Norma 27000

MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 12 de

diciembre de 2009

1

Departamento De Posgrado Maestría En Gestión De Tecnologías De La Información

Proyecto Final

Iso 27000 (Politicas De Control De Accesos)

Estudiantes: Carlos Gutiérrez Soria Carlos J. Liceaga Rosas Esteban Baker Thomas Ramiro Aguilar García

12 de México de 2009

Manual De

Normas y

Políticas de

Seguridad

Informática

SEGURIDAD

INFORMÁTICA

MANUAL DE NORMAS Y

POLITICAS DE SEGURIDAD

INFORMATICA


diciembre de 2009

2

Indicé

INTRODUCCION

Marco Teórico ISO 270000 Políticas de Control de Accesos Generalidades Misión Visión Objetivo Alcance Responsabilidad Política 1. Requisitos De Negocio Para El Control De Acceso 1.1. Entrada y salida de personal 1.2. Entrada y salida de visitantes 1.3. Entrada y salida de información, material, mobiliario y equipo 1.4. Control de acceso para áreas restringidas 1.5. Sanciones 2. Gestión de acceso de usuario 2.1. Registro De Usuario 2.2. Gestión De Privilegios 2.3. Gestión De Contraseñas De Usuario 2.4. Revisión De Los Derechos De Acceso De Usuario 3. Responsabilidades Del Usuario 3.1. Uso de contraseñas 3.2. Equipo de usuario desatendido 3.3. Política de puesto de trabajo despejado y pantalla limpia

4. Control de acceso a Red 4.1. Política de Acceso a Usuarios Internos a la Red 4.2. Política de Acceso a Usuarios Externos a la Red 5. Control De Acceso Al Sistema Operativo


diciembre de 2009

3

5.1. Procedimientos seguro de inicio de sesión 5.2. Identificación y autenticación de usuarios 5.3. Sistema de gestión de contraseña 5.4. Responsabilidades del usuario 5.5. Uso de los recursos del sistema 5.6. Desconexión automática de sesión 5.7. Limitación del tiempo de conexión

6. Implementación de la seguridad

RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS


diciembre de 2009

4

INTRODUCCIÓN

Los requerimientos de seguridad que involucran las tecnologías de la información, en

pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como

los son la de Internet y en particular la relacionada con el Web, la visión de nuevos

horizontes explorando más allá de las fronteras naturales, situación que ha llevado la

aparición de nuevas amenazas en los sistemas computarizados.

Llevado a que muchas organizaciones gubernamentales y no gubernamentales

internacionales desarrollen políticas que norman el uso adecuado de estas destrezas

tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido,

ocasionando problemas en los bienes y servicios de las entidades.

De esta manera, las políticas de seguridad en informática que proponemos emergen

como el instrumento para concientizar a sus miembros acerca de la importancia y

sensibilidad de la información y servicios críticos, de la superación de las fallas y de las

debilidades, de tal forma que permiten a la organización cumplir con su misión.

El proponer esta política de seguridad requiere un alto compromiso con la institución,

agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar

dicha política en función del ambiente dinámico que nos rodea.

La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no

contravenir con las garantías básicas del individuo, y no pretende ser una camisa de

fuerza, y más bien muestra una buena forma de operar el sistema con seguridad,

respetando en todo momento estatutos y reglamentos vigentes de la Institución.

Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la

práctica como son: los inventarios y su control, se mencionan, así como todos los

aspectos que representan un riesgo o las acciones donde se ve involucrada y que

compete a las tecnologías de la información; se han contemplado también las políticas

que reflejan la visión de la actual administración respecto a la problemática de seguridad

informática organizacional.


diciembre de 2009

5

ISO 27000 (POLÍTICAS DE CONTROL DE ACCESOS)

Marco teórico de ISO 27000

Un Sistema Administrativo de Seguridad de la Información (Information Security

Management System ISMS) es una forma sistemática de administrar la información

sensible de una compañía, para que permanezca segura. Abarca a las personas, los

procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de

prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente

adoptado.

La seguridad de la información no termina al implementar el más reciente "firewall", o al

sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad

de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser

administradas para que cada elemento sea completamente efectivo. Aquí es donde entra

el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa,

poder coordinar sus esfuerzos de seguridad con mayor efectividad.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por

ISO (International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridad de la

información utilizable por cualquier tipo de organización, pública o privada, grande o

pequeña.

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier

organización, por lo que el aseguramiento de dicha información y de los sistemas que la

procesan ha de ser un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de forma metódica , documentada y basada en unos


diciembre de 2009

6

objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida

la información de la organización.

Seguidamente se resumen las distintas normas que componen la serie ISO 27000:

• ISO/IEC 27000 proporcionará una visión general del marco normativo y un

vocabulario común utilizado por todas las normas de la serie.

• ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión

de la seguridad de la información (SGSI). Publicada en 2005.

• ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad

de la información describe el conjunto de objetivos de control y controles a utilizar

en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y

renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada

en 2007.

• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC

27001.

• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora

continua y la eficacia de los SGSI.

• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y

gestión de riesgos en materia de seguridad. Se espera su publicación en breve.

• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades

de certificación de los SGSI. Publicada en 2007.

• ISO/IEC 27007 será una guía para auditar SGSI.

• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad

de la norma ISO 27002:2005.

• ISO/IEC 27010 proporcionará una guía específica para el sector de las

comunicaciones y sistemas de interconexión de redes de industrias y

Administraciones, a través de un conjunto de normas más detalladas que

comenzarán a partir de la ISO/IEC 27011.

• ISO/IEC 27011 será una guía para la gestión de la seguridad en

telecomunicaciones (conocida también como X.1051).

• ISO/IEC 27031 estará centrada en la continuidad de negocio.

• ISO/IEC 27032 será una guía para la cyberseguridad.


diciembre de 2009

7

• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes

de comunicaciones.

• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de

aplicaciones.

• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque

proporcionará una guía para el desarrollo de SGSI para el sector específico de la

salud.

Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos

encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.

Políticas de Control de Accesos

Generalidades

El acceso por medio de un sistema de restricciones y excepciones a la información es la

base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a

los sistemas de información se deben implementar procedimientos formales para controlar

la asignación de derechos de acceso a los sistemas de información, bases de datos y

servicios de información, y estos deben estar claramente documentados, comunicados y

controlados en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los

usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la

privación final de derechos de los usuarios que ya no requieren el acceso.

La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es

necesario concientizar a los mismos acerca de sus responsabilidades por el

mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el

uso de contraseñas y la seguridad del equipamiento.

Misión

Establecer las directrices necesarias para el correcto funcionamiento de un sistema de

gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso


diciembre de 2009

8

de desarrollo continuo y actualizable, apegado a los estándares internacionales

desarrollados para tal fin.

Visión

Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto

funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema

de gestión de seguridad de la información, a través de la utilización de técnicas y

herramientas que contribuyan a optimizar la administración de los recursos informáticos

de la organización.

Objetivo

� Impedir el acceso no autorizado a los sistemas de información, bases de datos y

servicios de información.

� Implementar seguridad en los accesos de usuarios por medio de técnicas de

autenticación y autorización.

� Controlar la seguridad en la conexión entre la red del Organismo y otras redes

públicas o privadas.

� Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios

en los sistemas.

� Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de

contraseñas y equipos.

� Garantizar la seguridad de la información cuando se utiliza computación móvil e

instalaciones de trabajo remoto.

Alcance

La Política definida en este documento se aplica a todas las formas de acceso de aquellos

a quienes se les haya otorgado permisos sobre los sistemas de información, bases de

datos o servicios de información de la empresa, cualquiera sea la función que

desempeñe.


diciembre de 2009

9

Asimismo se aplica al personal técnico que define, instala, administra y mantiene los

permisos de acceso y las conexiones de red, y a los que administran su seguridad.

Responsabilidad

El Responsable de Seguridad Informática estará a cargo de:

� Definir normas y procedimientos para: la gestión de accesos a todos los sistemas,

bases de datos y servicios de información multiusuario; el monitoreo del uso de las

instalaciones de procesamiento de la información; la solicitud y aprobación de

accesos a Internet; el uso de computación móvil, trabajo remoto y reportes de

incidentes relacionados; la respuesta a la activación de alarmas silenciosas; la

revisión de registros de actividades; y el ajuste de relojes de acuerdo a un

estándar preestablecido.

� Definir pautas de utilización de Internet para todos los usuarios.

� Participar en la definición de normas y procedimientos de seguridad a implementar

en el ambiente informático y validarlos periódicamente.

� Controlar la asignación de privilegios a usuarios.

� Analizar y sugerir medidas a ser implementadas para efectivizar el control de

acceso a Internet de los usuarios.

� Verificar el cumplimiento de las pautas establecidas, relacionadas con control de

accesos, registración de usuarios, administración de privilegios, administración de

contraseñas, utilización de servicios de red, autenticación de usuarios y nodos,

uso controlado de utilitarios del sistema, alarmas silenciosas, desconexión de

terminales por tiempo muerto, limitación del horario de conexión, registro de

eventos, protección de puertos, subdivisión de redes, control de conexiones a la

red, control de ruteo de red, etc.

� Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de

trabajo.

� Verificar el cumplimiento de los procedimientos de revisión de registros de

auditoría.

� Asistir a los usuarios que corresponda en el análisis de riesgos a los que se

expone la información y los componentes del ambiente informático que sirven de

soporte a la misma.


diciembre de 2009

10

Los Propietarios de la Información estarán encargados de:

� Evaluar los riesgos a los cuales se expone la información con el objeto de:

o Determinar los controles de accesos, autenticación y utilización a ser

implementados en cada caso.

o Definir los eventos y actividades de usuarios a ser registrados en los

sistemas de procesamiento de su incumbencia y la periodicidad de revisión

de los mismos.

� Aprobar y solicitar la asignación de privilegios a usuarios.

� Llevar a cabo un proceso formal y periódico de revisión de los derechos de acceso

a la información.

� Definir un cronograma de depuración de registros de auditoría en línea.

Los Propietarios de la Información junto con la Unidad de Auditoría Interna o en su

defecto quien sea propuesto por el Comité de Seguridad de la Información, definirán un

cronograma de depuración de registros en línea en función a normas vigentes y a sus

propias necesidades.

Los Responsable de los departamentos, junto con el Responsable de Seguridad

Informática, autorizarán el trabajo remoto del personal a su cargo, en los casos en que se

verifique que son adoptadas todas las medidas que correspondan en materia de

seguridad de la información, de modo de cumplir con las normas vigentes. Asimismo

autorizarán el acceso de los usuarios a su cargo a los servicios y recursos de red y a

Internet.

El Responsable del Área Informática cumplirá las siguientes funciones:

� Implementar procedimientos para la activación y desactivación de derechos de

acceso a las redes.

� Analizar e implementar los métodos de autenticación y control de acceso definidos

en los sistemas, bases de datos y servicios.

� Evaluar el costo y el impacto de la implementación de “enrutadores” o “gateways”

adecuados para subdividir la red y recomendar el esquema apropiado.

� Implementar el control de puertos, de conexión a la red y de ruteo de red.


diciembre de 2009

11

� Implementar el registro de eventos o actividades de usuarios de acuerdo a lo

definido por los propietarios de la información, así como la depuración de los

mismos.

� Definir e implementar los registros de eventos y actividades correspondientes a

sistemas operativos y otras plataformas de procesamiento.

� Evaluar los riesgos sobre la utilización de las instalaciones de procesamiento de

información, con el objeto de definir medios de monitoreo y tecnologías de

identificación y autenticación de usuarios (Ej.: biometría, verificación de firma, uso

de autenticadores de hardware).

� Definir e implementar la configuración que debe efectuarse para cada servicio de

red, de manera de garantizar la seguridad en su operatoria.

� Analizar las medidas a ser implementadas para efectivizar el control de acceso a

Internet de los usuarios.

� Otorgar acceso a los servicios y recursos de red, únicamente de acuerdo al pedido

formal correspondiente.

� Efectuar un control de los registros de auditoría generados por los sistemas

operativos y de comunicaciones.

La Unidad de Auditoría Interna o en su defecto quien sea propuesto por el Comité de

Seguridad de la Información, tendrá acceso a los registros de eventos a fin de colaborar

en el control y efectuar recomendaciones sobre modificaciones a los aspectos de

seguridad.

El Comité de Seguridad de la Información aprobará el análisis de riesgos de la

información efectuado. Asimismo, aprobará el período definido para el mantenimiento de

los registros de auditoría generados.

Política

Requerimientos para el Control de Acceso

Política de Control de Accesos

En la aplicación de controles de acceso, se contemplarán los siguientes aspectos:

a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.

b) Identificar toda la información relacionada con las aplicaciones.


diciembre de 2009

12

c) Establecer criterios coherentes entre esta Política de Control de Acceso y la

Política de Clasificación de Información de los diferentes sistemas y redes.

d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la

protección del acceso a datos y servicios.

e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de

puestos de trabajo.

f) Administrar los derechos de acceso en un ambiente distribuido y de red, que

reconozcan todos los tipos de conexiones disponibles.

Reglas de Control de Acceso

Las reglas de control de acceso especificadas, deberán:

a) Indicar expresamente si las reglas son obligatorias u optativas

b) Establecer reglas sobre la premisa “Todo debe estar prohibido a menos que se

permita expresamente” y no sobre la premisa inversa de “Todo está permitido a

menos que se prohíba expresamente”.

c) Controlar los cambios en los rótulos de información que son iniciados

automáticamente por herramientas de procesamiento de información, de aquellos

que son iniciados a discreción del usuario.

d) Controlar los cambios en los permisos de usuario que son iniciados

automáticamente por el sistema de información y aquellos que son iniciados por el

administrador.

e) Controlar las reglas que requieren la aprobación del administrador o del Propietario

de la Información de que se trate, antes de entrar en vigencia, y aquellas que no

requieren aprobación.

1. Requisitos De Negocio Para El Control De Acceso

Art.1 Los accesos a los inmuebles, deberán estar controlados loas 24 horas los

365 días del año

Art. 2 El personal de vigilancia, deberá apoyar al responsable del centro de datos

para controlar el acceso al mismo.


diciembre de 2009

13

Art. 3 Los centro de datos deberán contar con cámaras de video y estar dirigidas

hacia las puertas de acceso y se colocaran de forma que se tenga una visión

panorámica del mismo, para permitir una vigilancia constante por parte de

personal de seguridad.

Art. 4 Queda estrictamente prohibido el ejercicio de actividades relativas al

comercio y lucro para beneficio personal

Art. 5 Queda estrictamente prohibido la introducción de cualquier tipo de armas a

toda persona ajena al personal de seguridad del inmueble, excepto a empresas de

valores que deban de portar armas cortas en espacios cerrados o reducidos.

Art. 6 Queda prohibido por razones de seguridad, el acceso a menores de edad.

Art. 7 Queda estrictamente prohibido el acceso a personas ajenas a la institución

en días de trabajo inhábiles

Art. 8 Queda prohibido el ingreso de animales o propiciar su estancia en las

instalaciones de propiedad o de uso institucional.

Art. 9 Queda estrictamente prohibido la introducción, deposito y consumo de todo

tipo de alimentos en los lugares de trabajo con excepción de agua embotellada.

Art. 10 Bajo condiciones de emergencia o de situaciones de urgencia manifiesta,

el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las

autoridades superiores de la institución.

Art. 11 El área de seguridad deberá proveer de la infraestructura de seguridad

requerida con base en los requerimientos específicos de cada área.

1.1. Entrada Y Salida De Personal


diciembre de 2009

14

Art. 1 En cada puesto de vigilancia y control de acceso, se tendrá un registro de

las entradas y salidas del personal, visitantes, proveedores, así como una bitácora

que registre material o quipos que se introduzcan o salgan del Centro de Datos .

Art. 2 Sin excepción, todos los empleados deberán portar en un lugar visible la

credencial vigente y autorizada para ingresar o permanecer en las instalaciones.

Art. 3 Queda prohibido el préstamo o intercambio de gafetes de identificación

Art. 4 En caso de no contar con la credencial vigente para ingresar a las

instalaciones, el empleado deberá registrarse en el módulo de vigilancia y obtener

contra entrega de una identificación oficial con fotografía, el gafete de empleado,

mismo que deberá portar en un lugar visible todo el tiempo que permanezca

dentro de las inhalaciones.

Art. 5 Sin excepción, toda bolsa, portafolio, mochila, paquete o bulto que se

pretenda introducir o sacar de las instalaciones, será sujeto a revisión por el

personal de seguridad en forma física y/o utilizando la banda de rayos x.

Art. 6 Queda estrictamente prohibido el acceso a las instalaciones a todo

empleado en visible estado de ebriedad o bajo los efectos de drogas.

Art. 7 En el caso de las áreas que requieran la fluctuación de personal por turnos ,

deberán de notificar y mantener actualizadas las listas de empleados autorizados.

1.2. Entrada Y Salida De Visitantes

Art. 1 Las visitas de índole personal, podrán ser recibidas por el empleado visitado

en el módulo de vigilancia del acceso principal del inmueble y tratara su asunto en

esta misma área.

Art. 2 El acceso de todo visitante deberá ser autorizado por el área visitada, toda

vez que haya cumplido con los requisitos que indica el procedimiento de registro

correspondiente.

Art. 3 El personal visitado, es responsable por las acciones el proveedor durante el

tiempo que este permanezca en las instalaciones, por lo que deberá escoltarlo de

la entrada al lugar de reunión, durante su estancia en el inmueble y hasta el

momento en que se retire.

Art. 4 El personal externo que se encuentre en las instalaciones, deberá portar

siempre a la vista el distintivo de visitante proporcionado por el personal de

vigilancia.


diciembre de 2009

15

Art. 5 Cuando el personal externo al centro de datos, se encuentre en las

instalaciones por varios días, se le deberá asignar una credencial provisional que

indique su nombre, empresa o institución a la que pertenece, haciéndose

responsable de éste personal el líder del proyecto o evento a realizarse.

1.3. Entrada Y Salida De Información, Material, Mob iliario Y Equipo

Art. 1 Toda persona que ingrese material, información, mobiliario y/o equipo a las

instalaciones, proporcionara los datos correspondientes y mostrara el bien en

cuestión a los vigilantes encargados de los accesos.

Art. 2 Solo se permitirá la entrada de software y equipo de computo de propiedad

particular cuando se presente la autorización por escrito y firmado por el

administrador de área o por el personal registrado.

Art. 3 El equipo de computo propiedad del proveedor o visitante, deberá ser

registrado en el módulo de vigilancia indicando el periodo de estancia del equipo

en el inmueble y estará bajo la responsabilidad de las áreas visitadas o

resguardantes del mismo.

Art. 4 La salida del equipo de computo propiedad del proveedor o visitante,

deberá de ser revisado por el área visitada o resguardante del mismo , respecto a

que no deberá contener información propiedad de la empresa, así, como contar

con el pase de salida oficial confirmado.

Art. 5 La salida del material, mobiliario o equipo solo será permitido por el medio

del pase de salida oficial con firma del personal autorizado.

Art. 6 Todo ingreso de dispositivos portátiles de almacenamiento de información

así como CD´s, disquetes, dat´s, cintas, unidades portátiles de almacenamiento de

información que utilicen alguno de los siguientes tipos de conexión: serial, firewire,

USB, infrarrojo, blutooth, wireless, celulares con PALM o cualquier tipo de medio

de almacenamiento de información deberá ser registrado.

Art. 7 No se permitirá la salida de información impresa, dispositivos portátiles de

almacenamiento de información, CD´s, disquetes, dat´s, cintas, unidades portátiles

de almacenamiento de información que utilicen alguno de los siguientes tipos de

conexión: serial, firewire, USB, infrarrojo, blutooth, wireless, celulares con PALM o


diciembre de 2009

16

cualquier tipo de medio de almacenamiento de información similar sin el pase de

salida avalado con firma del personal autorizado.

Art. 8 Las áreas vinculadas con procesos que dependen directamente de la

recepción de información y con la atención al usuario, podrán utilizar

discrecionalmente los dispositivos portátiles de almacenamiento de información

referidos en los anteriores artículos. Su uso y portabilidad dentro de las

instalaciones institucionales , quedan bajo supervisión y responsabilidad de los

encargados de las áreas de atención al usuario que corresponda.

Art. 9 En otros casos y para cualquier otra área las unidades portátiles de

almacenamiento a que se refieren los artículos anteriores, solo podrán ser

utilizadas cuando los medios disponibles no satisfagan las necesidades de

capacidad y portabilidad requeridas y siempre bajo la responsabilidad y

autorización del Administrador de cada área.

Art. 10 No se permitirá la entrada de grabadoras o reproductoras de audio y video,

así como cámaras fotográficas salvo previa autorización del responsable del

inmueble.

1.4. Control De Acceso Para Areas Restringidas

Art. 1 Se considera área restringida propiamente a los centros de Datos (Bunker)

y otras áreas que por su función deberán ser limitadas en su acceso de manera

permanente o temporal

Art. 2 En las áreas restringidas queda estrictamente prohibido el uso de teléfonos

celulares, agendas electrónicas y demás dispositivos citados en los artículos 6, 7

y 8 del apartado anterior.

Art. 3 Para las áreas restringidas no se permitirá la entrada o salida de dispositivos

de almacenamiento magnético, digital o electrónico sin la autorización del área

responsable.

Art. 4 Toda persona que pretenda ingresar a las áreas restringidas, deberá contar

con la aprobación y autorización y deberá cumplir el procedimiento de registro

correspondiente.

Art. 5 Toda persona o visitante que pretendan ingresar a las áreas restringidas,

deberán portar su gafete


diciembre de 2009

17

Art. 6 Solo se permitirá el acceso a las diferentes áreas restringidas con e material

que sea estrictamente necesario para llevar a cabo las actividades en beneficio de

la institución, lo que se deberá de verificar y autorizar previamente por el

responsable del área a la cual se solicita el acceso.

Art. 7 Al entrar o salir de las áreas restringidas, el vigilante del punto revisará

minuciosamente y en presencia del portador, el contenido de cajas, bolsas,

portafolios , botes, o cualquier contenedor similar, así como gabardinas, abrigos o

cualquier atuendo voluminoso.

Art. 8 Dentro del centro de datos o de procesamiento, queda estrictamente

prohibido el ingreso de cualquier sustancia líquida como agua, café, refresco,

limpiadores u otros líquidos.

Art. 9 No se permitirá el acceso al Centro de Datos o de procesamiento con:

imanes, clips, cigarros, cerillos, encendedores y materiales o maquinas similares,

que, puedan causar daños a las instalaciones , información, maquinas y

dispositivos que se encuentren en el.

Art. 10 Queda estrictamente prohibido fumar, ingerir bebidas o alimentos, el uso de

radios, transmisores o receptores de radio digitales o análogas en cualquier

frecuencia, incluyendo: televisores, grabadoras, video grabadoras, equipo

personal de computo , agendas y aparatos diversos o equipos no autorizados para

el uso de telecomunicaciones, dentro del Centro de Datos.

1.5. Sanciones

2. La primera incurrencia de Nivel 1, para la primera ocasión se hará una

amonestación por escrito

3. La reincidencia a partir de la segunda ocasión será una falta de Nivel 2 y se

levantará un acta administrativa

4. El incumpliendo a estos artículos deberá ser sancionado de acuerdo a su

gravedad.

2. Gestión de acceso de usuario

La capacidad de Gestión de Identidad y Accesos describe cómo debe gestionarse la

identidad de las personas y los equipos y cómo proteger los datos de identificación


diciembre de 2009

18

(sincronización, gestión de passwords y aprovisionamiento de usuarios), y cómo se

gestionan los accesos a recursos por parte de usuarios móviles de la empresa, clientes

y/o externos fuera de los límites del firewall.

Art. 1 Existencia de un mecanismo de identificación inequívoca de todos los

usuarios y accesos a los recursos, basada en la aportación de credenciales

gestionadas por medio de tecnologías de seguridad y cifrado (login y password,

certificados digitales, dispositivos especiales biométricos, etc).

Art. 2 Existencia de un repositorio unificado de identidades que se aplican de

forma homogénea a todo el ámbito de IT de la organización para la validación de

accesos y gestión de permisos sobre los recursos.

Art. 3 Existencia de un servicio de directorio que contenga la información de

identidad y permita su uso en otros ámbitos (correo, mensajería instantánea, etc).

Art. 4 Organización del acceso a los recursos de manera centralizada empleando

roles de actividad u otros criterios de agrupamiento.

Art. 5 Existencia de mecanismos de propagación de los permisos y privilegios de

acceso a recursos a través de la red de manera automática, mediante directivas

de ámbito corporativo.

Art. 6 Existencia de medios de autoaprovisionamiento de recursos para cuentas de

usuario

Art. 7 Existencia de mecanismos de federación de la identidad para permitir el

acceso de usuarios externos a la propia organización a ciertos recursos para fines

de trabajo en equipo.

2.2. Registro De Usuario

El Responsable de Seguridad Informática definirá un procedimiento formal de registro de

usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios

de información multiusuario, el cual debe comprender:

Art. 1 Utilizar identificadores de usuario únicos, de manera que se pueda identificar

a los usuarios por sus acciones evitando la existencia de múltiples perfiles de

acceso para un mismo empleado. El uso de identificadores grupales sólo debe ser


diciembre de 2009

19

permitido cuando sean convenientes para el trabajo a desarrollar debido a razones

operativas.

Art. 2 Verificar que el usuario tiene autorización del Propietario de la Información

par el uso del sistema, base de datos o servicio de información.

Art. 3 Verificar que el nivel de acceso otorgado es adecuado para el propósito de

la función del usuario y es coherente con la Política de Seguridad del Organismo,

por ejemplo, que no compromete la separación de tareas.

Art. 4 Entregar a los usuarios un detalle escrito de sus derechos de acceso.

Art. 5 Requerir que los usuarios firmen declaraciones señalando que comprenden

y aceptan las condiciones para el acceso.

Art. 6 Garantizar que los proveedores de servicios no otorguen acceso hasta que

se hayan completado los procedimientos de autorización.

Art. 7 Mantener un registro formal de todas las personas registradas para utilizar el

servicio.

Art. 8 Cancelar inmediatamente los derechos de acceso de los usuarios que

cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se

desvincularon del Organismo o sufrieron la pérdida/robo de sus credenciales de

acceso.

Art. 9 Efectuar revisiones periódicas con el objeto de:

o Cancelar identificadores y cuentas de usuario redundantes

o Inhabilitar cuentas inactivas por más de (indicar período no mayor a 60

días)

o Eliminar cuentas inactivas por más de (indicar período no mayor a 120

días)

En el caso de existir excepciones, deberán ser debidamente justificadas y

aprobadas.

Art. 10 Garantizar que los identificadores de usuario redundantes no se asignen a

otros usuarios.

Art. 11 Incluir cláusulas en los contratos de personal y de servicios que

especifiquen sanciones si el personal o los agentes que prestan un servicio

intentan accesos no autorizados.


diciembre de 2009

20

2.3. Gestión De Privilegios

Se limitará y controlará la asignación y uso de privilegios, debido a que el uso inadecuado

de los privilegios del sistema resulta frecuentemente en el factor más importante que

contribuye a la falla de los sistemas a los que se ha accedido ilegalmente.

Los sistemas multiusuario que requieren protección contra accesos no autorizados, deben

prever una asignación de privilegios controlada mediante un proceso de autorización

formal. Se deben tener en cuenta los siguientes pasos:

Art. 1 Identificar los privilegios asociados a cada producto del sistema, por ejemplo

sistema operativo, sistema de administración de bases de datos y aplicaciones, y

las categorías de personal a las cuales deben asignarse los productos.

Art.2 Asignar los privilegios a individuos sobre la base de la necesidad de uso y

evento por evento, por ejemplo el requerimiento mínimo para su rol funcional.

Art.3 Mantener un proceso de autorización y un registro de todos los privilegios

asignados.

Los privilegios no deben ser otorgados hasta que se haya completado el

proceso formal de autorización.

Art. 4 Establecer un período de vigencia para el mantenimiento de los privilegios

(en base a la utilización que se le dará a los mismos) luego del cual los mismos

serán revocados.

Art. 5 Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad

de otorgar privilegios a los usuarios.

Los Propietarios de Información serán los encargados de aprobar la asignación de

privilegios a usuarios y solicitar su implementación, lo cual será supervisado por el

Responsable de Seguridad Informática.

2.4. Gestión De Contraseñas De Usuario

Art. 1 Cada usuario es responsable del mecanismo de control de acceso que le

sea proporcionado; esto es, de su identificador de usuario y password necesarios

para acceder a la información y a la infraestructura tecnológica de la empresa, por

lo cual deberá mantenerlo de forma confidencial.


diciembre de 2009

21

Art. 2 El acceso a la infraestructura tecnológica de la institución, para personal

externo debe ser autorizado al menos por un administrador de proyectos, quien

deberá notificarlo a la Dirección General de Informática quien será el encargado de

habilitará.

Art. 3 Esta prohibido que los usuarios utilicen la infraestructura tecnológica de la

institución para obtener acceso no autorizado a la información u otros sistemas de

información de la empresa.

Art. 4 Todos los usuarios de servicios de información son responsables por el

UserID y password que recibe para el uso y acceso de los recursos

Art. 5 Todos los usuarios deberán autenticarse por los mecanismos de control de

acceso provistos por la Dirección General Informática antes de poder usar la

infraestructura tecnológica de la institución.

Art. 6 Los usuarios no deben proporcionar información a personal externo, de los

mecanismos de control de acceso a las instalaciones e infraestructura tecnológica

de la institución, a menos que se tenga la autorización del dueño de la información

y de la Dirección General Informática.

Art. 7 Cada usuario que acceda a la infraestructura tecnológica de la institución

debe contar con un identificador de usuario (UserID) único y personalizado. Por lo

cual no está permitido el uso de un mismo UserID por varios usuarios.

Art. 8 Los usuarios son responsables de todas las actividades realizadas con su

identificador de usuario (UserID). Los usuarios no deben divulgar ni permitir que

otros utilicen sus identificadores de usuario, al igual que tienen prohibido utilizar el

UserID de otros usuarios.

Art. 9 Cualquier cambio en los roles y responsabilidades de los usuarios que

modifique sus privilegios de acceso a la infraestructura tecnológica de la

institución, deberán ser notificados a Mesa de Ayuda con el visto bueno de su

administrador del área.

Art. 10 Los usuarios deberán mantener sus equipos de cómputo con controles de

acceso como passwords y protectores de pantalla (screensaver) previamente

instalados y autorizados por la Dirección General de Informática cuando no se

encuentren en su lugar de trabajo.

Art. 11 La asignación del password debe ser realizada de forma individual, por lo

que el uso de passwords compartidos está prohibido.


diciembre de 2009

22

Art. 12 Cuando un usuario olvide, bloquee o extravíe su password, deberá levantar

un reporte al Centro de Atención a Usuarios (CAU) para que se le proporcione un

nuevo password y una vez que lo reciba deberá cambiarlo en el momento en que

acceda nuevamente a la infraestructura tecnológica.

Art. 13 La obtención o cambio de un password debe hacerse de forma segura, el

usuario deberá acreditarse ante el Centro de Información como empleado de la

institución.

Art. 14 Esta prohibido que los passwords se encuentren de forma legible en

cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas

puedan descubrirlos.

Art. 15 Sin importar las circunstancias, los passwords nunca se deben compartir o

revelar. Hacer esto responsabiliza al usuario que prestó su password de todas las

acciones que se realicen con el mismo.

Art. 16 Todos los usuarios deberán observar los siguientes lineamientos para la

construcción de sus passwords:

• Deben estar compuestos de al menos seis (6) caracteres y máximo diez

(10), estos caracteres deben ser alfanuméricos.

• Deben ser difíciles de adivinar, esto implica que los passwords no deben

relacionarse con el trabajo o la vida personal del usuario, y no deben

contener caracteres que expresen listas secuenciales y caracteres de

control.

• No deben ser idénticos o similares a passwords que hayan usado

previamente.


diciembre de 2009

23

Art. 17 El password tendrá una vigencia de 90 días, finalizando este periodo el

usuario recibe una solicitud electrónica de cambio de contraseña.

Art. 18 Todo usuario que tenga la sospecha de que su password es conocido por

otra persona, deberá cambiarlo inmediatamente.

Art. 19 Los usuarios no deben almacenar los passwords en ningún programa o

sistema que proporcione esta facilidad.

Art. 20 Los cambios o desbloqueo de passwords solicitados por el usuario al

Centro de Información, serán notificados con posterioridad por correo electrónico

al solicitante con copia al Director General correspondiente, de tal forma que se

pueda detectar y reportar cualquier cambio no solicitado.

2.5. Revisión De Los Derechos De Acceso De Usuario

A fin de mantener un control eficaz del acceso a los datos y servicios de información, el

Propietario de la Información de que se trate llevará a cabo un proceso formal, a

intervalos regulares de (indicar periodicidad no mayor a 6 meses), a fin de revisar los

derechos de acceso de los usuarios. Se deberán contemplar los siguientes controles:

Art. 1 Revisar los derechos de acceso de los usuarios a intervalos de (especificar

tiempo no mayor a 6 meses).

Art. 2 Revisar las autorizaciones de privilegios especiales de derechos de acceso

a intervalos de (especificar tiempo no mayor a 3 meses).

Art. 3 Revisar las asignaciones de privilegios a intervalos de (especificar tiempo no

mayor a 6 meses), a fin de garantizar que no se obtengan privilegios no

autorizados.

3. Responsabilidades Del Usuario

3.2. Uso de contraseñas

Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de

contraseñas. Las contraseñas constituyen un medio de validación y autenticación de la

identidad de un usuario, y consecuentemente un medio para establecer derechos de

acceso a las instalaciones o servicios de procesamiento de información.


diciembre de 2009

24

Los usuarios deben cumplir las siguientes directivas:

Art. 1 Mantener las contraseñas en secreto.

Art. 2 Pedir el cambio de la contraseña siempre que exista un posible indicio de

compromiso del sistema o de las contraseñas.

Art. 3 Seleccionar contraseñas de calidad, de acuerdo a las prescripciones

informadas por el Responsable del Activo de Información de que se trate, que:

1. Sean fáciles de recordar.

2. No estén basadas en algún dato que otra persona pueda adivinar u

obtener fácilmente mediante información relacionada con la persona, por

ejemplo nombres, números de teléfono, fecha de nacimiento, etc.

3. No tengan caracteres idénticos consecutivos o grupos totalmente

numéricos o totalmente alfabéticos.

Art. 4. Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar

reutilizar o reciclar viejas contraseñas.

Art. 5. Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).

Art. 6. Evitar incluir contraseñas en los procesos automatizados de inicio de

sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro.

Art. 7. Notificar oportunamente cualquier incidente de seguridad relacionado con

sus contraseñas: pérdida, robo o indicio de pérdida de confidencialidad.

Art. 8. Las cuentas de usuario son personales, en ningún momento deben ser

utilizadas por personal ajeno al que le fue asignada.

Art. 9. Las contraseñas deben ser memorizadas desde el mismo momento en que

le es asignada.

Art. 10. Se desechará, toda documentación que tenga que ver con información

relacionada a su cuenta de usuario, minutos después de habérsele entregado y

siempre que haya sido memorizada o resguarda su información.

Art. 11. Es importante que el usuario establezca contraseñas fuertes y desligadas

de su vida personal o de su entorno familiar o no emplean do formatos comunes

de fechas.

Art. 12. Toda falla en el equipo debe ser documentado por el operador de las

estación de trabajo.


diciembre de 2009

25

Si los usuarios necesitan acceder a múltiples servicios o plataformas y se requiere que

mantengan múltiples contraseñas, se notificará a los mismos que pueden utilizar una

única contraseña para todos los servicios que brinden un nivel adecuado de protección de

las contraseñas almacenadas y en tránsito.

3.3. Equipo de usuario desatendido

Los usuarios deberán garantizar que los equipos desatendidos sean protegidos

adecuadamente.

Los equipos instalados en áreas de usuarios, por ejemplo estaciones de trabajo o

servidores de archivos, requieren una protección específica contra accesos no

autorizados cuando se encuentran desatendidos.

El Responsable de Seguridad Informática debe coordinar con el Área de Recursos

Humanos las tareas de concientización a todos los usuarios y contratistas, acerca de los

requerimientos y procedimientos de seguridad, para la protección de equipos

desatendidos, así como de sus funciones en relación a la implementación de dicha

protección.

Los usuarios cumplirán con las siguientes pautas:

Art. 1. Concluir las sesiones activas al finalizar las tareas, a menos que puedan

protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un

protector de pantalla protegido por contraseña.

Art. 2. Proteger las PC’s o terminales contra usos no autorizados mediante un

bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso

cuando no se utilizan.

3.4. Política de puesto de trabajo despejado y pantalla limpia

Art. 1. El servidor de dominio deberá bloquear cualquier estación de trabajo con un

protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.

Art. 2. La práctica de guardar las contraseñas en papel adherido al monitor o áreas

cercanas al equipo de trabajo, es una falta grave y sancionable.


diciembre de 2009

26

Art. 3. El usuario es parte esencial en la seguridad de la red institucional, su

experiencia como operador en las estaciones de trabajo es de suma importancia

para el comité de seguridad.

Art. 4. El gestor de seguridad debe desactivar cualquier característica de los

sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus

contraseñas.

Art. 5. El usuario deberá estar consciente de los problemas de seguridad que

acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña.

Art. 6. El usuario deberá ser precavido al manipular su cuenta de acceso a los

sistemas, tomando medidas de seguridad que no pongan en riesgo su integridad

como persona.

4. Control de acceso a Red

Será considerado como un ataque a la seguridad informática y una falta grave, cualquier actividad

no autorizada por la Dirección General de Informática, en la cual los usuarios realicen la

exploración de los recursos informáticos en la red, así como de las aplicaciones que sobre dicha

red operan, con fines de detectar y explotar una posible vulnerabilidad.

El Responsable de Seguridad Informática definirá controles para garantizar la seguridad

de los datos y los servicios conectados en las redes del Organismo, contra el acceso no

autorizado, considerando la ejecución de las siguientes acciones:

Art. 1. Establecer los procedimientos para la administración del equipamiento remoto,

incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el

responsable establecido en el punto “Asignación de Responsabilidades en Materia de

Seguridad de la Información”.

Art. 2. Establecer controles especiales para salvaguardar la confidencialidad e integridad

del procesamiento de los datos que pasan a través de redes públicas, y para proteger los

sistemas conectados. Implementar controles especiales para mantener la disponibilidad

de los servicios de red y computadoras conectadas.

Art. 3. Garantizar mediante actividades de supervisión, que los controles se aplican

uniformemente en toda la infraestructura de procesamiento de información. El

Responsable del Área Informática implementará dichos controles.


diciembre de 2009

27

Art. 4. Dado el carácter unipersonal del acceso a la Red, el departamento de Cómputo

verificará el uso responsable, de acuerdo al Reglamento para el uso de la red.

Art. 5. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores,

bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la

red es administrado por el departamento de Cómputo.

Art 6. Todo el equipo de cómputo que esté o sea conectado a la Red, o aquellas que en

forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los

procedimientos de acceso que emite el departamento de Cómputo.

4.2. Política de Acceso a Usuarios Internos a la Re d

Objetivo

Este documento describe las políticas bajo las cuales personal interno podrá hacer uso de

la red.

Alcance

Esta política es aplicable a todas las conexiones de acceso a recursos informáticos

públicos y no públicos.,

Política

Análisis de seguridad

Todas las solicitudes para conectar equipos de cómputo a la red deberán de ser revisadas

por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de

seguridad establecidos.

Instalación de equipo de cómputo

Todos los equipos que sean instalados en la Red, deberán de contar con todas las

actualizaciones de Microsoft así como tener instalado el cliente de antivirus Symantec y

será necesario ingresar al usuario al dominio.

Acceso a Servicios Informáticos


diciembre de 2009

28

Todas las solicitudes de conexión para los servicios informáticos deberán de ser mediante

correo electrónico y por el jefe inmediato del interesado.

Estableciendo conectividad

Todos los accesos a los servicios informáticos, deberán basarse en el principio de menor

acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado.

Modificación de conexión y acceso

Todos los cambios de acceso deben ir acompañados de una justificación válida

relacionada y apegada al análisis de seguridad.

Fin de acceso

Cuando ya no se requiera el acceso a los servicios informáticos, será necesario que se

notifique mediante un correo electrónico y por el jefe inmediato al administrador de la red

LAN para poder restringir el acceso a los servicios.

Se deberá realizar una auditoria anual de las conexiones permitidas con la finalidad de

asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se

utilicen más deberán ser finalizadas inmediatamente.

Si existe un incidente de seguridad o se identifica que un acceso a la red indebido, será

necesario una modificación a los permisos actuales, o en efecto, que se de fin a la

conexión.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios

establecidos.


diciembre de 2009

29

4.3. Política de Acceso a Usuarios Externos a la Re d

Objetivo

Este documento describe las políticas bajo las cuales personal externo (proveedores,

consultores, outsourcing, etc.), podrán conectarse a la red con fines exclusivos de

proporcionar algún servicio.

Alcance

Esta política es aplicable a todas las conexiones entre terceros que requieran acceso a

recursos informáticos no públicos, sin importar el tipo de tecnología que se esté utilizando

para este fin.

Política

Análisis de seguridad

Todas las solicitudes de terceros para conectar equipos de cómputo a la red deberán ser

revisados por el área de tecnología. En esta revisión, el área, deberá asegurarse de que

las conexiones cumplan con los requisitos de seguridad que se han establecido.

Acuerdo de conexión de terceros

Todas las solicitudes de conexión entre terceros hacia los equipos y sistemas requieren

que se establezca un acuerdo firmado tanto por el responsable legal del tercero en

cuestión, así como por el Gerente de Tecnología.

Casos de uso para propósito del negocio

Todas las conexiones hacia los recursos de cómputo y comunicaciones deberán estar

justificadas por escrito; dicha documentación deberá ser aprobado por el área de

tecnología, así como las condiciones de operación de las mismas. Estos requerimientos

serán integrados como parte de la documentación de convenio o contratación de los

servicios del tercero.

Punto de contacto


diciembre de 2009

30

La persona designada que funge como contacto representa a su organización y es el

responsable del cumplimiento de esta política y del acuerdo firmado por ambas partes en

donde se le involucre.

En caso de que el contacto cambie, se le deberá notificar al área de tecnología de la

organización.

Estableciendo conectividad

El solicitante debe proporcionar la información completa de la propuesta para controlar el

acceso a los recursos de información de la organización de los terceros.

El solicitante que desee establecer conexión con terceros, deberán realizar una nueva

solicitud al Administrador de la red LAN en cuestión. Este a su vez evaluará junto con el

área de Tecnología los requerimientos de seguridad inherentes a la solicitud.

Todas las conexiones solicitadas como VPN, Wireless y Red LAN, deberán basarse en el

principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad

realizado.

Bajo ninguna circunstancia, la organización confiará en terceros para proteger la red o los

sistemas de información del Fondo.

Modificación de conexión y acceso

Todos los cambios de acceso deben ir acompañados de una justificación válida

relacionada y apegada al análisis de seguridad. El solicitante es el responsable de

notificar al área de tecnología del Fondo.

Fin de acceso

Notifique al área de tecnología sobre el estatus de la conexión para negar su acceso. En

el mejor de los casos, esto puede significar una modificación de permisos existentes hasta

un bloqueo permanente a la red.


diciembre de 2009

31

El área de tecnología deberá realizar una auditoría anual de las conexiones permitidas

con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan

depreciado, o no se utilicen más para asuntos relacionados a la organización, deberán ser

finalizadas inmediatamente. Si existe un incidente de seguridad o se identifica que un

acceso a la red ha sido negado, mismo que ya no será requerido para tratar asuntos

relacionados con la organización; será necesario una modificación a los permisos

actuales, o en efecto, que se de fin a la conexión. En este caso, el área de tecnología o el

administrador de la red LAN, deberán dar aviso al contacto o al patrocinador.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios

establecidos por el área de tecnología. Los terceros que violen los lineamientos de esta

política serán sancionados con la terminación de su contrato de servicio. finición

Termino Definición Solicitante Personal o Departamento de la organización que solicita que un

tercero tenga acceso a la red y a los recursos de cómputo del Fondo.

Tercero Organización o persona física que no forma parte o es subsidiaria

Término Definición

5. Control De Acceso Al Sistema Operativo

5.2. Procedimientos seguro de inicio de sesión

A fin de mantener un control eficaz del acceso a los datos y servicios de información, el

Propietario de la Información de que se trate llevará a cabo un proceso formal, a

intervalos regulares de un mes, a fin de revisar los derechos de acceso de los usuarios.

Para lo cual se deberán contemplar los siguientes controles

Art. 1. Revisar los derechos de acceso de los usuarios cada mes.

Art. 2. Revisar las autorizaciones de privilegios especiales de derechos de acceso

cada mes.


diciembre de 2009

32

Art. 3. Revisar las asignaciones de privilegios cada mes, a fin de garantizar que no

se obtengan privilegios no autorizados.

Art. 4. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con

privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de

herramientas de auditoría, etc.) evitando que estas corran sus servicios con

privilegios nocivos para la seguridad del sistema.

Art. 5. Al terminar una sesión de trabajo en las estaciones, los operadores o

cualquier otro usuario, evitará dejar encendido el equipo, pudiendo proporcionar un

entorno de utilización de la estación de trabajo.

5.3. Identificación y autenticación de usuarios

Todos los usuarios (incluido el personal de soporte técnico, como los operadores,

administradores de red, programadores de sistemas y administradores de bases de datos)

tendrán un identificador único (ID de usuario) solamente para su uso personal exclusivo,

de manera que las actividades puedan rastrearse con posterioridad hasta llegar al

individuo responsable. Los identificadores de usuario no darán ningún indicio del nivel de

privilegio otorgado.

En circunstancias excepcionales, cuando existe un claro beneficio para el Organismo,

podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea

específica. Para casos de esta índole, se documentará la justificación y aprobación del

Propietario de la Información de que se trate.

Si se utilizará un método de autenticación físico (por ejemplo autenticadores de

hardware), deberá implementarse un procedimiento que incluya:

a) Asignar la herramienta de autenticación.

b) Registrar los poseedores de autenticadores.

c) Rescatar el autenticador al momento de la desvinculación del personal al que se le

otorgó.

d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.

Art. 1. La identificación del usuario se hará a través del formulario que le

proporcionara el Gestor de Seguridad, y se autenticara, mediante la firma impresa


diciembre de 2009

33

de la persona que tendrá acceso al sistema o se acreditará con su cuenta de

usuario.

Art. 2. Cualquier petición de servicio, por parte de personal de la empresa o ajeno

a la misma, no se concederá sino es mediante la aprobación de la política de

acceso y prestación de servicio.

Art. 3. La cuenta temporal es usada únicamente con propósitos legales y de

ejecución de tareas, por olvido de la información de la cuenta personal.

Art. 4. La cuenta temporal es únicamente acreditable, si se proporciona la

información necesaria para su uso.

Art. 5. Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa

verificación o asignación de una nueva cuenta, al usuario propietario de la cuenta

a eliminar.

Art. 6. El par usuario/contraseña temporal, será eliminada del sistema como tal,

por el gestor de seguridad, en el preciso momento en que sea habilitada una

cuenta personal para el usuario que haya solicitado su uso.

Art. 7. El sistema no aceptará contraseñas con una longitud menor a la expresada

en la política de creación de contraseñas.

Art. 8. Los usuarios darán un seguimiento estricto sobre las políticas de creación

de contraseñas, acatando sus disposiciones en su totalidad.

Art. 9. El sistema revocará toda contraseña con una longitud mayor a la expresada

en la política de creación de contraseñas.

Art. 10. El usuario se responsabiliza en crear una contraseña fuerte y difícil de

adivinar.

Art. 11. Se recomienda utilizar una frase coma base para la creación de la

contraseña, tomando la letra inicial de cada palabra. Por ejemplo: “El azar favorece

una mente brillante” <<EaFUmB>>

5.4. Sistema de gestión de contraseña

Las contraseñas constituyen uno de los principales medios de validación de la autoridad

de un usuario para acceder a un servicio informático. Los sistemas de administración de

contraseñas deben constituir una herramienta eficaz e interactiva que garantice

contraseñas de calidad.


diciembre de 2009

34

El sistema de gestión de contraseñas debe:

a) Imponer el uso de contraseñas individuales para determinar responsabilidades.

b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego

de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un

procedimiento de confirmación para contemplar los errores de ingreso.

c) Imponer una selección de contraseñas de calidad según lo señalado en el punto

“Uso de Contraseñas”.

d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios

mantengan sus propias contraseñas, según lo señalado en el punto “Uso de

Contraseñas”.

e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer

procedimiento de identificación, en los casos en que ellos seleccionen sus

contraseñas.

f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar

la reutilización de las mismas.

g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.

h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas

de aplicación.

i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado

unidireccional.

j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez

instalado el software y el hardware (por ejemplo claves de impresoras, hubs,

routers, etc.).

k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas,

asegure que no se tenga acceso a información temporal o en tránsito de forma no

protegida.

Art. 1. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo

usuario de la red la empresa, siempre y cuando se identifique previamente el

objetivo de su uso o permisos explícitos a los que este accederá, junto a la

información personal del usuario.


diciembre de 2009

35

Art. 2. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de

información de la cuenta personal, para brindarse al usuario que lo necesite,

siempre y cuando se muestre un documento de identidad personal.

Art.3. La longitud mínima de caracteres permisibles en una contraseña se

establece en 6 caracteres, los cuales tendrán una combinación alfanumérica,

incluida en estos caracteres especiales.

Art. 4. La longitud máxima de caracteres permisibles en una contraseña se

establece en 12 caracteres, siendo esta una combinación de Mayúsculas y

minúsculas.

5.5. Responsabilidades del usuario

Art. 1. El usuario es responsable exclusivo de mantener a salvo su contraseña.

Art. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los

sistemas o servicios.

Art. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o

superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar

seguro.

Art. 4. El usuario es responsable de eliminar cualquier rastro de documentos

proporcionados por el Gestor de Seguridad, que contenga información que pueda

facilitar a un tercero la obtención de la información de su cuenta de usuario.

Art. 5. El usuario es responsable de evitar la práctica de establecer contraseñas

relacionadas con alguna característica de su persona o relacionado con su vida o

la de parientes, como fechas de cumpleaños o alguna otra fecha importante.

Art. 6. El usuario deberá proteger su equipo de trabajo, evitando que personas

ajenas a su cargo puedan acceder a la información almacenada en el, mediante

una herramienta de bloqueo temporal (protector de pantalla), protegida por una

contraseña, el cual deberá activarse en el preciso momento en que el usuario deba

ausentarse.

Art. 7. Cualquier usuario que encuentre un hueco o falla de seguridad en los

sistemas informáticos de la institución, está obligado a reportarlo a los

administradores del sistema o gestor de seguridad.

5.6. Uso de los recursos del sistema

Servidores


diciembre de 2009

36

Art. 3. El acceso a la configuración del sistema operativo de los servidores, es

únicamente permitido al usuario administrador.

Art. 4. Los administradores de servicios, tendrán acceso único a los módulos de

configuración de las respectivas aplicaciones que tienen bajo su responsabilidad.

Art. 5. Todo servicio provisto o instalado en los servidores, correrá o será

ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de

servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser

eliminados o configurados correctamente.

Monitoreo del acceso y uso del sistema

Art. 1. Se registrará y archivará toda actividad, procedente del uso de las

aplicaciones, sistemas de información y uso de la red, mediante archivos de Log o

bitácoras de sistemas.

Art. 2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios,

IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada,

aplicación implicada en el proceso, intentos de conexión fallidos o acertados,

archivos a los que se tuvo acceso, entre otros.

Art. 3. Se efectuará una copia automática de los archivos de Log, y se conducirá o

enviara hacia otra terminal.

Mantenimiento

Art. 1. El mantenimiento de las aplicaciones y software de sistemas es de

exclusiva responsabilidad del personal de la unidad de informática, o del personal

de soporte técnico.

Art. 2. El cambio de archivos de sistema, no es permitido, sin una justificación

aceptable y verificable por el gestor de seguridad.

Art. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos

y cambios realizados desde su instalación.


diciembre de 2009

37

Uso de Utilitarios de Sistema

La mayoría de las instalaciones informáticas tienen uno o más programas utilitarios que

podrían tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Es

esencial que su uso sea limitado y minuciosamente controlado. Se deben considerar los

siguientes controles:

Art. 1. Utilizar procedimientos de autenticación para utilitarios del sistema.

Art. 2. Separar entre utilitarios del sistema y software de aplicaciones.

Art. 3. Limitar el uso de utilitarios del sistema a la cantidad mínima viable de

usuarios fiables y autorizados.

Art. 4. Evitar que personas ajenas al Organismo tomen conocimiento de la

existencia y modo de uso de los utilitarios instalados en las instalaciones

informáticas.

Art. 5. Establecer autorizaciones para uso ad hoc de utilitarios de sistema.

Art. 6. Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el

transcurso de un cambio autorizado.

Art. 7. Registrar todo uso de utilitarios del sistema.

Art. 8. Definir y documentar los niveles de autorización para utilitarios del sistema.

Art. 9. Remover todo el software basado en utilitarios y software de sistema

innecesarios.

5.7. Desconexión automática de sesión

El Responsable de Seguridad Informática, junto con los Propietarios de la Información de

que se trate definirán cuáles se consideran terminales de alto riesgo, por ejemplo áreas

públicas o externas fuera del alcance de la gestión de seguridad de la empresa, o que

sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido

de inactividad, tiempo muerto, para evitar el acceso de personas no autorizadas. Esta

herramienta de desconexión por tiempo muerto deberá limpiar la pantalla de la terminal y

deberá cerrar tanto la sesión de la aplicación como la de red. El lapso por tiempo muerto

responderá a los riesgos de seguridad del área y de la información que maneje la

terminal.


diciembre de 2009

38

Para las PC’s, se implementará la desconexión por tiempo muerto, que limpie la pantalla y

evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red.

Por otro lado, si un agente debe abandonar su puesto de trabajo momentáneamente,

activará protectores de pantalla con contraseñas, a los efectos de evitar que terceros

puedan ver su trabajo o continuar con la sesión de usuario habilitada.

5.8. Limitación del tiempo de conexión

Las restricciones al horario de conexión deben suministrar seguridad adicional a las

aplicaciones de alto riesgo. La limitación del periodo durante el cual se permiten las

conexiones de terminales a los servicios informáticos reduce el espectro de oportunidades

para el acceso no autorizado. Se implementará un control de esta índole para

aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en

ubicaciones de alto riesgo, por ejemplo áreas públicas o externas que estén fuera del

alcance de la gestión de seguridad de la empresa.

Entre los controles que se deben aplicar, se enuncian:

Art. 1. Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos

en lote, o sesiones interactivas periódicas de corta duración.

Art. 2. Limitar los tiempos de conexión al horario normal de oficina, de no existir un

requerimiento operativo de horas extras o extensión horaria.

Art. 3. Documentar debidamente los agentes que no tienen restricciones horarias y

las razones de su autorización. También cuando el Propietario de la Información

autorice excepciones para una extensión horaria ocasional.


diciembre de 2009

39

6. Implementación de la seguridad

6.1. Introducción

El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite

acercarnos más a la toma de acciones dentro de nuestra organización. Dichas

acciones deben llevar un orden adecuado que permita una utilidad real para nuestra

empresa. El siguiente artículo menciona algunas consideraciones importantes al respecto.

La política de seguridad en la empresa es u na cosa, implementarla es algo

completamente distinto. En el artículo del auto r Charles Cressonwood titulado

"Policies: The Path to Less Pain & More Gain ", publicado en la fuente

mostrada al final de este párrafo, se muestran los resultados de una

encuesta, en la cual se dem uestra que una compañía que cuenta con una

política de seguridad implantada puede tener t antos o más problemas que

aquella que no la tiene, lo que sugiere fallos en su implementación.

Fuente consultada: http://www.infosecuritymag.com/a rticles/1999/augcover.shtml

6.1.1. Objetivos

La importancia del plan de implementación de seguri dad en la

empresa, que permita que la ejecución del mi smo sea un éxito.

Revisar ejemplos de acciones a tomar dentro de la e mpresa, con el fin

de tener una mayor base para la selección de dichas acciones en

nuestra propia implementación.


diciembre de 2009

40

6.1.2. Importancia de la Implementación

Después de conocer las amenazas y puntos débiles del ambiente, adquiridos en el

análisis de riesgos, o después de la definición formal de las intenciones y actitudes de la

organización que están definidas en la política de seguridad de la información, debemos

tomar algunas medidas para la implementación de las acciones de seguridad

recomendadas o establecidas

Recordemos que las amenazas son agentes capa ces de exp lotar

fallos de seguridad, que denominamos puntos débiles y, como

consecuencia de ello, causan pérdidas o daños a los activos de

una empresa y afectan sus negocios.

No basta conocer las fragilidades del ambiente o tener una política de seguridad

escrita. Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre

el valor de la información, configurar los ambientes etc. Debemos elegir e implementar

cada medida de protección, para contribuir con la reducción de las vulnerabilidades.

Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre

los propósitos definidos. Estos propósitos tienen que ser muy claros

6.1.3. Consideración de la aplicación

Las medidas de seguridad son acciones que podemos tomar con la

finalidad de reducir las vulnerabilidades existente s en los activos de

la empresa

Son varias las medidas de protección que recomendamos para la reducción de las

vulnerabilidades de la información. Entre otras:

• Protección contra virus


diciembre de 2009

41

• Implementación de firewalls

• Control de acceso a los recursos de la red

• Control de acceso físico

• Sistemas de vigilancia

• Detección y control de invasiones

• Políticas generales o específicas de seguridad

• Equipos

• Configuración de ambientes

• Entrenamiento

• Campañas de divulgación

• Planes de continuidad

• Clasificación de la información

• VPN - Virtual Private Network

• Acceso remoto seguro

• Monitoreo y gestión de la seguridad

• ICP - Infraestructura de llaves públicas

No olvidemos que el objetivo de la implementación de las medidas de seguridad

excede los límites de la informática, definida en el diccionario como "la

ciencia que tiene en vista el tratamiento de la información a través del uso

de equipos y procedimientos del área de procesamiento de datos". Por ello

debemos comprender los ambientes que tratan de la información, no sólo en los medios

electrónicos, sino en los convencionales.

Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si

los usuarios las comparten o escriben en recados y las pegan al lado de su monitor.

6.1.4. Consideración de la Implementación

A continuación incluimos algunas acciones a considerarse en la implementación de la

seguridad de la información. Consideraciones en la implementación de acciones de

seguridad de la información:


diciembre de 2009

42

a. Plan de Seguridad

A partir de la política de seguridad, se definen qué acciones deben implementarse

(herramientas de software o hardware, campañas de toma de conciencia, entrenamiento

etc.), para alcanzar un mayor nivel de seguridad. Estas acciones deben estar incluidas en

un plan de seguridad para dar prioridad a las acciones principales en términos de su

impacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementación,

para establecer así las acciones de corto, mediano y largo plazo.

b. Plan de acción

Una vez definido y aprobado el plan de seguridad, se parte hacia la definición del plan de

acción para las medidas que se deben implementar.

c. Recomendaciones de los fabricantes

Es muy importante que las recomendaciones de los fabricantes de los productos sean

conocidas antes de la implementación.

d. Soporte

Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la

ejecución de determinadas actividades.

e. Planificación de la implantación

Algunas de las cosas a implantar (aplicaciones, equipos, campañas de divulgación y toma

de conciencia entre otras) pueden durar varios días y afectar a varios ambientes,

procesos y personas de la organización. En esos casos, siempre es útil una planificación

por separado.

f. Plataforma de Pruebas

En algunos casos, una plataforma de pruebas es necesaria para evaluar la solución y

reducir los posibles riesgos sobre el ambiente de producción.

g. Metodología de Implementación

Al realizar la implementación propiamente dicha, es muy importante seguir una


diciembre de 2009

43

metodología, que: defina cómo dar los pasos necesarios para ejecutar un plan de acción

mantenga un mismo estándar de calidad en la implementación sin importar quién lo esté

ejecutando.

Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la

implementación y, en caso de dificultades, saber qué acciones tomar y quién debe ser

notificado.

h. Registro de Seguridad

Después de la implementación de una nueva medida de seguridad, es importante

mantener el registro de lo que fue implementado. Se deben registrar informaciones como:

• lo que fue implementado (herramienta, entrenamiento etc.);

• cuáles son los activos involucrados;

• qué dificultades fueron encontradas y

• cómo fueron superadas; hasta qué punto se alcanzó el objetivo esperado, etc.

Este registro tiene dos objetivos principales: mantener el control de todas las medidas

implementadas y aprovechar la experiencia acumulada.

i. Monitoreo y Administración del Ambiente

La administración de un ambiente seguro

involucra a todo un ciclo de macro

actividades. Como lo mencionamos, la

primera fase de ese ciclo es el análisis de

riesgos, donde se conoce el ambiente y lo

que se debe implementar. Además vimos

también los aspectos relacionados con la

política de seguridad y actualmente

abordaremos la implementación de

medidas de seguridad.

Es necesario monitorear los activos,


diciembre de 2009

44

desde la medición constante de indicadores que muestren qué tan eficaces son las

medidas adoptadas y lo que se necesita cambiar. A partir de la lectura de esos

indicadores, se hace otro análisis de riesgos y se comienza el ciclo otra vez (ver diagrama

adjunto).

El éxito de una implementación de seguridad sólo se alcanza al buscar la administración

efectiva de todo el ciclo. qué dificultades fueron encontradas y cómo fueron superadas;

hasta qué punto se alcanzó el objetivo esperado, etc.

Para ilustrar mejor algunas de estas consideracione s, mostramos los siguientes

ejemplos.

• En el caso de las pruebas, podemos mencionar la implantación de un laboratorio

para revisar diferentes soluciones antivirus, que nos permita valorar su eficacia y

facilidad de administración.

• También es necesario revisar con cuidado los documentos provenientes de los

fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por

ejemplo, la manera correcta de instalar un servidor, saber cuánto espacio,

temperatura y demás características son necesarias.

• En el caso del monitoreo, existen algunas aplicaciones que permiten identificar el

desempeño de un servidor de base de datos, y con esto nos damos cuenta si las

medidas de seguridad tomadas a favor de dicho desempeño fueron de verdadera

utilidad.

6.2. Plan de seguridad

El plan de seguridad se debe apoyar en un cronograma detallado y contener para

cada acción los siguientes puntos que enseguida se describen brevemente. Para mayor

claridad añadimos un ejemplo de cada uno de los puntos.

Si no sabemos con cuáles recursos contamos, no podemos realizar una planeación

adecuada de nuestra implantación de seguridad en la empresa, por ello hay que analizar

con cuidado los recursos con los que contamos.


diciembre de 2009

45

Siguiendo con el mismo tema, enseguida daremos una información adicional de

algunos tipos de recursos:

Los recursos humanos

El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de

especialistas. Las personas que son parte de estos equipos deben ser orientadas en

cuanto a los objetivos y al objeto del trabajo, las tareas, método, plazos, etc. Pero es

importante recordar que también es necesario:

• Comprometer a los responsables por la liberación de los recursos humanos

con el éxito del plan.

• Mantener elevada la moral de los equipos.

• Facilitar la relación.

• Distribuir las tareas adecuadamente, considerando el perfil, habilidades,

intereses, disponibilidad, etc.

• Distribuir las funciones en los equipos de acuerdo con sus habilidades,

intereses y conocimientos.

• Integrar y sintetizar conocimientos.

• Suministrar toda la información complementaria.

• Conocer y saber utilizar los recursos disponibles.

Los recursos materiales

Necesitamos contar con el equipo adecuado, que nos facilite la realización de las

tareas en materia de seguridad, de esto depende que se realicen dichas actividades

con el impacto necesario.

Recordatorios importantes

• Seleccionar y utilizar recursos que estén de acuerdo con la modalidad de la tarea.

• Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.

Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.

• Leer con atención las orientaciones para el acceso y la utilización de los


diciembre de 2009

46

recursos materiales y orientar los equipos en lo que se refiere a su

manipulación.

• Cuidar el mantenimiento de los recursos seleccionados para que estén siempre en

orden cuando sean necesarios.

Los recursos financieros

Además del tomar en cuenta el personal y el equipo necesario, el recurso financiero con

el que vamos a contar es importante para dimensionar la capacidad de inversión en

materia de seguridad, tanto para la compra de nuevos activos como para la contratación

de personal o capacitación, en caso de ser necesario.

Recordatorios importantes

• Hacer la previsión presupuestaria y financiera.

• Establecer un sistema de control de los gastos.

• Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del

proceso para reducir los costos.

• Dar preferencia a recursos que se utilicen en más de una tarea. Eso ayuda al

proceso a su economía.

• Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades

de tal manera que se realicen más en menor tiempo sin, por otro lado,

perjudicar la calidad

Después de todo el análisis que realizamos hasta ahora, es importante revisar el

cronograma sobre las tareas en materia de seguridad. A continuación revisaremos lo

relevante a este concepto


diciembre de 2009

47

Cronograma

Todo plan exige un cronograma. En él deben estar indicadas las actividades y

tareas, responsables, plazos, subordinación de las etapas y/o indicación de las que se

pueden realizar simultáneamente, o de forma independiente si es el caso. En

ese cronograma también indicamos la periodicidad de la evaluación durante el

proceso y otros marcos importantes.

Considerando que el plan puede sufrir alteraciones en el transcurso de su

ejecución, es interesante fijar una línea de base inicial de la planificación para fines de

control.

Una herramienta recomendada es MS PROJECT con la cual podemos controlar

todo su plan. Veamos la imagen que se muestra enseguida:

Para mayor referencia dirigirse al documento Proyecto Politicas de Seguridad.mpp


diciembre de 2009

48

RECOMENDACIONES

• Crear un Sistema de Gestión de Seguridad de la Información, que supervise y

normalice, toda actividad relacionada con la seguridad informática.

• Aprobar y poner en marcha el manual de políticas y normas de seguridad

informática.

• Actualizar de forma constante, transparente y de acuerdo a las necesidades

existentes al momento, el manual de normas y políticas de seguridad informática.

• Asignar presupuesto para la gestión de seguridad de la información, independiente

de la unidad de informática.

• Asignar personal al área de seguridad de la información.

• Crear un comité de seguridad de la información.

• Involucrar tanto personal técnico, como directivos de la institución, o a la alta

gerencia en temas de seguridad.

• Fijar objetivos para la salvaguarda de la información.

• Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables y

parte de la institución.

• Dar seguimiento a estándares internacionales sobre temas de seguridad de la

información.

• Realizar pruebas de intrusión, locales y externas por personal de la institución, de

forma periódica.


diciembre de 2009

49

• Contratar los servicios de terceros (Hacking ético), para ejecutar pruebas

completas de intrusión a los sistemas de la red institucional.

• Capacitar los empleados de la institución, en temas de seguridad, adoptando un

estricto control de las técnicas más comunes de persuasión de personal

(Ingeniería Social).

• El departamento de recursos humanos, deberá constatar, una clara y eficiente

información sobre el individuo en proceso de reclutamiento, referente a problemas

o situaciones anómalas con otras empresas o en el menor de los casos una

solvencia judicial.

Conclusiones

� La implementación a mediano y largo plazo de aquellos aspectos que así lo exijan

para lograr un nivel de seguridad óptimo, como por ejemplo la introducción de

medios técnicos de seguridad, modificación de locales, etc.

� La preparación y capacitación del personal en materia de seguridad informática,

según su participación en el sistema diseñado, ya sea a través de cursos

específicos, mediante la impartición de materias relacionadas con el tema u otras

medidas de divulgación.

� La organización y ejecución de pruebas, inspecciones y auditorías (internas y

externas) para asegurar la continuidad de la integridad funcional del Sistema de

Seguridad Informática existente, mencionando con qué frecuencia se realizan,

quienes participan y el contenido de las mismas.

� Todas las acciones en las que se comprometa la seguridad de la organización y

que no estén previstas en esta política, deberán ser revisadas por la Dirección

General y la Dirección de Informática para dictar una resolución sujetándose al

estado de derecho.

� Se describirán las medidas y procedimientos de neutralización y recuperación ante

cualquier eventualidad que pueda paralizar total o parcialmente la actividad

informática o degraden su funcionamiento, minimizando el impacto negativo de

éstas sobre la organización.


diciembre de 2009

50

� A partir de los resultados obtenidos en el análisis de riesgos, se determinarán las

acciones a realizar para neutralizar aquellas amenazas que tengan mayor

probabilidad de ocurrencia en caso de materializarse, así como para la

recuperación de los procesos, servicios o sistemas afectados, precisando en cada

caso:

� Que acciones se deben realizar.

� Quién las realiza.

� En qué momento debe realizarlas.

� Como debe realizarlas.

� De qué recursos debe disponer.

Referencias Bibliográficas

Secretaria de Hacienda y Crédito Público. SAT – Servicio de administración Tributaria. “Manual de seguridad Física y Lógica” (Julio de 2006) Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.

Norma 27000

Documents

Transcript of Norma 27000