SEGURIDAD DE LA INFORMACION

SEGURIDAD DE LA INFORMACION

Algunas EstadsticasEstadsticas internacionales indican que entre el 2006 y el 2009, la cantidad de casos reportados en Estados Unidos se increment de 8.4 a 11.1 millones de personas. Segn una infografa sobre el robo de identidad, con datos de CreditRepair.org, el fraude ocasionado por este delito asciende a 54 mil millones de dlares.El 47% de las vctimas perpetradas son personas que afirman conocer al atacante, dado que gran parte de los ataques se realizan utilizando tcnicas de Ingeniera Social.En Ecuador, por ejemplo, segn datos de la Polica Judicial , en el ao 2009 se realizaron 891 denuncias asociadas al robo de identidad. En Mxico, este tipo de delito se ha incrementado en los ltimos aos acompaando el crecimiento global y ha alcanzado a generar prdidas de hasta 9 millones de dlares anuales.En Argentina, durante el 2005, se realizaron ms de 1700 denuncias de identidades robadas segn la Procuracin General de la Nacin.

RIESGOSLos riesgos, en trminos de seguridad, se caracterizan por lo general mediante la siguiente ecuacin.

La amenaza, representa el tipo de accin que tiende a ser daina.La vulnerabilidad, (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposicin a las amenazas en un contexto particular. La contramedida, representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.

Riesgos OperativosGESTION DE RIESGOS OPERATIVOS2116-2009

EVENTOS DE PERDIDAGESTION DE LA SEGURIDADG140-2009GESTION DE LA CONTINUIDADG139-2009Objetivos de la Seguridad de la Informacin.La seguridad informtica se resume, por lo general, en cinco objetivos principales:Integridad: garantizar que los datos sean los que se supone que sonConfidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambianDisponibilidad: garantizar el correcto funcionamiento de los sistemas de informacinEvitar el rechazo: garantizar de que no pueda negar una operacin realizada.Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursosUn Enfoque global.Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos:Concientizar a los usuarios acerca de los problemas de seguridadSeguridad lgica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compaas.Seguridad en las telecomunicaciones: tecnologas de red, servidores de compaas, redes de acceso, etc.Seguridad fsica, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los lugares abiertos al pblico, las reas comunes de la compaa, las estaciones de trabajo de los empleados, etc.

Causa de la inseguridadGeneralmente la Inseguridad se puede Dividir en dos categoras:Un estado de inseguridad Activo; es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dainas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita)Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan)

COMIT DE SGSIEl comit de seguridad de la FEPCMAC estar integrado por los siguientes miembros:Gerencia de Desarrollo.Gestor de Seguridad (Encargado de Riesgos) Asistente informtico.

Este comit es el que se encargue de dar seguimiento al cumplimiento de la normativa y propicie el entorno necesario para crear un SGSI CRITERIOS TOMADOSSeguridad Organizacional, Dentro de este, se establece el marco formal de seguridad que debe sustentar la institucin, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnologa, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anmalas a la seguridad. Seguridad Lgica, Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentacin sobre sistemas, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, seleccin y aceptacin de sistemas, hasta el control de software malicioso. Seguridad Fsica, Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en la importancia de los activos. Seguridad Legal, Integra los requerimientos de seguridad que deben cumplir todos los empleados y usuarios de la red institucional bajo la reglamentacin de la normativa interna de polticas y manuales de procedimientos de la FEPCMAC en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, as como cuestiones relacionadas con la legislacin del pas y contrataciones externas. ORGANIZACIN DE LA SEGURIDAD INFORMTICAGERENCIA MANCOMUNADA. Autoridad de nivel superior que integra el comit de seguridad. Bajo su administracin estn la aceptacin y seguimiento de las polticas y normativa de seguridad en concordancia con las autoridades de nivel superior. GESTOR DE SEGURIDAD, Persona dotada de conciencia tcnica, encargada de velar por la seguridad de la informacin, realizar evaluaciones de seguridad, elaborar documentos de seguridad como, polticas, normas; y de llevar un estricto control con la ayuda del asistente de soporte a usuarios de TI.ASISTENTE DE SOPORTE DE USUSARIOS DE TI, La persona, que vela por todo lo relacionado con la utilizacin de computadoras, sistemas de informacin, redes informticas, procesamiento de datos e informacin y la comunicacin en s, a travs de medios electrnicos. RESPONSABLE DE ACTIVOS, Personal dentro de los diferentes departamentos de la institucin, que velar por la seguridad y correcto funcionamiento de los activos informticos, as como de la informacin procesada en stos, dentro de sus respectivas reas o niveles de mando. SEGURIDAD ORGANIZACIONALPOLITICAS DE SEGURIDAD Los servicios de la red institucional son de exclusivo uso laboral, acadmico, de investigacin, tcnicos y para gestiones administrativas de ndole institucional, cualquier cambio en la normativa de uso de los mismos, ser expresa y adecuada como poltica de seguridad en este documento. El Asistente de soporte a usuarios de TI es el encargado de mantener en buen estado los servidores dentro de la red institucional.Todo usuario de la red institucional de la FEPCMAC, gozar de absoluta privacidad sobre su informacin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilcitos o contraproducentes para la seguridad de la red de la empresa, sus servicios o cualquier otra red ajena a la institucin SEGURIDAD ORGANIZACIONALEXCEPCIONES DE RESPONSABILIDAD Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las polticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas. Estas excepciones debern ser solicitadas formalmente y aprobadas por el comit de seguridad, con la documentacin necesaria para el caso, siendo la gerencia quien d por sentada su aprobacin final SEGURIDAD ORGANIZACIONALRESPONSABILIDAD POR LOS ACTIVOS El personal de cada departamento es responsable del activo fijo asignado.El personal velar por la salvaguarda de los activos fsicos (hardware y medios magnticos, aires acondicionados, mobiliario.), activos de informacin (Bases de Datos, Archivos, Documentacin de sistemas, Procedimientos Operativos, configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)El asistente de soporte a usuarios de TI es el responsable de la seguridad de la informacin almacenada en los recursos que administra.SEGURIDAD ORGANIZACIONALCAPACITACION AL PERSONALLos usuarios de la red institucional, sern capacitados en cuestiones de seguridad de la informacin, segn sea el rea operativa y en funcin de las actividades que se desarrollan. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitacin a personal ajeno o propio de la institucin, siempre y cuando se vea implicada la utilizacin de los servicios de red o se exponga material de importancia considerable para la institucin SEGURIDAD LOGICAADMINISTRACION DE ACCESO A LOS USUARIOS Son usuarios de la red institucional personal de la FEPCMAC y toda aquella persona, que tenga contacto directo como empleado y utilice los servicios de la red institucional de la FEPCMAC.Se asignar una cuenta de acceso a los sistemas y/o aplicativos de la intranet, a todo usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relacin con la institucin fuera del mbito de empleado y siempre que tenga una vinculacin con los servicios de la red institucional. No se proporcionar el servicio solicitado por un usuario departamento rea, sin antes haberse completado todos los procedimientos de autorizacin necesarios para su ejecucin. El sistema no aceptar contraseas con una longitud menor a la expresada en la poltica de creacin de contraseas SEGURIDAD LOGICARESPONSABILIDADES DEL USUARIO El usuario es responsable exclusivo de mantener a salvo su contrasea.Se debe evitar el guardar o escribir las contraseas en cualquier papel o superficie o dejar constancia de ellas, amenos que sta se guardada en un lugar seguro.El usuario es responsable de evitar la prctica de establecer contraseas relacionadas con alguna caracterstica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaos o alguna otra fecha importante. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la informacin almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contrasea, el cual deber activarse en el preciso momento en que el usuario deba ausentarse. Las contraseas deben ser memorizadas desde el mismo momento en que le es asignada. Es importante que el usuario establezca contraseas fuertes y desligadas de su vida personal o de su entorno familiar o no emplean do formatos comunes de fechas. SEGURIDAD LOGICARESPONSABILIDADES DEL USUARIO USO DE CORREO ELECTRONICOEl servicio de correo electrnico, es un servicio gratuito, y no garantizable, se debe hacer uso de el, acatando todas las disposiciones de seguridad diseadas para su utilizacin y evitar el uso o introduccin de software malicioso a la red institucional. El correo electrnico es de uso exclusivo, para los empleados de la FEPCMAC y directores de la misma. El usuario ser responsable de la informacin que sea enviada con su cuenta.El comit de seguridad, se reservar el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red institucional. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para distribuir de forma ilegal licencias de software o reproducir informacin sin conocimiento del autor SEGURIDAD LOGICAAcceso a internet El servicio de Internet de la FEPCMAC se utiliza como una herramienta de apoyo complementaria a los sistemas y aplicativos utilizados en las unidades de negocio y cuenta nicamente con los siguientes protocolos habilitados para tal fin: http, https, smtp y ssl, limitndose la descarga de archivos de video de entretenimiento, la descarga de msica, los servicios en lnea de televisin o radio y aplicaciones de escritorio remoto, aplicaciones P2P, mensajera instantnea, entre otros servicios que demanden altos consumos de ancho de banda.Las facilidades de Internet de la FEPCMAC no deben ser utilizados deliberadamente para violar de forma alguna las leyes y regulaciones de cualquier nacin, departamento, provincia o estado, ciudad o jurisdiccin local.Los usuarios pueden utilizar las facilidades de Internet para investigacin y bsquedas no relacionadas con su trabajo, pero que contribuyan a su mejoramiento personal o profesional, en las horas no hbiles.Se encuentra denegado el acceso a pginas Web cuyo contenido quede catalogado por el sistema como: Adult/Sex, Violence, Games, Hacking Gambling SEGURIDAD FISICASEGURIDAD DE LOS EQUIPOS El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cables, llmese a estos de corriente o energa elctrica, para evitar interferencias. Los servidores, sin importar la tarea realizada, con problemas de hardware, debern ser reparados localmente, de no cumplirse lo anterior, debern ser retirados sus medios de almacenamiento. Los equipos o activos crticos de informacin y proceso, debern ubicarse en reas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las personas responsables por esos activos.El soporte tcnico a las estaciones de trabajo y servidores, es responsabilidad de la Asistente de soporte a usuarios de TI.

SEGURIDAD FISICACONTROLES GENERALESEn ningn momento se deber dejar informacin sensible de robo, manipulacin o acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta informacin.

SEGURIDAD LEGALCUMPLIMIENTO DE REQUISITOS LEGALES Licenciamiento de Software: La FEPCMAC, se reserva el derecho de respaldo, a cualquier personal de las reas, ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratera de software. Todo el software comercial que utilice la FEPCMAC, deber estar legalmente registrado, en los contratos de arrendamiento de software con sus respectivas licencias. La adquisicin de software por parte de personal que labore en la institucin, no expresa el consentimiento de la institucin, la instalacin del mismo, no garantiza responsabilidad alguna para la FEPCMAC, por ende la institucin no se hace responsable de las actividades de sus empleados. Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus desarrolladores, la FEPCMAC respeta la propiedad intelectual y se rige por el contrato de licencia de sus autores. El software comercial licenciado a la FEPCMAC, es propiedad exclusiva de la institucin, la misma se reserva el derecho de reproduccin de ste, sin el permiso de sus autores, respetando el esquema de cero piratera y/o distribucin a terceros. Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad absoluta de la FEPCMAC.Cualquier cambio en la poltica de utilizacin de software comercial o software libre, se har documentado y en base a las disposiciones de la respectiva licencia. El software desarrollado internamente, por el personal que labora en la institucin es propiedad exclusiva de la FEPCMAC.