EVALUACION DE LA SEGURIDAD LOGICA CONTROL DE ACCESOS El Gestor de Seguridad proporcionar toda la documentacin necesaria para agilizar la utilizacin de los

sistemas, referente a formularios, guas, controles, otros. Cualquier peticin de informacin, servicio o accin proveniente de un determinado usuario o departamento, se deber efectuar siguiendo los canales de gestin formalmente establecidos por la institucin, para realizar dicha accin; no dar seguimiento a esta poltica implica: a) Negar por completo la ejecucin de la accin o servicio. b) Informe completo dirigido a comit de seguridad, mismo ser realizado por la persona o el departamento al cual le es solicitado el servicio. c) Sanciones aplicables por autoridades de nivel superior, previamente discutidas con el comit de seguridad. ADMINISTRACIN DEL ACCESO DE USUARIOS Son usuarios de la red administradores Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red siempre y cuando se identifique previamente el objetivo de su uso o permisos explcitos a los que este acceder, junto a la informacin personal del usuario. Cada usuario deber contar con su nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y alternando maysculas y minsculas). Los usuarios se desloguearan despus de 5 minutos sin actividad. Los nuevos usuarios debern ser autorizados mediante contratos confidencialidad y deben mantenerse luego de finalizada la relacin laboral. Uso restringido de medios removibles (USB, CD-ROM, discos externos etc). Las contraseas de acceso al sistema debern modificar de

CONTROL DE ACCESO A LA RED Unidad de Informtica y afines a ella. El acceso a la red interna, se permitir siempre y cuando se cumpla con los requisitos de seguridad necesarios, y ste ser permitido mediante un mecanismo de autenticacin.

Se debe eliminar cualquier acceso a la red sin previa autenticacin o validacin del usuario o el equipo implicado en el proceso. Se efectuara una revisin de Log de los dispositivos de acceso a la red en un tiempo mximo de 48 horas. CONTROL DE ACCESO AL SISTEMA OPERATIVO Se deshabilitarn las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditora, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema. Al terminar una sesin de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilizacin de la estacin de trabajo. Servidores: El acceso a la configuracin del sistema operativo de los servidores, es nicamente permitido al usuario administrador. Los administradores de servicios, tendrn acceso nico a los mdulos de configuracin de las respectivas aplicaciones que tienen bajo su responsabilidad. Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo cuentas restrictivas, en ningn momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrn que ser eliminados o configurados correctamente. CONTROL DE ACCESO A LAS APLICACIONES Las aplicaciones debern estar correctamente diseadas, con funciones de acceso especficas para cada usuario del entorno operativo de la aplicacin, las prestaciones de la aplicacin. Se deber definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecucin o criticidad de las aplicaciones o archivos, y haciendo especial nfasis en los derechos de escritura, lectura, modificacin, ejecucin o borrado de informacin. Se debern efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de informacin u otras anomalas. Las salidas de informacin, de las aplicaciones, en un entorno de red, debern ser documentadas, y especificar la terminal por la que deber ejecutarse exclusivamente la salida de informacin.

Se deber llevar un registro mediante Log de aplicaciones, sobre las actividades de los usuarios en cuanto a accesos, errores de conexin, horas de conexin, intentos fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen informacin relevante y revisable posteriormente. MONITOREO DEL ACCESO Y USO DEL SISTEMA Se registrar y archivar toda actividad, procedente del uso de las aplicaciones, sistemas de informacin y uso de la red, mediante archivos de Log o bitcoras de sistemas. PROTECCIN CONTRA SOFTWARE MALICIOSO Se adquirir y utilizar software nicamente de fuentes confiables. En caso de ser necesaria la adquisicin de software de fuentes no confiables, este se adquirir en cdigo fuente. Los servidores, al igual que las estaciones de trabajo, tendrn instalado y configurado correctamente software antivirus actualizable y activada la proteccin en tiempo real.

MANTENIMIENTO El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informtica, o del personal de soporte tcnico. El cambio de archivos de sistema, no es permitido, sin una justificacin aceptable y verificable por el gestor de seguridad. Se llevar un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalacin. MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO Los medios de almacenamiento o copias de seguridad del sistema de archivos, o informacin de la institucin, sern etiquetados de acuerdo a la informacin que almacenan u objetivo que suponga su uso, detallando o haciendo alusin a su contenido. Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser manipulados nica y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda. Todo medio de almacenamiento con informacin crtica ser guardado bajo llave en una caja especial a la cual tendr acceso nicamente, el gestor de seguridad o

la gerencia administrativa, esta caja no debera ser removible, una segunda copia ser resguardada por un tercero, entidad financiera o afn. Se llevar un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar informacin y su uso.