1. REDES Y COMUNICACIONES JUAN CARLOS QUISPE ARROYO POLTICAS DE SEGURIDADLas polticas de seguridad son las reglas y procedimientos que regulan laforma en que una organizacin previene, protege y maneja los riesgos dediferentes daos.Las polticas de seguridad, pueden cubrir cualquier cosa desde buenasprcticas para la seguridad de un solo computador, reglas de una empresa oedificio, hasta las directrices de seguridad de un pas entero.La poltica de seguridad es un documento de alto nivel que denota elcompromiso de la gerencia con la seguridad de la informacin. Contiene ladefinicin de la seguridad de la informacin bajo el punto de vista de ciertaentidad.POLITICAS FISICASPOLITITICAS DE HARWARE Y SOFWARESe refiere a los aspectos a cuidar al momento de utilizar un equipo decmputo tanto en su parte fsica (monitor, teclado, ratn.) y su parte lgica(programas, informacin, configuracin.). Esta serie de normas ayuda alfuncionamiento y mantenimiento de los equipos de cmputo evitandoalgunas de las fallas ms comunes y sobre todo resguardando lo msimportante que es la informacin que contienen. 1. CONTROL DE ACCESO ALOS EQUIPOSLas computadoras de la Fundacin slo deben usarse en un ambienteseguro. Se considera que un ambiente es seguro cuando se hanimplementado las medidas de control apropiadas para proteger elhardware y los datos. Esas medidas deben estar acorde a laimportancia de los datos y la naturaleza de riesgos previsibles.Los equipos de la Fundacin slo deben usarse para actividades detrabajo y no para otros fines, tales como juegos y pasatiempos.POLITICAS DE SEGURIDAD DE UNA EMPRESA1 2. REDES Y COMUNICACIONESJUAN CARLOS QUISPE ARROYO La prdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente.2. NO HACER MODIFICACIONES A LOS EQUIPOS Debe respetarse y no modificar la configuracin de hardware y software establecida por el departamento de sistemas. No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la Fundacin se requiere una autorizacin escrita. No debe utilizarse software bajado de Internet y en general software que provenga de una fuente no confiable, a menos que haya sido comprobado en forma rigurosa y que est aprobado su uso por el departamento de Sistemas3. AUTENTICACIONES DE LOS EQUIPOS Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario deben mantenerse actualizados.POLITICAS DE SEGURIDAD DE UNA EMPRESA 2 3. REDES Y COMUNICACIONESJUAN CARLOS QUISPE ARROYODESASTRES NATURALESAdems de los posibles problemas causados por ataques realizados porpersonas, es importante tener en cuenta que tambin los desastresnaturales pueden tener muy graves consecuencias, sobre todo si no loscontemplamos en nuestra poltica de seguridad y su implantacin.ALGUNOS DESASTRES NATURALES A TENER EN CUENTA: Terremotos y vibraciones Tormentas elctricas Inundaciones y humedad Incendios y humosSOLUCIONES POSIBLES1. No situar equipos en sitios altos para evitar cadas,2. No colocar elementos mviles sobre los equipos para evitar que caigan sobre ellos,3. Separar los equipos de las ventanas para evitar que caigan por ellas o qu objetos lanzados desde el exterior los daen,4. Utilizar fijaciones para elementos crticos,5. Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,POLITICAS DE SEGURIDAD DE UNA EMPRESA3 4. REDES Y COMUNICACIONESJUAN CARLOS QUISPE ARROYO POLITICAS DE SEGURIDAD EN LA REDCon el fin de mejorar la productividad, la Fundacin promueve el usoresponsable de la red. Los sistemas de comunicacin y los mensajesgenerados y procesados por tales sistemas, incluyendo las copias derespaldo, se deben considerar como propiedad de la Fundacin y nopropiedad de los usuarios de los servicios de comunicacin.1. INTERNET La navegacin en Internet para fines personales no debe hacerse a expensas del tiempo y los recursos de la Fundacin y en tal sentido deben usarse las horas no laborables Est prohibido el uso del correo electrnico de la Fundacin para asuntos de tipo personal. Se prohbe el uso de los sistemas de comunicacin para actividades comerciales privadas o para propsitos de entretenimiento y diversin Proteger la informacin de su revelacin no autorizada. Esto significa que la informacin debe estar protegida de ser copiada por cualquiera que no est explcitamente autorizado por el propietario de dicha informacin.POLITICAS DE SEGURIDAD DE UNA EMPRESA4 5. REDES Y COMUNICACIONES JUAN CARLOS QUISPE ARROYO 2. CONFIDENCIALIDAD Y PRIVACIDADLos recursos, servicios y conectividad disponibles va Internet abren nuevasoportunidades, pero tambin introducen nuevos riesgos. En particular, nodebe enviarse a travs de Internet mensajes con informacin confidencial amenos que est cifrada mediante Outlook, Outlook Express u otrosproductos previamente aprobados por el departamento de Sistemas.Los empleados de la Fundacin no deben interceptar lascomunicaciones o divulgar su contenido. Tampoco deben ayudar aotros para que lo hagan. La Fundacin se compromete a respetar losderechos de sus empleados, incluyendo su privacidad. Tambin sehace responsable del buen funcionamiento y del buen uso de sus redesde comunicacin y para lograr esto, ocasionalmente es necesariointerceptar ciertas comunicaciones.Queda completamente prohibido, escuchar, grabar o interferir enconversaciones telefnicas de tercerosSer poltica de la Fundacin monitorear regularmente lascomunicaciones de voz y datos. Sin embargo, el uso y el contenido delas comunicaciones de datos puede ocasionalmente no ser supervisadoen caso de ser necesario para actividades de mantenimiento,seguridad o auditoria. Puede ocurrir que el personal tcnico vea elcontenido de un mensaje de un empleado individual durante el cursode resolucin de un problema.POLITICAS DE SEGURIDAD DE UNA EMPRESA 5 6. REDES Y COMUNICACIONES JUAN CARLOS QUISPE ARROYO 3. CUENTAS DE CORREOLas cuentas de correo electrnico de la Fundacin con el fin de brindar unmejor servicio evitando un alto trfico de datos, saturacin del servidor yentrega infructuosa de mensajes contarn con las siguientes restricciones.El buzn de almacenamiento de correos tiene una capacidad mximade 500 Mb para coordinadores y 200 Mb para los dems usuariosEl tamao mximo permitido para enviar archivos adjuntos en un solomensaje es de 3 Mb.El nmero mximo de archivos adjuntos por correo enviado es de 5archivos, si necesitan enviar ms de 5 archivos en un solo correo debencolocarse dentro de un solo archivo .Zip utilizando el programa WinZipo winrar que todos tienen instalado en sus equipos, siempre y cuandono excedan los 3 Mb permitidos por cada mensajeEl tamao mximo permitido para recibir un correo electrnico es 5Mb, correos que excedan ese lmite sern devueltos al remitentePor ningn motivo se deben enviar cadenas, hacer (bromas),propaganda, juegos, msica, chistes, o cualquier otro tipo de correosque no tengan que ver con las actividades de la Fundacin a travs delcorreo de la misma, en caso de encontrarse correos de esta naturalezaen el servidor automticamente sern borradosLos mensajes que ya no se necesitan deben ser eliminadosperidicamente de su rea de almacenamiento. Con esto se reducenlos riesgos de que otros puedan acceder a esa informacin y adems selibera espacio en discoPOLITICAS DE SEGURIDAD DE UNA EMPRESA6 7. REDES Y COMUNICACIONES JUAN CARLOS QUISPE ARROYO Cuando el usuario se aproxime al lmite de almacenamiento establecido para su buzn se debe guardar el contenido de su Microsoft Outlook con la opcin archivar, para que el sistema proceda a vaciar el buzn y siga recibiendo mensajes.4. CUENTAS DE USUARIOSMecanismo de identificacin de un usuario, llmese de otra manera, almtodo de acreditacin o autenticacin del usuario mediante procesoslgicos dentro de un sistema informtico Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde declara conocer las polticas y procedimientos de seguridad, y acepta sus responsabilidades con relacin al uso de esa cuenta, as como aceptar la configuracin, privilegios y restricciones que la misma tenga. La solicitud de una nueva cuenta o el cambio de privilegios debe ser hecha con 2 das de anticipacin por parte del coordinador del rea y debe ser debidamente aprobada por el rea administrativa y el departamento de sistemas. No debe concederse una cuenta a personas que no sean empleados de la Fundacin a menos que estn debidamente autorizados, en cuyo caso la cuenta debe expirar automticamente al cabo de un lapso de 30 das Privilegios especiales, tales como la posibilidad de modificar o borrar los archivos de otros usuarios, slo deben otorgarse a aquellos directamente responsable de la administracin o de la seguridad de los sistemas. No deben otorgarse cuentas a tcnicos de mantenimiento ni permitir su acceso remoto a menos que los administradores de Sistemas determinen que es necesario. En todo caso esta facilidad slo debe habilitarse para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto.POLITICAS DE SEGURIDAD DE UNA EMPRESA 7 8. REDES Y COMUNICACIONESJUAN CARLOS QUISPE ARROYO Toda cuenta queda automticamente suspendida despus de un cierto periodo de inactividad. El periodo recomendado es de 30 das. Cuando un empleado es despedido o renuncia a la Fundacin, debe desactivarse su cuenta antes de que deje el cargo. La creacin de contraseas ser responsabilidad del departamento de sistemas utilizando combinacin de letras y nmeros y evitando el uso de palabras de fcil identificacin y si el sistema lo permite utilizar cifrado de datos. Nunca debe compartirse la contrasea revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contrasea Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el nmero de intentos consecutivos infructuosos de introducir la contrasea, luego de lo cual la cuenta involucrada queda suspendida y se alerta al administrador del sistemaPOLITICAS DE SEGURIDAD DE UNA EMPRESA 8