DRP-POLITICAS DE SEGURIDAD PCS Y SERVICIOS DE RED€¦ · Altiva el cual se encuentra localizado en...

Políticas de Tecnología de Información

Nombre de la Política Políticas de Seguridad Pc´s y Servicios de Red Fecha de Emisión 26 de Agosto del 2002 Fecha de Revisión Enero de 2012 Fecha de Vigencia Permanente Coordinador de Política Ing. José Luis Benítez Santana

GO- DRP-PC´s y Servicios de Red-01. 1 de 27

Políticas de Seguridad

PC´s y Servicios de Red. AUTORIZACIONES:

Ing. Manuel Ruiz Pascual Ing. Luis Alejandro Cabrera [Director Corporativo de T.I.] [Gerente Infraestructura de T.I.]




1. OBJETIVOS Establecer las normas de resguardo, integridad y seguridad de la información contenida en los equipos de cómputo de escritorio, portátiles, Servidores de Red, Servidores de Correo Electrónico, Servidores de Comunicaciones, dispositivos de enlace LAN / WAN y en general en todos los recursos de cómputo que Comercial Mexicana de Pinturas S.A de C.V. y Filiales proporcione a sus empleados para el desempeño de sus funciones dentro de la empresa o cualquiera de sus empresas filiales

2. ALCANCE Esta política aplica para todos los usuarios de estos recursos de Comercial Mexicana de Pinturas S.A. de C.V.y Filiales, sea cual sea su forma de acceso, rango dentro de la empresa y localización.

3. CONSIDERACIONES GENERALES Para la aplicación de estas normas se hacen presentes las siguientes consideraciones generales:

• El centro de cómputo principal se encuentra localizado en Distribuidora Kroma S.A de C.V. con domicilio en Lote 2 Km 33.5 de la Autopista México – Querétaro Colonia Ex-Hacienda de Lechería Municipio de Tultitlán, Estado de México. C. P. 54940; donde se encuentra en operación el Computador iSeries 570 principal del Grupo Comex.

• El centro de cómputo corporativo se encuentra localizado en el edificio denominado Torre

Altiva el cual se encuentra localizado en Boulevard Manuel Ávila Camacho N.138, PH 2, Colonia Lomas de Chapultepec, C.P. 11570, Delegación Miguel hidalgo; México D.F.

• Los centros de cómputo satélites, son denominados a aquellos donde se tiene equipos de

comunicaciones y de servicio de red, los cuales pueden aplicar para el área metropolitana o en el interior de la república (por ejemplo Distribuidora Kroma Minatitlán, Ver.)

• Los coordinadores de soporte técnico TI de cada entidad, técnicos e ingenieros de soporte

y los operadores del centro de cómputo (ver anexo de Centro de Comando PC´s y Servicios de Red), son los responsables de su aplicación.

• Los coordinadores de operación de TI, son adicionalmente responsables de promover y

hacer cumplir la presente política mediante la supervisión y definición de controles que garanticen su cumplimiento.

• La coordinación de Seguridad de TI, es la responsable de la supervisión continua y

detallada de todas las políticas y normas de seguridad, emitiendo recomendaciones y amonestaciones a las entidades que no cumplan con las normas establecidas en este documento.




• El área de auditoria informática es la responsable de realizar auditorias periódicas que establezcan controles para que todos los puntos definidos en esta política se cumplan al pie de la letra.

• Estas Normas de seguridad se encuentran referenciadas en el plan de Recuperación en

caso de desastre (DRP) de Comercial Mexicana de Pinturas S.A. de C.V. 4. Computadores Personales (PC´s) Definimos como computadores personales a todos los equipos de cómputo (PC´s de escritorio, portátiles, impresoras, agendas, dispositivos de acceso remoto, etc.) que Grupo COMEX asigna a sus empleados para el buen desempeño de sus funciones dentro de la empresa. Estos computadores personales son propiedad del Grupo COMEX y tanto los usuarios que los tienen asignados como el personal de TI deben acatar las siguientes normas de seguridad para ellos.

• El usuario debe firmar la carta responsiva correspondiente al momento de su asignación; verificando que el equipo corresponda en todas sus características y números a los asentados en ésta carta y entregarla al coordinador de T.I. de su entidad para su resguardo, quien a su vez enviará una copia al coordinador de la Mesa de Ayuda.

• El resguardo y uso del equipo de computo asignado propiedad de Comercial Mexicana de

pinturas S.A de C.V y de cualquiera de sus empresas es exclusivo para los usuarios que han sido autorizados a utilizar el mismo, el cual ha sido otorgado para el desempeño de sus funciones dentro de la empresa; motivo por el cual el servicio es único e intransferible y el usuario autorizado es responsable del buen uso que le de a este servicio.

• Comercial Mexicana de Pinturas S.A. de C.V. y sus empresas filiales se reservan el

derecho de cancelar la asignación y recoger el equipo y su información contenida cuando lo considere conveniente y proceder de manera legal ante las autoridades competentes por cualquier abuso en el uso, divulgación, robo de información y cualquier otra actividad que se considere afecta los intereses de la empresa.

• Los usuarios externos a grupo Comex deben de firmar la carta responsiva correspondiente

a “terceros” y sujetarse a las políticas de seguridad informática establecidas en este documento.

• Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales de los

demás usuarios conectados a la red.

• El personal de T.I. no podrán remover del sistema ninguna información del usuario a menos que la información sea de carácter ilegal, o ponga en peligro el buen funcionamiento de los sistemas, o se sospeche ser de algún intruso utilizando ilegalmente el recurso de cómputo, dando aviso al Coordinador de Seguridad.




• Utilizar este recurso informático solo para las funciones que le fueron asignadas dentro de

la empresa, quedando prohibido la realización de trabajos personales o cualquier otra actividad diferente a su función.

• Es obligación del Coordinador de T.I. del sitio revisar la correcta configuración de estos

equipos por lo menos cada 6 meses, además de coordinar su mantenimiento preventivo una vez al año. Los equipos operando en condiciones ambientales adversas como polvo, gases y solventes estarán sujetos a un mantenimiento preventivo semestral.

• Solo el personal de T.I. puede realizar instalaciones, desinstalaciones y cambios de

Hardware y Software en estos equipos, quedando prohibido para todos los usuarios realizar alguna de estas actividades, y el personal de T.I. las ejecutará condicionadas a que estén bajo los estándares vigentes y verificando previamente la legalidad del software.

• Es responsabilidad del Coordinador de T.I. del sitio verificar que todos los equipos de

computo conectados a la red u operando sin conexión tengan la última actualización del antivirus corporativo definido por la Dirección de T.I. corporativa y la coordinación de seguridad de la información.

• Los computadores personales no deben de tener fondos de pantalla y/o protectores

obscenos que ofendan la moral de sus compañeros de trabajo y/o limiten o degraden la buena presencia e imagen de Comercial Mexicana de Pinturas.

• No esta permitido hacer uso de huecos de seguridad, programas o accesos no autorizados

que alteren la seguridad, consistencia o que dañen cualquier sistema de cómputo. • En caso de que los sistemas se encuentren amenazados por algún hacker o por cualquier

amenaza a la seguridad del sistema y si así es requerido por el coordinador de T.I. del sitio, el usuario tiene la obligación de cambiar su password de manera inmediata y colaborar en lo que sea necesario.

• Si por alguna razón el usuario se percata de cualquier hueco, falla de seguridad o

inconsistencia en cualquier sistema de cómputo el usuario esta obligado a reportarlo de inmediato al personal de T.I. del sitio y este a su vez al coordinador de Seguridad de T.I. para que se tomen las pertinentes que eliminen ó reduzcan los riesgos detectados.

• Es responsabilidad de la Gerencia de Infraestructura de T.I. contar siempre con un

inventario actualizado de todos los equipos de cómputo con los que cuenta Comercial Mexicana de Pinturas S.A. de C.V.




5. SERVICIOS DE RED WINDOWS NT / 2000 / 2003, 2008 / XP 5.1 Objetivo Específico. Asignar un código de acceso seguro, intransferible y renovable trimestralmente a cada uno de los usuarios de la red LAN/WAN Windows de COMEX, mediante el cual dispongan de los recursos de cómputo necesarios para el desempeño de sus funciones dentro de la empresa del Grupo en la cual laboran, manteniendo los niveles de seguridad requeridos para el resguardo de toda la información contenida en este equipo y en todos sus aplicaciones, la cual es propiedad de COMEX. 5.2 Nombre de Usuario (USER_ID)

Esta clave es personal e intransferible y es responsabilidad de cada usuario el buen uso de la misma; el cual será registrado por los mecanismos de bitácora, rastreo y seguridad disponibles en la empresa para los fines legales que a COMEX convengan. Esta clave de acceso otorga al usuario su registro en el dominio de red correspondiente, la correcta conexión y validación de permisos los cuales le darán el acceso para hacer uso de los recursos de red que hayan sido habilitados para el desempeño de sus funciones como pueden ser acceso a carpetas compartidas, uso de impresoras, correo electrónico interno y externo, navegación sobre Internet, etc. La Dirección Corporativa de T.I. establecerá el control de los dominios de red con los que cuente COMEX, servidores de respaldo y de otros servicios; siendo esta la responsable a través de la coordinación de seguridad de la información de asignar los dominios de red que considere adecuados para la mayor seguridad de la información.

La clave del usuario para acceder a la red LAN/WAN Windows NT/2000/2003/XP de COMEX es nemotécnica y consta de 10 caracteres los cuales se conforman a partir de las siglas de la empresa donde labora; la primera letra del primer nombre del usuario, y las siguientes 6 letras de su apellido paterno.




5.2.1 Nomenclatura Esta formada por 10 caracteres de la siguiente forma:

xxx x xxxxx x Optativo Apellido Paterno Nombre Sigla de la Empresa

5.2.2 Siglas de la Empresa Las primeras tres posiciones son caracteres que indica la Empresa a la que pertenece el usuario:

EMPRESA

SIGLAS

Amercoat AME CFI Polanco CED CIP CIP Corporativo COR CD Tultitlan KRO CD Guadalajara GDL CD Minatitlán MIN CD Monterrey MTY Empresa Aga AGA Fábrica de Pinturas Universales FPU Meridiam MER Planta Tepéxpan TPX

Para los casos de nuevas empresas, cambios de razón social, baja o fusiones ínter compañías de COMEX, la coordinación de seguridad de la información será la responsable de asignar nuevas siglas a las entidades resultantes y la posterior actualización de esta política.




5.2.3 Nombre El cuarto caracter indica el nombre del usuario.

Ejemplo:

A= Aida G= Guadalupe D= Diana

5.2.4 Apellido Paterno De la quinta a la décima posición son caracteres que indican el apellido paterno del usuario. Ejemplo: ♦ Aida ♦ Ferrer ♦ Hernández 5.2.5 Optativo

La décima posición es un caracter que permite desempatar los nombres y apellidos similares. Por ejemplo: AGAAGARCIA - Alejandro García Soberanes AGAAGARCIL - Armel García López AGAAGARCIG - Aaron García Aguilar AGAGRODRIG - Gregorio Rodríguez Mendoza AGAGRODRIC - Gerardo Rodríguez Carrera AGAGRODRIM - Guadalupe Rodríguez Murillo

EJEMPLOS DE USER_ID

AGALCRUZ - Luis Cruz AGAJTORRES - Juventino Torres AGADTORRES - Daniel Torres AGANCORONA - Norma Corona AGAFORTEGA - Francisco Ortega




5.3 PASSWORD (CONTRASEÑA DE SEGURIDAD) La palabra secreta únicamente es conocida por cada usuario y debe ser intransferible, toda actividad que es realizada con ella, es registrada en un sistema de seguridad de la red LAN/WAN Windows NT/2000/2003/XP. Esta se compone de diez caracteres alfanuméricos como mínimo. Cuando se teclea, por confidencialidad el Sistema solo representa un (*) asterisco. En caso de detectar a un usuario trabajando con un User ID ajeno de cualquier tipo de servicio, el coordinador de seguridad de la información enviará una observación al departamento de auditoria y deshabilitara las cuentas hasta que se realice la investigación pertinente, el comité de seguridad evaluara el caso y determinara la sanción correspondiente. El personal de TI no tiene forma de conocer los password de los usuarios.

5.3.1 Restricciones para crear el password La contraseña no puede ser consecutiva a la anterior, por ejemplo:

Anterior = ABCDE201 Nueva = ABCDE202.

5.3.2 Expiración de la palabra secreta (password)

El sistema de seguridad y acceso de la red LAN/WAN Windows NT/2000/2003/XP esta programado para que cada tres meses la palabra secreta caduque, por lo que el usuario deberá de cambiarla antes de que este lapso de tiempo expire; en caso contrario el usuario no tendrá acceso y deberá hacer su solicitud de habilitación del User ID a través de reporte al Help Desk.

5.3.3 Bitácora Windows NT / 2000 / 2003 / XP El sistema Windows NT/ 2000 / 2003 cuenta con un sistema de seguridad que registra las entradas y salidas al sistema, los requerimientos de seguridad fallidos y las colisiones entre direccionamiento ip de cada uno de los equipos; los operadores de todos los centros de cómputo serán responsables de vigilar los registros de esta bitácora con la finalidad de evitar fallas en la seguridad.

5.3.4 Bloqueo automático de User_Id El sistema sólo permitirá 3 intentos para acceder a la red LAN/WAN Windows. De no introducir la palabra secreta (password) autorizada, el sistema deshabilitará la clave de usuario (User_ID), impidiéndole una oportunidad más. Para habilitar nuevamente la clave de acceso del usuario y la terminal, el usuario deberá hacer su solicitud de habilitación del User ID a través de reporte a la Mesa de Ayuda.




6. Máximo Nivel de Seguridad (ADMINISTRADOR DE DOMI NIO) Dependiendo de la localidad el responsable de la seguridad en el servidor de dominio Windows NT / 2000 / 2003 es el Coordinador del Centro de Cómputo, el coordinador de T.I. del sitio y el coordinador de seguridad del Grupo COMEX, solo este personal deberá conocer esta clave (ADMINISTRADOR DE DOMINIO) máximo nivel de seguridad en el sistemas Windows NT/2000/2003/2008, XP, cuyo password se guarda en un sobre en la caja de seguridad de cada uno de los centros de cómputo y otra copia del mismo está bajo la custodia del Director de Tecnologías de Información Corporativo, el cual solo lo puede abrir en caso de contingencia informática. Todos los coordinadores de TI responsables de cada entidad deberán enviar esta clave de acceso trimestralmente a la Coordinación de seguridad de la información en sobre cerrado y ésta a su vez lo validará y enviará al Director de Tecnologías de Información Corporativo, para su resguardo. El uso indebido de esta clave de acceso, será sancionado conforme a los derechos de propiedad y confidencialidad que establece la ley; COMEX, a través de la representación legal que designe se reserva el derecho de utilizar todos los elementos de auditoria informática y rastreo de fuga de información para los fines que considere necesarios.




6.1 FORMATO DE ACCESO DE MÁXIMA SEGURIDAD

GRUPO COMEX, S.A.

DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN A CONTINUACIÓN SE MENCIONA EL USUARIO DE MAYOR NIVE L DE SEGURIDAD Y SU RESPECTIVO PASSWORD PARA EL SISTEMA WINDOWS NT SERV IDOR DE DOMIIO LOCALIZADO EN DISTRIBUIDORA KROMA S.A. DE C.V. CON DOMICILIO EN VÍA JOSE LOPEZ PORTILLO 299, COLONIA GUADALUPE VICTORIA, C.P . 55010, ECATEPEC ESTADO DE MÉXICO.

USER_ID PASSWORD

ADMINISTRATOR A2W3XYZ1fW

ESTA CLAVE ES DE USO RESTRINGIDO Y DE ALTO NIVEL DE CONFIDENCIALIDAD




7. RESPALDOS DE INFORMACIÓN 7.1 Objetivo Específico Obtener una copia confiable de los datos almacenados en los servidores de red Windows (servidores de dominio, base de datos, archivos y correo electrónico) con la finalidad de resguardarlos en la caja de seguridad destinada para esto en cada uno de los centros de cómputo sea cual sea su clasificación la cual esta descrita en las consideraciones generales, garantizando la seguridad e integridad de la información propiedad de COMEX. Este procedimiento aplica para respaldar los datos almacenados en los servidores de red Windows, en dispositivos magnéticos removibles. 7.2 Tipos de Respaldos El servicio que proporcionan los servidores de red Windows son compartidos y proporcionados por el área de Tecnologías de Información a nivel Corporativo. Todos los servidores de red Windows deben de ser respaldados con el software de respaldo definido como estándar por la Dirección Corporativa de T.I. y la Coordinación de Seguridad Informática, siendo este punto elemento clave para su recuperación inmediata en caso de contingencia. Los computadores señalados en las consideraciones generales deben de ser respaldados por sus operadores ó coordinadores de T.I. con los siguientes tipos de respaldos: 7.2.1 Diario Este respaldo debe realizarse de manera automática diariamente durante el transcurso de las 22:00: AM a las 6:00 AM considerando no afectar el horario de acceso de usuarios y es del tipo de respaldo llamado Diario; es responsabilidad del operador y/ó coordinador de entidad verificar que este respaldo se concluya de manera satisfactoria. Las cintas para este tipo de respaldo deben estar rotuladas con los días de la semana a respaldar, esto es Lunes, Martes, Miércoles, Jueves y Viernes, etc, y proceder a su rotación semanal a las cuales solo se les debe cambiar la fecha del día y mes según sea el caso. Las etiquetas de los medios de respaldo deben contener como datos mínimos aceptables los descritos en la siguiente etiqueta de ejemplo:

GRUPO COMEX, S.A. DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN RESPALDO DIARIO LUNES FECHA 15/ENERO/2001 REVISO DIANE BASTIDA COORDINADOR TI PABLO MARCIN No. DE CINTA ½ TIPO DE CINTA RECICLABLE




Datos Variables El coordinador de operaciones del sitio tiene la facultad de cambiar estos horarios de respaldo según considere conveniente o acorde a las cargas de trabajo de los servidores de red, pero no esta facultado a omitir este respaldo sin la autorización del la coordinación de seguridad de la información. Una vez realizado este respaldo se debe proceder a su resguardo inmediato en la caja d e seguridad del sitio . 7.2.2 Mensual El proceso de este respaldo total de Sistema y Archivos o realiza el operador del centro de cómputo al final de cada mes, conforme a procedimiento generado por el Coordinador de C. De Cómputo, siendo recomendable el primer sábado del mes siguiente, para garantizar la total integridad del cierre mensual; es responsabilidad del operador verificar que este respaldo se concluya de manera satisfactoria. Este respaldo se realiza con sistema dedicado, esto es, que ningún usuario debe estar trabajando con el equipo o conectado a el; esto es con la finalidad de evitar que existan archivos abiertos y ocurran inconsistencias en la información resguardada. Las cintas para este tipo de respaldo deben estar rotuladas con el mes del año a respaldar, esto es Enero, Febrero, Marzo, etc. a las cuales solo se les debe cambiar la fecha del día y mes según sea el caso. Las etiquetas de los medios de respaldo deben contener como datos mínimos aceptables los descritos es la siguiente etiqueta de ejemplo:


SEGURIDAD DE LA INFORMACIÓN RESPALDO MENSUAL ENERO DE 2001 FECHA 3/FEBRERO/2001 REVISO DIANE HERNANDEZ COORDINADOR TI PABLO MARCIN No. DE CINTA 1/2 TIPO DE CINTA HISTORICA

Datos Variables El coordinador de operaciones del sitio tiene la facultad de cambiar estos horarios y fecha de respaldo según considere conveniente o acorde a las cargas de trabajo del computador, pero no esta facultado a omitir este respaldo sin la autorización del la coordinación de seguridad de la información. Las cintas derivadas de este respaldo se consideran históricas y no deben de ser recicladas.




Para el Centro de Cómputo principal y corporativo u na vez realizado este proceso se debe proceder a su resguardo en la caja de seguridad cor respondiente. Para el Centro de Cómputo Corporativo, una vez realizado este proceso deberá enviar sus respaldos a Distribuidora Kroma S.A de C.V. con domicilio en Lote 2 Km 33.5 de la Autopista México – Querétaro Colonia Ex-Hacienda de Lechería Municipio de Tultitlán, Estado de México. C. P. 54940, con atención al coordinador de TI de la entidad quien resguardara estos respaldo en la caja de seguridad destinada para este fin. Los centros de cómputo satélites conservarán estos respaldos en las cajas de seguridad destinadas para este fin dentro del sitio. Una vez recibidos estos paquetes en cada uno de los sitios correspondientes, el coordinador de T.I. del sitio deberá de revisar el contenido del mismo verificando que los sobres se encuentren debidamente cerrados y no presenten alteración alguna, posteriormente se debe dar aviso al Centro de Cómputo origen de la recepción exitosa, no debiendo existir nunca un retrazo mayor a 12 horas después del envío; cualquier anomalía de este tipo deberá ser reportada a la coordinación de seguridad de la información de manera inmediata. 7.2.3 Especial Este tipo de respaldo se debe realizar cuando se dan las siguientes situaciones de trabajo:

• Cambios a la configuración de los Servidores de Red: Esto es cuando se agrega o elimina hardware o software, o se realizan cambios en los parámetros de seguridad y control del mismo. Para este caso se realiza un respaldo del tipo Total ; este tipo de cambios de configuración y actualizaciones deben ser autorizados por la coordinación de seguridad de la información y documentados en la bitácora de operación diaria del sistema.

• A petición del usuario: Se realiza cuando el usuario solicita al coordinador de operaciones de

TI el respaldo de algunos archivos o bases de datos, este es del tipo Parcial y solo incluye las carpetas solicitadas; esta solicitud debe ser realizada a través del Help Desk y autorizada por la coordinación de seguridad de la información.

• Preventivo de última hora: Cuando se es notificado de algún acontecimiento fuera de lo

normal que pudiese afectar la operación de los sistemas en los días siguientes (rebelión, sismo, incendio, amenaza de guerra, etc); este tipo de respaldo queda a consideración del operador del sistema y puede ser también ordenado por la coordinación de seguridad de la información o alguno de los centros de mando descritos en el DRP de COMEX; este respaldo es del tipo Tota l.

Las cintas para este tipo de respaldo deben estar rotuladas con la fecha del respaldo a realizar, esto es por ejemplo 15/Enero/2005, etc. a las cuales solo se les debe cambiar la fecha del día y mes según sea el caso. Las etiquetas de los medios de respaldo deben contener como datos mínimos aceptables los descritos en la siguiente etiqueta de ejemplo:




GRUPO COMEX, S.A.

DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN

RESPALDO ESPECIAL JD EDWARDS FECHA 15/ENERO/2001 REVISO DIANA BASTIDA COORDINADOR TI PABLO MARCIN No. DE CINTA 1/2 TIPO DE CINTA HISTORICA

Datos Variables El coordinador de operaciones del sitio tiene la facultad de acordar con el usuario o tomar la decisión de ordenar este tipo de respaldo según considere conveniente o acorde a las cargas de trabajo del computador o la gravedad del incidente informado, pero no esta facultado a omitir este respaldo sin la autorización de la coordinación de seguridad de la información. Una vez realizado este respaldo se debe proceder a su resguardo inmediato en la caja d e seguridad del sitio y considerarse como histórico. 7.2.4 Anual Este proceso de respaldo se realiza al final de cada año y debe contener los archivos de datos de todas las aplicaciones existentes en los servidores de red Windows, deberá ser realizado a mas tardar el día 20 del siguiente año. Este respaldo es del tipo Total ; es responsabilidad del operador verificar que este respaldo se concluya de manera satisfactoria. Las cintas para este tipo de respaldo deben estar rotuladas con año a respaldar, esto es, respaldo anual 2000, respaldo anual 2001, etc. a las cuales solo se les debe cambiar la fecha del día, mes y año. Las etiquetas de los medios de respaldo deben contener como datos mínimos aceptables los descritos en la siguiente etiqueta de ejemplo:


SEGURIDAD DE LA INFORMACIÓN RESPALDO ANUAL AÑO 2000 FECHA 20/ENERO/2001 REVISO DIANA BASTIDA COORDINADOR TI PABLO MARCIN No. DE CINTA 1/3 TIPO DE CINTA HISTORICA

Datos Variables




El coordinador de operaciones del sitio tiene la facultad de cambiar esta fecha de respaldo según considere conveniente o acorde a las cargas de trabajo de los servidores de red Windows NT, pero no esta facultado a omitir este respaldo sin la autorización del la coordinación de seguridad de la información. Para el Centro de Cómputo principal, una vez realizado este proceso se debe proceder a su envío a través de mensajería interna con acuse de recibo y en sobre cerrado y etiquetado al centro de cómputo de principal, en Distribuidora Kroma S.A de C.V. con domicilio en Lote 2 Km 33.5 de la Autopista México – Querétaro Colonia Ex-Hacienda de Lechería Municipio de Tultitlán, Estado de México. C. P. 54940 Para el Centro de Cómputo de respaldo, una vez realizado este proceso se debe proceder a su almacenamiento y resguardo. Para el Centro de Cómputo Corporativo, una vez realizado este proceso se debe proceder a su envío a través de mensajeria interna con acuse de r ecibo y en sobre cerrado y etiquetado al centro de cómputo principal se encuentra localizado en Distribuidora Kroma S.A de C.V. con domicilio en Lote 2 Km 33.5 de la Autopista México – Querétaro Colonia Ex-Hacienda de Lechería Municipio de Tultitlán, Estado de México. C. P. 54940 Los centros de cómputo satélites conservarán estos respaldos en las cajas de seguridad destinadas para este fin dentro del sitio. Una vez recibidos estos paquetes en cada uno de los sitios correspondientes, el coordinador de T.I. del sitio deberá de revisar el contenido del mismo verificando que los sobres se encuentren debidamente cerrados y no presenten alteración alguna, posteriormente se debe dar aviso al Centro de Cómputo origen de la recepción exitosa, no debiendo existir nunca un estrazo mayor a 12 horas después del envío; cualquier anomalía de este tipo deberá ser reportada a la coordinación de seguridad de la información de manera inmediata. 8. ADMINISTRACIÓN DE LOS RECURSOS DE RED Con la finalidad de realizar una adecuada administración de los recursos de red para todos los dominios y mas de 1500 usuarios con los cuenta la red LAN/WAN Windows de COMEX, se establecen las siguientes normas de seguridad y restricciones de uso de los recursos.

• La administración de los recursos de red de cada uno de los servidores será responsabilidad de los operadores del centro de cómputo; los coordinadores de T.I. del sitio serán responsables de la supervisión y correcta aplicación de estas normas de uso de los recursos de red.

• El acceso a las carpetas compartidas contenidas dentro de los servidores de red debe ser

restringido, dando solo el acceso a los usuarios autorizados y por ningún motivo debe darse a estas carpetas atributos de everyone full control.




• Todos los computadores conectados a la red deberán de firmarse en el servidor de dominio correspondiente, quien les deberá de asignar el perfil y los permisos necesarios para hacer uso de la red.

• Para el caso de aplicaciones liberadas bajo esta plataforma y que requieran un mapa o ruta

especial de acceso, el servidor de dominio les asignará esta ruta a través del script correspondiente cada vez que el usuario se firme en la red.

• Deberá existir una carpeta denominada Usuarios destinada a almacenar todas las carpetas

de los archivos de cada usuario dentro del dominio; el acceso a esta carpeta será del tipo full control para el propietario de la misma; cada propietario de carpeta dentro del servidor podrá solicitar el acceso a esta para otro usuario con el que desee compartir información, esta solicitud deberá realizarla a través del help desk y solo se darán permisos al invitado de Lectura, Escritura y Modificación; cualquier otro tipo de requerimiento adicional de permisos será bajo responsabilidad del usuario propietario de la información.

Ejemplo de Carpeta de usuarios y subcarpetas para cada usuario del dominio:

Carpetas Personalizadas de usuarios

Carpeta que agrupa a todos los usuarios




• Para efectos de grupos de trabajo común (por ejemplo Gerencia de Contabilidad, Almacenes, etc), el Coordinador de T.I. del sitio dará de alta estos grupos en el Administrador de Usuarios de dominio y asignará los permisos que correspondan (acceso a carpetas predeterminados) a estos usuarios.

• Deberá de existir una carpeta denominada Publico , la cual como su nombre lo indica es

de uso público y tendrán acceso a ella todos los usuarios del Dominio; esta tendrá como objetivo principal el intercambio de archivos entre áreas de la empresa que no tengan carpetas compartidas o que por razones de tamaño de los archivos a transmitir no sea posible su envío a través del correo electrónico corporativo. Es responsabilidad de los usuarios la información que en esta se almacene ya que esta carpeta solo es de paso y de consulta general.

• Para cada servidor de dominio deberá de existir un servicio de FTP activado, esto con la

finalidad de hacer transferencias de información masivas sin afectar el performance de la red o del correo electrónico corporativo.

• El servicio de acceso remoto o RAS, es un servicio única y exclusivamente para

empleados de confianza de la empresa, validados por el oficial de seguridad y autorizados por el director del área respectiva; el acceso se debe realizar a través del sitio definido como acceso vía RAS Corporativo; ya que el acceso a la red será validado por el servidor de dominio pero con un User ID distinto bajo políticas de seguridad particulares y monitoreo constante. Este tipo de acceso debe ser cuidado y supervisado diariamente por los operadores del centro de cómputo del sitio ya que representa un servicio de gran importancia para COMEX pero a su vez también una puerta de acceso para hackers informáticos.

• El servicio de acceso a través de Internet debe ser restringido y controlado a través del

Firewall o muro de fuego y de los sistemas de monitoreo y tarificación de COMEX, su autorización a los usuarios deberá realizarla la coordinación de seguridad de la información con el visto bueno de la Dirección de T.I. Corporativa. Es responsabilidad de los Coordinadores de T.I. de los sitios con este tipo de servicio su monitoreo diario y dar aviso de cualquier anomalía a la coordinación de seguridad de la información.

• Queda prohibido el uso de Sniffers y/o construcción de puertas traseras (backdoor´s) en

cualquier estación de trabajo y programas de la red de cómputo, la desobediencia de esta medida implica la tentativa de robo de información confidencial y de secretos industriales. COMEX se reserva el derecho de proceder a través de su representante legal contra quienes violen estas disposiciones.

• Se prohíbe el uso de herramientas de hardware o software para realizar monitoreos no

autorizados en los medio de comunicación con los que cuenta la red.




• Por ningún motivo se permitirá a un usuario compartir un MODEM conectado localmente a su computador personal a través de la red o activar a través de él un sistema de acceso remoto personal.

• La Gerencia de Corporativa de T.I., deberá proporcionar a los operadores de los centros de

cómputo y coordinadores de los mismos las herramientas de Hardware y software necesarias para llevar a cabo el monitoreo de la seguridad de los servicios de RAS e Intranet, manteniendo siempre actualizadas las versiones de estos dispositivos.




9. CORREO ELECTRÓNICO CORPORATIVO E INTERNET El correo electrónico corporativo y el navegador de Internet son una herramienta de comunicación e intercambio de archivos que se considera de vital importancia para la operación diaria del COMEX en todas sus áreas; motivo por el cual es necesario realizar una estricta vigilancia del mismo acatando las medidas de seguridad descritas a continuación.

• El servicio de correo electrónico de Grupo COMEX es una herramienta que proporciona la empresa para la efectiva y fluida comunicación entre sus distintas áreas e instalaciones, no es de uso personal.

• Queda prohibido realizar envíos de “cadenas” y/o cartas de promoción de servicios que no

correspondan a los intereses de Grupo COMEX.

• Esta prohibido el envío y recepción de software o archivos que no correspondan a los intereses de COMEX.

• Queda prohibido el envío de ligas y/o direcciones de Internet a través de este medio, las

cuales no correspondan a los intereses de COMEX.

• No se permite utilizar fondos de pantalla en el correo electrónico y/o iconos obscenos que ofendan la moral de sus compañeros de trabajo y/o limiten o degraden la buena presencia e imagen de COMEX.

• Todos los usuarios que cuenten con este servicio y tengan además salida del mismo a

través de Internet, deberán tener configurado la auto firma que los identifique con su nombre, Empresa del Grupo COMEX a la que pertenecen y puesto que desempeñan dentro de la misma; esto con la finalidad de darle correspondiente imagen que COMEX ocupa dentro de la industria.

• Queda prohibido el uso de sistemas de correo externo o mensajería en línea a través de

Internet como son MS Messenger, Yahoo Messenger, etc.

• Esta totalmente prohibido el uso de cualquier tipo de chats, centros de conversación, charlas virtuales, etc

• No esta permitido descargar y/o transmitir de Internet archivos de tipo MP3, música wav,

videos, fotos y gráficos JPEG, etc; los cuales no tengan ninguna relación con el desempeño de sus funciones dentro de la empresa.

• Es responsabilidad de todos los usuarios verificar con el antivirus que le proporciona la

Gerencia de Operación de Infraestructura de T.I. la limpieza de los archivos que le llegan a través de este medio.




• Es obligación del administrador de del Muro de fuego de la empresa, hacer un bloqueo de acceso y/o Navegación hacia sitios que no correspondan con los trabajos realizados por los usuarios de la red de Grupo COMEX como son (sitios pornográficos, de entretenimiento, subastas en línea, sistemas de chat, cadenas de información, sistemas de radio y T.V, etc).

• El administrador del muro de fuego deberá entregar a la coordinación de seguridad de la

información un reporte mensual de la actividad realizada por los usuarios con los servicios de navegación en Internet, quien a su vez analizará esta información y enviará un reporte de anomalías al Gerente de Operaciones de Infraestructura y al Director de la localidad en cuestión, señalando las violaciones o tentativas de violación a las normas de seguridad o políticas de la empresa.

• Esta prohibido el uso de servicios de acceso a Internet alternos o propios (acceso a través

de ISP como Terra, Prodigy, etc), sea cual sea su índole o tipo de consumo (de paga o gratuito), sin el permiso expreso de la Coordinación de seguridad de la información.

• No esta permita la configuración y/o uso de servidores proxy que no sean autorizados por

la coordinación de seguridad de la información y debidamente avalados por la Gerencia de Operación de Infraestructura de T.I.

• No se permite utilizar el correo electrónico de otra persona para envió de información y o

mensajes sin el permiso manifiesto del propietario de la cuenta; el incumplimiento de esta disposición implica suplantación de personalidad y de funciones. COMEX se reserva el derecho de proceder a través de su representante legal contra quienes violen estas disposiciones.

• Es obligatorio para todos los usuarios utilizar el compresor de archivos proporcionado por

la Gerencia de Operación de Infraestructura de T.I., antes de hacer el envío de archivos a través de correo electrónico.

• Todos los usuarios de este servicio deben racionar el envío de archivos a través del

mismo, evitando enviar fotografías o archivos de mas de 500MB ya que esto satura los medios de comunicación por los que opera el correo, en caso de que este tipo de envíos sea necesario se deberá realizar envíos en bloques que no rebasen los límites antes dispuestos.

• Para el caso de archivos de tamaños por arriba de los límites y que no sea recomendable

su división en bloques, será obligatorio el uso del servicio de FTP que proporciona la Gerencia de Operación de Infraestructura de T.I. a través del coordinador del sitio.

• Es obligación del operador del centro de cómputo realizar un respaldo de la información

contenida en los servidores de correo electrónico del sitio, esto se realizará con base en lo dispuesto en la sección de respaldos de información de servidores de red Windows.




• Los usuarios que por alguna causa deseen recuperar información de su correo borrada o histórica, deberán solicitar este servicio al personal de T.I. a través del reporte correspondiente en el Help Desk.

• Todos los usuarios deberán realizar una constante depuración de sus archivos de correo

electrónico históricos, con la finalidad de no saturar los recursos del servidor.

• Es obligación de cada uno de los coordinadores del sitio entregar un listado al administrador de correo electrónico e Internet debidamente aprobado por la Gerencia corporativa de T.I. de los usuarios que por la naturaleza de su trabajo deban de contar con servicios de navegación y salida de su correo electrónico hacia la Internet.

• No esta permitida la instalación de software de recordatorio de passwords ni teclas de

acceso rápido en los equipos de computo, ya que estas invalidan las medidas de seguridad dispuestas y ponen en riesgo la seguridad informática de COMEX.

• El correo electrónico entrante y saliente, será filtrado a través de mecanismos automáticos

de detección de cadenas, archivos ejecutables, elementos activos de java, html, etc, con la finalidad de asegurar un contenido limpio de gusanos y troyanos dentro de la mensajería.

• Toda solicitud de correo electrónico Interno y/o con salida al exterior, así como cualquier

tipo de navegación por Internet deberá ser autorizada por la Gerencia Corporativa de T.I. de Grupo COMEX.

Estas Políticas para correo electrónico e Internet forman parte de las políticas de seguridad de la información para todos los servicios de PC´s y servicios de red y son parte de la referencia obligada del Plan de Recuperación en cas o de Desastre Informático (DRP).




10. ASIGNACIÓN Y MOVIMIENTOS DE EQUIPOS DE CÓMPUTO Para asegurarse que los empleados del grupo cuenten a tiempo con las herramientas adecuadas de cómputo a su ingreso, así como en caso de retiro o cambio de funciones dentro de la empresa y que la información que ellos manejan esta segura, la dirección de T.I. establece los siguientes puntos. Nuevo Ingreso: Requiere el área de T.I. un aviso oficial a través de Mesa de Ayuda cuando menos con 5 días hábiles de anticipación, el saber de los nuevos ingresos de empleados, conocer su ubicación física y al departamento al que pertenecerán, los roles y funciones del mismo que dependan de servicios de cómputo para así poder configurar el equipo y el software adecuado, así como otorgarle claves de acceso y seguridad para los sistemas con los que cuenta la empresa (AS/400, Lotus Notes, Usuario de red, acceso telefónico, etc). El equipo de cómputo que se entrega forma parte del activo fijo de la empresa , por lo anterior el usuario deberá firmar una carta responsiva la cual indica el estado y características del equipo asignado, así como el compromiso de cuidado y buen uso que el usuario deberá dar a dicho equipo. La asignación de equipo adicional usado está sujeto a disponibilidad y requiere solicitud firmada por el Director de Área solicitante y para equipo nuevo requiere estar presupuestado en el Centro de Costos del área usuaria que lo solicita y obtener autorización para su adquisición del Director de División mediante formato Capex. Bajas o Separaciones: Es responsabilidad del Gerente de Area Usuaria dar aviso inmediato al área de T.I. mediante reporte a la Mesa de Ayuda con al menos 5 días hábiles de anticipación para conocer estos movimientos con el fin de proteger la información que es propiedad de la empresa, así como preparar su desconexión de todos los servicios a los sistemas de cómputo que se tenga acceso. El coordinador de entidad es responsable de respaldar la información y entregarla al supervisor inmediato superior del usuario en situación de baja en medio magnético ó equipo alterno que el usuario que recibe designe, recabando firma de recibido a satisfacción del contenido de la información. Es responsabilidad del usuario hacer entrega al área de T.I. los equipos de cómputo bajo su custodia los cuales serán revisados que se encuentren sin golpes o mal estado, no es válida la entrega de estos equipos al gerente de área o compañeros de trabajo, esta entrega siempre debe ser de manera directa al área de T.I. a través de su representante en la entidad correspondiente. Si el equipo de cómputo no es entregado de esta manera y/o presenta daños imputables al usuario, se levantará una incidencia contra el usuario y/o departamento, lo cual provocará una sanción según corresponda. Cambios de Ubicación y Roles: Requiere el área de T.I. una solicitud de servicio a través de Mesa de Ayuda de cuando menos 3 días hábiles de anticipación para e movimientos, esto con la finalidad de realizar los cambios necesarios en las cartas responsivas firmadas por los usuarios, nuevas reasignaciones, cambios de perfiles de seguridad y acceso a los sistemas, etc. Si se realizara un cambio de ubicación dentro de la misma área, el usuario podrá llevarse su equipo de cómputo que tiene bajo su custodia y se le entregará una nueva carta responsiva con la




nueva ubicación que tenga asignada; no son válidos los cambios sin dar aviso oficial al área de T.I., de caer en esta situación provocará que se levante una incidencia en contra del usuario y/o departamento según corresponda

11 RELACION CON CAPITAL HUMANO La Dirección de Capital Humano mediante su representación en cada entidad, tiene la obligación de informar al menos con 10 días de anticipación el ingreso del nuevo personal al grupo Mediante reporte al Help Desk, indicando a que sistemas tendrá el nuevo empleado acceso y los servicios que este necesitará (computadora, correo electrónico, acceso a Internet, etc); esto con la finalidad de proporcionarle las herramientas necesarias para el desempeño de sus funciones y generar su perfil adecuado de seguridad.

12 SITUACIONES NO DESCRITAS Cualquier tipo de situación o eventualidad no descrita dentro de estas políticas de seguridad será resuelta por la coordinación de seguridad de la información del Grupo COMEX en coordinación con el centro de comando de los sistemas PCS y servicios de red, o en su defecto por el comi té de seguridad de TI, de acuerdo a la gravedad de la inc idencia , quien tiene la obligación de tomar nota del incidente ocurrido, elaborar un análisis detallado del mismo e indicar las acciones a implementar para su futura inclusión dentro de estas políticas de seguridad; informando a la comité de seguridad TI el avance y solución de la incidencia. Gerencia de Operación de Infraestructura de T.I., es la responsable de informar a la dirección de T.I. y a los usuarios en general del Grupo COMEX cualquier cambio y/o modificación a los procedimientos descritos en este documento, así como de sus cuadros de mando y operación.




GLOSARIO DE TERMINOS Computador : Equipo electrónico formado por una Unidad Central de Proceso que ejecuta instrucciones programadas con un fin específico. User ID: Nombre de acceso al computador que se le asigna a un usuario del mismo para realizar una entrada al sistema, este permite al usuario hacer uso de los recursos de cómputo definidos en sus niveles de seguridad. Password: Palabra clave confidencial propia de cada usuario, que permite interactuar con el AS/400. Es importante mantenerla en secreto, ya que se utiliza como firma electrónica. Nivel de Seguridad: Grado de autoridad que tiene un usuario para realizar actividades dentro del AS/400. iSeries: Computador multiusuario que alberga al Software J.D. Edwards entre otros. Este equipo se localiza físicamente en Distribuidora Kroma Ecatepec. J.D. Edwards: Sistema integral que consta de Sistemas Financiero, Distribución, Abastecimientos y Manufactura. Contingencia: Situación que pone en peligro la información propiedad de la empresa originada por factores diversos como fallas en el computador, virus informático, daños físicos al computador; esta también puede ser de carácter externo que ponga en peligro la continuidad de las operaciones del negocio como puede ser sismos, incendio, amenaza de guerra, etc. Respaldo (backup): Obtener una copia de los datos originales contenidos en el computador almacenándolos en un dispositivo magnético removible. Biblioteca: Espacio lógico en el Sistema AS/400 en donde se almacenan los archivos. Dispositivo Magnético Removible: Este es un diskette en sus diferentes presentaciones, una cinta de almacenamiento, cartucho o disco compacto CD-ROM QSECOFR: Usuario con el máximo nivel de seguridad en el sistema AS/400. Centro de Comando iSeries: Máximo nivel de autoridad para coordinar las acciones de recuperación del sistema iSeries en caso de una contingencia informática; además tiene la responsabilidad de informar y coordinarse con el centro de comando general del Grupo COMEX para asegurar la continuidad del negocio.




SIA (Sistema de Información Automatizada) : Cualquier equipo o sistema que manipule datos. Denial of Service(DoS) : Acciones que impiden a cualquier SIA funcionar de acuerdo con su propósito. Hacker: Una persona que disfruta explorando los detalles de las computadoras y de cómo extender sus capacidades. Cracker: Similar al anterior pero con la diferencia que éste saca algún tipo de beneficio del sistema que explora. Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso, puede ser por hardware o software. Firewall o Muro de Fuego: Un sistema de combinaciones de sistemas que fija los límites entre dos o más redes y restringe la entrada y salida de la información. Modo Promiscuo: Normalmente interfaz ethernet que permite leer toda la información sin importar su destino, aplicable a un segmento de red. Caballo de Troya: Programa aparentemente útil el cual contiene código adicional escondido. Vulnerabilidad: Hardware, firmware o software que deja a un SIA abierto para su explotación Potencial. Detección de Intrusos: Sistemas que conglomeran un conjunto de técnicas cuyo propósito es detectar las intrusiones en una computadora o un sistema. Rootkit : Es un conjunto de programas que permiten a un intruso implementar “puertas traseras” (backdoor’s) para asegurar su regreso al sistema atacado, y al mismo tiempo esconderse del resto de los usuarios del sistema, en particular del administrador. Buffer Overflow : En términos simples, es cuando un programa (generalmente un servidor o “demonio”) recibe una entrada mayor a la que espera, sobrescribiendo, por tanto, áreas críticas de memoria. Esto genera que se ejecute cierto código, generalmente proporcionando al usuario acceso al sistema como root. Sniffer : Es un programa que permite “escuchar furtivamente” en redes de medios de comunicación compartidos (tales como Ethernet). Se ejecuta en una máquina que está conectada a la red y captura el tráfico de todo el segmento de red. Generalmente los sniffers se utilizan para depurar problemas de red, pero un intruso puede usarlos para capturar contraseñas que viajan sin cifrar a través de la red. Las contraseñas sin cifrar son comunes en el protocolo TCP. Algunos servicios básicos, tales como telnet, rlogin, ftp y pop mail, usan contraseñas sin cifrar para autenticar al usuario.




Analista de Sistemas: Individuo responsable del desarrollo de un sistema de información, realiza el diseño y modificación de sistemas.

Sistemas: Grupo de componentes relacionados que interactúan para realizar una tarea especifica, un objetivo proyectado.

Software: Es un conjunto de instrucciones estructuradas en forma de programas para una computadora, que realiza una tarea en particular ó una secuencia de procesos.

Hardware: Toda la maquinaria y el equipamiento, el Hardware es el mundo del almacenamiento y la transmisión.

Teleproceso: Procesamiento a larga distancia, denominación aplicada por IBM a las comunicaciones de datos.




Centro de Comando PC´S Y SERVICIOS DE RED

Grupo de Soporte y Recuperación

Nombre Puesto Nivel de Autorización

Ing. Manuel Ruiz Pascal Director Corporativo de T.I. ADMINISTRADOR DE DOMINIO(Contingencia)

User Ing. Luis Alejandro Cabrera Gerente de T.I. ADMINISTRADOR DE

DOMINIO (Contingencia) User

Ing. José Lui s Benítez Santana

Coordinador de Seguridad de la Información, T.I.

ADMINISTRADOR DE DOMINIO

Lic . Guadalupe Ferrer Seguridad TI,. Empresa Aga. ADMINISTRADOR DE DOMINIO(Contingencia)

Ing. Alejandro Sandoval Comunicaciones ADMINISTRADOR DE DOMINIO(Contingencia)

Lic. Ernesto Morales L Seguridad Informática ADMINISTRADOR DE DOMINIO(Contingencia)

MICROSOFT MEXICO Soporte Técnico Externo Especializado Windows

ADMINISTRADOR DE DOMINIO(Contingencia)

DRP-POLITICAS DE SEGURIDAD PCS Y SERVICIOS DE RED€¦ · Altiva el cual se encuentra localizado en...

Documents

Transcript of DRP-POLITICAS DE SEGURIDAD PCS Y SERVICIOS DE RED€¦ · Altiva el cual se encuentra localizado en...