P á g i n a | 16


Sistemas de la unidad de negocios debe mantener un control eficaz del acceso a los datos y servicios de información revisando cada seis meses los derechos de acceso de los usuarios y cada tres meses las autorizaciones especiales de derechos de acceso. Además, periódicamente se deben revisar las asignaciones de privilegios, independientemente de las anteriores revisiones.

Sistemas de la unidad de negocios debe incorporar controles que limiten la ruta entre una terminal de usuario y los servicios del servidor. Se debe evitar que los usuarios seleccionen rutas fuera de la trazada entre la terminal de usuario y los servicios a los cuales él mismo está autorizado a acceder.

Sistemas de la unidad de negocios debe limitar la capacidad de conexión de los usuarios de redes compartidas más allá de los límites de LA EMPRESA mediante el uso de firewalls y gateways que filtren el tráfico por medio de reglas o tablas previamente definidas. Sobre todo en Correo Electrónico, transferencia unidireccional de archivos, transferencia de archivos en ambas direcciones, acceso interactivo y acceso de red vinculado a hora o fecha.

Sistemas de la unidad de negocios validan que los controles de ruteo de red deben basarse en la verificación positiva de direcciones de origen y destino. Por lo tanto, se deben aislar redes y evitar que las rutas se propaguen desde la red de una organización a la red de otra.

Se debe tener la capacidad de identificar y verificar la identidad y la terminal o ubicación de cada usuario autorizado y registrar los accesos exitosos y fallidos al sistema.

Se debe establecer la identificación automática de terminales para autenticar conexiones a ubicaciones específicas y a equipamiento portátil.

El sistema debe divulgar la mínima información posible acerca de éste, a fin de evitar proveer de información a un usuario no autorizado.

Las sesiones inactivas deben provocar la exclusión automática del sistema después de un periodo definido de inactividad y evitar el acceso de personas no autorizadas. Se deben aplicar horarios de conexión a las aplicaciones de alto riesgo.

Se deben establecer procedimientos para monitorear el uso de las instalaciones de procesamiento de la información. El nivel de monitoreo requerido para cada una de las instalaciones debe determinarse mediante una evaluación de riesgos.

Se debe garantizar que no se comprometa la información de la empresa cuando se utilizan dispositivos informáticos móviles. Se deben evitar riesgos de que la información contenida en ellas sea vista por personas no autorizadas.

| P á g i n a | 17

usuario, 17/03/11,

seguridad

usuario, 17/03/11,

seguridad


Sólo se deben autorizar actividades de trabajo remoto si se han implementado disposiciones y controles adecuados en materia de seguridad que cumplen con la Política Corporativa de Seguridad de la Información. Las provisiones y controles deben comprender lugar y mobiliario, modo de conexión, horarios, definición del trabajo, procedimientos de respaldo, auditoria, y cancelación de accesos una vez concluido el trabajo.

De la Continuidad

Del Manejo de Incidentes

Asegurar que las personas estén conscientes de los riesgos, tengan la capacidad de identificar los problemas y estén debidamente entrenadas para responder a los diversos retos.

Los servicios ante incidentes deben cumplir valoración de vulnerabilidades, detección de intrusiones, capacitación y concientización de fallas, revisiones tecnológicas y el manejo de parches. Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible.

Sistemas de la Unidad de Negocios debe establecer medidas de seguridad de incidentes respecto a:

Medidas de Prevención: Destinadas a impedir que se produzcan incidentes de seguridad capaces de causar un impacto a la operación del negocio.

Medidas de Detección: Medidas y mecanismos que permiten detectar intentos de penetración a los sistemas.

Medidas de Corrección: Que minimicen los efectos negativos ocasionados por problemas u omisiones ubicadas en el modelo de seguridad existente, en este ámbito, todos los sistemas automáticos que operen y administren información sensitiva, valiosa o crítica para la Entidad, como son sistemas de aplicación en producción, sistemas operativos, sistemas de bases de datos y telecomunicaciones deben generar pistas (adición, modificación, borrado) de auditoria, las cuales deben proporcionar suficiente información para apoyar el monitoreo, control y auditorias.

Tener la capacidad para responder ágilmente a situaciones inesperadas, de tal forma que las funciones críticas de negocio continúen casi de manera normal, minimizando el impacto en las operaciones.

| P á g i n a | 18


Sistemas de la Unidad de Negocio debe diseñar los planes de continuidad de negocio los cuales deben garantizar la continuidad de las operaciones aún en medio de un desastre.

Sistemas de la Unidad de Negocio debe tomar en cuenta la siguiente clasificación para la recuperación de los diferentes servicios críticos de TI ante un incidente o evento: niveles altos (Web, firewalls y enlaces), niveles medios (aplicaciones y administración de redes) y niveles bajos (las PC´s de usuarios).

Sistemas de la Unidad de Negocio debe establecer un procedimiento formal de comunicación, junto con un procedimiento de respuesta a incidentes, que establezca la acción que ha de emprenderse al recibir un informe sobre incidentes. Debe implementarse adecuados procesos de retroalimentación para garantizar que las personas que comunican los incidentes sean notificadas de los resultados una vez tratados y resueltos los mismos.

Área de Seguridad de Información debe realizar periódicamente un Análisis de Impacto de Negocio a través de la ejecución de un estudio sobre los procesos propios del negocio, identificando procesos críticos, activos de información, posibles situaciones de corrupción de procesos y requerimientos de los procesos de misión crítica.

Área de Seguridad de Información debe evaluar el impacto de los mismos en términos de tiempo de recuperación y pérdidas económicas directas.

Área de Seguridad de Información debe rastrear hasta su origen los incidentes reportados, identificando a través de un análisis forense, los eventos que derivaron en el incidente.

Área de Seguridad de Información debe mantener un historial sobre incidentes con la finalidad de mejorar o agregar controles que limiten la frecuencia, daño y costo de casos futuros y tomarlos en cuenta en el proceso de revisión de esta Política Corporativa de Seguridad de la Información.

Área de Seguridad de Información debe definir si los esquemas de seguridad de información establecidos en el pasado continúan siendo viables aún tras los cambios sufridos por LA EMPRESA y su entorno, cambios significativos en el número de personal, el número de equipos de cómputo, cambios en las plataformas tecnológicas, o bien en la fusión entre dos o más organizaciones.

Establecer por el área de Relaciones Industriales y/o Recursos Humanos un proceso disciplinario formal para los empleados que violen la Política Corporativa de Seguridad de la Información y procedimientos de seguridad y para retención de evidencia. Dicho proceso sirva de factor disuasivo de los empleados que, de no mediar el mismo, podrían ser proclives a pasar por alto los procedimientos de seguridad. Asimismo, debe garantizar un trato imparcial y correcto hacia los empleados sospechosos de haber cometido violaciones graves o persistentes a la seguridad.

| P á g i n a | 19

usuario, 17/03/11,

seguridad


De la Seguridad Física

Sistemas de la Unidad de Negocio debe ubicar el equipamiento en un ambiente con acceso restringido sólo a personas autorizadas (personal de LA EMPRESA y terceros que requieran acceder el equipamiento, por ejemplo para mantenimiento).

Deben ser supervisados o inspeccionados los visitantes de áreas protegidas registrando la fecha y horario de su ingreso y egreso. Sólo se debe permitir el acceso a los mismos con propósitos específicos y autorizados, instruyéndose en dicho momento al visitante sobre los requerimientos de seguridad del área y los procedimientos de emergencia.

Queda prohibido comer, beber y fumar dentro del ambiente donde reside el equipamiento.

Sistemas de la Unidad de Negocio debe diseñar y exhibir medios visuales de señalización (Calcomanías, avisos o letreros) que muestren el manejo adecuado de los equipos, para evitar daños al hardware.

Sistemas de la Unidad de Negocio debe cubrir con forros antiestáticos los equipos y dispositivos que estén ubicados en el centro de cómputo cuando no se estén utilizando, para protegerlos contra el polvo, gases, agua o partículas que causen daño a los aparatos.

Sistemas de la Unidad de Negocio debe adoptar controles adecuados para minimizar el riesgo de amenazas potenciales en el centro de cómputo, por: robo o hurto, incendio, explosivos, humo, inundaciones o filtraciones de agua, polvo, vibraciones, efectos químicos, interferencia en el suministro de energía eléctrica (cortes de suministro, variación de tensión), radiación electromagnética, derrumbes, etc.

Sistemas de la Unidad de Negocio debe revisar regularmente en el centro de cómputo las condiciones ambientales (temperaturas y humedad) para verificar que las mismas no afecten de manera adversa el funcionamiento de las instalaciones dela infraestructura.

Cada Unidad de Negocio debe evaluar y, en caso de aplicar, establecer medidas de seguridad física como las siguientes:

Sistemas proactivos de detección y extinción de incendios. Disponer de extintores adecuados estratégicamente ubicados, con señalización y capacitación al personal en el uso correcto; se debe tener control sobre el tipo, el estado y el mantenimiento de carga de los mismos.

| P á g i n a | 20


Sensores de movimiento y alarmas por violación de las normas de seguridad.

Áreas aisladas físicamente según el propósito.

Controles biométricos sectorizados de acuerdo a la criticidad del área.

Guardias capacitados que monitorean las instalaciones valiéndose de sistemas de cámaras de video.

El equipamiento y las instalaciones de soporte (infraestructura de cableado y suministro de energía eléctrica) deben estar físicamente protegidos de las amenazas y peligros del entorno.

Se deben adecuar controles y procedimientos que busquen implementar esta Política Corporativa de Seguridad de la Información en sus diferentes modalidades: protección de oficinas, recintos e instalaciones, aislamiento de las áreas de entrega y carga, mantenimiento de equipos.

Cada Unidad de Negocio debe asegurar la continuidad del suministro de energía del equipamiento, en función a la criticidad del mismo, mediante:

La disposición de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.

El suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución constante del equipamiento.

La disposición de un generador de respaldo o, hasta una planta de suministro de energía, para los casos en que el equipamiento deba continuar funcionando ante una falla prolongada en el suministro de energía.

Cada Unidad de Negocio debe proteger el cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información contra intercepción o daño, mediante:

La utilización de charolas, ductos o cableado embutido en la pared, siempre que sea posible.

La separación de los cables de energía de los cables de comunicaciones para evitar interferencias.

| P á g i n a | 21


La protección del tendido del cableado troncal (“backbone”) de ser posible mediante la utilización de ductos blindados.

Sistemas de la Unidad de Negocio debe someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor.

Debe ser autorizado a nivel gerencial el uso de equipamiento destinado al procesamiento de información, fuera del ámbito de LA EMPRESA, sin importar quien es el propietario del mismo. La seguridad provista afuera debe ser equivalente a la suministrada dentro del ámbito de LA EMPRESA para un propósito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma.

Se debe adoptar una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una política de pantallas limpias en las instalaciones de procesamiento de información.

El equipamiento, la información o el software no deben ser retirados de la sede de LA EMPRESA sin autorización. Cuando sea necesario y procedente, los equipos deben ser desconectados y nuevamente conectados cuando se reingresen.

De los Respaldos

Del Respaldo de Servidores

Se debe contar con la infraestructura y el software necesario para la realización de respaldos.

El área de Sistemas de la unidad de negocios debe efectuar respaldos de los datos cargados en los servidores: (1) dentro de las aplicaciones, (2) las aplicaciones en sí, (3) las bitácoras de desarrollo y servicios, (4) los sistemas operativos, (5) los programas internos de desarrollo, (6) las configuraciones de instalación, (7) las bases de datos. En general todo proceso que genere información y deba ser conservado.

| P á g i n a | 22


El área de Sistemas de la unidad de negocios debe elaborar bitácoras de los respaldos. Se deben programar las fechas de respaldo para cada cinta, su fecha de caducidad, firmas de los responsables y status de los respaldos.

Cada que ocurra una modificación a la configuración, cambios de infraestructura o de sistema, se debe respaldar de manera completa el servidor. Los respaldos son previos al cambio. También cuando ocurra una contingencia de operación el respaldo es inmediato y de manera completa.

Se debe efectuar en forma completa el respaldo si es de primera vez conforme al punto anterior y posteriormente de manera incremental con base al tiempo o de manera diferencial cotejando automáticamente los datos. Esto se fija conforme a los requerimientos de operación.

Se debe hacer respaldos procurando no afectar a los usuarios. Los usuarios deben ser informados cuando sea necesario. Se deben programar fechas y horarios de atención, administración, soporte y mantenimiento fuera de los horarios de operación normales.

Los respaldos para servidores deben ser probados en forma aleatoria por personal ajeno al que respaldó, para que confirmen su calidad de soporte a los procesos. Se debe dejar constancia y evidencia de las pruebas.

Se debe contar con mecanismos de evaluación que permitan el desecho de respaldos y proceder a su eliminación como respaldo cuando se cumpla el período de vida útil de los respaldos.

Deben contar con un adecuado programa de mantenimiento que no impida la función de respaldo ni afecte a los tiempos de usuarios en el supuesto de que se requieran. El mantenimiento del equipo de respaldo debe ser incluido dentro de los programas regulares y especiales de mantenimiento que los equipos requieran.

Los equipos y mecanismos de respaldo deben ser incluidos dentro de las normas de seguridad general del resto de los equipos para que garanticen el buen resguardo y recuperación de la información a que fueron destinados.

Deben cumplir pruebas de respaldo de contingencias, emergencias, pruebas de respaldos de recuperación y de administración de respaldos.

Los respaldos en las unidades de negocio, deben mantenerse por seguridad en dos tantos, uno para conservarse dentro de la propia unidad y la otra en cualquiera de las demás empresas de LA EMPRESA. Se debe establecer un procedimiento formal para el intercambio y resguardo de los respaldos.

| P á g i n a | 23


Del Respaldo de Usuarios

Los usuarios deben clasificar su información que dé soporte a los procesos de negocio con base a los requisitos de seguridad de: disponibilidad (acceso al momento de ser requerido), integridad (exactitud y validez respecto de las expectativas) y confidencialidad (que se evite su divulgación no autorizada).

Los usuarios deben documentar medidas de control de respaldo y publicarlos. También son responsables de conseguir los medios para realizarlos.

El proceso de respaldos de usuarios no debe afectar los procesos normales del negocio por rendimiento, productividad, costo, etc. más allá de la implementación del software especializado, su capacitación como proceso, los horarios y destinos de los respaldos a realizar.

Se debe establecer un servidor como banco de datos por parte del área de Sistemas para el manejo de la información clasificada como crítica y sensible a las actividades del negocio

Se debe establecer registro formal de otros medios no estándares para tareas de respaldo y todas aquellas formas de respaldo que no manejen o utilicen dispositivos especializados. Éstos últimos se refieren al manejo de CD´s, disquetes, memorias USB, respaldos en el Web, arreglos de discos, y todo dispositivo de respaldo informático.

De los Servicios

De la Conectividad

De Comunicaciones y Redes

Todo equipo que caiga dentro del alcance de esta política debe ser configurado de acuerdo a los documentos de configuración referidos, autorizados por Sistemas Centrales y basados en las mejores prácticas.

Hardware, sistemas operativos, servicios y aplicaciones deben ser aprobadas por el Área de seguridad de información como parte de la fase de revisión del despliegue. La configuración de los sistemas operativos debe ser establecida de acuerdo a la confiabilidad del host, a la instalación del ruteador y los estándares de configuración.

| P á g i n a | 24


Todos los parches o hot-fixes recomendados para el equipo por el proveedor, Sistemas Centrales y por el Área de seguridad de información deben ser instalados. Esto aplica a todos los servicios instalados, aún cuando esos servicios puedan ser temporal o permanentemente deshabilitados. Los dueños administrativos de los procesos deben mantenerse actualizados en cuanto a parches o hotfixes. Se deben establecer criterios de aprobación para nuevos sistemas de información, actualizaciones ("upgrades") y nuevas versiones, y se deben llevar a cabo adecuadas pruebas de los sistemas antes de su aprobación. Todas las actualizaciones a los equipos deben ser realizados a través de canales seguros.

Relaciones de confianza entre sistemas pueden solamente ser introducidas de acuerdo a los requerimientos del negocio, deben también ser documentadas y deben ser aprobadas por el Área de seguridad de información.

Los servicios y aplicaciones que no sean utilizados para los requerimientos del negocio deben ser deshabilitados; para su uso no general deben ser restringidas por medio de una lista de control de acceso. Servicios no confiables o protocolos deben ser reemplazados con equivalencias más seguras cuando éstas existan.

La administración remota debe ser aplicada en canales seguros (utilizando una Red Privada Virtual (VPN), conexiones de red encriptadas utilizando SSH o IPSEC, o consola de acceso independiente de la red DMZ). Donde no estén disponibles conexiones en canales seguros, deben ser usados passwords de una sola vez por todos los niveles de acceso.

Eventos con relación a seguridad deben ser registrados y auditados por logs aprobados por el Área de seguridad de información, tales como Intentos de inicio de sesión denegados, cambios de configuración o auditorias de aplicación y sistemas (previo al despliegue de nuevos servicios).

El Área de seguridad de información debe estar comprometidotanto directamente o en el proceso de control de cambios, para aprobar todos los nuevos despliegues y cambios de configuración.

Se deben controlar los cambios administrativos y de soporte en los sistemas implementando responsabilidades y procedimientos formales, para garantizar un control satisfactorio de todos los cambios en infraestructura y software; y restringiendo a un control estricto de cambios en los programas operativos.

Se deben realizar estudios de proyecciones para futuros requerimientos de capacidad, a fin de reducir el riesgo de sobrecarga del sistema. Estas proyecciones deben tomar en cuenta los nuevos requerimientos de negocios y sistemas, así como las tendencias actuales y proyectadas en el procesamiento de la información y en la Tecnología de Información.

| P á g i n a | 25


Se debe garantizar que los usuarios que tengan acceso a las redes y/o servicios de otras organizaciones o redes públicas no comprometan la seguridad de la red de LA EMPRESA.

Todas las comunicaciones de datos deben efectuarse a través de la LAN de LA EMPRESA.

Se deben introducir controles dentro de la red, a fin de segregar grupos de servicios de información, usuarios y sistemas de información. Un método seguro es dividirlas en dominios lógicos separados.

La red de amplia cobertura geográfica a nivel nacional e internacional debe estar dividida en forma lógica por diferentes segmentos de red, cada uno separado con controles de seguridad perimetral y mecanismos de control de acceso.

Todas las conexiones a redes externas de tiempo real que accedan a la red interna de la entidad, debe pasar a través de los sistemas de defensa electrónica que incluyen servicios de ciframiento y verificación de datos, detección de ataques cibernéticos, detección de intentos de intrusión, administración de permisos de circulación y autenticación de usuarios.

De la Administración de recursos

Del Control de Servidores

Solo personal autorizado debe efectuar la modificación, reparación y mantenimiento a los servidores. Sistemas de la Unidad de Negocio debe contar con un contrato de mantenimiento preventivo y correctivo que garantice la disponibilidad del hardware asociado a los servidores.

Se deben situar los servidores en un sitio con las condiciones físicas y ambientales adecuadas para su buen funcionamiento. Instalar los equipos de tratamiento y almacenamiento de información que manejen datos sensibles donde se reduzca el riesgo de que otros vean los procesos durante su uso.

Se debe estandarizar el modo de archivado y etiquetado de los discos, cintas o medios magnéticos que se manejan, con la finalidad de obtener una búsqueda efectiva, rápida y segura. Controlar por medio de etiquetas autoadhesivas con tecnología de código de barras, el acceso a los discos, cintas o medios magnéticos de respaldo.

| P á g i n a | 26


Se deben tener manuales de instalación, capacitación, operación, mantenimiento (copias de respaldo) y guía del usuario del Software y Hardware, para realizar consultas en casos necesarios.

Se debe elaborar, revisar y actualizar un Plan de Contingencia para eventualidades como: caídas de voltaje o ausencia de fluido eléctrico, caída de la comunicación, usuarios indeseables, errores en la aplicación, fallas en el Manejador de Bases de Datos.

Se debe contar con infraestructura necesaria para garantizar con esto la calidad en la transmisión de la información.

Monitorear el desempeño de los diferentes dispositivos del Sistema, con el fin de equilibrar la carga de trabajo de los mismos.

Prevenir que las fallas de seguridad puedan repercutir en daños significativos a los sistemas y a las redes bajo control. Establecer controles a vulnerabilidades.

Sistemas de la Unidad de Negocio debe crear y mantener un control de inventarios de servidores y unidades de respaldo, para conocer la disponibilidad de los mismos en caso de requerimientos.

Se deben elaborar planes alternos de procesamiento de información interno ó externo a las instalaciones, con el fin de no interrumpir el funcionamiento del Sistema en caso de un imprevisto.

Se debe tener elaborado un instructivo para el traslado de servidores, bien sea por emergencia o por cambio de sede, con el fin de minimizar riesgos en la pérdida de información o daños en los equipos.

Se deben realizar estudios de identificación de los riesgos a que está expuesto el hardware con respecto a intrusos, catástrofes, atentados, etc. con el fin de plantear las posibles soluciones en dichos casos.

Se debe contar con un plan para la recuperación de información y contar con equipos en casos de emergencia, para minimizar el tiempo en que el Sistema no está disponible.

Definir responsables para el manejo de documentos, para controlar el flujo de los mismos.

Se debe contar con una estrategia para que la responsabilidad de la seguridad de los servidores no recaiga en una sola persona, y no tener de ese modo centralizado el conocimiento absoluto de la seguridad.

| P á g i n a | 27


Registrar los mantenimientos preventivos y correctivos hechos a los servidores, controlando de esta manera que los mismos siempre se encuentren funcionando correctamente.

| P á g i n a | 28


De Desechos Sensitivos

Todo equipo que caiga dentro del alcance de esta política debe cumplir medidas de seguridad por integridad, disponibilidad y confidencialidad antes de pensar en proceder a su desechado. El desecho sensitivo tiene la función de contener todo tipo de dato que le resulte importante e interesante a alguien dentro de LA EMPRESA.

Deben ser físicamente destruidos o sobrescritos en forma segura los dispositivos de almacenamiento obsoletos y no aplicar solamente las funciones de borrado estándar.

Todos los elementos del equipo que contengan dispositivos de almacenamiento deben ser comprobados antes de su reutilización o su baja, para asegurar que todos los datos sensitivos y el software bajo licencia, hayan sido eliminados o sobrescritos.

Los dispositivos de almacenamiento dañados que contengan datos sensibles deben requerir una minuciosa evaluación de riesgo para determinar si deben destruirse, repararse o eliminarse.

Se deben eliminar los respaldos de forma segura cuando no se necesiten más. Se deben establecer los controles por:

Incineración, trituración o vaciado de datos para utilizar el respaldo en otra aplicación.

Identificar proveedores confiables que otorguen servicio de recogida y eliminación de papel, equipos y soportes y establecer con ellos convenios de confidencialidad.

Establecer controles para una eliminación segura de: documentos sobre papel, registros de voz, papel carbón, informes, cintas de impresora de un solo uso, cintas magnéticas, discos o cartuchos extraíbles, soportes de almacenamiento óptico, listados de programas, datos de pruebas, documentación de los sistemas.

Se debe conservar un registro de toda la eliminación de elementos sensibles para mantener una pista de auditoria.

Los disquetes o cintas obsoletos que contengan datos almacenados deberán ser enviados por correo interno al área de Sistemas de la Unidad de Negocio para proceder a su eliminación. Esta clase de desechos se envasarán en cajas de cartón u otras envolturas, etiquetando el envío con su contenido y con el texto "a eliminar".

| P á g i n a | 29


Conforme a la Política de Reposición de Activos, anualmente se retira el veinte por ciento de los equipos y es el Área de Soporte Técnico quien debe retirarlos ya sea para venta de empleados o su baja definitiva. En este último caso, se debe eliminar toda información contenida y solamente bajo autorización de la Gerencia de la Unidad de Negocio se podrán reutilizar sus componentes para soporte de la operación de unidades en uso. Los procedimientos de actualizaciones a los equipos deben contemplar un procedimiento de eliminación segura de datos sensitivos, para los casos de baja o reutilización de equipo.

Se deben cumplir con las disposiciones legales, ambientales, ecológicas, etc. al momento de desechar cualquier equipo, porque la computadora y sus periféricos producen desechos que son un peligro ambiental y sanitario que ponen en riesgo la salud de una parte importante de la población cuando no son debidamente eliminados.

No se debe utilizar como papel de reciclaje para impresoras de red o de ahorro de papel, documentos con información sensible. Se recalca la necesidad de recuperar impresiones de red o eliminarlas definitivamente si los usuarios no las recogen.

Se debe asignar un responsable administrativo para el manejo, documentación y custodia física del equipo no reutilizable e inoperable y que está pendiente de su venta o destrucción. Se debe evitar que sea responsable el área de Sistemas de la unidad de negocios por no ser su función primordial.

| P á g i n a | 30


De Equipos Personales

Los equipos deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.

Los equipos deben ser proporcionados al empleado por el área a la que pertenece, incluyendo todos sus accesorios y periféricos, según sea requerido por la operación.

El usuario debe respetar y no modificar la configuración del hardware y software establecida por el área de Sistemas.

El usuario debe procurar mantener protegidos a los equipos de riesgos del medio ambiente (por ejemplo, polvo, incendio, agua) o daño por accidentes o descuidos.

Debido a la naturaleza del proceso, algunos equipos deben usar protectores contra cambios transitorios de energía eléctrica y deben usar fuentes de poder ininterrumpibles (UPS). Según sea requerido por la operación.

Los equipos deben marcarse para su identificación y control del inventario. Los registros del inventario deben mantenerse actualizados.

Sólo pueden reubicarse de manera definitiva los equipos mediante permiso del área de sistemas.

Para cualquier movimiento de equipo fuera de la Compañía se requiere una autorización escrita del área de Sistemas.

La pérdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente al área de Sistemas de la unidad de negocios de la Planta respectiva y poder realizar su reclamación conforme a la póliza de seguro vigente.

Todos los equipos que sean reasignados deben ser formateados y reinstalarse el sistema operativo y las aplicaciones necesarias para su uso.

No está permitido llevar al sitio de trabajo computadoras portátiles (laptops), ni dispositivos o accesorios adicionales para los equipos de cómputo, que no sean propiedad de LA EMPRESA, y en caso de ser necesario se requiere solicitar la autorización correspondiente.

| P á g i n a | 31


Para prevenir la intrusión de virus, no está permitido el uso de módems en PC’s que tengan también conexión a la red local (LAN), a menos que sea debidamente autorizado y protegido.

El personal que utiliza una computadora portátil, no debe perderla de vista en sitios públicos, tales como hoteles, aeropuertos, centros de convenciones o transporte público. Se debe utilizar un candado para asegurar el equipo a algún mueble u objeto pesado.

LA EMPRESA se reserva el derecho de monitorear el uso que los empleados le dan a los recursos de cómputo.

EXCEPCIONES

Cualquier excepción o punto no especificado en la presente política deberá ser autorizado por escrito por la Dirección General.

Esta política no excluye el cumplimiento a procedimientos y reglamentos ya establecidos relacionados con ésta.

RESPONSABILIDADES

Dirección General y Directores Corporativos

Promover, apoyar y dar curso a una cultura de Seguridad de la Información sustentada en la Política Corporativa de Seguridad de la Información.

Los Directores de Áreas y Gerentes

Vigilar que se cumpla la Política Corporativa de Seguridad de la Información de manera integral y continua en las instalaciones bajo su responsabilidad, basado en las mejores prácticas.

Usuarios

Conocer y apegarse a todos los lineamientos establecidos en la Política Corporativa de Seguridad de la Información.

Área de seguridad de información

Actualizar y proponer adiciones o modificaciones a la estrategia y mecanismos de seguridad de LA EMPRESA.

Realizar auditorias y pruebas de intrusión periódicas y aleatorias que verifiquen el cumplimiento de la Política Corporativa de Seguridad de la Información.

| P á g i n a | 32


Apoyar a cada área de negocio en la identificación de riesgos, documentar las fallas y proponer medidas de control.

Comité de Seguridad

Supervisar el cumplimiento de la Política Corporativa de Seguridad de la Información .

Coordinar de manera continua el modelo de seguridad de Información aplicado en la Unidad de Negocio.

Responsables de Redes, Servidores, Aplicaciones y Soporte Técnico

Aplicar las medidas de control relacionadas con la infraestructura de sistemas a su cargo.

Coordinar en conjunto con el Área de seguridad de información la evaluación de nuevas tecnologías y plataformas existentes.

Terceros

Aceptar convenios de corresponsabilidad y acatar la Política Corporativa de Seguridad de la Información de LA EMPRESA.

Relaciones Industriales y/o Recursos Humanos

Difundir continuamente una cultura de Seguridad de la Información a todos los empleados de las Unidades de Negocio.

ENTRADA EN VIGOR

La entrada en vigor será un mes después de la publicación.

MODELO FINANCIERO

Modelo financiero para la estimación del presupuesto operativo anual destinado a la administración de sistemas operativos.

Consideraciones iniciales

| P á g i n a | 33


Empresa en la que trabajan 500 personas, todas tienen una computadora y 100 cuentan con teléfono celular. Existen 30 Servidores con diferentes tecnologías como son HP-UX, Microsoft, Red-Hat y Blackberry para móviles Todos los servidores están implantados en un sitio Para todas las plataformas la empresa requiere servicio de soporte técnico de 24/7 Se cuenta con un Microsoft Enterprise Agreement a 3 años con pago anual Hay una rotación anual de empleados de 100 En los costos de licenciamiento se encuentra incluido el soporte técnico telefónico de la empresa 24x7, los

parches, actualizaciones de seguridad y actualizaciones de nuevas versiones. Precios expresados en Dólares americanos y no incluyen impuestos

LICENCIAMIENTO

Sistema Operativo Costo base

Costo Unitario por

usuario Licencias Monto AnualHP-UX Edition 11i v3 $ 455.00 $ 8,120.00 1 $ 8,575.00 Windows Server Std 2008 R2 $ 251.00 12 $ 3,012.00 Windows Server Ent 2008 R2 $ 817.00 7 $ 5,719.00 RedHat Enterprise Linux 6 $ 1,299.00 10 $ 12,990.00 BlackBerry Enterprise Server $ 3,000.00 $ 60.00 100 $ 9,000.00 Windows 7 $ 198.00 500 $ 99,000.00 TOTAL $ 138,296.00

CAPACITACIÓN

CursoCosto

Unitario Personal Monto AnualCapacitación Windows Server $ 833.00 2 $ 1,666.00 Capacitación Red Hat $ 1,000.00 1 $ 1,000.00 Capacitación HP-UX $ 2,000.00 1 $ 2,000.00 Capacitación empleados (windows) $ 585.00 100 $ 58,500.00 TOTAL $ 63,166.00

PERSONAL

EspecialidadIngreso mensual Personas Monto Anual

HP 9000 $ 2,083.33 1 $ 2,083.33 Windows $ 1,250.00 2 $ 2,500.00 Linux y Blackberry $ 1,666.67 1 $ 1,666.67 TOTAL $ 6,250.00

RESUMENConcepto Monto Anual

LICENCIAMIENTO $ 138,296.00 CAPACITACIÓN $ 63,166.00

| P á g i n a | 34


PERSONAL $ 6,250.00 TOTAL ANUAL $ 207,712.00

| P á g i n a | 35

Política de Gestión de Sistemas Operativos

Documents

Transcript of Política de Gestión de Sistemas Operativos