Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD]
Incorporacin de TIC en Procesos Educativos
2013 - 2019
ROBERTO JURADO J.
Vicerrector Acadmico
TABLA DE CONTENIDO
1.
INTRODUCCION ............................................................................................................ 5
2.
JUSTIFICACION ............................................................................................................. 6
3.
OBJETIVOS.................................................................................................................... 6
4.
ALCANCE ...................................................................................................................... 7
5.
Responsables ........................................................................................................ 8
5.2.
6.
7.
7.2.
7.3.
8.
9.
9.2.
9.3.
9.4.
9.5.
9.6.
9.7.
10.
10.1.
10.2.
11.
11.1.
11.2.
11.3.
11.4.
11.5.
11.6.
11.7.
11.8.
11.9.
11.10.
12.
12.1.
13.
14.
15.
1. INTRODUCCION
2. JUSTIFICACION
La seguridad informtica aplica tcnicas fundamentadas para preservar la
informacin y los diferentes recursos informticos con que cuenta la Universitaria
Virtual Internacional. La poltica de seguridad informtica es el conjunto de normas,
reglas, procedimientos y prcticas que regulan la proteccin de la informacin
contra la prdida de forma accidental como intencionada, al igual que garantizan la
conservacin y buen uso de los recursos informticos con que cuenta la
Universitaria Virtual Internacional.
3. OBJETIVOS
Establecer la poltica institucional en materia de Seguridad Informtica que apoye la
Seguridad de la Informacin, entendida como la preservacin de la integridad,
confidencialidad y disponibilidad, as como instrumentar y coordinar acciones para
minimizar daos a la infraestructura tecnolgica y a los sistemas informticos. El
objetivo principal de la Seguridad Informtica ser proteger desde el mbito
tecnolgico la informacin electrnica institucional, los recursos informticos y los
servicios tecnolgicos necesarios para que la Universitaria Virtual Internacional
pueda cumplir con su misin.
Los objetivos que se desean alcanzar luego de implantar esta poltica son los
siguientes:
4. ALCANCE
5. POLITICAS DE SEGURIDAD
Responsables
5.2.
7.1.
Inventario de activos
7.2.
Clasificacin de la informacin
Confidencialidad:
a. Informacin que puede ser conocida y utilizada sin autorizacin por cualquier
persona, sea empleado de la Institucin o no. Tipo: PUBLICO
b. Informacin que puede ser conocida y utilizada por todos los empleados de
la Institucin y algunas entidades externas debidamente autorizadas, y cuya
divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves
para la Institucin o terceros. Tipo: RESERVADA USO INTERNO
c. Informacin que slo puede ser conocida y utilizada por un grupo de
empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o
uso no autorizados podra ocasionar prdidas significativas a la Institucin o
a terceros. Tipo: RESERVADA - CONFIDENCIAL
d. Informacin que slo puede ser conocida y utilizada por un grupo muy
reducido de empleados, generalmente de la alta direccin de la Institucin, y
cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al
mismo, al Sector Pblico Nacional o a terceros. Tipo: RESERVADA SECRETA
Integridad
Disponibilidad:
Rotulado de la Informacin
Copia
Almacenamiento
Transmisin por correo, fax, correo electrnico
Transmisin oral (telefona fija y mvil, correo de voz, contestadores
automticos, etc.).
Controles para reducir los riesgos de error humano, robo, fraude y utilizacin
abusiva de los equipamientos. Desde la vinculacin del personal, se deben tener
controles que permitan verificar la idoneidad e identidad, tica profesional y
conducta. Los trminos y condiciones de empleo o trabajo debe establecer la
responsabilidad de los empleados, por la seguridad de los activos de informacin,
que van ms all de la finalizacin de la relacin laboral o contractual, por lo que se
debe firmar un acuerdo de confidencialidad que se hace extensivo a los contratistas
y terceros que tengan acceso a la informacin.
Deben existir mecanismos de informacin y capacitacin para los usuarios en
materia de seguridad, as como de reporte de incidentes que puedan afectarla. Los
empleados deben cooperar con los esfuerzos por proteger la informacin y ser
responsables de actualizarse en cada materia, as como consultar con el encargado
de la seguridad de la informacin, en caso de duda o desconocimiento de un
procedimiento formal, ya que esto no lo exonera de una accin disciplinaria que
Los equipos de cmputo deben ser apagados todos los das, exceptuando los
servidores
9.1.
9.2.
Con este servicio Claro Colombia nos asigna una plataforma computacional
(hardware, software, conectividad, servicios TI), para todas las aplicaciones de
misin crtica en la institucin.
Se incluyen diferentes niveles de administracin, desde el sistema operativo,
llegando incluso hasta la administracin de aplicaciones especficas por parte del
equipo de operacin de servicios en el data center.
Algunas de las actividades que realiza el equipo de operaciones sobre los servicios
hosting virtualizado, comprende:
Administracin de Hardware (stocks, repuestos y garantas).
Administracin de los servicios de telecomunicaciones (WAN, Internet)
Administracin de los servicios de networking e infraestructura IDC
Administracin de esquemas de balanceo de carga (de ser requerido)
Administracin de polticas y herramientas de seguridad
Administracin de Sistemas Operativos
Administracin de polticas de endurecimiento de sistemas operativos
Conformacin y distribucin de esquemas de plantillas de seguridad
Control de Vigencias de Licenciamiento
Administracin de software base (antivirus, agentes de backup y software de
gestin)
Administracin de software de apoyo (p.j. FTP, DNS, Relay de Correo)
El dimensionamiento de los servicios, se realiza de acuerdo a estrictos
procedimientos de anlisis de capacidad, en donde se especifican los niveles de
disponibilidad
requeridos,
plataformas
involucradas,
previsiones
de
crecimiento/decrecimiento, distribucin de servicios, incorporacin de nuevos
desarrollos, entre otras variables.
Los servicios de Hosting y computacin tienen definidas unas caractersticas de
servicio de acuerdo a cada requerimiento, partiendo de unos servicios y
componentes bsicos como:
Servidores: Fsicos y Virtuales de diferentes especificaciones tcnicas.
Homologados con los mejores fabricantes y configurados es esquemas de
alta disponibilidad y desempeo.
Diaria
Incremental
7 das
Si
Semanal
Total
4 semanas
Si
Quincenal
Total
12 meses
Si
45
Das de Logs
100
Reglas/Polticas
1
Plataforma Centralizada /Alta
Disponibilidad
750
Sesiones concurrentes para
5MB
Centralizado
Incluye detencin
prevencin de
intrusos y/o
ataques basados
en:
Suscripcin
(Grupo
mundial de
investigacin
de amenazas)
Polticas o
perfiles de alto,
mediano y bajo
control
Especializado en
trfico comn (por
ej., http, smtp, ftp,
trafico SQL entre
otros.
Funcionalidades
de Anti spyware
perimetral (evita
la infeccin y
reproduccin)
Control de trfico
especializado
para telefona IP
(H323, SIP)
No soporta
protocolos
cifrados
Plataforma en Alta
Disponibilidad
Reporte mensual
enviado por E-mail
Gestin y
monitoreo
7 * 24
Personalizaci
n de alertas de
notificaciones
por ocurrencia
de eventos
(Opcional)
200 sesiones
concurrentes
por cada MB
de BW
Resumen Top
de eventos.
Top de origen
de eventos
Top de destino
de eventos
Resumen de la
tendencia de
los eventos de
seguridad
45 Das de Logs
Soporta direccionamiento valido desde CPE, No soporta direccionamiento invalido (requiere traslacin de direcciones invalidas a
validas en el CPE o en equipo de punto central)
CONTROL DE NAVEGACIN
Centralizado (en la nube del data center)
Servicio de filtrado url, se crean perfiles y permite la navegacin a un
grupo de usuarios hacia unas categoras de navegacin y restringe
hacia otras.
VPNS
VPN IPSec
VPN SSL para servicios Hosting y/o Colocation
Por medio de este servicio se realiza la administracin de los
servidores que se encuentran en la modalidad de Hosting dedicado
virtualizado.
Administracin de la configuracin.
Administracin de cambios.
Gestin de problemas.
Monitoreo de los equipos.
Monitoreo de polticas.
Monitoreo de seguridad 7X24X365.
Apoyo en la implementacin de polticas y
configuraciones de seguridad.
Apoyo en la operacin de contingencia
(DRP).
F. Disponibilidad
Actualmente los servicios contratados por la Universitaria Virtual Internacional,
incluyen:
Conectividad a Internet por medio de 1 enlace desde Datacenter con alta
disponibilidad de 3000Kbps
Dispositivos perimetrales, Firewall Dedicado.
Dispositivo de seguridad de alto desempeo, que est instalado en el
Datacenter con el fin de aislar, controlar y auditar el trfico que circula hacia
y desde los servidores en hosting.
Monitoreo 24 x 7 de la funcionalidad del firewall e IPS.
Soporte tcnico las 24 horas los 365 das del ao, cubriendo los aspectos de
conectividad a Internet hasta la interfase de conexin con la red privada de
la institucin.
Backups de la configuracin del firewall.
Updates y hot fixes: se actualizan proactivamente en el firewall a medida que
sean liberados por el fabricante, los updates y hot fixes que afecten la
funcionalidad del firewall. Igualmente se aplican a nivel de Sistemas
Operativos y plataforma de virtualizacin.
Cambios de polticas mensuales: servicio de administracin de los
dispositivos de seguridad, cubriendo los cambios de polticas.
Todos los servidores se gestionan mediante el servicio de VPN (Virtual
Private Network/Red Privada Virtual).
Alcance de los niveles de disponibilidad en DataCenter
Servicio
Hosting y Seguridad
MPLS
Internet DataCenter
Disponibilidad
Cubrimiento
99.7%
99.7%
99.7%
DataCenter
DataCenter
DataCenter
Meta
85%
Descripcin
Es un indicador perceptual que seala el nivel de
complacencia que tienen los usuarios del servicio
Seguridad
100%
Ordenes de trabajo
90%
Plan de Produccin
97%
Reportes de Gestin
95%
Disponibilidad
de Informacin
Sistemas
99.7%
9.4.
El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos
ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no
autorizado, teniendo en cuenta los siguientes puntos:
Aislar los elementos que requieren proteccin especial para reducir el nivel
general de proteccin requerida. Y adoptar controles adecuados para
minimizar el riesgo de amenazas potenciales, por: robo o hurto, incendio,
explosivos, humo, inundaciones o filtraciones de agua (o falta de suministro),
polvo, vibraciones, efectos qumicos, interferencia en el suministro de
energa elctrica (cortes de suministro, variacin de tensin), radiacin
electromagntica, derrumbes.
9.5.
Mantenimiento de Equipos
9.6.
9.7.
Establecer reglas sobre la premisa Todo debe estar prohibido a menos que
se permita expresamente y no sobre la premisa inversa de Todo est
permitido a menos que se prohba expresamente.
Controlar los cambios en los rtulos de informacin que son iniciados
automticamente por herramientas de procesamiento de informacin, de
aquellos que son iniciados a discrecin del usuario
Controlar los cambios en los permisos de usuario que son iniciados
automticamente por el sistema de informacin y aquellos que son iniciados
por el administrador.
Controlar las reglas que requieren la aprobacin del administrador o del
Propietario de la Informacin de que se trate, antes de entrar en vigencia, y
aquellas que no requieren aprobacin
Identificar los privilegios asociados a cada producto del sistema, por ejemplo
sistema operativo, sistema de administracin de bases de datos y
aplicaciones, y las categoras de personal a las cuales deben asignarse los
productos.
Los usuarios debern garantizar que los equipos desatendidos sean protegidos
adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo
estaciones de trabajo o servidores de archivos, requieren una proteccin especfica
contra accesos no autorizados cuando se encuentran desatendidos.
El Responsable de Seguridad Informtica debe coordinar con el rea de Recursos
Humanos las tareas de concientizacin a todos los usuarios y contratistas, acerca de
los requerimientos y procedimientos de seguridad, para la proteccin de equipos
desatendidos, as como de sus funciones en relacin a la implementacin de dicha
proteccin.
Los usuarios cumplirn con las siguientes pautas:
Concluir las sesiones activas al finalizar las tareas, a menos que puedan
protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un
protector de pantalla protegido por contrasea.
Proteger las PCs o terminales contra usos no autorizados mediante un
bloqueo de seguridad o control equivalente, por ejemplo, contrasea de
acceso cuando no se utilizan.
El acceso a Internet ser utilizado con propsitos autorizados o con el destino por el
cual fue provisto.
El Responsable de Seguridad Informtica definir procedimientos para solicitar y
aprobar accesos a Internet. Los accesos sern autorizados formalmente por el
Responsable de la Unidad Organizativa a cargo del personal que lo solicite.
Asimismo, se definirn las pautas de utilizacin de Internet para todos los usuarios.
Se evaluar la conveniencia de generar un registro de los accesos de los usuarios a
Internet, con el objeto de realizar revisiones de los accesos efectuados o analizar
casos particulares.
Dicho control ser comunicado a los usuarios de acuerdo a lo establecido en el
punto Compromiso de Confidencialidad. Para ello, el Responsable de Seguridad
Informtica junto con el Responsable del rea de Informtica analizarn las medidas
a ser implementadas para efectivizar dicho control, como ser la instalacin de
firewalls, proxis, etc.
Proveer una interfaz para controlar el acceso a las funciones de los sistemas
de aplicacin. El Propietario de la Informacin involucrada ser responsable
de la adjudicacin de accesos a las funciones. En el caso de que las
actividades involucradas en el otorgamiento de acceso revistan un carcter
tcnico elevado, las mismas sern llevadas a cabo por personal del rea de
sistemas, conforme a una autorizacin formal emitida por el Propietario de la
Informacin.
Restringir el conocimiento de los usuarios acerca de la informacin o de las
funciones de los sistemas de aplicacin a las cuales no sean autorizados a
acceder, con la adecuada edicin de la documentacin de usuario.
Controlar los derechos de acceso de los usuarios, por ejemplo, lectura,
escritura, supresin y ejecucin.
Garantizar que las salidas de los sistemas de aplicacin que administran
informacin sensible, contengan slo la informacin que resulte pertinente
para el uso de la salida, y que la misma se enve solamente a las terminales y
ubicaciones autorizadas.
Revisar peridicamente dichas salidas a fin de garantizar la remocin de la
informacin redundante.
Verificar que los cambios sean propuestos por usuarios autorizados y respete
los trminos y condiciones que surjan de la licencia de uso.
Mantener un registro de los niveles de autorizacin acordados.
Controles para reducir los efectos de las interrupciones de actividad y proteger los
procesos esenciales de la empresa contra averas y siniestros mayores.
Se debe evaluar el impacto de los diferentes procesos en la Institucin y realizar
planes de mitigacin y continuidad para aquellos que resulten crticos. Los planes de
mitigacin y continuidad deben considerar medidas tanto tcnicas como
administrativas y de vnculo con entidades externas; deben probarse y revisarse
peridicamente, y deben permanecer articulados con los diferentes recursos
tecnolgicos y no tecnolgicos existentes en todo la Institucin.
Controles para prevenir los incumplimientos de las leyes penales o civiles, de las
obligaciones reglamentarias o contractuales. Garantizar que se d cumplimiento
adecuado a la legislacin vigente para lo cual analizar los requisitos legales
aplicables a la informacin que se gestiona incluyendo los derechos de propiedad
intelectual, los tiempos de retencin de registros, privacidad de la informacin, uso
inadecuado de recursos de procesamiento de informacin, uso de criptografa y
recoleccin de evidencias.