Politicas de Seguridad de Sistemas

7/25/2019 Politicas de Seguridad de Sistemas

1/29


2/29

TABLA DE CONTENIDO

INTRODUCCIN 4

1. PROPSITO 6

2. SANCIONES POR INCUMPLIMIENTO 7

3. BENEFICIOS 8

4. POLTICAS Y ESTNDARES DE SEGURIDAD INFORMATICA 9

4.1.

POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL 94.1.1. Obligaciones de los Usuarios 9

4.1.2. Acuerdos de Uso y Confidencialidad 9

4.1.3. Entrenamiento en Seguridad Informtica 9

4.1.4. Medidas disciplinarias 10

4.2. POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL 10

4.2.1. Controles de Acceso Fsico 10

4.2.2. Resguardo y Proteccin de la Informacin 10

4.2.3. Seguridad en reas de Trabajo 11

4.2.4. Proteccin y Ubicacin de los Equipos 11

4.2.5. Mantenimiento de Equipo 12

4.2.6. Prdida de Equipo 12

4.2.7. Uso de Dispositivos Especiales 12

4.2.8. Dao del Equipo 13

4.3. POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DEOPERACIONES DE CMPUTO

13


3/29

4.3.1. Uso de Medios de Almacenamiento 14

4.3.2. Instalacin de Software 14

4.3.3. Identificacin del Incidente 14

4.3.4. Administracin de la Configuracin 15

4.3.5. Seguridad para la Red 15

4.3.6. Uso del Correo Electrnico 15

4.3.7. Controles Contra Cdigo Malicioso 16

4.3.8. Internet 17

4.4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO 18

4.4.1. Controles de Acceso Lgico 18

4.4.2. Administracin de Privilegios 19

4.4.3. Equipo Desatendido 19

4.4.4. Administracin y uso de Passwords 20

4.4.5. Control de Accesos Remotos 21

4.5. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDADINFORMTICA

21

4.5.1. Derechos de Propiedad Intelectual 21

4.5.2. Revisiones del Cumplimiento 21

4.5.3. Violaciones de Seguridad Informtica 22

5. TRMINOS Y DEFINICIONES 23


4/29

INTRODUCCIN

Los requerimientos de seguridad que involucran las tecnologas de lainformacin, en pocos aos han cobrado un gran auge, y ms an con las decarcter globalizador como los son la de Internet y en particular la relacionadacon el Web, la visin de nuevos horizontes explorando ms all de las fronterasnaturales, situacin que ha llevado la aparicin de nuevas amenazas en lossistemas computarizados.

Llevado a que muchas organizaciones gubernamentales y no gubernamentalesinternacionales desarrollen polticas que norman el uso adecuado de estasdestrezas tecnolgicas y recomendaciones para aprovechar estas ventajas, yevitar su uso indebido, ocasionando problemas en los bienes y servicios de lasentidades.

De esta manera, las polticas y estndares de seguridad en informtica queproponemos emergen como el instrumento para concientizar a sus miembrosde XX acerca de la importancia y sensibilidad de la informacin y servicioscrticos, de la superacin de las fallas y de las debilidades, de tal forma quepermiten a la organizacin cumplir con su misin.

El proponer esta poltica de seguridad requiere un alto compromiso con lainstitucin, agudeza tcnica para establecer fallas y deficiencias, constancia

para renovar y actualizar dicha poltica en funcin del ambiente dinmico quenos rodea.

La propuesta ha sido detenidamente planteada, analizada y revisada a fin deno contravenir con las garantas bsicas del individuo, y no pretende ser unacamisa de fuerza, y ms bien muestra una buena forma de operar el sistemacon seguridad, respetando en todo momento estatutos y reglamentos vigentesde la entidad.

Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas

a la prctica como son: los inventarios y su control, se mencionan, as comotodos los aspectos que representan un riesgo o las acciones donde se veinvolucrada y que compete a las tecnologas de la informacin; se hancontemplado tambin las polticas que reflejan la visin de la actualadministracin respecto a la problemtica de seguridad informticaorganizacional.


5/29

Este documento se encuentra estructurado en cinco polticas generales deseguridad para usuarios de informtica, con sus respectivos estndares que

consideran los siguientes puntos:

- Seguridad de Personal.

- Seguridad Fsica y Ambiental.

- Administracin de Operaciones de Cmputo.

- Controles de Acceso Lgico.

- Cumplimiento.


6/29


7/29


8/29

3. BENEFICIOS

Las polticas y estndares de seguridad informtica establecidas dentro de estedocumento son la base para la proteccin de los activos tecnolgicos einformacin de XX.


9/29

4. POLTICAS Y ESTNDARES DE SEGURIDAD INFORMATICA

4.1. POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL

Poltica

Todo usuario de bienes y servicios informticos deben de firmar un convenio enel que acepte las condiciones de confidencialidad, de uso adecuado de losrecursos informticos y de informacin de XX, as como el estricto apego alPolticas y Estndares de Seguridad Informtica.

Los usuarios debern cumplir con lo establecido en el Polticas y Estndares deSeguridad Informtica.

4.1.1. Obligaciones de los Usuarios

Es responsabilidad de los usuarios de bienes y servicios informticoscumplir las Polticas y Estndares de Seguridad Informtica del presenteDOCUMENTO.

4.1.2. Acuerdos de Uso y Confidencialidad

Todos los usuarios de bienes y servicios informticos de XX deben firmar deaceptacin el convenio de confidencialidad y uso adecuado de losrecursos informticos y de informacin de la entidad, as comocomprometerse a cumplir con lo establecido en el Polticas y Estndaresde Seguridad Informtica.

4.1.3. Entrenamiento en Seguridad Informtica

Todo empleado de XX de nuevo ingreso deber de contar con lainduccin sobre el Polticas y Estndares de Seguridad Informtica, atravs de la XX Administrativa y XX donde se den a conocer lasobligaciones para los usuarios y las sanciones que pueden existir en casode incumplimiento.


10/29

4.1.4. Medidas disciplinarias

- Cuando la XX Administrativa y XX identifique el incumplimiento al presenteDOCUMENTO remitir el reporte o denuncia correspondiente a la Oficinade Control Interno de XX, para los efectos de su competencia yatribuciones.

- Se consideran violaciones graves el robo, dao, divulgacin deinformacin reservada o confidencial de XX, o de que se le declareculpable de un delito informtico.

4.2. POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

Poltica

El acceso fsico del personal y terceros a las instalaciones de XX ser controladopor el personal asignado por la empresa de seguridad contratada, asegurandola salvaguarda de los equipos de cmputo y comunicaciones, as como lasinstalaciones.

4.2.1. Controles de Acceso Fsico

- Cualquier persona que tenga acceso a las instalaciones de XX, deberregistrar al momento de su entrada, el equipo de cmputo, equipo decomunicaciones, medios de almacenamiento y herramientas que nosean propiedad de la entidad, en el rea de recepcin o portera, el cualpodrn retirar el mismo da. En caso contrario deber tramitar laautorizacin de salida correspondiente.

- Las computadoras personales, las computadoras porttiles, mdems, ycualquier activo de tecnologa de informacin, podr salir de las

instalaciones de XX nicamente con la autorizacin por escrito de salidade la XX Administrativa y XX.4.2.2. Resguardo y Proteccin de la Informacin

- El usuario deber reportar de forma inmediata a la XX Administrativa y XX,cuando detecte que existan riesgos reales o potenciales para equipos decmputo o comunicaciones, como pueden ser fugas de agua, riesgo deincendio u otros.


11/29

- El usuario tiene la obligacin de proteger los discos, disquetes, cintasmagnticas y CD-ROM que se encuentren bajo su administracin, an

cuando no se utilicen y contengan informacin reservada o confidencial.

- Es responsabilidad del usuario evitar en todo momento la fuga de lainformacin de XX que se encuentre almacenada en los equipos decmputo personal que tenga asignados.

4.2.3. Seguridad en reas de Trabajo

El centro de cmputo de XX es rea restringida, por lo que slo el personalautorizado por la XX Administrativa y XX puede acceder a l.

4.2.4. Proteccin y Ubicacin de los Equipos

- Los usuarios no deben mover o reubicar los equipos de cmputo o detelecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de losmismos sin la autorizacin de la XX Administrativa y XX, en caso de requerireste servicio deber solicitarlo por escrito.

- La XX Administrativa y XX ser la encargada de generar el resguardo y

recabar la firma del usuario informtico como responsable de los activosinformticos que se le asignen y de conservarlos en la ubicacinautorizada.

- El equipo de cmputo asignado, deber ser para uso exclusivo de lasfunciones de XX.

- Ser responsabilidad del usuario solicitar la capacitacin necesaria parael manejo de las herramientas informticas que se utilizan en su equipo, afin de evitar riesgos por mal uso y para aprovechar al mximo las mismas.

- Es responsabilidad de los usuarios almacenar su informacin nicamenteen la particin de disco duro identificada como datos o D similares,ya que las otras estn destinadas para archivos de programa y sistemaoperativo.

- Mientras se opera el equipo de cmputo, no se debern consumiralimentos o ingerir lquidos.


12/29

- Se debe evitar colocar objetos encima del equipo o cubrir los orificios deventilacin del monitor o del CPU.

- Se debe mantener el equipo informtico en un entorno limpio y sinhumedad.

- El usuario debe asegurarse que los cables de conexin no sean pisados opinchados al colocar otros objetos encima o contra ellos.

- Cuando se requiera realizar cambios mltiples del equipo de cmputoderivado de reubicacin de lugares fsicos de trabajo, stos debern sernotificados con una semana de anticipacin a la XX Administrativa y XX atravs de un plan detallado de movimientos debidamente autorizadospor el jefe del rea que corresponda.

- Queda prohibido que el usuario abra o desarme los equipos de cmputo.

4.2.5. Mantenimiento de Equipo

- nicamente el personal autorizado por la XX Administrativa y XX podrllevar a cabo los servicios y reparaciones al equipo informtico, por lo quelos usuarios debern solicitar la identificacin del personal designado

antes de permitir el acceso a sus equipos.

- Los usuarios debern asegurarse de respaldar la informacin queconsideren relevante cuando el equipo sea enviado a reparacin yborrar aquella informacin sensible que se encuentre en el equipo,previendo as la prdida involuntaria de informacin, derivada delproceso de reparacin.

4.2.6. Prdida de Equipo

- El usuario que tenga bajo su resguardo algn equipo de cmputo, serresponsable de su uso y custodia; en consecuencia, responder por dichobien de acuerdo a la normatividad vigente en los casos de robo, extravoo prdida del mismo.

- El usuario deber dar aviso inmediato a la XX Administrativa y XX ladesaparicin, robo o extravo del equipo de cmputo o accesorios bajosu resguardo.


13/29


14/29

necesidades institucionales deba ser almacenada o transmitida, ya sea dentrode la red interna de XX o hacia redes externas como Internet.

Los usuarios de XX que hagan uso de equipo de cmputo, deben conocer yaplicar las medidas (ANTIVIRUS, ANTIMALWARE, ANTISPYWARE) para laprevencin de cdigo malicioso como pueden ser virus, caballos de Troya ogusanos de red.

4.3.1. Uso de Medios de Almacenamiento

- Toda solicitud para utilizar un medio de almacenamiento de informacincompartido, deber contar con la autorizacin del rea duea de lainformacin. El personal que requiera estos medios debe justificar suutilizacin. Dicha justificacin deber de presentarla a la XX Administrativay XX firmada por su jefe de rea.

- Los usuarios debern respaldar diariamente la informacin sensitiva ycrtica que se encuentre en sus computadoras personales o estaciones detrabajo.

- RESPALDO DE INFORMACIN:

a. Solicitar por escrito capacitacin en el manejo del programa ejecutordel proceso a la XX Administratativa y XX de XX.

b. Grabar una copia de la informacin irrelevante diaria en otrodirectorio o unidad del disco duro.

c. Cada usuario debe sacar 2 copias mensualmente de los archivosimportantes e irrelevantes para XX, en un medio digital (dvd,cd, usbetc).Como medida de contingencia:1. Imprimir la informacin por lo menos cada 3 meses de las bases de

datos XXs y de planos.2. Se llevar una copia peridica (semanal) al correo electrnico por

skydrive o onedrive personal creado a su nombre, la informacinimportante e imprescindible; si es el caso solicitar asesora a la XXAdministrativa y XX por escrito.

3. Entregar 1 copia mensual de una unidad de dvd, cd o usb aarchivo general con el objeto de su custodia Anualmente segrabar la copia de los dvd o cd en el mes de Diciembre de cadaequipo, en disco duro externo determinado para ello, el cual sealmacena fuera de la entidad.


15/29

- RECUPERACION DE INFORMACIN

a. El usuario deber tomar la ltima copia diaria realizada en otrodirectorio o unidad del disco duro y restaurarla en el directorio oequipo necesario. Si es procedente solicitar a la XX Administrativa yFiananciera por asesora o capacitacin en el procedimiento.

b. Si la copia almacenada en el disco duro se perdi o se da, tomarla copia personal realizada en un dvd, cd o usb personal etc y larestaurar en el respectivo directorio del equipo que corresponde odesea.

c. En caso de no tener acceso a ninguno de los medios antesmencionados, proceder a restaurar la informacin de onedrive oskydrive personal.

d. En caso de prdida de la copia realizada en skydrive o onedrive,solicitar a archivo la ltima copia archivada con el objeto derestaurarla en el directorio o equipo correspondiente o que creanecesario.

e. En el evento de prdida de la copia tanto de archivo personal como delarchivo general y de los medios de almacenamiento antes mencionados,se solicitar una copia de la ltima informacin almacenada en el discoduro externo, a la XX Administrativa y XX, y se restaurar en el equipo odirectorio que crea necesario

- Los usuarios de informtica de XX deben conservar los registros oinformacin que se encuentra activa y aquella que ha sido clasificadacomo reservada o confidencial, de conformidad a las disposiciones queemita el Director Ejecutivo.

4.3.2. Instalacin de Software

- Los usuarios que requieran la instalacin de software que no seapropiedad de XX, debern justificar su uso y solicitar su autorizacin a laXX Administrativa y XX, a travs de un oficio, indicando la placa delequipo de cmputo donde se instalar el software y el perodo de tiempoque permanecer dicha instalacin.

- Se considera una falta grave el que los usuarios instalen cualquier tipo deprograma (software) en sus computadoras, estaciones de trabajo,servidores, o cualquier equipo conectado a la red de XX, que no estautorizado por la XX Administrativa y XX.


16/29

4.3.3. Identificacin del incidente

f. El usuario que sospeche o tenga conocimiento de la ocurrencia de unincidente de seguridad informtica deber reportarlo a la XXAdministrativa y XX lo antes posible, indicando claramente los datos porlos cuales lo considera un incidente de seguridad informtica.

g. Cuando exista la sospecha o el conocimiento de que informacinconfidencial o reservada ha sido revelada, modificada, alterada oborrada sin la autorizacin correspondiente, el usuario informtico debernotificar a su jefe inmediato.

h. Cualquier incidente generado durante la utilizacin u operacin de losactivos de tecnologa de informacin de XX debe ser reportado a la XXAdministrativa y XX.

4.3.4. Administracin de la Configuracin

i. Los usuarios de las reas de XX no deben establecer redes de rea localadicionales a la existente, conexiones remotas a redes internas o externas,intercambio de informacin con otros equipos de cmputo utilizando el

protocolo de transferencia de archivos, u otro tipo de protocolo para latransferencia de informacin empleando la infraestructura de red de XX,sin la autorizacin de la XX Administrativa y XX.

4.3.5. Seguridad para la Red

Ser considerado como un ataque a la seguridad informtica y una faltagrave, cualquier actividad no autorizada por la XX Administrativa y XX, enla cual los usuarios realicen la exploracin de los recursos informticos en

la red de XX, as como de las aplicaciones que sobre dicha red operan,con fines de detectar y explotar una posible vulnerabilidad.

4.3.6. Uso del Correo Electrnico

j. Los usuarios no deben usar cuentas de correo electrnico asignadas aotras personas, ni recibir mensajes en cuentas de otros.


17/29

Si fuera necesario leer el correo de alguien ms (mientras esta persona seencuentre fuera o de vacaciones) el usuario ausente debe redireccionar

el correo a otra cuenta de correo interno, quedando prohibido hacerlo auna direccin de correo electrnico externa a XX, a menos que cuentecon la autorizacin de la XX Administrativa y XX de adscripcin.

k. Los usuarios deben tratar los mensajes de correo electrnico y archivosadjuntos como informacin de propiedad de XX. Los mensajes de correoelectrnico deben ser manejados como una comunicacin privada ydirecta entre emisor y receptor.

l. Los usuarios podrn enviar informacin reservada y/o confidencial vacorreo electrnico siempre y cuando vayan de manera encriptada ydestinada exclusivamente a personas autorizadas y en el ejercicio estrictode sus funciones y atribuciones.

m.El XX se reserva el derecho a acceder y revelar todos los mensajesenviados por este medio para cualquier propsito y revisar lascomunicaciones va correo electrnico de personal que hacomprometido la seguridad, violando polticas de Seguridad Informticade la entidad o realizado acciones no autorizadas.

n. El usuario debe de utilizar el correo electrnico de XX nica y

exclusivamente a los recursos que tenga asignados y las facultades queles hayan sido atribuidas para el desempeo de su empleo, cargo ocomisin, quedando prohibido cualquier otro uso.

o. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de unusuario de correo electrnico.

p. Queda prohibido interceptar, revelar o ayudar a terceros a interceptar orevelar las comunicaciones electrnicas.

4.3.7. Controles Contra Cdigo Malicioso

q. Para prevenir infecciones por virus informtico, los usuarios de XX nodeben hacer uso de cualquier clase de software que no haya sidoproporcionado y validado por la XX Administrativa y XX.

r. Los usuarios de XX deben verificar que la informacin y los medios dealmacenamiento, considerando al menos discos flexibles, CD's o DVDs,


18/29


19/29

4.3.8. Internet

El acceso a Internet provisto a los usuarios de XX es exclusivamente para lasactividades relacionadas con las necesidades del puesto y funcin quedesempea.

y. La asignacin del servicio de Internet, deber solicitarse por escrito a la XXAdministrativa y XX, sealando los motivos por los que se desea el servicio.Esta solicitud deber contar con el visto bueno del jefe del reacorrespondiente.

z. Todos los accesos a Internet tienen que ser realizados a travs de loscanales de acceso provistos por el XX.

aa. Los usuarios de Internet de XX tienen que reportar todos losincidentes de seguridad informtica a la XX Administrativa y XXinmediatamente despus de su identificacin, indicando claramente quese trata de un incidente de seguridad informtica.

bb. El acceso y uso de internet mobil (modem) en el Instituto Municipalde Reforma Urbana y Vivienda de Pasto tiene que ser previamenteautorizado por el Subdirector Administrativa y Financiero.

cc. Los usuarios del servicio de navegacin en Internet, al aceptar elservicio estn aceptando que:

Sern sujetos de monitoreo de las actividades que realiza en Internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados

o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin la

autorizacin de la XX Administrativa y XX.

La utilizacin de Internet es para el desempeo de su funcin y puestoen el XX y no para propsitos personales.

4.4. POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICOPoltica


20/29

Cada usuario es responsable del mecanismo de control de acceso que le seaproporcionado; esto es, de su identificador de usuario y password necesarios

para acceder a la informacin y a la infraestructura tecnolgica de XX, por locual deber mantenerlo de forma confidencial.

El permiso de acceso a la informacin que se encuentra en la infraestructuratecnolgica de XX, debe ser proporcionado por el editor y usuario encargadode la informacin, con base en el principio de la necesidad de saber el cualestablece que nicamente se debern otorgar los permisos mnimos necesariospara el desempeo de sus funciones.

4.4.1. Controles de Acceso Lgico

El acceso a la infraestructura tecnolgica de XX para personal externodebe ser autorizado por el Subdirector Administrativo y Financiero, quiendeber notificarlo al personal de vigilancia.

Est prohibido que los usuarios utilicen la infraestructura tecnolgica de XXpara obtener acceso no autorizado a la informacin u otros sistemas deinformacin de la entidad.

Todos los usuarios de servicios de informacin son responsables por el

Usuario y password que recibe para el uso y acceso de los recursos.

Todos los usuarios debern autenticarse por los mecanismos de control deacceso provistos antes de poder usar la infraestructura tecnolgica de XX.

Los usuarios no deben proporcionar informacin a personal externo, de losmecanismos de control de acceso a las instalaciones e infraestructuratecnolgica de XX, a menos que se tenga la autorizacin del dueo de lainformacin y de la XX Administrativa y XX.

Cada usuario que acceda a la infraestructura tecnolgica de XX debecontar con un identificador de usuario (UserID) nico y personalizado. Porlo cual no est permitido el uso de un mismo UserID por varios usuarios.

Los usuarios son responsables de todas las actividades realizadas con suidentificador de usuario (UserID). Los usuarios no deben divulgar ni permitirque otros utilicen sus identificadores de usuario, al igual que tienenprohibido utilizar el UserID de otros usuarios.


21/29

4.4.2. Administracin de Privilegios

Cualquier cambio en los roles y responsabilidades de los usuarios quemodifique sus privilegios de acceso a la infraestructura tecnolgica de XX,debern ser notificados a la XX Administrativa y XX con el visto bueno desu jefe de rea.

4.4.3. Equipo Desatendido

Los usuarios debern mantener sus equipos de cmputo con controles deacceso como passwords y protectores de pantalla previamenteinstalados y autorizados por la XX Administrativa y XX cuando no seencuentren en su lugar de trabajo.

4.4.4. Administracin y uso de Passwords

La asignacin del password debe ser realizada de forma individual, por loque el uso de passwords compartidos est prohibido.

Cuando un usuario olvide, bloquee o extrave su password, deber

levantar un reporte a la XX Administrativa y XX para que se le proporcioneun nuevo password y una vez que lo reciba deber cambiarlo en elmomento en que acceda nuevamente a la infraestructura tecnolgica.

Est prohibido que los passwords se encuentren de forma legible encualquier medio impreso y dejarlos en un lugar donde personas noautorizadas puedan descubrirlos.

Sin importar las circunstancias, los passwords nunca se deben compartir orevelar. Hacer esto responsabiliza al usuario que prest su password de

todas las acciones que se realicen con el mismo.

Todos los usuarios debern observar los siguientes lineamientos para laconstruccin de sus passwords:

Deben estar compuestos de al menos seis (6) caracteres y mximodiez (10), estos caracteres deben ser alfanumricos.

Deben ser difciles de adivinar, esto implica que los passwords nodeben relacionarse con el trabajo o la vida personal del usuario, y no


22/29

deben contener caracteres que expresen listas secuenciales ycaracteres de control.

No deben ser idnticos o similares a passwords que hayan usadopreviamente.

Todo usuario que tenga la sospecha de que su password es conocido porotra persona, deber cambiarlo inmediatamente.

Los usuarios no deben almacenar los passwords en ningn programa osistema que proporcione esta facilidad.

4.4.5. Control de Accesos Remotos

La administracin remota de equipos conectados a Internet no estpermitida, salvo que se cuente con la autorizacin y con un mecanismode control de acceso seguro autorizado por el dueo de la informacin yde la XX Administrativa y XX.

4.5. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA

Poltica

La XX Administrativa y XX tiene como una de sus funciones la de proponer yrevisar el cumplimiento de normas y polticas de seguridad, que garanticenacciones preventivas y correctivas para la salvaguarda de equipos einstalaciones de cmputo, as como de bancos de datos de informacinautomatizada en general.

4.5.1. Derechos de Propiedad Intelectual

Est prohibido por las leyes de derechos de autor y por el XX, realizarcopias no autorizadas de software. O instalar software no licenciado ono autorizado

Los sistemas desarrollados por personal interno o externo que controle laXX Administrativa y XX con propiedad intelectual de XX.


23/29

4.5.2. Revisiones del Cumplimiento

La XX Administrativa y XX realizar acciones de verificacin delcumplimiento del Polticas y Estndares de Seguridad Informtica.

La XX Administrativa y XX implantar mecanismos de control que permitanidentificar tendencias en el uso de recursos informticos del personalinterno o externo, para revisar la actividad de procesos que ejecuta y laestructura de los archivos que se procesan. El mal uso de los recursosinformticos que sea detectado ser reportado conforme a lo indicadoen la poltica de Seguridad de Personal.

Los dueos de los procesos establecidos en el XX deben apoyar lasrevisiones del cumplimiento de los sistemas con las polticas y estndaresde seguridad informtica apropiadas y cualquier otro requerimiento deseguridad.

4.5.3. Violaciones de Seguridad Informtica

Est prohibido el uso de herramientas de hardware o software para violarlos controles de seguridad informtica. A menos que se autorice por la XXAdministrativa y XX.

Est prohibido realizar pruebas a los controles de los diferentes elementosde Tecnologa de Informacin. Ninguna persona puede probar o intentarcomprometer los controles internos a menos de contar con la aprobacinde la XX Administrativa y XX, con excepcin de los Entes de Control.

Ningn usuario de XX debe probar o intentar probar fallas de la SeguridadInformtica identificadas o conocidas, a menos que estas pruebas seancontroladas y aprobadas por la XX Administrativa y XX.

No se debe intencionalmente escribir, generar, compilar, copiar,coleccionar, propagar, ejecutar o intentar introducir cualquier tipo decdigo (programa) conocidos como virus, gusanos caballos de Troya,diseado para auto replicarse, daar o afectar el desempeo o acceso alas computadoras, redes o informacin de XX.


24/29

5. TRMINOS Y DEFINICIONES

Es una recopilacin de trminos y definicin claves que se encuentran en eldocumento, las cules pueden ser trminos tcnicos, o bien palabra con unsignificado especial para el proceso definido. Su objetivo es lograr que semaneje un mismo concepto y evitar cualquier tipo de confusin para elcorrecto entendimiento del documento.

Acceso:Tipo especfico de interaccin entre un sujeto y un objeto que resultaen el flujo de informacin de uno a otro. Es el privilegio de un sujeto para utilizarun objeto.

Acceso Fsico:Es la actividad de ingresar a un rea.

Acceso Lgico: Es la habilidad de comunicarse y conectarse a un activotecnolgico para utilizarlo, o bien usar su informacin.

Acceso Remoto: Conexin de dos dispositivos de cmputo ubicados endiferentes lugares fsicos por medio de lneas de comunicacin ya seantelefnicas o por medio de redes de rea amplia que permiten el acceso deaplicaciones e informacin de la red. Este tipo de acceso normalmente vieneacompaado de un sistema robusto de autenticacin.

Aplicacin:Accin que se realiza a travs de un programa de manera directa

con el usuario.

Antivirus: Programa que busca y eventualmente elimina los virus informticosque pueden haber infectado un disco rgido o disquete.

Ataque:Actividades encaminadas a quebrantar las protecciones establecidasde un activo especfico, con la finalidad de obtener acceso a ese activo ylograr afectarlo.


25/29

Archivo:Una coleccin identificada de registros relacionados.

Autorizacin: Es el proceso de asignar a los usuarios permisos para realizaractividades de acuerdo a su perfil o puesto.

Base de Datos:Coleccin almacenada de datos relacionados, requeridos porlas organizaciones e individuos para que cumplan con los requerimientos deproceso de informacin y recuperacin de datos.

CD:Medio de almacenamiento de informacin.

Cdigo Malicioso: Hardware, software o firmware que es intencionalmenteintroducido en un sistema con un fin malicioso o no autorizado. Un caballo deTroya es ejemplo de un cdigo malicioso.

Comprimir (zip):Reducir el tamao de los archivos sin que stos pierdan nadade su informacin. Zip es el nombre de la extensin que contiene un archivocomprimido.

Computadora: Es un conjunto de dispositivos electrnicos que forman unamquina electrnica capaz de procesar informacin siguiendo instruccionesalmacenadas en programas.

Confidencialidad:Se refiere a que la informacin no sea divulgada a personalno autorizado para su conocimiento.

Control de Acceso: Es un mecanismo de seguridad diseado para prevenir,salvaguardar y detectar acceso no autorizado y permitir acceso autorizado aun activo tecnolgico.

Correo Electrnico o Email:La funcionalidad es similar a usar el correo normal,pero ahora el individuo puede utilizar una computadora y un software paraenviar mensajes o paquetes a otro individuo o grupo de personas a una

direccin especifica a travs de la red o Internet.

Cuentas de Usuario: Es un identificador, el cual es asignado a un usuario delsistema para el acceso y uso de la computadora, sistemas, aplicaciones, red,etc.

Descargar: Accin de transferir informacin computarizada de unacomputadora a otra.


26/29

Descomprimir (un zip): Accin que se lleva a cabo despus de habercomprimido un archivo para regresarlo a su estado original.

Discos flexibles (diskettes): Medios de almacenamiento magnticos deinformacin de 1.44 Mb llamados comnmente discos de 3 .

Discos pticos: Los discos pticos son medios de almacenamiento deinformacin que presentan una capa interna protegida, donde se guardan losbits mediante el uso de un rayo lser, ste al ser reflejado, permite detectarvariaciones microscpicas de propiedades pticoreflectivas ocurridas comoconsecuencia de la grabacin realizada en la escritura. Un sistema ptico conlentes encamina el haz luminoso, y lo enfoca como un punto en la capa deldisco que almacena los datos.

Disponibilidad: Se refiere a que la informacin est disponible en el momentoque se requiera.

DVD:Medio de almacenamiento de informacin.

Dominio:Sistema de denominacin de host en Internet. Conjunto de caracteresque identifica y diferencian los diferentes sitios Web.

Encripcin:Proceso matemtico donde los datos de un mensaje, por seguridad,

son codificados para protegerlos de accesos no deseados. El trminoencripcin como tal, no existe en el lenguaje espaol, el trmino correcto escifrado de datos.

Estndar: Los estndares son actividades, acciones, reglas o regulacionesobligatorias diseadas para proveer a las polticas de la estructura y direccinque requieren para ser efectivas y significativas.

Falta administrativa: Es la consecuencia que resulta del incumplimiento de lanormatividad.

Freeware (Software Libre): Programas que se pueden bajar desde Internet sincargo.

Gusano:Programa de computadora que puede replicarse a s mismo y enviarcopias de una computadora a otra a travs de conexiones de la red, antes desu llegada al nuevo sistema, el gusano debe estar activado para replicarse ypropagarse nuevamente, adems de la propagacin, el gusano desarrolla enlos sistemas de cmputo funciones no deseadas.


27/29

Hardware:Se refiere a las caractersticas tcnicas y fsicas de las computadoras.

Herramientas de seguridad: Son mecanismos de seguridad automatizados quesirven para proteger o salvaguardar a la infraestructura tecnolgica.

Impacto: Magnitud del dao ocasionado a un activo en caso de que sematerialice una amenaza.

Incidente de seguridad: Cualquier evento que represente un riesgo para laadecuada conservacin de la confidencialidad, integridad o disponibilidad dela informacin utilizada en el desempeo de nuestra funcin.

Integridad:Se refiere a la prdida o deficiencia en la autorizacin, totalidad oexactitud de la informacin de la organizacin. Es un principio de seguridadque asegura que la informacin y los sistemas de informacin no seanmodificados de forma intencional o accidental.

Internet o World Wide Web (www): Es un sistema a nivel mundial decomputadoras conectadas a una misma red, conocida como la red de redesen donde cualquier usuarios consulta informacin de otra computadoraconectada a esta red e incluso sin tener permisos necesarios acceder a dichosactivos.

Intrusin: Es la accin de introducirse o acceder sin autorizacin a un activotecnolgico.

Lenguaje de Programacin:Sistema de escritura para la descripcin precisa dealgoritmos o programas informticos.

Maltrato, descuido o negligencia:Son todas aquellas acciones que de maneravoluntaria o involuntaria el usuario ejecuta y como consecuencia daa losrecursos tecnolgicos propiedad de XX.

Malware: Programas que se autoinstalan en nuestro computador con el fin dehacer dao a la informacin o sofwtare instalados.

Mecanismos de seguridad o de control: Es un control manual o automticopara proteger la informacin, activos tecnolgicos, instalaciones, etc. que seutiliza para disminuir la probabilidad de que una vulnerabilidad exista, seaexplotada, o bien ayude a reducir el impacto en caso de que sea explotada.


28/29

Medios Magnticos (medios de almacenamiento): Son todos aquellos mediosen donde se pueden almacenar cualquier tipo de informacin (diskettes, CDs,

Cintas, Cartuchos, etc.).

Mecanismos de seguridad o de control: Es un control manual o automticopara proteger la informacin, activos tecnolgicos, instalaciones, etc. que seutiliza para disminuir la probabilidad de que una vulnerabilidad exista, seaexplotada, o bien ayude a reducir el impacto en caso de que sea explotada.

Metodologa: Es un conjunto de procedimientos ordenados y documentadosque son diseados para alcanzar un objetivo en particular y comnmente sondivididos en fases o etapas de trabajo previamente definidas.

Mdem:Es un aparato electrnico que se adapta una terminal o computadoray se conecta a una red de comunicaciones (red telefnica). Los mdemsconvierten los pulsos digitales de una computadora en frecuencias dentro de lagama de audio del sistema telefnico. Cuando acta en calidad de receptor,un mdem decodifica las frecuencias entrantes.

Navegadores, Chat, correo electrnico:Son algunos ejemplos de aplicacionesen el medio de Internet.

Nodo:Punto principal en el cual se les da acceso a una red a las terminales o

computadoras.

Password Contrasea:Secuencia de caracteres utilizados para determinar queun usuario especfico requiere acceso a un computadora personal, sistema,aplicacin o red en particular. Tpicamente est compuesto de 6-10 caracteresalfanumricos.

Respaldo:Archivos, equipo, datos y procedimientos disponibles para el uso encaso de una falla o prdida, si los originales se destruyen o quedan fuera deservicio.

Riesgo:Es el potencial de que una amenaza tome ventaja de una debilidad deseguridad (vulnerabilidad) asociadas con un activo, comprometiendo laseguridad de ste. Usualmente el riesgo se mide por el impacto que tiene y suprobabilidad de ocurrencia.

Servidor: Computadora que responde peticiones o comandos de unacomputadora cliente. El cliente y el servidor trabajan conjuntamente para llevar


29/29

a cabo funciones de aplicaciones distribuidas. El servidor es el elemento quecumple con la colaboracin en la arquitectura cliente-servidor.

Sitio Web: El sitio Web es una lugar virtual en el ambiente de Internet, el cualproporciona informacin diversa para el inters del pblico, donde los usuariosdeben proporcionar la direccin de dicho lugar para llegar a l.

Software:Programas y documentacin de respaldo que permite y facilita el usode la computadora. El software controla la operacin del hardware.

Software Antivirus:Aplicaciones que detectan, evitan y posiblemente eliminantodos los virus conocidos, de los archivos ubicados en el disco duro y en lamemoria de las computadoras.

Spyware : Software que recopila informacin de un ordenador y despustransmite esta informacin a una entidad externa sin el conocimiento o elconsentimiento del propietario del ordenador.

User-ID (identificacin de usuario): Se denomina al nombre de usuario con elcual accedemos a una pgina o sistema en el que previamente nos hemosregistrado. Este nombre puede estar compuesto de letras, nmeros o signos.

Usuario:Este trmino es utilizado para distinguir a cualquier persona que utiliza

algn sistema, computadora personal, o dispositivo (hardware).

Virus:Programas o cdigos maliciosos diseados para esparcirse y copiarse deuna computadora a otra por medio de los enlaces de telecomunicaciones o alcompartir archivos o diskettes de computadoras.

Vulnerabilidad: Es una debilidad de seguridad o hueco de seguridad, el cualindica que el activo es susceptible a recibir un dao a travs de un ataque, yasea intencionado o accidental.

Politicas de Seguridad de Sistemas

Documents

Transcript of Politicas de Seguridad de Sistemas