Digital Progress

La Excelencia en Tecnologa

UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES

uniandes

EXTENSIN SANTO DOMINGO FACULTAD SISTEMAS MERCANTILES

CARRERA SISTEMAS MODULO SEGURIDAD INFORMATICA

TEMA: POLTICAS DE SEGURIDAD DE LA INFORMACIN

AUTOR: JEFFERSON MACAS CEVALLOS

TUTORA: ING. MARA FERNANDA VILLAMARN
FECHA: 31/05/2012

PERIODO MAYO OCTUBRE 2012

Digital Progress

La Excelencia en Tecnologa

Digital Progess La excelencia en Tecnologa

Polticas de seguridad de la Informacin

Digital Progress

La Excelencia en Tecnologa

Historia

Versin 1.00

Fecha 30/05/2012

Autor JeffMa

Modificaciones Versin final

Autor: El desarrollo de polticas de seguridad de la informacin para la empresa Digital Progess fue realizado por: Jefferson Macas

Digital Progress
Contenido
1. 2.

La Excelencia en Tecnologa

Resumen Ejecutivo .................................................................................................................... 6 Objetivos y Alcances .................................................................................................................. 7 2.1. 2.2. Objetivos ............................................................................................................................ 7 Alcances .............................................................................................................................. 7

3. 4. 5. 5.1. 6.

Cumplimientos y Violaciones .................................................................................................... 7 Gerenciamiento de la seguridad de la informacin ................................................................ 8 Anlisis de Riesgo y Clasificacin de la Informacin. ............................................................. 9 Clasificacin de la Informacin ............................................................................................. 9 Roles y Responsabilidades ........................................................................................................ 9 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9. Estructura Organizacional................................................................................................. 9 Separacin de Roles y Responsabilidades ..................................................................... 10 Propietario de la Informacin......................................................................................... 10 Usuarios ............................................................................................................................ 10 Terceros Involucrados ..................................................................................................... 11 Responsables de Seguridad de la Informacin del Grupo ............................................ 11 Auditora General Corporativa ....................................................................................... 11 Administrador de Sistema............................................................................................... 11 Personal ............................................................................................................................ 12

7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18.

Objetivos De Control ............................................................................................................... 12 Estndares De Control De Acceso A La Informacin ............................................................ 12 Estndares De Control De Acceso A La Informacin ............................................................ 13 Estndares De Clasificacin De Activos De Informacin .................................................. 13 Estndares De Seguridad Para El Uso De Herramientas Ofimaticas.................................... 13 Estndares De Administracin De Virus ............................................................................. 13 Estndares De Uso De Internet / Intranet .......................................................................... 14 Seguridad Para La Instalacin Y Configuracin De Red De La Empresa .......................... 14 Seguridad Fsica ................................................................................................................... 14 Plan De Seguridad ................................................................................................................ 15 PLAN DE CONTINGENCIAS INFORMATICAS ....................................................................... 15 ESTRATEGIAS INFORMTICAS........................................................................................... 16

Digital Progress
19. 20. 21. 22. 23. 24. 25. 26. 27.

La Excelencia en Tecnologa

ACCESO FSICO ..................................................................................................................... 16 IDENTIFICADORES DE USUARIO Y CONTRASEAS ........................................................... 17 SALIDA DE INFORMACIN .................................................................................................. 17 USO APROPIADO DE LOS RECURSOS................................................................................. 18 Queda Prohibido .................................................................................................................. 18 SOFTWARE ........................................................................................................................... 19 RECURSOS DE RED ............................................................................................................... 19 ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD ........................................................ 20 BENEFICIOS DE IMPLANTAR POLTICAS DE SEGURIDAD INFORMTICA ........................ 20

Digital Progress
1. Resumen Ejecutivo

La Excelencia en Tecnologa

La seguridad informtica ha tomado gran apogeo, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de las Empresa. En este sentido, las polticas de seguridad informtica definidas partiendo desde el anlisis de los riesgos a los que se encuentra propensa Digital Progess, surgen como una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer nuestra poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades en su aplicacin, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea a Digital progess. La responsabilidad de cumplimiento de esta poltica y la especificacin de cada Unidad Operativa recae en cada gerencia general. El comit de seguridad de la informacin es responsable de liderar la definicin, implementacin y mantenimiento de loa misma.

Digital Progress
2. Objetivos y Alcances 2.1. Objetivos

La Excelencia en Tecnologa

Establecer metodologas para evaluar en forma efectiva los riesgos y debilidades de seguridad en los sistemas de la organizacin. Comunicar las responsabilidades para la proteccin de la informacin. Establecer la metodologa de comunicacin de la presente poltica a todos los usuarios de la informacin de la organizacin. Explicitar el Impacto de los Eventos de Seguridad en la Organizacin. Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la responsabilidad de Digital Progess en la administracin del riesgo. Que la prestacin del servicio de seguridad gane en calidad. Todos interventores del sistema de seguridad. 2.2. Alcances los empleados se convierten en

Esta Poltica se aplica todos los usuarios de la organizacin, incluyendo a funcionarios, gerentes, directores, personal contratado, consultores, empleados de terceras partes contratadas por la organizacin. Incluye toda la informacin, sin importar la forma o formato en la que se crea o utiliza para soportar las actividades de la organizacin, incluyendo la comunicacin verbal, escrita, base de datos de sistemas informticos, aplicativos informticos o transmisiones, cintas, diskettes, cd, reportes generados por computadora, correo electrnico, mensajes de correo de voz, faz, papeles de trabajo. 3. Cumplimientos y Violaciones Todo el Personal incluido en el Alcance de esta poltica tendr que aceptar sus trminos. Cada Unidad Operativa del grupo decidir la forma de este acuerdo.

Digital Progress

La Excelencia en Tecnologa

El uso de cualquier recurso informtico o informacin del grupo para propsitos ilegales o fines inapropiados para un ambiente de trabajo bien controlado, esta estrictamente prohibido. Las violaciones a estas polticas por parte de los empleados motivaran medidas disciplinarias y/o legales. Las violaciones efectuadas por terceras partes

constituirn una falta grave y dar motivo a las acciones legales que correspondan. Para asegurar el cumplimiento completo y consistente de esta poltica, la Unidades Operativas adoptaran los pasos necesarios para identificar las Violaciones, definir y comunicar las consecuencias a los empleados y terceros involucrados. 4. Gerenciamiento de la seguridad de la informacin Para cumplir el objetivo de seguridad de la informacin es esencial que: La implementacin de mecanismos de seguridad especficos, se justifiquen en relacin al valor asociado con la informacin que est siendo protegida. Todos los empleados y terceros involucrados sean responsables de la manipulacin de la informacin. Existan registros de eventos sobres las transacciones y uso de la informacin. Se efectu un examen independiente de la administracin y uso de la informacin. Se ponga nfasis en medidas preventivas antes que el control de daos. Dentro de lo posibles, las medidas de seguridad sean llevadas a la prctica.

Digital Progress
5. Anlisis de Riesgo y Clasificacin de la Informacin.

La Excelencia en Tecnologa

El xito de una correcta implementacin de la poltica de seguridad se apoya en el anlisis y clasificacin de riesgos. Los mecanismos de seguridad de la informacin sern definidos de acuerdo al alcance de los niveles requeridos y documentados en una manera completa, clara y actualizada. Todo riesgo de seguridad de informacin definido, que no est cubierto por los mecanismos implementados, ser puesto a consideracin del Responsable de seguridad. 5.1. Clasificacin de la Informacin

Los niveles estndar de clasificacin de seguridad de informacin del grupo son: Nivel 0: Publico Nivel 1: Interno Nivel 2: Confidencial Nivel 3: Estrictamente confidencial

6. Roles y Responsabilidades 6.1. Estructura Organizacional

Cada Unidad Operativa de Digital Progess nombrara un responsable de seguridad de la informacin de la Unidad Operativa, quien tendr a su cargo la implementacin de esta poltica. El Gerente General de la Unidad Operativa le dar apoyo necesario para el cumplimiento de sus funciones.

Digital Progress
6.2. Separacin de Roles y Responsabilidades

La Excelencia en Tecnologa

Ciertas tareas altamente Privilegiadas o sensibles sern separadas de otras similares, para minimizar el riesgo de abuso de privilegio y para maximizar la habilidad de quienes tienen la funcin de controlar la tareas de los otros. Respetando el principio de segregacin de funciones, algunos roles sern ejercidos por distintos individuos o grupos, como por ejemplo: administracin del acceso o control sobre los sistemas operativos, uso normal de los sistemas y aplicaciones, auditoria y administracin de la seguridad. 6.3. Propietario de la Informacin

Los propietarios de la informacin son los responsables de clasificarla. Esta clasificacin mantendr el principio de necesidad de conocer. Un propietario de la informacin no tiene que ser necesariamente un individuo, podr ser tambin un comit o una unidad de la organizacin. Los propietarios de la informacin son responsables en ltima instancia de la clasificacin y la seguridad de todas las transacciones asociadas con sus activos, as como de asegurar la informacin especfica de la compaa y de los clientes. 6.4. Usuarios

Los usuarios son los custodios de la informacin que crean o almacenan y cumplirn con esta poltica en lo que respecta a su uso y administracin. Los empleados sern informados regularmente sobre las polticas y estndares existentes, y recibirn capacitacin cuando sea necesario.

10

Digital Progress
6.5. Terceros Involucrados

La Excelencia en Tecnologa

Los terceros involucrados se atendern a los lineamientos establecidos por esta poltica. 6.6. Responsables de Seguridad de la Informacin del Grupo

El responsable de seguridad de la informacin del grupo es el lder de todas las actividades relacionadas con la seguridad de la informacin. Coordinara todos los esfuerzos relacionados a la seguridad y reportaran directamente al comit de seguridad. Iniciar procesos de seguridad nuevos y reportara su estado. Resolver posibles conflictos cada unidad operativa. Sus responsabilidades principales son: Supervisar la implementacin del programa de seguridad de la informacin. Actualizar las polticas y normas de seguridad de la informacin. Coordinar las investigaciones de incidentes. Dirigir el programa de concientizacin de seguridad de la informacin. Determinar los trminos de referencia, para los responsables de seguridad dependientes. 6.7. Auditora General Corporativa entre la poltica de seguridad y la legislacin local de

Evaluar si la consistencia de los mecanismos de seguridad implementados concuerdan con los requerimientos y el diseo de seguridad. 6.8. Administrador de Sistema

11

Digital Progress

La Excelencia en Tecnologa

Para cada rea de red extendida (WAN) y red corporativa (MAN) del Grupo, ser designado un administrador de sistema que garantice las prestaciones de acuerdo con las normas establecidas. 6.9. Personal

El nuevo personal que se incorpore al Grupo ser cuidadosamente seleccionado e instruido respecto de sensibilidad de los sistemas de informacin y la informacin bajo su control. Como una parte integral de la operacin diaria de los sistemas de negocios, ser creada y mantenida una concientizacin de la necesidad de la seguridad de la informacion en todo el personal. 7. Objetivos De Control Control de acceso a la informacin Acceso de los usuarios de la informacin Responsabilidad individual Acceso remoto Comunicacin y gestin de las operaciones Respuesta a incidentes Sistemas de comunicacin electrnicos Prevencin contra virus y software malicioso Seguridad de la red Cumplimiento Control del cumplimiento Licencias de software y Copyright Retencin de registros Revisiones Excepciones a la poltica de seguridad Cumplimiento y manejo de las violaciones a la poltica 8. Estndares De Control De Acceso A La Informacin Alcance Cumplimiento Gestin del acceso de los usuarios Identificacin Autenticacin (Cruzado roles y categoras de Informacin) Registro de usuarios Gestin de contraseas de los usuarios Reglas para las contraseas Gestin de privilegios Revisin de los permisos de acceso de los usuarios Control de acceso a la red de comunicaciones

12

Digital Progress
aplicaciones Restricciones al acceso de la informacin 9. Estndares De Control De Acceso A La Informacin

La Excelencia en Tecnologa

Proteccin de los datos de las estaciones de trabajo Control de acceso para las

Privilegios para acceso por defecto Aislamiento de sistemas aplicativos sensitivos Uso de los utilitarios del sistema Monitoreo del acceso y uso de los sistemas Registro (log) de eventos (sistemas automticos de advertencias) Monitoreo del uso de los sistemas Sincronizacin de relojes Acceso remoto y equipos portables Acceso remoto Equipos portables Uso de mdems Segregacin de responsabilidades Uso de criptografa 10. Estndares De Clasificacin De Activos De Informacin Estndares de clasificacin de la informacin Pblica Uso Interno Solamente Confidencial Secreto Valoracin de los activos de informacin Evaluacin de los riesgos (probabilstico) Determinacin de la relacin costo/beneficio Supresin atenuacin de la probabilidad de incidente de seguridad) de los sistemas de seguridad 11. Estndares De Seguridad Para El Uso De Herramientas Ofimaticas Correo Electrnico Internet Sistemas del negocio Sistemas de Proveedores y Clientes Estndares de Seguridad para el Uso 12. Estndares De Administracin De Virus Clasificacin de Recursos y Control Contabilidad de los Recursos Clasificacin de la Informacin Seguridad del Personal Instrucciones a los Usuarios Respuesta a los Incidentes de Virus Administracin de las Comunicaciones y Operaciones

Procedimientos Operacionales y Responsabilidades Proteccin Contra el Software Malicioso Intercambio de Informacin y de Software Computacin mvil Monitoreo del

13

Digital Progress
de Antivirus 13. Estndares De Uso De Internet / Intranet

La Excelencia en Tecnologa

cumplimiento de los Estndares Revisin del cumplimiento tcnico de los Estndares

Conducta de uso general Internet / Intranet Estndares de seguridad en la utilizacin de Internet / Intranet Conexiones a la red Internet y otras redes externas a la organizacin Manejo de transmisiones Servicios Correo Electrnico File transfer Protocol World Wide Web (WWW), HTTP y HTTPS Auditora a la actividad en Internet Seguridad en equipos de proteccin Concientizacin de Seguridad en la red Internet Medidas de proteccin de los servicios en Internet 14. Seguridad Para La Instalacin Y Configuracin De Red De La Empresa Caractersticas de la empresa y su red fsica Activos de informacin a proteger Tipos de usuarios de la informacin con que cuenta la empresa Anlisis del uso de recursos, idiosincrasia. Soluciones generales de conectividad Sistema operativo Configuracin de VPN para los dos usuarios especiales 15. Seguridad Fsica Inventario de dispositivos de tecnologa de la informacin Ubicacin de los dispositivos de conectividad Ubicacin y documentacin de llaves Seguridad de insumos Seguridad lgica Seguridad de acceso lgico Logs del sistema Respaldos Seguridad fsica Medidas de acceso fsico Acceso a reas restringidas Acceso de proveedores de servicios Detecciones de irregularidades Seguridad elctrica Incendios y humo Cableado Almacenamiento de respaldos

14

Digital Progress
16. Plan De Seguridad

La Excelencia en Tecnologa

Para cada amenaza y cada riesgo se definen uno o ms de los siguientes: Mecanismos para contrarrestar, salvaguardas. Mecanismos para paliar la debilidad. Mecanismos de Control de eventos. Mecanismos de deyeccin Procedimientos de verificacin 17. PLAN DE CONTINGENCIAS INFORMATICAS La Administracin de Informtica crear para los departamentos un plan de contingencias informticas que incluya al menos los siguientes puntos: Continuar con la operacin del rea con procedimientos informticos alternos. Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que se encuentran los equipos. Tener el apoyo por medios magnticos o en forma documental, de las operaciones necesarias para reconstruir los archivos daados. Contar con un instructivo de operacin para la deteccin de posibles fallas, para que toda accin correctiva se efecte con la mnima degradacin posible de los datos. Contar con un directorio del personal interno y del personal externo de soporte, al cual se pueda recurrir en el momento en que se detecte cualquier anomala. Ejecutar pruebas de la funcionalidad del plan. Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

15

Digital Progress
18. ESTRATEGIAS INFORMTICAS

La Excelencia en Tecnologa

La estrategia informtica de Digital Progess se consolida en el Plan Maestro de Informtica y est orientada hacia los siguientes puntos: Plataforma de Sistemas Abiertos (Portables). Esquemas de operacin bajo el concepto multicapas. Estandarizacin de hardware, software base, utilitarios y estructuras de datos Intercambio de experiencias entre Departamentos. Manejo de proyectos conjuntos con las diferentes reas. Programa de capacitacin permanente para los colaboradores de la empresa.

Para la elaboracin de los proyectos informticos y para la presupuestacin de los mismos, se tomarn en cuentan tanto las necesidades de hardware y software del rea solicitante, como la disponibilidad de recursos con los que cuente Digital Progess. 19. ACCESO FSICO Slo al personal autorizado le est permitido el acceso a las instalaciones donde se almacena la informacin confidencial de Digital Progess. Slo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones donde se almacena la informacin confidencial, y durante un perodo de tiempo justificado.

16

Digital Progress
20. IDENTIFICADORES DE USUARIO Y CONTRASEAS

La Excelencia en Tecnologa

Todos los usuarios con acceso a un sistema de informacin o a una red informtica, dispondrn de una nica autorizacin de acceso compuesta de identificador de usuario y contrasea. Ningn usuario recibir un identificador de acceso a la Red de Comunicaciones, Recursos Informticos o Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente. Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la informacin. La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn constituidas por combinacin de caracteres alfabticos, numricos y especiales. Los identificadores para usuarios temporales se configurarn para un corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas. 21. SALIDA DE INFORMACIN Toda salida de informacin (en soportes informticos o por correo electrnico) slo podr ser realizada por personal autorizado y ser necesaria la autorizacin formal del responsable del rea del que proviene. Adems, en la salida de datos especialmente protegidos (como son los datos de carcter personal para los que el Reglamento requiere medidas de seguridad de nivel alto), se debern cifrar los mismos o utilizar cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada durante su transporte.

17

Digital Progress
22. USO APROPIADO DE LOS RECURSOS

La Excelencia en Tecnologa

Los Recursos Informticos, Datos, Software, Red Corporativa y Sistemas de Comunicacin Electrnica estn disponibles exclusivamente para cumplimentar las obligaciones y propsito de la operativa para la que fueron diseados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en su uso. 23. Queda Prohibido El uso de estos recursos para actividades no relacionadas con el propsito del negocio, o bien con la extralimitacin en su uso. Las actividades, equipos o aplicaciones que no estn directamente especificados como parte del Software o de los Estndares de los Recursos Informticos propios de Digital Progess. Introducir en los Sistemas de Informacin o la Red Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos. Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteracin o dao en los Recursos Informticos. El personal contratado por Digital Progess tendr la obligacin de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los Sistemas de cualquier elemento destinado a destruir o corromper los datos informticos. Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos, programas o documentos electrnicos.

18

Digital Progress
computadores de trabajo.

La Excelencia en Tecnologa

Albergar datos de carcter personal en las unidades locales de disco de los

Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a travs de soportes automatizados, Internet, correo electrnico o cualquier otro medio, deber cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual y control de virus. 24. SOFTWARE Todo el personal que accede a los Sistemas de Informacin de Digital Progess debe utilizar nicamente las versiones de software facilitadas y siguiendo sus normas de utilizacin. Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados. Tambin tiene prohibido borrar cualquiera de los programas instalados legalmente. 25. RECURSOS DE RED De forma rigurosa, ninguna persona debe: Conectar a ninguno de los Recursos, ningn tipo de equipo de comunicaciones (Ej. mdem) que posibilite la conexin a la Red Corporativa.Conectarse a la Red Corporativa a travs de otros medios que no sean los definidos. Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados. Intentar acceder a reas restringidas de los Sistemas de Informacin o de la Red Corporativa. Intentar distorsionar o falsear los registros log de los Sistemas de Informacin.

19

Digital Progress

La Excelencia en Tecnologa

Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemticos. Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros Usuarios, ni daar o alterar los Recursos Informticos. 26. ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD Debido a la propia evolucin de la tecnologa y las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, Digital Progess se reserva el derecho a modificar esta Poltica cuando sea necesario. Los cambios realizados en esta Poltica sern divulgados a todos los colaboradores de Digital Progess. Es responsabilidad de cada uno de los colaboradores de Digital Progess la lectura y conocimiento de la Poltica de Seguridad ms reciente. 27. BENEFICIOS DE IMPLANTAR POLTICAS DE SEGURIDAD INFORMTICA Los beneficios de un sistema de seguridad con polticas claramente concebidas bien elaboradas son inmediatos, ya que Digital Progess trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los Recursos Humanos.

20