Política de Seguridad de la Informaciónbuzonsugerenciasempleados.com/docs/info_sec.pdf · Estas...

Propiedad confidencial de FleetCor

Política de Seguridad

de la Información

Propiedad confidencial de FleetCor 2

EFECTIVALE

POLITICA DE SEGURIDAD DE LA INFORMACIÓN MARZO 2017.

Contenido

RESUMEN...................................................................................................................................6

SESION A. Todos los empleados de Efectivale ........................................................................8

POLÍTICA DE USO ACEPTABLE DE EFECTIVALE ....................................................................8

Visión ...................................................................................................................................8

Propósito .............................................................................................................................8

Alcance................................................................................................................................8

Política .................................................................................................................................8

POLÍTICA DE INFORMACIÓN CONFIDENCIAL ...................................................................... 14

Propósito ........................................................................................................................... 14

Alcance.............................................................................................................................. 15

Requerimientos ................................................................................................................ 15

Política ............................................................................................................................... 16

Directrices ......................................................................................................................... 17

Definiciones ...................................................................................................................... 18

POLÍTICA DE CONTRASEÑAS ............................................................................................... 20Propósito .......................................................................................................................... 20

Alcance............................................................................................................................. 20

Política .............................................................................................................................. 20

POLÍTICA DE CIFRADO ...........................................................................................................22


REGLAS GENERALES EN EL PROCESO DE ANTIVIRUS ......................................................22Visión .................................................................................................................................22

Propósito ...........................................................................................................................22

Alcance..............................................................................................................................22

Proceso .............................................................................................................................23

POLÍTICA DE ACCESO REMOTO ............................................................................................23Propósito ...........................................................................................................................23

Alcance..............................................................................................................................23

Política ...............................................................................................................................24

Definiciones ......................................................................................................................25

POLÍTICA DE LA RED PRIVADA VIRTUAL (VPN) ...................................................................26Propósito ...........................................................................................................................26

Alcance..............................................................................................................................25

Política ...............................................................................................................................26

Definiciones ......................................................................................................................27

POLÍTICA DE COMUNICACIÓN INALÁMBRICA ....................................................................27Propósito ...........................................................................................................................27

Alcance..............................................................................................................................27

Política ...............................................................................................................................27

CONTROL DE ACCESO DE LOS USUARIOS ..........................................................................28Introducción .....................................................................................................................28

Política ...............................................................................................................................28

Metodología ......................................................................................................................28

Autenticación ..............................................................................................................29


Monitoreo ....................................................................................................................29

Derechos sobre información ......................................................................................29

SEGURIDAD FÍSICA AMBIENTAL........................................................................................... 30Propósito .......................................................................................................................... 30

Política .............................................................................................................................. 30

Ingreso a las instalaciones .............................................................................................. 30

Monitoreo e identificación ........................................................................................ 30

Seguridad y mantenimiento de las instalaciones ................................................... 30

Información al personal y visitantes ........................................................................ 30

Política de escritorios limpios .................................................................................... 31

SESION B. Personal de Tecnologías Informáticas ................................................................. 31

POLÍTICA DE AUDITORÍA DE ANÁLISIS DE VULNERABILIDAD........................................... 31Propósito ........................................................................................................................... 31

Alcance.............................................................................................................................. 31

Política ............................................................................................................................... 31

POLÍTICA DE ENCRIPTADO ACEPTABLE ..............................................................................32

Propósito ...........................................................................................................................32

Alcance..............................................................................................................................32

Política ...............................................................................................................................32

Definiciones ......................................................................................................................33

POLÍTICA DE SEGURIDAD DEL SERVIDOR ...........................................................................33

Propósito ...........................................................................................................................33

Alcance..............................................................................................................................33


Política ...............................................................................................................................33

POLÍTICA DE SEGURIDAD DE INTERNET DMZ .....................................................................35

Propósito ...........................................................................................................................35

Alcance..............................................................................................................................35

Política ...............................................................................................................................36

Definiciones ......................................................................................................................37

ESTÁNDAR DE CONFIGURACIÓN DEL DISPOSITIVO DE RED ............................................38

Proposito ...........................................................................................................................38

Alcance..............................................................................................................................38

Política ...............................................................................................................................39

Definiciones ...................................................................................................................... 41

REVISIONES AL MANUAL .......................................................................................................42CONTROLES DE VERSIÓN ......................................................................................................42COMITÉ DE SEGURIDAD .........................................................................................................43


RESUMEN

Seguridad de la información

Las siguientes políticas son las prácticas operativas estándar de EFECTIVALE, en lo que respecta a la protección y procedimientos de seguridad de su información y son aplicables para todos sus productos: Vale Restaurante, Vale Combustible, Vale Despensa, Efecticard Comida, Efecticard y Efecticard Corporativo Vale Combustible. Estas reglas generales serán incluidas y enviadas a todas sus oficinas o sucursales sin excepción alguna.

Para el éxito de nuestro negocio, nosotros debemos de proveer las mejores prácticas en medidas de seguridad en nuestra organización para asegurar a nuestros clientes que haremos lo mismo por ellos. Nuestro liderazgo debe de establecer el ejemplo en la industria para proveer al cliente con la mejor seguridad posible para sus datos y los sistemas de tecnologías informáticas. Si nosotros estamos esperando que nuestros clientes nos confíen su información, debemos resguardarla con el debido cuidado y cautela, así como protegerla con los mecanismos necesarios. Los empleados y proveedores de Efectivale están comprometidos en la observancia de todas estas políticas.

Marcos de referencia

Estas políticas de seguridad están basadas en la norma ISO 27001, en la Ley Federal de Protección de Datos Personales en Posesión de los particulares, Ley Sarbanes-Oxley y en el Anexo 28 del Servicio de Administración Tributaria del gobierno de mexicano. Además el documento Fleetcor Information Security Policy.

Compromiso de la Dirección

El director general reconoce la importancia de la seguridad de la información para salvaguardar los datos de sus clientes, así como dar valor a sus accionistas y por ello se compromete a mantener el sistema de seguridad actualizado y vigente a través de las siguientes actividades:

a) Comunicando a la organización la importancia de satisfacer tanto los requisitos del cliente como los legales y reglamentarios

b) Revisando y aprobando las políticas y documentación para soportar la política de la información

c) Asegurando que se establecen los objetivos de seguridad

d) Garantizando la disponibilidad de recursos

Roles y responsabilidades

El Comité de Seguridad es el encargado de elaborar, actualizar y dar cumplimiento a las políticas y procedimientos de seguridad dentro de la organización.

El Comité de Seguridad como un cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.

El Comité está integrado por:

a) Director General


b) Director de Finanzas

c) Gerente de Sistemas

d) Jefe de Servidores, Infraestructura

e) Director de Operaciones

f) Director de Recursos Humanos

El Comité de Seguridad tiene el poder de asignar a un oficial de seguridad quien es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.

El Comité de Seguridad designa al Jefe de Servidores, Infraestructura como Oficial de Seguridad.

Revisiones al sistema de seguridad

El Comité de Seguridad revisará este documento anualmente para mantener actualizado las políticas de seguridad para reflejar cambios en la operatividad o marcos de referencia.

Igualmente realizará auditorías internas de manera semestral para garantizar la operación del sistema de seguridad de la información.

Incidentes

Cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de la información de nuestros clientes debido a una situación fortuita se debe avisar al oficial de seguridad y al Comité, para que se le dé el tratamiento de acuerdo al procedimiento de Respuesta a incidentes de seguridad de la información.

Penalizaciones

Cualquier violación a esta política por parte de empleados, socios o proveedores puede resultar en una acción disciplinaria, incluso hasta la terminación de contrato o servicio. Efectivale se reserva el derecho de notificar a las autoridades correspondientes de cualquier actividad ilícita y de cooperar en cualquier investigación de dicha actividad.

Organización de este documento

Este documento se divide en dos sesiones: sesión A, para todos los empleados de Efectivale, sesión B, dirigida a todo el personal de IT e Infraestructura, cubriendo las políticas de configuración técnica.


SESION A. TODOS LOS EMPLEADOS DE EFECTIVALE

Política de uso aceptable de Efectivale

VisiónLa política de uso aceptable de Efectivale recalca los temas esenciales que encontramos en el programa de Seguridad de la Información y políticas fundamentales y describe los requerimientos mínimos aceptables de seguridad para los usuarios de los valores de Efectivale, ya sea que Efectivale sea el propietario o solo los administre; las políticas de seguridad de la información pueden variar en temas como, la Administración de los Valores (bienes) de Información, Seguridad Física y Ambiental, Control de Acceso. Esta política de uso aceptable describe los componentes críticos de seguridad de estas políticas, mediante el enfoque en aquellos requerimientos de las políticas que se aplican a la mayoría de las actividades comunes que ocurren dentro y fuera del área de trabajo. Esto no intenta ser únicamente un único recurso para el análisis de los requerimientos de la política.

Los requerimientos dentro del programa de Seguridad de la Información están diseñados para proteger a Efectivale y todas las partes interesadas de cualquier daño o perjuicio causado voluntariamente o inadvertidamente por individuos internos o externos de nuestra compañía.

Nuestras partes interesadas incluyen a cada persona involucrada (empleados, clientes, proveedores y terceras personas) con Efectivale en alguna función.

PropósitoEl propósito de esta política es describir el uso adecuado de la infraestructura de las Tecnologías Informáticas en Efectivale. Estas reglas están en su lugar para proteger a los empleados y a Efectivale. El uso inapropiado, expone y pone en riesgo la información de los valores (bienes), de los clientes y la información personal de Efectivale.

AlcanceEsta política se aplica a los empleados, proveedores, consultores, empleados temporales y otros trabajadores de Efectivale, incluyendo a todo el personal afiliado con terceros. Esta política se aplica a todo el equipo que sea propiedad de Efectivale, o que se encuentre arrendado por Efectivale.

Política1.1 Uso General y Propiedad

1. Mientras que la Administración de la Red de Efectivale, desea proveer un nivel razonable de privacidad, los usuarios deben de estar conscientes que los datos que ellos generan en el sistema corporativo permanece como propiedad de Efectivale. Debido a la necesidad de proteger la red de Efectivale, los empleados no deben de esperar privacidad en la información personal almacenada en cualquier dispositivo, o equipo que pertenezca a Efectivale.

2. Los empleados son responsables de ejercer su buen juicio con respecto a su razonabilidad para el uso personal. Todo aquel uso personal debe de ser consistente con los estándares convencionales de ética y conducta respetuosa. Por favor, revise la Política de Seguridad de Laptop de Efectivale y la Política de Seguridad de computadora de escritorio para más información.


3. Los empleados que están en custodia de Información confidencial, tal como la información de clientes, deben de asegurarse de tomar los pasos necesarios para asegurarse que este material no esté disponible para personas que no estén autorizadas. Estos pasos incluyen, pero no se limitan al encriptado, candados físicos de seguridad y contraseñas. Por favor, revise la Política de Información Confidencial, para mayor información.

4. Efectivale se reserva el derecho de auditar las redes y los sistemas periódicamente para asegurarse del cumplimiento de esta política.

5. Los usuarios deben de ser responsables de todas las actividades realizadas con su ID de usuario

personal, no se debe permitir que otros usuarios realicen cualquier actividad con su ID de usuario personal, y ellos no deben de realizar ninguna actividad con otra ID perteneciente a otro usuario.

1.2 Seguridad e Información Privilegiada

1. La interfaz usuaria de información contenida en los Sistemas de Efectivale, debe de ser clasificada ya sea como Confidencial o No confidencial, tal y como se define en las reglas de confidencialidad. Ejemplos de la confidencialidad de la información incluyen, pero no están limitados a: información de los clientes, información financiera de la compañía, especificaciones, listas de clientes y datos de investigación. Los empleados deberán tomar todos los pasos necesarios para prevenir accesos no autorizados a esta información. Los usuarios deberán mantener, propagar, y en caso de ser necesario, restablecer estas mismas clasificaciones cuando sea que la información cambie de formato o de tecnología de manipulación. Por favor, vea la Política de Información Confidencial para mayor información.Efectivale, apoya firmemente el estricto cumplimiento de los acuerdos de la licencia del proveedor de software y las notificaciones del titular de los derechos. Si los usuarios del sistema hacen copias no autorizadas del software, los usuarios lo hacen por su propia cuenta, siendo que cualquier copia del mismo, está estrictamente prohibida por Efectivale.

2. Mantener las contraseñas seguras y no compartir cuentas. Los usuarios autorizados son responsables de la seguridad de sus contraseñas y sus cuentas. Las contraseñas a nivel de sistema y usuario deberán ser al menos modificadas trimestralmente.

3. Los usuarios deberán cambiar inmediatamente su contraseña si se sospecha que está ya se ha hecho pública o se sabe que será revelada por alguien que no esté autorizado.

4. Los usuarios, en ningún momento, deben de almacenar contraseñas fijas de los programas de comunicación, navegadores de Internet, o datos relacionados con el software de comunicación.

5. Los usuarios no deben dejar su computadora personal, estación de trabajo o terminal, desatendida, sin contraseña de ingreso al equipo mediante el protector de pantalla. El protector de pantalla deberá contar con la función de activación automática no mayor a 15 minutos.


6. Use el encriptado de la información en cumplimiento con la Política de Encriptado Aceptable de Efectivale.

7. Debido a la información especialmente vulnerable, que contienen los equipos portátiles, la ejecución de un especial cuidado debe de llevarse a cabo. Los usuarios de los equipos portátiles deben apegarse a las Políticas de Seguridad de Efectivale.

8. Los empleados nunca deberán compartir cualquier información personal identificable o de clientes sin encriptar en Internet. Esta prohibición incluye correos electrónicos, mensajes instantáneos, grupos de chat, y otros sistemas de comunicación.

9. Todos los equipos de cómputo conectados a la red de Efectivale, sean o no, propiedad de Efectivale se les deberá aplicar continuamente el software de escaneo de antivirus aprobado, que contiene una base de datos vigente de los virus actuales (a menos que sea invalidado por algún departamento o alguna política de grupo).

10. Los empleados deberán tener extrema precaución al abrir correos electrónicos de remitentes desconocidos, que contengan datos adjuntos, los cuales pueden tener virus, correos basura, códigos Troyanos, software malicioso, etc.

11. L o s trabajadores no deben de desechar información confidencial en contenedores de basura públicos/accesibles. En lugar de eso, la información confidencial debe de ser retenida hasta que pueda ser triturada o destruida con algún otro método apropiado.

12. Para conservar el privilegio de salidas de negocios, todos los trabajadores remotos deben estructurar su ambiente de trabajo remoto para que este en cumplimiento con todas las políticas estándar de Efectivale.

13. Los trabajadores remotos deberán seguir todas las políticas y procedimientos de seguridad para sistema remoto, incluyendo, pero no limitado a, el cumplimiento de los acuerdos de la licencia del software, la ejecución regular de respaldos, el uso de trituradoras para desechar información confidencial impresa.

14. La seguridad de la propiedad de Efectivale en un sitio de trabajo alternativo es tan importante como lo es en la oficina central. En un sitio de trabajo alternativo hay que tomar precauciones razonables para proteger de robo, daño o el uso indebido, el hardware, software y la información de Efectivale.

15. La información de Efectivale nunca debe encontrarse en la computadora personal de su hogar o en algún otro producto/servicio/sitio no provisto para su uso por Efectivale (tal como Hotmail, o Gmail).


16. Únicamente los equipos de Efectivale pueden estar conectados a nuestra red. Computadoras personales, dispositivos de red personales y otros dispositivos secundarios tales como impresoras personales o controladores externos no pueden ser conectados a nuestra red. Proveedores con equipos de cómputo no relacionados con Efectivale deberán utilizar líneas de invitado para tener acceso a los recursos de Internet cuando esté disponible.

17. Únicamente las aplicaciones y software emitido y aprobado por la gerencia de Tecnologías Informáticas o infraestructura pueden ser instalado en los equipos de Efectivale.

18. To d a s las comunicaciones de redes sociales por cuenta de Efectivale, deben de ser precisas, no deberán divulgar o exponer información confidencial y no deberán desacreditar a la compañía, a sus empleados, clientes, prospectos, competidores, vendedores, socios, proveedores, o productos.

1.3 Uso Inaceptable

Las siguientes actividades, son en general, prohibidas. Los empleados pueden ser exentos de estas restricciones durante el curso de sus responsabilidades de trabajo legitimo (por ejemplo, el equipo de administración de sistemas puede tener la necesidad de deshabilitar el acceso a la red de un equipo conectado, si dicho equipo está perturbando la producción de los servicios).

Bajo ninguna circunstancia un empleado de Efectivale queda autorizado para comprometerse en cualquier actividad que sea ilegal, bajo la ley local, estatal, federal o internacional, mientras utiliza los recursos propiedad de la compañía.

La lista siguiente es de ninguna manera exhaustiva, pero intenta proveer un marco de actividades las cuales pertenecen a la categoría de uso inaceptable:

1.1.1 Actividades del Sistema y Red.

1.1.2 Violación de los derechos de cualquier persona o de Efectivale, protegidos por el derecho de autor, secreto comercial, patentes u alguna otra propiedad intelectual, o leyes similares, o regulaciones, incluyendo, pero no limitado a, la instalación o distribución de �piratería� u otros productos de software que no estén debidamente autorizados para su uso por Efectivale.

1. La copia no autorizada de material protegido por derechos de autor, incluyendo, pero no limitado a, digitalización y distribución de fotografías de revistas, libros y otras fuentes protegidas, música protegida, o la instalación de cualquier software protegido para el cual Efectivale o el usuario final no tiene una licencia activa, queda estrictamente prohibido.

2. La exportación de programas, información técnica, software de encriptado o tecnología, en violación de las leyes internacionales o regionales de exportación, es ilegal. El manejo apropiado deberá ser consultado previo a la exportación de cualquier material que esta cuestión.

3. La introducción de programas maliciosos dentro de la red o el servidor (ejemplo, virus,


gusanos, troyanos, correos basura, etc.) Revelar a otros la contraseña de tu cuenta o permitir a otros el uso de la misma, esto incluye a miembros de la familia cuando el trabajo está siendo realizado en casa.

4. Aceptar cualquier forma de asistencia de servicio para mejorar sus computadoras sin primero, haberlo conseguido del proveedor de asistencia aprobado por el Departamento de Infraestructura de Efectivale.

5. Usar algún equipo de cómputo de Efectivale para participar activamente en proxenetismo o transmitiendo material que es una violación de acoso sexual o violación a las leyes del lugar del trabajo en la jurisdicción local del usuario que transmite.

6. Hacer ofertas fraudulentas de productos, cosas o servicios originados desde las cuentas de Efectivale.

7. Hacer declaraciones acerca de la garantía, expresamente o implícitamente, a menos que sea parte normal de las actividades del trabajo.

8. Efectuar violaciones de seguridad o interrupciones en la red de comunicaciones. Las violaciones de seguridad incluyen, pero no están limitadas a, el acceso de los datos en el cual el empleado no está previsto como destinatario o el acceso al servidor o la cuenta del empleado no está expresamente autorizada para su acceso, a menos que estas actividades estén dentro del alcance de sus deberes regulares. Para los propósitos de esta sección las interrupciones incluyen, pero no están limitadas a, husmear en la red, saturar la línea de comunicación, falsificación de datos en la comunicación, denegar el servicio u olvidar redireccionar la información con fines maliciosos.

9. El rastreo de puertos o el escaneo de seguridad quedan expresamente prohibidos, a menos que una notificación de Efectivale sea hecha por adelantado.

10. Ejecutar cualquier forma de monitoreo de la red la cual interceptará información no apta para el equipo del empleado conectado a la red, a menos que esta actividad sea parte de las actividades normales del empleado.

11. Evadir la autenticación del usuario, la cuenta o la seguridad de cualquier equipo conectado a la red.

12. Interferir o denegar el servicio a cualquier usuario que no esté conectado a la red de empleados (por ejemplo, ataque de negación de servicio).

13. Usar cualquier programa/script/comando, o enviar mensajes de cualquier clase, con la intención de interferir con, o deshabilitar la sesión activa de un usuario, por cualquier medio, localmente o internet/intranet/extranet.


Los empleados no deberán establecer ninguna conexión externa a otra red que pueda permitir a usuarios distintos de Efectivale conseguir acceso a los sistemas de Efectivale ya a su información, a menos que cuente y se haya obtenido una aprobación anticipada del departamento de Sistemas de Información.

14. Proveer información acerca de artículos relacionados con el trabajo, incluyendo, fotografías, nombres, información de los productos o comentarlo en alguna actividad de cualquier compañía.

15. La transmisión de información que aparece en el internet de terceros sin obtener primero la aprobación del dueño de la información de Efectivale.

16. Juegos en línea de apuestas no están permitidos en los bienes materiales de Efectivale.

17. Los bienes de Efectivale no pueden ser usados para recaudación de fondos o tener relación con actividades públicas más que aquellas que están específicamente relacionadas a las actividades de Efectivale, o de lo contrario aprobadas por la Gerencia de Efectivale.

18. Cualquier incidencia con la infraestructura de las tecnologías de información (equipos de cómputo, de red, etc.) deberá de ser notificado inmediatamente al Jefe de Infraestructura quien determinará si fue una acción fortuita o intencional, el seguimiento a estas situaciones se realizarán de acuerdo al procedimiento de reporte de atención a incidencias.

1.1.3 Actividades de Comunicaciones y correo electrónico

1. E n v i a r mensajes no solicitados de correo electrónico, incluyendo correo basura u otro material de publicidad a individuos que no lo solicitaron dicho material específicamente (correo no deseado).

2. Cualquier forma de acoso vía correo electrónico, vía telefónica o paginación, ya sea través del lenguaje, frecuencia o tamaño de los mensajes.

3. El uso no autorizado o falsificación del encabezado del correo electrónico

4. Solicitud de correo electrónico para cualquier otra dirección de correo electrónico, excepto el de la cuenta del cartel, con la intención de acosar o colectar respuestas.

5. Crear o reenviar “cartas cadena”, “esquemas piramidales” o de cualquier otro tipo.

6. El uso no solicitado de correo electrónico, procedente de dentro de las redes de Efectivale, o internet/intranet/extranet o por cuenta de los proveedores del servicio, o para anunciar cualquier servicio ofrecido por Efectivale o que esté conectado a través de la red de Efectivale.

7. Los acuerdos contractuales, así como la información confidencial, no deben de ser compartidos a través de mensajería instantánea.


1.3.3 Condiciones generales para la instalación del equipo de cómputo

1. Se debe conocer el nombre completo de la persona a la que se va a asignar el equipo.

2. El equipo de cómputo, celular y/o herramientas de trabajo deben ser solicitado por parte de recursos humanos a través del sistema de tickets (Service-now).

3. El área de trabajo debe ser tener un nodo de red, un nodo de voz y dos contactos de energía eléctrica de 110 V correctamente etiquetados

4. Se debe proporcionar un UPS para conectar la computadora de escritorio con autorización por parte del gerente del área, para el caso de las laptops no es necesario un UPS

5. Se debe entregar una responsiva en donde consten: marca, modelo y número de serie de cada uno de los equipos entregados.

6. Se debe contar con un mueble de trabajo ya sea estación de trabajo o escritorio.

POLÍTICA DE INFORMACION CONFIDENCIAL

PropósitoLa política de Información Confidencial está prevista para ayudar a los empleados a determinar qué información puede ser divulgada a personas que no son empleados de Efectivale, así mismo como la confidencialidad relativa de información que no debe de ser divulgada fuera de Efectivale sin la debida autorización.

Las informaciones cubiertas en estos lineamientos generales incluyen, pero no se limitan a, información que este almacenada o compartida por cualquier medio de comunicación. Esto incluye: información electrónica, información en papel, e información compartida verbalmente o visualmente (tales como el teléfono y video conferencias).

Todos los empleados deben de familiarizarse con la información de etiquetado y las indicaciones de manejo que prosiguen en esta introducción. Cabe señalar que las definiciones de los niveles de confidencialidad fueron creadas como reglas y para enfatizar el sentido común en los pasos que se deben de seguir para proteger los bienes de información de Efectivale (por ejemplo, la información confidencial de Efectivale no debe dejarse desatendida en las salas de conferencias).

Preguntas acerca de la clasificación correcta y lineamientos de una parte específica de la información deberán de ser dirigidas hacia el oficial de seguridad.

Si la información de nuestros clientes se ve comprometida se debe avisar al oficial de seguridad y al Comité de Seguridad para que se le dé el tratamiento de acuerdo al procedimiento de Respuesta a incidentes de seguridad de la información.


AlcanceEsta política se aplica para toda la información creada, usada o manejada por los empleados, proveedores, consultores, empleados temporales, y otros trabajadores de Efectivale, incluyendo a todo el personal afiliado y terceros.

RequerimientosLos empleados de Efectivale y los que no son empleados son responsables de garantizar la protección de la propiedad intelectual y los activos de información mediante los controles apropiados correspondientes a la clasificación de los activos de información. Los empleados y proveedores deberán de cumplir con los requisitos de uso, clasificación y manejo aceptable que están identificados en esta política. El uso y manejo de los activos de información de Efectivale es un privilegio revocable y el mal uso puede dar lugar a medidas disciplinarias, incluyendo la terminación de contrato y acciones legales.

1.1 Responsabilidades de los activos de información

Todos los empleados de Efectivale y los que no son empleados con acceso al ambiente de Efectivale son responsables de la protección, manejo y uso apropiado de los activos de información. Los requerimientos y responsabilidades están identificados a continuación, para lograr y mantener la protección apropiada para los activos de la información de Efectivale. Es la responsabilidad de todos los empleados y proveedores de Efectivale el leer y entender esta política, así como completar exitosamente la concientización de los requerimientos anuales de seguridad.

1.1.1 Inventario de los activos de Información

Los propietarios de los activos de información deben tomar pasos responsables para asegurar que los activos están claramente identificados y etiquetados para su rastreo y asegurarse que los inventarios de todos los activos importantes estén documentados y se mantienen incluyendo la clasificación de seguridad del activo, vida empresarial, propiedad, información de contacto y propósito de acceso.

1.1.2 Propiedad de los activos de Información

El acceso a los activos de información deberá de ser restringido a usuarios autorizados y limitado al acceso mínimo requerido para desarrollar las responsabilidades de su trabajo. El acceso debe de ser protegido mediante controles físicos apropiados y autorización de autenticación lógica. Los propietarios de los activos de información son responsables de garantizar el acceso y protección de estos activos dentro de su área de responsabilidad. Los propietarios de los activos deben de asegurarse de que la protección de los activos de información sea correspondiente con el nivel de clasificación asignado al activo. Los propietarios de los activos deben también de asegurar que los controles están en su lugar, para proteger la integridad de los datos bajo su titularidad.

1.2 Manejo de Información

Los requerimientos del manejo de información proveen protección tanto a la información pública como a la confidencial. Se requiere un enfoque razonable hacia la implementación del manejo de la información.


1.2.1 Requerimientos de manejo especial

Se requiere un manejo especial para la información confidencial (por ejemplo, Ley Sarbanes-Oxley, almacenamiento de datos financieros; PCI, Consejo de Normas de Seguridad para la formulación y mejora del almacenamiento, difusión y aplicación de las normas de seguridad para la protección de datos de cuentas; Ley Federal de protección de datos personales en posesión de los particulares, Regulaciones para la emisión de monederos electrónicos(SAT)) para cumplir con los controles legales y regulatorios. Los manejos de los requerimientos son provistos dentro de la clasificación de confidencialidad para proteger la información de salud, información personal identificable, datos cubiertos por la Norma de Seguridad de Datos PCI. Estos tipos de información se definen como:

Información de Identificación Personal (PII): Cualquier combinación de elementos de datos que permite la identificación de una persona, como el número de seguro social, nombre, dirección y número de cuenta.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago PCI

DSS” (Payment Card Industry Data Security Standard): Los requisitos del PCI DSS son aplicables si se almacenan los datos del titular de la tarjeta, incluyendo el número de cuenta principal (PAN) y/o los datos principales de autenticación de una de las cinco marcas de tarjetas (Mastercard, Visa, American Express, Discover y JCB), procesada o transmitida. Si los datos del titular de la tarjeta o los datos confidenciales de autenticación no se almacenan, procesan o transmiten no se aplicarán los requerimientos del PCI DSS. Sin una justificación comercial por escrito queda prohibido el almacenamiento de los datos del titular de la tarjeta. El almacenamiento de datos confidenciales de autenticación queda prohibido excepto cuando este en conjunción con las operaciones de emisión de tarjetas y luego sólo en estos casos con una justificación comercial por escrito para realizar dicho almacenamiento. Si el almacenamiento de datos confidenciales de autenticación es permitido, debe de ser borrado/eliminado debidamente del medio de almacenamiento de acuerdo y según en lo establecido en la Política de Eliminación de Datos Confidenciales.

PolíticaToda la información de Efectivale está catalogada en tres clasificaciones principales:

1.1 Efectivale Público

La información pública de Efectivale es aquella que ha sido declarada para conocimiento público por alguien con el goce de autoridad para hacerlo, y puede ser distribuida libremente afuera de Efectivale sin ninguna posibilidad de perjudicar a la compañía. Esta clasificación está asignada a la información que está prevista para tener un impacto insignificante en la reputación financiera, legal y profesional de Efectivale en caso de uso no autorizado, divulgación, modificación o destrucción. La información pública no es confidencial o privada. Efectivale clasifica la información como PÚBLICA si está disponible para la distribución pública a través de canales autorizados tales como comunicados oficiales, sitio Web empresarial, o en los artículos de prensa. Niveles mínimos de protección son requeridos, enfatizando la protección de modificaciones no autorizadas. La información pública no es protegida por acuerdos de confidencialidad o acuerdos de licencias. Ejemplos de esta información


en este nivel de clasificación incluyen:

1.1.1 Mercadeo y materiales de publicidad que han sido revisados y aprobados para su liberación.

1.1.2 Comunicados oficiales aprobados por el Corporativo de Comunicaciones.

1.1.3 Artículos de revistas y periódicos aprobados por el Corporativo de Comunicaciones.

1.2 Efectivale interna de la compañía

La información interna es aquella que circula en el interior de la empresa u organización. Tiene como finalidad poder llevar un mensaje, que permita la coordinación entre los diferentes departamentos; proporcionando la introducción, divulgación y acatamiento de pautas para el correcto desarrollo de la empresa.

La información interna también incluye información que es menos crítica, tales como directorios telefónicos, información general de la empresa, etc., que no requiere un grado riguroso de protección.

1.3 Efectivale Confidencial

En Efectivale Confidencial se almacena toda la demás información. Es una progresión, donde se entiende que alguna información es más confidencial que otra, y debe de estar protegida de una forma más segura. Esta clasificación es asignada a la información que está prevista para causar impacto en altos niveles de daño o perjuicio, pérdidas financieras, responsabilidades jurídicas, y perdida de la reputación profesional de Efectivale en caso de uso no autorizado, divulgación, modificación o destrucción. Se incluye información que debe de ser protegida muy de cerca, como información de nuestros clientes, los secretos comerciales, programas de desarrollo, posibles objetivos de adquisición, y otra información esencial para el éxito de la empresa.

Un subconjunto de información confidencial de Efectivale se denomina Efectivale Confidencial a Terceros. Se trata de información confidencial perteneciente o relativo a otra corporación que ha confiado en Efectivale en virtud de acuerdos de no divulgación y otros contratos. Ejemplos de este tipo de información incluyen todo, desde los esfuerzos de desarrollo conjunto, a listas de proveedores, pedidos de clientes y la información del proveedor. La información contenida en esta categoría oscila entre lo extremadamente confidencial a la información sobre el hecho de que Efectivale ha contactado a un distribuidor/proveedor en la red de Efectivale para apoyar dichas operaciones.

Directrices

El personal de Efectivale es motivado para que actúe con criterio y sentido común en la obtención de la información confidencial de Efectivale de un modo adecuado. Si un empleado no está seguro de la confidencialidad de una parte en particular de la información, él o ella deberá de contactar al oficial de seguridad.

La clasificación de la información es a discreción del propietario o custodio de la información. Si se desea clasificar con las palabras Efectivale Confidencial, puede ser escrito o etiquetado en un lugar visible o en la información en cuestión. Otras etiquetas pueden ser incluidas como Propiedad de Efectivale o etiquetas similares a discreción


de su área de trabajo individual o por departamento.

Incluso aun si ninguna clasificación está presente, la información de Efectivale se debe presumir como Efectivale Confidencial a menos que este expresamente determinado que dicha información es pública mediante un empleado de Efectivale con la autoridad para hacerlo.

La información confidencial de Efectivale siempre debe de ser compartida considerando si es necesario que se conozca.

Las siguientes normas de manejo de la información interna y confidencial proveen detalles de cómo proteger la información de Efectivale. Utilice las siguientes normas únicamente como referencia, ya que la información en cada columna puede requerir mayores o menores medidas de protección, dependiendo de las circunstancias y la naturaleza de la información confidencial de Efectivale de que se trate.

DefinicionesInformación interna de la compañíaDefinición Eslainformaciónqueseusaporlosempleadospararealizarlos

procesosinternosolosnegociosdelacompañía.La información clasificada como interna de la compañía, sonlas negociaciones, las finanzas, la información técnica, lainformación de procesos de negocio, directorios telefónicos,prospección,etc.

Acceso LosempleadosynoempleadosdeEfectivale,conacuerdosdeconfidencialidad firmados que tengan una negociación o quenecesitensaberlo.

Distribución dentro deEfectivale

Correoelectrónico internoestándar,métodoselectrónicosdetransmisiónaprobados.

Distribuciónexternadelcorreoelectrónico

Correoelectrónicointernoestándar.

DistribuciónElectrónica Sin restricciones a los destinatarios autorizados dentro deEfectivalemientras se tenga una relación de negocio o tengaque ser utilizado en las labores de área de los empleados oproveedores.

Almacenamiento Los controles de acceso individual protegen la informaciónelectrónica.

Eliminación/Destrucción Losdatoselectrónicosdebendeserborrados/eliminados.Los medios de almacenamiento deberán de destruidosfísicamentedeunamaneraconfiable.Losdocumentosdeberándesertrituradosconniveldeseguridadmedia.

Información Confidencial


Definición LainformaciónclasificadacomoConfidencial,sonlosdatosdenuestros clientes, los secretos comerciales, datos personales,datosfinancieros,códigosfuenteylosconocimientostécnicosyadministrativosimprescindiblesparallevaracaboelprocesocomercialparaeléxitodeEfectivale.ParaindicarquelainformacióndeEfectivaleesconfidencialsedebedeetiquetarlainformacióncomoEfectivaleConfidencialo etiquetas similares a la discreción de la unidad de trabajoindividualosudepartamento.

Acceso Sólo las personas designadas (Empleados de Efectivale y noempleados)conaccesoautorizadodeacuerdoasusroles,conacuerdosdeconfidencialidadfirmadosyconautorizacióndelosgerentesodirectoresdeárea.

DistribuciónelectrónicadentrodeEfectivale

Distribuida vía canales seguros como SSL, VPN o SSH. Ladistribución por correo electrónico solo a destinatarios queseanempeladosdeEfectivaleconaccesoautorizadodeacuerdoasusrolesyconacuerdosdeconfidencialidadfirmados.

Distribución dentro deEfectivale en medios dealmacenamiento

Entregadirecta,firmarequerida,sobresconfidencialescerrados.

Distribución externa deinformación de Efectivale enmediosdealmacenamiento

Entrega directa, firma requerida; transportistas privadosautorizados, medios de almacenamiento opcionalmente encriptadosconAES-128omayor.

Distribución electrónica fueradeEfectivale

LainformaciónpuedeserdistribuidaelectrónicamentefueradeEfectivalesiemprecuandohayaunarelaciónconproveedoresautorizadosotercerosconlosquesecuenteconuncontratoyacuerdosdeconfidencialidadfirmados.Lainformacióndeberádeviajarenmediosde transmisión seguroscomoSSL,VPNoSSH.Si la informaciónviajaenunmediodealmacenamiento,esta deberá de ser opcionalmente encriptada con AES-128 omayor.

Almacenamiento El acceso a la información se controla y se registra a travésde los diferentes aplicativos los cuales fueron autorizadoscon anterioridad. Adicionalmente, la información debe depermanecerdeseablementeencriptadaenbasededatos conAES-128omayor.


Eliminación/Destrucción Encasoquela informaciónesté impresaladestruccióndelosdocumentos se realizará en trituradoras de seguridad alta.Para información almacenada en servidores o equipos decómputoseutilizaráaplicacionesdeborradoseguro.Mediosdealmacenamiento removibles se usarán aplicativos de borradoseguroodestrucciónfísicadelequipo

POLITICA DE CONTRASEÑAS

PropósitoLas contraseñas son un aspecto importante en la seguridad de computadoras. Son la línea frontal de protección de las cuentas de los usuarios. Una contraseña escogida deficientemente puede dar como resultado que se comprometa en su totalidad la red corporativa de Efectivale. Como tal, todos los empleados de Efectivale (incluyendo proveedores y proveedores con acceso a los sistemas de Efectivale) son responsables de tomar las medidas adecuadas, como se indica a continuación, para seleccionar y proteger sus contraseñas.

El propósito de esta política es establecer los estándares para la creación de contraseñas complejas, la protección de estas contraseñas y la frecuencia de cambio.

AlcanceEl alcance de esta política incluye a todo el personal que tiene o que es responsable de una cuenta (o cualquier forma de acceso que apoya o requiere de una contraseña) en cualquier sistema que reside en cualquier instalación de Efectivale, o que tiene acceso a la red de Efectivale o que almacena cualquier información no publica de Efectivale.

PolíticaTodas las contraseñas a nivel usuario, aplicación o de sistema deben de ajustarse a las normas que se describen a continuación. Los sistemas y las aplicaciones harán cumplir muchas de estas reglas con los controles técnicos. Esta política se aplica incluso en los sistemas y aplicaciones que no tienen control de calidad obligatorio en la contraseña. Por ejemplo, si una aplicación web propiedad de Efectivale no hace que cambie la contraseña después de 90 días, usted todavía está obligado a cambiar la contraseña dentro de los 90 días.

1.1 Protección de Contraseñas

No utilice la misma contraseña para cuentas de Efectivale como para otros accesos distintos de Efectivale (por ejemplo, cuenta personal ISP (Proveedor de Servicios de Internet), opciones de negociación, beneficios, etc.). Siempre que sea posible, no utilice la misma contraseña para diferentes necesidades de acceso a Efectivale. Por ejemplo, seleccionar una contraseña para el inicio de sesión de Windows y una contraseña distinta para cada aplicación. Además, el personal de sistemas o infraestructura debe de seleccionar una contraseña diferente para las cuentas de base de datos.

No comparta las contraseñas de Efectivale con nadie, incluyendo auxiliares administrativos o secretarias. Todas las contraseñas deben de ser manejadas como información confidencial de Efectivale.Quedan prohibidas las cuentas de grupo y las cuentas compartidas.Queda prohibido revelar contraseñas a cualquiera por vía telefónica.


- No hable acerca de las contraseñas frente a otros.

- No de pistas acerca del formato de la contraseña (ejemplo, el nombre de mi familia)

- No revele contraseñas en cuestionarios o formatos de seguridad

- No comparta su contraseña con miembros de su familia

- No revele contraseñas a compañeros de trabajo mientras están de vacaciones

- Si alguien le exige su contraseña, haga la referencia de este documento o haga que ellos llamen al departamento de seguridad de información.

- No use la aplicación de Recordar contraseña (ejemplos, Eudora, Outlook y mensajes instantáneos)

- No anote contraseñas en libretas, hojas o post-its

Nuevamente, no anote las contraseñas y las almacene en cualquier lugar de su oficina. No almacene contraseñas en los archivos de ninguna computadora sin haberse encriptado (esto incluye smarphones o dispositivos similares).

Si alguna cuenta o contraseña es sospechosa de estar en riesgo, el incidente debe de reportarse al Oficial de Seguridad de la Información y cambiar todas las contraseñas inmediatamente.

1.2 Construcción General de Contraseñas

Las contraseñas normales deben de contar con las siguientes características:

1. Debe de estar compuesta de al menos ocho caracteres.

2. Debe de contener tres o cuatro de las siguientes características:

- Un carácter en letra minúscula del alfabeto (a-z)

- Un carácter en letra mayúscula del alfabeto (A-Z)

- Un carácter de digito numérico (0-9)

- Un carácter especial (@#$%^&p*()_+-=><:[]/°)3. La contraseña no debe de estar basada en cualquier palabra o termino que pueda ser encontrada en una lista de palabras. Esto incluye:

- Palabras del diccionario tales como contraseña , dragón , “bienvenido”

- Nombres propios o sobrenombres de personajes reales o ficticios, tales como “Beth”, “Madonna”, “Fonsi”

- Compañías, productos o marcas usados frecuentemente, tales como “Efectivale”, “Fuelman”, “Mannatec”

- Patrones simples, tales como “12345”, “qwuerty”, “J”


- Cumpleaños, aniversarios u otro tipo de información personal

- Fechas como “Verano08” o “Julio2010”

- Cualquier parte de tu nombre de usuario

4. La contraseña no puede ser la misma que alguno de sus últimas cinco contraseñas.

5. Se debe configurar cambiar la contraseña después del primer inicio de sesión

1.3 Caducidad de contraseñas

Todas las contraseñas a nivel usuario (ejemplo, correo electrónico, computadoras de escritorio, etc.) deben de ser cambiados al menos trimestralmente.

Todas las contraseñas a nivel sistema (ejemplo, raíz, permitidas, administración de red, aplicaciones de cuentas del administrador, etc.) deben de ser cambiadas al menos trimestralmente.

Las cuentas deben ser bloqueadas automáticamente después de 3 meses de estar sin actividad por parte del usuario.

Las cuentas deben bloquearse después del tercer intento fallido

POLÍTICA DE CIFRADO

En Efectivale los esquemas válidos de cifrado son:

1. Para almacenamiento o respaldo es opcional: 128 bits o mayor, 3DES o AES.

2. Para conectividad y transmisión de información es necesario: SSL, VPN, IPsec, TLS.

Para el caso de control y gestión de llaves referirse al documento Administración de Llaves de Encripción.

REGLAS GENERALES EN EL PROCESO DE ANTIVIRUS

VisiónEl software Anti-virus para Efectivale es el Symantec Antivirus. Este será descargado en cada nodo operativo en la organización y se actualizará automáticamente.

PropósitoEl propósito de esta política es establecer la instalación de un software de antivirus estándar en toda la empresa.

AlcanceEl alcance de esta política incluye a todo el personal quien han sido o será responsable de cualquier sistema


que reside en cualquier instalación de Efectivale, que tiene acceso a la red de Efectivale o almacena cualquier información no publica de Efectivale.

ProcesoProcesos recomendados para prevenir problemas de virus:

• Siempre ejecutar el estándar corporativo, con el apoyo del software antivirus (disponible en el sitio de descarga corporativa). El personal del área de infraestructura será el encargado de descargar y ejecutar la versión actual y de descargar e instalar actualizaciones de software antivirus a medida que estén disponibles (Norton Antivirus Console)

• NUNCA abra o de clic en vínculos, archivos o macros adjuntos a un correo electrónico de una fuente desconocida, sospecha o no confiable. Elimine estos datos adjuntos inmediatamente, después borre doble vez, vaciando la papelería de reciclaje.

• Elimine el correo no deseado, cadenas y otros correos basura sin reenviarlos, en línea con la Política de Uso Aceptable de Efectivale.

• Nunca descargue archivos de fuentes desconocidas o sospechosas.

• Evite compartir discos directamente con acceso de lectura y escritura a menos de que exista una absoluta requisición para hacerlo.

•No usar dispositivos de memoria portátil de fuentes desconocidas.

• Realizar copias de seguridad de datos críticos y configuraciones del sistema en una base regular y almacenar los datos en un lugar seguro.

• Si el laboratorio de pruebas choca con el software antivirus, ejecute la utilidad antivirus para garantizar una maquina limpia, desactive el software y vuelva a ejecutar la prueba de laboratorio. Después de la prueba de laboratorio habilite el software antivirus. Cuando el software antivirus esta desactivado, no se ejecutan todas las aplicaciones que puedan transferir un virus, por ejemplo, el correo electrónico o compartir archivos.

• Si detecta que software antivirus este desactualizado informe inmediatamente al personal de Infraestructura

• Por ningún motivo debe desinstalar o desactivar el software antivirus de su computadora

•Si alguna computadora no debe tener software antivirus debe existir la solicitud correspondiente enviada al departamento de infraestructura y sistemas.

POLÍTICA DE ACCESO REMOTO

PropósitoEl propósito de esta política es definir los estándares para la conexión a la red de Efectivale desde cualquier equipo. Estos estándares están diseñados para minimizar la posible exposición a daños a Efectivale, que puedan resultar del uso no autorizado de los recursos. Los daños incluyen la pérdida de datos confidenciales o privados de la compañía, la propiedad intelectual, daño a la imagen pública, daños críticos a los sistemas internos de


Efectivale, etc.

El único acceso remoto autorizado será la vía de conexiones autorizadas VPN (Red Privada Virtual).

AlcanceEsta política se aplica a todos los empleados de Efectivale, proveedores, vendedores, agentes que usen un dispositivo o unidad de trabajo propiedad de Efectivale que tengan conexión a la Red de Efectivale. Esta política se aplica a conexiones de acceso remoto usadas para trabajar a nombre de Efectivale, incluyendo la lectura o el envío de correo electrónico y la visualización de los recursos web de la intranet.

Las implementaciones de acceso remoto que son cubiertas por esta política incluyen, pero no se limitan a: DSL (Línea de Suscripción Digital), VPN (Red Privada Virtual), SSH (Protocolo de ordenes seguro), cables de modem, etc.

Política1.1 General

1. Es responsabilidad de los empleados de Efectivale, proveedores, vendedores y agentes con privilegios de Acceso Remoto a la red corporativa de Efectivale asegurar que le sea dada la misma consideración a su conexión de Acceso Remoto como a la conexión de usuario en sitio para Efectivale.

2. No está permitido el acceso general a internet con fines recreativos, por el núcleo de miembros inmediatos, a través de la red de Efectivale.

3. Por favor, revise las siguientes políticas para detalles de la protección de la información cuando se tenga acceso a la red corporativa con métodos de vías de acceso remoto y el uso aceptable de la red de Efectivale:

• Política de Encriptado Aceptable

• Política de Comunicación Inalámbrica

• Política de la Red Privada Virtual (VPN)

• Política de Uso Aceptable

1.2 Condiciones para otorgar el aprovisionamiento

1. El acceso remoto seguro debe ser estrictamente controlado a través de la política de usuarios y contraseñas

2. Autorización por parte de la dirección o gerencia mediante el formato de requerimiento de infraestructura.

3. En ningún momento, ningún empleado de Efectivale debe proporcionar su nombre de usuario o su contraseña a NADIE, ni siquiera a miembros inmediatos o miembros de su familia.


4. Los empleados y proveedores con privilegios en acceso remoto deben asegurarse que la propiedad de Efectivale, la cual está conectada remotamente a la red corporativa de Efectivale, no se encuentre conectada a otra red al mismo tiempo, con la excepción de las redes personales que están bajo el completo control del usuario.

5. Los empleados y proveedores con privilegios en acceso remoto a la red corporativa de Efectivale no deben usar cuentas de correo electrónico distintas a las de Efectivale (ejemplo, HOTMAIL, Yahoo, AOL), u otros recursos externos para realizar las actividades comerciales de Efectivale, asegurándose así que de que los asuntos oficiales no se confundan con asuntos personales.

6. La reconfiguración del equipo de un usuario doméstico con el fin de obtener un túnel dividido o una conexión doméstica dual, queda prohibido en todo momento.

7. Los dispositivos personales no deben de ser utilizados para conectarse a la red de Efectivale.

8. Organizaciones o individuos que deseen implementar soluciones no estándar de acceso remoto a la red de producción de Efectivale deben de obtener una aprobación previa de la Seguridad de la Información de Efectivale.

1.4 Directrices para cancelación de aprovisionamiento

El acceso remoto puede ser cancelado por las siguientes razones:

1. Pérdida del equipo

2. Mal uso del equipo

3. Separación del cargo

4. Cambio de rol

5. A solicitud del director o gerente del área.

Términos de Acceso Remoto DefiniciónConexiónDual Tenerconectividadsimultáneaamásdeunareddesdeunacomputadoraodispositivo

dered.Losejemplosincluyen:• Estarconectadoaunaredcorporativaatravésdeunaconexiónlocalde

EthernetymarcandoaYAHOOuaotroproveedordeserviciosdeinternet(ISP)

EstarenunareddomésticadeaccesoremotoproporcionadoporEfectivaleyconectaraotrared,talcomoelaccesoremotodelCónyuge.LaconfiguracióndelenrutadorISDNparamarcarenEfectivaleyunISP,dependiendodeldestinodelpaquete.

LíneadeSuscripciónDigital(DSL) Unaformadeaccesoainternetdealtavelocidadparacompetircon los módems de cable. DSL funciona través de líneastelefónicasestándaryescompatibleconvelocidadesdedatosdemásde2Mbpsdebajada(paraelusuario)yvelocidadesascendentesmáslentas(eninternet).


AccesoRemoto • CualquieraccesoalaRedCorporativadeEfectivale,atravésdeunared,dispositivoomedionocontroladoporEfectivale.

POLÍTICA DE LA RED PRIVADA VIRTUAL (VPN)

PropósitoEl propósito de esta política es proveer normas para las conexiones de acceso remoto IPSec (Protocolo de Seguridad de Internet) o las Redes Virtuales Privadas L2TP (VPN) a la red corporativa de Efectivale.

AlcanceEsta política se aplica a todos los empleados, proveedores, consultores, empleados temporales y otros empleados, incluyendo a todo el personal afiliado y terceros que utilicen el acceso VPN a la red de Efectivale. Esta política aplica las implementaciones de la VPN que se dirigen a través de un concentrador de IPSec.

PolíticaLos empleados autorizados por Efectivale y terceras partes (clientes, proveedores, etc.) pueden utilizar los beneficios de la VPN, la cual es un servicio controlado por usuario. Esto significa que el usuario es responsable de seleccionar a un proveedor de servicios de internet (ISP), coordinar la instalación, instalar el software necesario, y el pago de tarifas asociadas. Más detalles de esto, se pueden encontrar en las normas de Acceso Remoto.

Adicionalmente:Es responsabilidad del empleado con privilegios de la VPN, asegurarse que los usuarios no autorizados no tengan acceso permitido a la Red interna de Efectivale.

1. El uso de la VPN debe de ser controlado ya sea mediante la autenticación de una contraseña de un solo uso tal como en un dispositivo de token o un sistema de claves publica/privada con fuertes contraseñas de frase.

2. Cuando se esté conectado activamente a la red corporativa, la VPN obligará a pasar todo el tráfico a través de un túnel VPN, y el resto del tráfico se eliminará.

3. La separación dual en túneles/canales no está permitido, únicamente está permitido una conexión a la red.

4. Los accesos a la VPN serán configurados y administrados por el área de Infraestructura de Efectivale.

5. Los usuarios de la VPN serán desconectados automáticamente de la red de Efectivale después de 30 minutos de inactividad. El usuario debe de ingresar de nuevo para reconectarse a la red. Pings u otros procesos de red artificial no deben de ser usados para mantener abierta la comunicación.

6. Solo los clientes aprobados por Efectivale para la VPN pueden hacer uso de ella.

7. La tecnología VPN no debe de usarse con dispositivos personales.


Definiciones

Términos de la Red Privada Virtual (VPN)

Definición

ConcentradorIPSec Un dispositivo en el cual las conexiones VPN sonterminadas.

POLÍTICA DE COMUNICACIÓN INALAMBRICA

PropósitoEsta política prohíbe el acceso a las redes de Efectivale mediante mecanismos de comunicación inalámbrica insegura. Solo los sistemas inalámbricos que cumplan con el criterio de esta política o bien, que se les haya concedido una exención exclusiva por Efectivale, son aprobados para la conectividad a las redes de Efectivale.

AlcanceEsta política cubre todos los dispositivos de comunicación inalámbrica (por ejemplo, laptops, celulares, PDAs, etc.) que estén conectados a cualquiera de las redes internas de Efectivale. Esto incluye cualquier forma de dispositivo de comunicación inalámbrica capaz de transmitir paquetes de datos. Los dispositivos y/o redes inalámbricas sin ningún tipo de conectividad a las redes de Efectivale no recaen dentro del alcance de esta política.

Política1.1 Tarjetas y Puntos de Acceso Registrados

Todos los puntos de acceso/estaciones base conectados a la red corporativa deben de ser registrados y aprobados Efectivale. Estos puntos de acceso/estaciones base están sujetos a pruebas de vulnerabilidad y auditorias. Todas la tarjetas de interface de red inalámbrica (es decir, tarjetas de PC) usadas en laptops o computadoras de escritorio deben de ser registradas por Efectivale.

1.2 Tecnología aprobada

Todo el acceso LAN (Red de Área Local) inalámbrico debe de utilizar los productos de los proveedores aprobados por las corporaciones y las configuraciones de seguridad.

1.3 Encriptación y Autenticación VPN

Todas las computadoras y dispositivos con conexión LAN deben de utilizar una configuración corporativa aprobada para la Red Privada Virtual (VPN) para eliminar todo el tráfico no autenticado y encriptado. Para cumplir con esta política, las implementaciones inalámbricas deben de mantener el encriptado de hardware punto a punto de al menos 128 bits. Todas las implementaciones deben de soportar una dirección de hardware que puede ser registrado y rastreado, es decir, una dirección MAC. Todas las implementaciones deben de apoyar y emplear


una fuerte autenticación de comprobación de usuarios contra una base de datos externa, como TACACS+, ACTIVE DIRECTORY, RADIUS o algo similar.

1.4 Ajuste de SSID

El SSID (Identificador de Servicios de Red) deberá de ser configurado de manera que no contenga ninguna información de identificación a cerca de la organización, tal como el nombre de la empresa, título de la división, nombre del empleado o el identificador del producto. La única excepción de esta norma es en la red huésped SSID en nuestras oficinas la cual se identifica como EfectivaleGuest.

1.5 Seguridad de correo electrónico

Nunca enviar por correo electrónico la información confidencial propiedad de Efectivale, fuera de la red de Efectivale sin la seguridad apropiada, tal como el uso de encriptado de correo electrónico. La información confidencial incluye cualquier información relacionada con clientes o información de identificación personal, como números de seguridad social (NSS), número de seguro social (SIN) o de la tarjeta o los datos del titular de tarjetas. Póngase en contacto con el oficial de seguridad de información para identificar métodos aprobados de las transmisiones de correo electrónico seguro. A excepción de los asociados autorizados de utilizar los dispositivos personales (BYOD Bring your own device) de conformidad con el Programa BYOD de Efectivale, el correo electrónico de Efectivale puede ser únicamente enviado y recibido por los activos propios de Efectivale. El acceso al correo o a los datos de los dispositivos personales no está permitido, excepto a través del uso apropiado de las aplicaciones controladas por Efectivale. Las reglas de acceso y los derechos se definen para cada usuario de acuerdo al perfil de su puesto.

CONTROL DE ACCESO DE LOS USUARIOS

Introducción

Controlar el acceso a la información por parte de cualquier empleado de Efectivale, es controlado de manera adecuada, para prevenir que algún usuario cuyas funciones no incluya el acceso a la información, lo haga de manera accidental o deliberada. Igualmente se previenen controles para asegurar que los empleados que, si deban acceder información debido a sus funciones, lo hagan de manera transparente.

Política

El acceso a los sistemas, aplicaciones, información o red para cualquier empleado es denegado a menos de que exista una autorización explícita del director o gerente del área para tal efecto.

En el caso de la información, debe de existir adicionalmente una razón dentro del perfil del puesto que implique el acceso a esta.

Metodología

Capacitación

Los empleados de Efectivale recibirán una capacitación en seguridad de la información de la siguiente manera:

a) Al momento de la contratación en el curso de inducción.

b) Anualmente a través del sistema skillsoft.

Autorización/Modificaciones


A través del sistema Service Now, Recursos Humanos da de alta a los nuevos empleados, los gerentes o directores del área asignan y confirman el derecho al activo relacionado.

Los responsables de las diferentes áreas como infraestructura, sistemas, equipos, áreas, procesos y demás asignan el acceso o el derecho. Una vez confirmado, el usuario firma de recepción de los accesos o derechos obtenidos.

Bajas

A través del sistema Service Now, Recursos Humanos da de baja a los empleados, disparando a los custodios, órdenes de trabajo para ejecutar las bajas de los sistemas o aplicaciones. Recursos Humanos verifica en un plazo no mayor a 2 días, el cumplimiento de este punto.

Monitoreo/Revisiones

Las revisiones se realizan para asegurar la consistencia de datos y la confirmación periódica de que los empleados de EFECTIVALE tengan los derechos a los activos de la compañía. Las revisiones se realizan de manera trimestral: consistencia de datos entre los empleados activos que tiene registrado Recursos Humanos y la información que tiene infraestructura y sistemas y que se confirma por los directores o gerentes de área.

Autenticación

Sistemas o aplicaciones computacionales

Al usuario se le asigna un identificador único, el cual no es compartido con ningún otro usuario. Para ganar acceso al sistema o aplicación el usuario debe de teclear su identificador y la contraseña.

Temporalidad de las sesiones

Una vez sesionado el usuario en el sistema o la aplicación, después de un tiempo máximo de 15 min. de inactividad, el sistema o aplicación se inhabilita, para rehabilitar la sesión se debe de colocar el usuario y la contraseña nuevamente para tener acceso al sistema o aplicación

Acceso a la red

La conectividad en la red está sujeta al control de acceso lógico de tal manera que cualquier punto de conexión final pueda ser explícitamente a través de redes autorizadas o puntos específicos de la red.

Áreas físicas

Los usuarios a través de su huella tendrá acceso a las áreas a la cuales, de acuerdo a su perfil de puesto, tiene derecho a acceder.

Monitoreo

Todas las aplicaciones o sistemas guardan una bitácora indicando cuando acceso de un usuario es exitoso o fallido, cambios al esquema de seguridad y actividades del administrador. Estas bitácoras se guardan al menos 1 año.

Derechos sobre información

Se definen los siguientes derechos sobre la información:

• Lectura: El usuario puede revisar el contenido de la información, o puede listar el contenido de un directorio• Escritura: El usuario puede cambiar el contenido de la información ya sea añadiendo, creando, renombrando

o borrando.• Ejecutar: Si la información es un programa, el usuario puede iniciar un programa o proceso.


SEGURIDAD FÍSICA Y AMBIENTALPropósito

Las seguridades físicas junto con la seguridad de la información permiten elevar el grado de protección de la información. Efectivale provee estos elementos para proteger la información.

Política

En Efectivale se identifican los requerimientos para asegurar condiciones adecuadas de trabajo de los empleados observando las regulaciones, autoridades locales y nacionales, referentes a los productos o servicios que se están produciendo en Efectivale.

Las determinaciones de los requerimientos deben permitir que los objetivos seguridad sean mantenidos en todo momento, que ofrezcan condiciones de trabajo seguro para que el personal de la empresa, sus Clientes, Proveedores y todos los bienes materiales que interactúan dentro de las instalaciones.

Ingreso a las Instalaciones

Efectivale debe autorizar el acceso a empleados de la compañía únicamente a las áreas previamente determinadas en función de responsabilidades que desempeña dentro de la misma.

Efectivale permite el acceso a Clientes, Visitantes y Proveedores dentro de las instalaciones solamente si los asuntos a tratar están directamente relacionados con actividades de la empresa y previa autorización del personal responsable dentro de la misma.

Todo el personal que ingrese a las instalaciones debe acatarse en todo momento a las disposiciones que el área de Seguridad, tenga establecidas en cumplimiento de lo dispuesto por esta política de seguridad de la información

Monitoreo e Identificación

Efectivale requieren de mantener un sistema de monitoreo continuo de las áreas de entrada y salida a las instalaciones, áreas restringidas y áreas periféricas; en funciones de prevenir que personal No Autorizado tenga acceso sin la anuencia de personal de seguridad Física.

Igualmente, se controlan salidas de materiales, equipos o cualquier otro activo de la compañía. Cualquier violación debe de llevar la acción correctiva correspondiente, ya sea a empleados o visitantes.

Seguridad y Mantenimiento de las Instalaciones

Efectivale cuenta con los recursos humanos, técnicos y materiales para prevenir o responder a eventualidades previstas dentro de las instalaciones, como son las relacionadas con Agua, Fuego, Temblor, y otros riesgos. Y que ayude a salvaguardar en primera instancia la integridad física de las personas que se encuentren dentro de las instalaciones en ese momento.

Adicionalmente se debe implementar programas de mantenimiento acordes a cada equipo involucrado en esta tarea para asegurar la continuidad de la operación las 24 hrs los 365 días del año.

Información al personal y visitantes

El responsable del área de seguridad debe informar al personal de nuevo ingreso sobre las medidas de seguridad establecidas y deberá reforzar estos conceptos en períodos máximos de un año o antes si se presentan nuevas medidas de seguridad. Los visitantes deberán ser notificados a su ingreso sobre las medidas de seguridad a observar.


Política de escritorios limpios

En Efectivale, los empleados deben de mantener los escritorios de oficinas y cubículos sin papeles o dispositivos de almacenamiento con información (confidencial o interna) a la vista cuando no estén presentes. Esto aplica tanto en las horas de oficina (ausencia en el escritorio debido a juntas internas, etc.) como en las horas no laborables. Los papeles o información deben de resguardarse en gavetas o cajones con llave.

Los responsables de la seguridad física son los encargados de garantizar que esto se lleve a cabo, en caso de encontrar que un empleado no cumple con la política, se debe de reportar a recursos humanos para prever la sanción administrativa correspondiente.

SESION B. Personal de Tecnologías Informáticas

POLÍTICA DE AUDITORÍA DE ANÁLISIS DE VULNERABILIDAD

PropósitoEl propósito de esta política es establecer el punto de referencia para el análisis de seguridad de la red de Efectivale realizado por los servicios de auditoría interna o externa. Los servicios de auditoría interna o externa deben firmar y cumplir con un acuerdo de confidencialidad (NDA, Non- disclosure agreement), antes de que se les conceda el acceso a los activos de información de Efectivale. Además, al llevar a cabo sus tareas, los servicios de auditoria deben de utilizar estándares de la industria y deben de estar en concordancia con el software para realizar exploraciones electrónicas de redes y/o servidores de seguridad en cualquier sistema de Efectivale.

Las auditorias pueden llevarse a cabo para:

•Asegurar la integridad, confidencialidad y disponibilidad de los recursos de información.

•Investigar los posibles incidentes de la seguridad, reportar y asegurarse que estén de conformidad con las políticas de seguridad de Efectivale.

•Monitorear usuarios y actividades del sistema, en su caso.

AlcanceEsta política cubre todos los dispositivos de cómputo y de comunicación que son manejados y son propiedad de Efectivale. Esta política también cubre cualquier dispositivo de cómputo y comunicación que estén presentes en las instalaciones de Efectivale, pero que no sean o no estén operadas por Efectivale. El servicio de auditoria interna o externa no debe denegar las actividades del servicio.

PolíticaCuando sea solicitado y con el propósito de llevar a cabo una auditoria, es necesario el consentimiento para el acceso, proporcionado a los miembros de los servicios de auditoría interna o externa. Por este medio, Efectivale proporciona su consentimiento para permitir que los servicios de auditoría interna o externa, accedan a sus redes y/o a sus servidores de seguridad, en la medida necesaria para llevar a cabo las exploraciones autorizadas en este convenio.


Este acceso puede incluir:

•Acceso a nivel de usuario y/o niveles del sistema de cualquier dispositivo de cómputo o comunicaciones.

•Acceso a la información (electrónica o impresa, etc.) que puede ser elaborada o transmitida o almacenada en los equipos de Efectivale, o en sus instalaciones.

•Acceso a las áreas de trabajo (desarrollo, oficinas, cubículos, áreas de almacenamiento, etc.)

•Acceso para monitorear interactivamente y registrar ingresos a la red de Efectivale.

1.1 Punto de contacto con el cliente durante el periodo de análisis

Efectivale deberá identificar por escrito a una persona para que esté disponible si el equipo interno o externo de exploración de auditoria tiene preguntas con respecto a los datos de la comprobación o ya sea que esta requiera asistencia.

1.2 Período de Análisis

El equipo de auditoria interno o externo de Efectivale debe de identificar por escrito las fechas permitidas para que el análisis sea realizado.

POLITICA DE ENCRIPTADO ACEPTABLE

PropósitoEl propósito de esta política es proveer las normas que limitan el uso de encriptado a aquellos algoritmos que han recibido revisiones substancialmente públicas y que han sido probadas para trabajar efectivamente.

AlcanceEsta política se aplica a todos los empleados de Efectivale y afiliados.

PolíticaLos algoritmos estándar probados, tales como AES, Blowfish, RSA, RC5 e IDEA deben de ser utilizados como base para las tecnologías de encriptado. Estos algoritmos representan una cifra real, utilizada para una aplicación aprobada. Por ejemplo, asociados de la red Pretty Good Privacy (PGP) usan una combinación de IDEA y de RSA o Diffie-Hellman, mientras que SSL (Capa de puertos seguros) usa el encriptado RSA. La longitud de las claves criptográficas simétricas debe tener por lo menos 128 bits. Claves criptográficas asimétricas deben de tener una longitud que produzca una resistencia equivalente. Los requisitos de la longitud de claves de Efectivale, se revisarán anualmente y serán actualizadas como su tecnología se lo permita.

El uso privado de algoritmos de encriptado no está aprobado para cualquier propósito, a no ser que sean revisados por expertos calificados fuera del proveedor en cuestión y aprobados por Efectivale.

Para el caso de contraseñas y nips es aceptable almacenarlos con algún método de hash como MD5, SHA1 ó SHA2

Tenga en cuenta que la exportación de tecnologías de encriptado está condicionada por el Gobierno de México.De


acuerdo a las especificaciones publicadas por la Norma Oficial Mexicana (NOM).

Definiciones

Términos de Encriptado DefinicionesCriptosistemaSimétrico Un método de encriptado en el que la

misma clave se utiliza para el encriptado ydesencríptadodedatos.

CriptosistemaAsimétrico Unmétododeencriptadoenelqueseutilizandos claves diferentes: una para encriptar yotra para desencriptar los datos (ejemplo:encriptadodelaclavepública,oPKI)

POLITICA DE SEGURIDAD DEL SERVIDOR

PropósitoEl propósito de esta política es establecer bases para la configuración base del equipo del servidor interno que es propiedad o está siendo operado por Efectivale. La implementación efectiva de esta política minimizara el acceso no autorizado a la información y tecnología propiedad de Efectivale.

AlcanceEsta política se aplica al equipo del servidor propiedad u operador por Efectivale y a los servidores registrados bajo cualquier dominio de la red interna de Efectivale.

Esta política es específica para el equipo en la red interna de Efectivale. Para la configuración segura del equipo externo de Efectivale en la DMZ (red perimetral), consulte la Política de Seguridad de Internet DMZ.

Política1.1 Propiedad y responsabilidades

Todos los servidores internos desplegados en Efectivale, deben de ser propiedad de un grupo operativo que se encargue de la administración del sistema. Las normas aprobadas de la configuración del servidor deben de ser establecidas y mantenidas por cada grupo operativo, basadas en las necesidades comerciales y aprobadas por Efectivale. Los grupos operativos deben de vigilar el cumplimiento de la configuración y poner en práctica una política de excepción a la medida de su entorno. Cada grupo operativo debe de establecer un proceso para cambiar las normas de configuración, que incluyen revisión y aprobación de Efectivale.

Los servidores deben de estar registrados dentro del sistema corporativo gerencial de la empresa. Como mínimo se requiere la siguiente información para identificar positivamente el punto de contacto.


- Contacto y ubicación del servidor y copia de seguridad.

- Versión del Hardware y sistema operativo.

- En su caso, principales funciones y aplicaciones.

- La información en el sistema corporativo gerencial debe mantenerse actualizada.

- Los cambios de configuración para servidores de producción deben de seguir los procedimientos de gestión de cambios apropiados.

1.2 Normas de Configuración General

• La configuración del sistema operativo debe estar en conformidad con las normas aprobadas por Efectivale.

• Los servicios y aplicaciones que no serán utilizadas no deberán ser activadas.

• El acceso a los servicios debe de ser registrada y/o protegida a través de los métodos de control de acceso, tal como las cubiertas TCP.

• Los parches de seguridad más recientes deben de instalarse en sistema tan pronto como sea práctico, la única excepción, es cuando la aplicación inmediata interfiera con los requerimientos del negocio.

• Use siempre los principios de seguridad estándar de un acceso mínimo requerido para reutilizar una función.

• No utilice enrutadores cuando lo hará desde una cuenta sin privilegios.

• Sí una metodología para la conexión de un canal seguro está disponible (es decir, es técnicamente factible), el acceso privilegiado debe de llevarse a cabo a través de canales seguros, (por ejemplo, conexiones de red encriptadas usando SSH o IPSec)

• Los servidores deben de estar ubicados físicamente en un entorno de acceso controlado.

• Queda específicamente prohibido que los servidores operen en zonas no controladas.

1.3 Monitoreo

•Todos los eventos relacionados con la seguridad de los sistemas críticos o confidenciales deben de estar registrados en pistas de auditoria y deben de ser almacenadas como sigue:

Todos los registros relacionados con la seguridad se mantendrán en línea por un mínimo de una semana.

Las copias incrementales diarias de seguridad se conservarán al menos durante un mes.


Reservas semanales de cintas de registros completos se conservarán durante al menos 1 mes.

•Los eventos relacionados con la seguridad, serán reportados a Efectivale, quien los revisará e informará de los incidentes a la administración de Tecnologías Informáticas. Las medidas correctivas se prescriben según sea necesario. Los eventos relacionados con la seguridad incluyen, pero no se limitan a:

Ataques a puertos de exploración (port-scan)

Evidencia de acceso no autorizado a cuentas privilegiadas

Sucesos anómalos que no están relacionados con aplicaciones específicas del dispositivo.

1.4 Cumplimiento

• Las auditorias se llevarán a cabo de una forma regular por las organizaciones autorizadas dentro de Efectivale.

• Las auditorias serán gestionadas por el grupo de auditoria interna de acuerdo con la Política de Auditoria. Efectivale filtrará los hallazgos no relacionados con un grupo operativo específico y luego presentará los resultados al personal de apoyo apropiado para la remediación o justificación.

• Se hará todo lo posible para evitar que las auditorias causen interrupciones o fallos operativos

POLITICA DE SEGURIDAD DE INTERNET DMZ

PropósitoEsta política establece los requerimientos de la seguridad de la información para todas las redes y equipos desplegados en Efectivale y ubicados en internet en la zona desmilitarizada (DMZ).

El apego a estos requisitos minimizara el riesgo potencial de daño a la imagen pública de Efectivale, causados por el uso no autorizado de los recursos de Efectivale y la pérdida de datos confidenciales y/o la propiedad intelectual.

Alcance

Las redes y dispositivos de Efectivale, (incluyendo pero no limitando a enrutadores, switches, y hosts, etc.) que se enfrentan a internet y están situados fuera del servidor de seguridad del internet corporativo de Efectivale están considerados parte de la DMZ. Esto incluye el equipo DMZ del proveedor del servicio de internet primario (ISP) y las ubicaciones remotas. Todos los equipos existentes y futuros, que se enmarcan en el ámbito de aplicación de esta política, deben ser configurados de acuerdo a los documentos de referencia.

Esta política no aplica a los equipos que residen dentro de internet en las instalaciones del servidor de seguridad del corporativo de Efectivale.


Política1.1 Propiedad y Responsabilidades

1. Todos los sistemas DMZ deben presentar una justificación de negocio con el cierre de sesión en el nivel de unidad de negocio.

2. Las organizaciones propietarias son las responsables de asignar los administradores del sistema, puntos de contacto (POC), y una copia de seguridad POC, para cada sistema. Los propietarios deben de mantener la información POC actualizada con Efectivale. Los administradores del sistema o su copia de seguridad deben de estar disponibles las 24 horas del día en caso de emergencia.

3. Los cambios en la conectividad/o la finalidad de los sistemas DMZ y el establecimiento de nuevos sistemas DMZ, deben ser solicitados a través de una organización de red de apoyo y aprobado por Efectivale.

4. Todas las conexiones ISP deben de ser mantenidas por una organización de red de apoyo de Efectivale.

5. Una organización de red de apoyo debe mantener un dispositivo de seguridad de servidor entre la DMZ e internet.

6. La organización de red de apoyo y Efectivale se reservan el derecho de interrumpir conexiones si existe un problema de seguridad.

7. El propietario del sistema proporcionara y mantendrá los dispositivos de red desplegados en la DMZ hasta el punto de demarcación de la organización de la red de apoyo.

8. La organización de la red de apoyo debe registrar todos los espacios de direcciones de DMZ y la información del contacto actualizada en el sistema corporativo de administración de la empresa.

9. Los administradores del sistema DMZ son los responsables en última instancia de que sus sistemas DMZ cumplan con esta política.

10. El acceso inmediato a los registros de equipos y sistemas se debe conceder a petición de los miembros de Efectivale y a la organización de la red de apoyo de acuerdo con la Política de Auditoria de Análisis de Vulnerabilidad.

11. Las cuentas individuales de laboratorio deben de ser borradas dentro de los tres (3) días cuando el acceso no está autorizado. Las contraseñas de cuentas de grupo deben cumplir con la política de contraseñas y deben ser cambiados dentro de los tres días del cambio en la membresía del grupo.

12. Efectivale dirigirá las solicitudes de extensión de incumplimiento sobre una base caso por caso.

1.2 Requerimientos Generales de Configuración

1. La DMZ no debe estar conectada a la red interna de Efectivale ni directamente ni vía inalámbrica.

2. La DMZ debe estar físicamente separada de cualquier red interna. Si esto no es posible, el equipo


debe estar asegurado en un lugar con acceso limitado. Además, el sistema de administración debe de mantener una lista de quién tiene acceso a este equipo.

3. El sistema de administración es responsable de cumplir con las siguientes políticas relacionadas:

- Política de contraseñas

- Política de comunicación inalámbrica

- Política de Anti-Virus

4. Los dispositivos de seguridad de la red mantenidos por la organización de la red de apoyo deben de hacer sus configuraciones de acuerdo con los principios de menor acceso y las necesidades empresariales DMZ. Todos los filtros de los dispositivos de seguridad serán mantenidos por Efectivale.

5. Los dispositivos de seguridad de la red deben ser los únicos con punto de acceso entre la DMZ y las demás redes de Efectivale y/o de Internet. Cualquier forma de conexión transversal que pasa por el dispositivo de seguridad queda estrictamente prohibida. Las configuraciones originales de los dispositivos de seguridad de la red y cualquier modificación de los mismos, deben de ser revisados y aprobados por Efectivale (incluyendo ambas configuraciones generales y reglas establecidas). Efectivale puede requerir medidas adicionales de seguridad según sea necesario.

6. El tráfico DMZ a la red Interna, incluyendo los accesos a la VPN recae bajo la política de acceso remoto.

7. Todos los enrutadores y switches deben de ajustarse a los documentos de estandarización de los enrutadores y switches de la DMZ.

8. Los sistemas operativos de todos los hosts internos a la DMZ que estén ejecutando los servicios de internet, deben de estar configurados para las normas de instalación y seguridad ya establecidas.

9. Los parches actuales de seguridad son compatibles a todas las aplicaciones que se encuentran en los servicios de internet. Los grupos de propietarios administrativos deben de mantener procesos para mantenerse actualizados sobre las revisiones apropiadas de los parches.

10. Todos los parches y revisiones de seguridad recomendados por el proveedor deben de estar instalados. Los grupos de propietarios administrativos deben de mantener procesos para mantenerse actualizados sobre las revisiones apropiadas de los parches.

11. Los servicios y las aplicaciones que no sirven a los requerimientos el negocio, deben ser desactivados.

12. La administración remota debe llevarse a cabo a través de canales seguros (por ejemplo, las conexiones encriptadas de red utilizando SSH o IPSec, o acceso a la consola independiente de las redes DMZ)

13. DefinicionesTérminos de Seguridad de Internet/DMZ

Definición

ListasdeAccesodeControl(ACL) Las listas elaboradas por los enrutadores para controlar elaccesohaciaodesdeelenrutadorparaunaseriedeservicios(porejemplo,paraevitarquepaquetesconunadeterminadadirecciónIPdejenunainterfazparticularenelenrutador)


DMZ(ZonaDesmilitarizada) Las redesqueexisten fuerade losdispositivosprimariosdeseguridadde lareddeEfectivale,perotodavíaestánbajoelcontroladministrativodeEfectivale.

Organizaciones de Red deApoyo

CualquierorganizacióndereddeapoyoaprobadaporEfectivalequemanejelainterconexiónderedesfueradelaboratorio.

Accesomenosprincipal Elaccesoalosservicios,hostyredesesrestringidoamenosquesepermitalocontrario.

ServiciosdeInternet Serviciosqueseejecutanenlosdispositivosquesonaccesiblesdesdeotrosdispositivosatravésdeunared.LosprincipalesserviciosdeinternetincluyenDNS,FTP,HTTP,etc.

ReddeApoyoOrg.POD El punto en el que la red transfiere responsabilidad a unaorganizacióndelaReddeApoyoalsistemaDMZ,porlogeneralunenrutadoroundispositivodeseguridad.

AdministradordeSistemas ElindividuoresponsabledetodaslasactividadespersonalesydelsistemaDMZ.

Laboratorio Un laboratorio es cualquier entorno de no producción,destinadoespecíficamenteparaeldesarrollo,demostraciónypruebasdeunproducto.

Dispositivo de Seguridad de laRed(Firewall)

Un dispositivo que controla el acceso entre redes, talescomoPIX,unenrutadorconlistasdecontroldeacceso,oundispositivodeseguridadsimilaraprobadoporEfectivale.

RedInterna Una red interna dentro del Corporativo de Efectivale yconectadaalareddeproducción.

ESTÁNDAR DE CONFIGURACIÓN DEL DISPOSITIVO DE RED

Introducción

PropósitoEste documento describe una configuración de seguridad mínima requerida para todos los enrutadores, conmutadores y firewalls que se conectan a una red de producción o se utilizan en una extensión de producción o en representación de Efectivale por algún proveedor o tercero.

Asignación de responsabilidad

Las redes son diseñadas y administradas por los ingenieros de red que responden a la infraestructura de TI. Estas personas tienen la responsabilidad y autoridad sobre todos y cada uno de los dispositivos de red conectados a las redes de Efectivale. La seguridad de estos dispositivos y redes es responsabilidad y autoridad del personal de Seguridad de la Información que responde al SVP de Global Information Technology de FleetCor.

AlcanceTodos los routers y switches conectados a las redes de producción de Efectivale se ven afectados. Los


enrutadores y los conmutadores dentro de los laboratorios internos y seguros no se ven afectados. Los enrutadores y los conmutadores dentro de las áreas de DMZ también se incluyen en la Política de equipos DMZ de Internet.

Los puntos de acceso inalámbricos también están cubiertos por esta política. Este estándar de configuración debe aplicarse cuando se configuran nuevos dispositivos.

Los dispositivos de red heredados y los dispositivos pertenecientes a las entidades comerciales adquiridas pueden incorporarse a esta política siguiendo un enfoque pragmático y basado en el riesgo.

PolíticaCada enrutador, conmutador o cortafuegos debe cumplir los siguientes estándares de configuración:

1. La contraseña de habilitación en el enrutador debe mantenerse en un formato cifrado seguro y debe generarse de acuerdo con la política de contraseñas de Efectivale.

2. No permitir lo siguiente a menos que sea explícitamente necesario para los objetivos de negocio:

a. Broadcasts dirigidas por IP b. Paquetes entrantes en el enrutador originados con direcciones no válidas, como dirección las detalladas en el RFC1918 c. Solo debe estar el puerto 22 para administración con SSH habilitado. Los puertos que necesite abrir el área de negocio se deben solicitar a través de una ticket y llenando el formato FleetcorFirewallRequest d. Se deben deshabilitar todos servicios UDP. Los puertos que necesite el área de negocio abrir se debe solicitar a través de un ticket y llenando el formato FleetcorFirewallRequest e. Todos los enrutamientos de origen.

3. Utilizar cadenas de comunidad SNMP estandarizadas corporativas.

4. Las reglas de acceso deben añadirse a medida que surjan las necesidades del negocio. Utilice el formulario de solicitud de cambio de acceso a FleetCor Network para llevar a cabo un proceso formal para aceptar estas solicitudes de cambio.

5. Cuando proceda, cada dispositivo deberá tener la siguiente declaración expuesta con claridad:

ESTA PROHIBIDO EL ACCESO NO AUTORIZADO A ESTE DISPOSITIVO DE RED Usted debe tener permiso explícito para acceder o configurar este dispositivo Todas las actividades realizadas en este dispositivo pueden ser registradas y las violaciones de esta política pueden resultar en acción disciplinaria y pueden ser reportadas a la policía No hay ningún derecho a la privacidad en este dispositivo”.

6. Telnet nunca se puede utilizar en ninguna red para administrar un enrutador. SSH es el protocolo de gestión preferido. 7. Las nuevas conexiones y reglas del enrutador y del conmutador deben ser probadas y aprobadas de acuerdo con


la política de control de cambios de FleetCor antes de ser introducidas en las redes de producción.

8. La documentación que incluye diagramas de red se debe actualizar con cada cambio de dispositivo de red de producción. 9. Los firewalls deben estar ubicados en cada conexión a Internet y entre cualquier DMZ y la zona de red interna. 10. Los conjuntos de reglas de firewall, los conjuntos de reglas de enrutador y los conjuntos de reglas de ACL de conmutador deben revisarse cada seis meses con los para asegurarse de que la empresa aún exija su existencia. Utilice el formulario de solicitud de cambio de acceso a FleetCor Network para comprender la necesidad de estas reglas de firewall y la identidad de las partes interesadas.

11. Las tecnologías de control de acceso (firewalls, ACL, etc.) deben denegar el acceso por defecto y permitir el acceso sólo por exclusión justificada por el negocio.

12. Las redes internas deben utilizar NAT o una tecnología similar para impedir la divulgación externa de direcciones IP privadas e información de enrutamiento.

13. Los puntos de acceso inalámbricos deben soportar cifrado fuerte (WPA2) para la autenticación y transmisión de datos. Cuando sea necesario, esto puede requerir la actualización del firmware en el punto de acceso. 14. Los puntos de acceso inalámbricos deben configurarse para que se modifiquen otros valores predeterminados de seguridad, cuando proceda.

15. A medida que se conozcan nuevas vulnerabilidades y amenazas, este documento se actualizará y las configuraciones de red se actualizarán en consecuencia.

16. Los ingenieros de red deben mantener un conocimiento práctico de los parámetros de seguridad de los dispositivos que administran.

17. Todos los protocolos utilizados para la administración deben ser cifrados, incluyendo las transmisiones de autenticación / credenciales. Esto incluye el acceso a la consola web.

18. Las redes inalámbricas que transmiten datos de titulares de tarjetas deben implementar las mejores prácticas del sector (por ejemplo, IEEE 802.11) para la autenticación y transmisión de encriptación.

19. Los puertos de red en rosetas que no sean utilizados deben deshabilitarse administrativamente.

20. El control de acceso a la administración de los equipos de red se debe realizar de acuerdo a la Política de gestión de acceso a sistemas.

21. Los proveedores serán sujetos a las políticas de seguridad de dispositivos de red de Efectivale para el cuidado de la seguridad de nuestros clientes.

22. Un proceso para detectar redes inalámbricas deshonestas debe estar en su lugar. Si es manual, este proceso debe producirse trimestralmente. Si es automático, el proceso debe enviar alertas para los propósitos de respuesta


a incidentes. El proceso debe ser adecuado para detectar e identificar cualquier punto de acceso inalámbrico no autorizado, incluyendo tarjetas WLAN insertadas en componentes del sistema, dispositivos inalámbricos portátiles conectados a componentes del sistema (por ejemplo, USB, etc.) y dispositivos inalámbricos conectados a un puerto de red o dispositivo de red.

23. Los sistemas de detección de intrusos y / o sistemas de prevención de intrusiones deben utilizarse para supervisar todo el tráfico en el perímetro del entorno de datos del titular de la tarjeta, así como en puntos críticos en el entorno de datos del titular de la tarjeta. IDS / IPS debe alertar al personal de seguridad sobre todos los posibles compromisos. IDS / IPS debe mantenerse por instrucciones del proveedor para garantizar una protección óptima.

24. Los equipos deben tener habilitado la opción de bitácora de actividad del sistema para registrar todas las acciones realizadas por los administradores del equipo

25. Las redes de producción y de desarrollo deben de estar separadas en ambientes diferentes y en general las demás redes de la compañía como finanzas, recursos humanos, etc., estarán segregadas también de estas redes.

Definiciones

Términos Red de producción La “red de producción” es la red utilizada en el negocio diario de Efectivale. Cualquier red conectada al backbone corporativo, ya sea directa o indirectamente, que carece de un dispositivo cortafuegos intermedio. Cualquier red cuyos impedimentos resultarían en pérdida directa de funcionalidad para los empleados de Efectivale o afectaría su capacidad de trabajo.

Red de Laboratorio Una “red de laboratorio” se define como cualquier red utilizada para fines de pruebas, demostraciones, capacitación, etc. Cualquier red que esté aislada o fuera de las redes de producción y cuyo deterioro no cause pérdida directa a Efectivale ni afecta a la red de producción.

Listas de servicios

Servicios críticos La siguiente es una lista completa de servicios, protocolos y puertos necesarios para fines comerciales. Esta lista debe actualizarse con cada revisión de firewall semestral obligatoria: Servicios inseguros Los siguientes servicios son inseguros y sólo deben utilizarse si una función empresarial lo requiere. Verifique que sean necesarias y que las características de seguridad estén documentadas e implementadas para cada servicio. 20 / tcp FTP 21 / tcp FTP-DATA

23 / tcp TELNET

513 / tcp rlogin

113 / tcp ident

79 / tcp dedo


Revisiones al manualEsta política se revisará en forma anual o cada que haya un cambio relevante en alguna de las actividades y procedimientos que se escriben en la misma

Control de versiones

Versión Descripción Preparado por Aprobado por Fecha1.0 VersiónInicial JamesY. WaddaahK. Abril30,20122.0 DisposiciónGeneral

Integración de Políticas (de lomás general a lo más específico)Aplicación más detallada de lasdeclaracionesdetodaslaspolíticasTérminos añadidos y revisadossobre la Política de Uso AceptableCambios en la Po l í t i c a de Información ConfidencialParámetrosmásclarosenlaPolíticadecontraseñasCambiosmenoresenlaauditoriadeanálisis de vulnerabilidad CambiotécnicoenlaPolíticadeEncriptado(Longitudmínimadelaclave128)Aplicacióndelcontroldeversiones.

AlmirR. WaddaahK. Agosto23,2013

2.1 Correcciones menores en laspáginas7y17

AlmirR. WaddaahK. Septiembre30,2013

3.0 FormatodeajustefinoyrevisióndenumeraciónPolíticas que se dividieron entretodos losempleadosypersonaldetecnologíasinformáticas

AlmirR. WaddaahK. Julio16,2014

3.1 Revisión Anual, aclaración decomplejidaddecontraseñas.

JudyFarley WayneProctor

Noviembre19,2015

3.5 Revisión Anual, Consolidado conpolíticasComdata

AlmirR. WaddaahK. Septiembre12,2016

3.6 Ajustes para reflejar cumplimientoconAnexo28delSAT

J o r g eValenzuela

ErichStaeps Marzo2017


Comité de Seguridad

DirectordeRecursosHumanos

_____________

ManuelSantos

DirectordeOperaciones

_____________

LuisMeneses

JefedeServidores,Infraestructura

_____________

JorgeValenzuela

GerentedeSistemas

_____________

AlejandroValle

DirectordeFinanzasDirectorGeneral

__________________________________

LauraCristernaPedrodelaPeñaKuri

Política de Seguridad de la Informaciónbuzonsugerenciasempleados.com/docs/info_sec.pdf · Estas...

Documents

Transcript of Política de Seguridad de la Informaciónbuzonsugerenciasempleados.com/docs/info_sec.pdf · Estas...