Professional Documents
Culture Documents
Presentado a:
JEAN POLO CEQUEDA
Ingeniero de Sistemas
INTRODUCCION
Los activos de una empresa, sin importar su tamao, o su tipo, son los recursos
ms importantes con los que cuenta. Estos recursos, tales como el personal, la
informacin y los equipos que procesan o almacenan dicha informacin, son de
vital importancia para que una organizacin se mantenga en funcionamiento.
Debido a esto, se ha planteado un conjunto de declaraciones que proporcionan
guas generales sobre el manejo, uso, y proteccin de los activos de la Escuela
Superior de Administracin Pblica ESAP. Estas declaraciones contenidas en el
presente documento van dirigidas a los empleados, directivos, estudiantes y
dems personal que se relaciona directa o indirectamente con la institucin.
Es importante la divulgacin de estas polticas y normas, para el normal
funcionamiento de la institucin, y para evitar as un posible incidente de seguridad
que comprometa los activos, y en caso de no poder evitar esto, establecer las
actividades que se han de realizar para recuperar la normalidad, y las personas
que sern responsables de cada una de ellas.
JUSTIFICACION
En la actualidad los organizaciones y la mayora de las empresas estn
manejando y utilizando las TIC( Tecnologas Informticas de comunicacin) para el
funcionamiento de su organizacin, lo cual hace que cada vez se vuelva ms
importante al implantar un sistema de informacin en una empresa y a su vez
disear un sistema de gestin de seguridad de la informacin que sea aplicado a
esta.
Una organizacin que hoy en da maneja un sistema de informacin, los activos
ms importantes que esta posee son: la informacin, los procesos, las personas y
sistemas que hacen uso de ellos y que hacen que la empresa funcione como tal.
Considerando la informacin como una de los recursos ms importantes que
poseen las organizaciones hoy es da es primordial velar por la confidencialidad,
integridad y disponibilidad de esta informacin, de manera que la empresa pueda
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organizacin y asegurar
beneficios econmicos.
En vista que los sistemas de informacin se han convertido en uno de los factores
principales para el funcionamiento de las empresas, a su vez son los que se
encuentran expuestos cada vez a un nmero ms elevado de riesgos y amenazas
que pueden generarse desde dentro de la propia organizacin o desde el exterior
y por causas que pueden ser naturales o malintencionadas, que provocan daos o
perdidas de recursos y informacin.
Es importante hoy en da para una empresa poder identificar los posibles
vulnerabilidades existentes, de manera de poder establecer las medidas
preventivas y correctivas necesarios para que estas vulnerabilidades no sean
aprovechadas por las amenazas y puedan ocasionar perdidas en el sistema, ya
sea a travs de diversas formas como lo podran ser fraude, espionaje, sabotaje
o vandalismo, entre otros.
Otras amenazas que pueden sufrir los sistemas de informacin son Los virus
informticos, el hacking o los ataques de negacin de servicio son algunos
ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de
BENEFICIOS
o Reduccin de los riesgos que podran presentarse en cuanto a la seguridad
de los activos relacionados con la informacin, y la informacin misma
o Reduccin de costos en la atencin de emergencias, ya que se busca
prevenirlas en primera instancia
o Se establece un compromiso con la razn de ser de la organizacin,
asegurando que su funcionamiento se mantenga aun en situaciones
adversas
o Reducir perdidas de informacin o recursos, as como el deterioro de los
mismos
o La organizacin inspirar confianza a sus clientes y mejorar su imagen
corporativa
o La organizacin tendr una ventaja competitiva frente a otras
organizaciones en el mercado
o Tener procedimientos de seguridad establecidos para que todos los
integrantes de la organizacin los conozcan, los apliquen para que de esta
forma los procesos, as como los recursos y la informacin que se maneja
en ellos, estn asegurados
OBJETIVO
Establecer un conjunto de indicaciones, polticas y procedimientos que garanticen
un nivel de seguridad de la informacin aceptable en la Escuela Superior de
Administracin Pblica, haciendo uso de herramientas, procesos e indicaciones
que regulen la forma en que se maneja, procesa, protege y se accede a la
informacin o a los equipos informticos que la contienen, evitando que
informacin esencial o confidencial sea revelada, robada, alterada o usada
indebidamente
ALCANCE
Las polticas y procedimientos de seguridad contenidos en este documento, sern
aplicables a la infraestructura tecnolgica e informacin de la Escuela Superior de
Administracin Pblica, sede Norte de Santander.
Estas polticas y procedimientos sern aplicables a los sistemas de informacin y
las redes de comunicaciones que se encuentren en la sede Norte de Santander,
as mismo se aplicar al personal que haga parte de ella.
Recursos Hardware
Switch
Access point
Servidor
Computadores de
escritorio
UPS
Porttiles
Impresoras
Video Beam
Escneres
Antena Satelital
5
6
7
8
9
10
Cantidad
1
3
2
60
2
8
10
4
4
1
Recursos de Software:
o
o
o
o
Usuarios:
33 usuarios en las oficinas, aparte de los estudiantes y dems personas
particulares que ingresen a adquirir informacin.
Oficinas: se dividen en dependencias
Lugares de trabajo: Sede administrativa.
1.2 AMENAZAS
Desastres Naturales:
Podran llegarse a presentar las siguientes situaciones
Inundacin en las oficinas del primer piso cuando se presentan
fuertes lluvias (que ya se ha presentado).
Incendio que puede suceder en cualquier momento (debido a
cortocircuito, descuido de humano, etc.), agregando el hecho de que
no hay alarmas contra incendios
Tormenta, porque no se cuenta con un pararrayo, en una ocasin, un
rayo da las cmaras de seguridad con las que contaba la ESAP
Filtraciones en las sala de sistemas y cuarto del servidor
(actualmente se presenta esto debido a una obra en el piso superior
que aun no est terminada).
De origen industrial
Podran ocurrir las siguientes:
Fallo elctrico porque no hay buena estructura y explosin.
Cada de la red de comunicaciones, ya que el cableado est en mal
estado
Ataques intencionados
Virus informticos
Ataques de una organizacin criminal
Sabotajes
Disturbios y conflictos sociales
Intrusos en la red
Robos, ya que no hay cmaras de video vigilancia porque un rayo
quem las que haban
Empleados con formacin inadecuada, o descontentos
1.3 IMPACTOS
1.4 SALVAGUARDAS
Con respecto a las salvaguardas, la Escuela Superior de Administracin Pblica,
maneja solamente dos:
1. SEGURIDAD LOGICA
Polticas sobre el Manejo de software
Derecho de Autor
-
Registro de Eventos
Se generarn registros de auditora que contengan excepciones y otros eventos
relativos a la seguridad.
Los registros de auditora debern incluir:
a) Identificacin del usuario.
b) Fecha y hora de inicio y terminacin.
c) Identidad o ubicacin de la terminal, si se hubiera dispuesto identificacin
automtica para la misma
d) Registros de intentos exitosos y fallidos de acceso al sistema.
e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos.
En todos los casos, los registros de auditora sern archivados preferentemente en
un equipo diferente al que los genere y conforme los requerimientos de la Poltica
de Retencin de Registros
Los Propietarios de la Informacin junto con la Unidad de Auditora Interna o en su
defecto quien sea propuesto por el Comit de Seguridad de la Informacin,
definirn un cronograma de depuracin de registros en lnea en funcin a normas
vigentes y a sus propias necesidades.
Procedimientos y reas de Riesgo
Se desarrollarn procedimientos para monitorear el uso de las instalaciones de
procesamiento de la informacin, a fin de garantizar que los usuarios slo estn
desempeando actividades que hayan sido autorizadas explcitamente.
Todos los empleados deben conocer el alcance preciso del uso adecuado de los
recursos informticos, y se les advertir que determinadas actividades pueden ser
objeto de control y monitoreo
3 Diagnstico o monitoreo.
2 El Administrador de la Base de Datos no deber eliminar ninguna informacin
del sistema, a menos que la informacin est daada o ponga en peligro el buen
funcionamiento del sistema.
2. SEGURIDAD FISICA
Equipos de la empresa
PS2.1: Se restringir el acceso de personal estudiantil y personal externo a
la ESAP a las reas administrativas de la institucin, en donde se
encuentren equipos de cmputo o informacin sensible. En caso de que el
acceso de estas personas sea necesario, el acceso debe estar autorizado
por el responsable del rea a la que van a ingresar, y deben estar
acompaados en todo momento. El responsable del rea se har cargo de
cualquier anomala que se pueda presentar a raz de esta situacin.
PS2.2: Solamente el personal tcnico designado por el responsable del
departamento de sistemas podr instalar o desinstalar software en los
equipos de la institucin. La ESAP tiene instalado y licenciado software
como: Sistema Operativo de Windows, Antivirus Mcfee, base de datos
Oracle, Microsoft Office, Adobe CS5, Corel Draw entre otros. La instalacin
de programas no licenciados o no autorizados por la Oficina de Sistemas
ser responsabilidad directa del usuario que lo utilice.
PS2.3: El encargado del departamento de sistemas deber llevar un
registro detallado de los equipos de cmputo que son propiedad de la
ESAP. Dicha informacin contendr las caractersticas de hardware y
software, el registro de los mantenimientos correctivos o preventivos que se
les han hecho, y las fechas en las que estn programados nuevos
mantenimientos.
PS2.4: En equipos con informacin sensible, se desactivarn los puertos
USB, para evitar que se extraiga informacin indebidamente, o se
contaminen los equipos con cdigos maliciosos.
3.4 Amenazas
Para poder disear procedimientos que permitan evitar las emergencias, reducir
sus consecuencias negativas si se presentaran, y permitir que la ESAP se
recupere; es necesario determinar con claridad las amenazas que se pueden
presentar, para as, analizando cada una de ellas, se pueda dar la mejor solucin.
A continuacin se listan las amenazas que se pueden identificar para la ESAP, y
cul es la probabilidad de que cada una de ellas ocurra:
Amenaza
Inundacin/Daos por lluvias en la oficina
Terremotos
Manipulacin malintencionada o accidental
de la informacin
Robo de los equipos de cmputo
Prdida de informacin
Conductas no ticas de los empleados
Corte del servicio de electricidad
Dao fsico de los equipos de cmputo
Incendios
Probabilidad de Ocurrencia
Muy
Alt Medi Baj Muy
Alta
a
a
a
Baja
X
X
X
X
X
X
X
X
X
Definir perfiles de usuario, para as poder tener control sobre los accesos a
la informacin.
Contar con copias de seguridad (backups), de los sistemas operativos, de
los software aplicativos, de los datos (Bases de Datos, contraseas, etc.)
Incendio
Para evitar en mayor parte los daos que la ESAP pueda sufrir en caso de que se
presente un incendio, se deben seguir las siguientes recomendaciones:
Mantener funcionando, y debidamente sealizados, los equipos y sistemas
de alarma contra incendios.
Informar a todos los empleados de la empresa las zonas seguras a las que
deben dirigirse, y las vas de evacuacin.
Tener especial cuidado con elementos de material inflamable, y ubicarlos
lejos de cualquier fuente de ignicin.
No permitir que se fume dentro de la institucin.
Contar con extinguidores, y capacitar a los empleados para su uso.
Etiquetar los equipos de cmputo de acuerdo a la prioridad de su contenido
y la importancia que tiene para la empresa, para que esta clasificacin sea
tenida en cuenta en caso de una posible evacuacin.
Terremotos
En el momento en el que se est presentando cualquier actividad ssmica, se
deben realizar las siguientes actividades:
123
5760622
Cuerpo de Bomberos
Lnea de emergencia
Bomberos Villa del Rosario
Bomberos Los Patios
119
5700558
5802288
Defensa Civil
Lnea de emergencia
144
5710624
4. PROCEDIMIENTOS DE SEGURIDAD
1. SEGURIDAD FISICA
NOMBRE
DEL
PROCEDIMIE
NTO
RESPONSA
BLE
PROCEDIMIENTO
PS2.1
Procedimiento
para el acceso
a la Escuela
Superior de
Administraci
n Pblica
Personal de
Vigilancia
Funcionarios
de la ESAP
PS2.2
Procedimiento
para manejo
de software
en los equipos
Personal
tcnico
designado
por el
departament
o de
sistemas
PS2.3
Procedimiento
para el
registro de
equipos
Encargado
del
departament
o de
sistemas
PS2.4
Procedimiento
para bloqueo
de puestos
USB
Personal
tcnico
designado
por el
departament
o de
Si algn funcionario de la
ESAP necesita o cree que es
necesario tener una nueva
herramienta de software,
deber solicitarlo al personal
del departamento de sistemas,
y no podr instalarlo por su
propia cuenta
Si el personal del
departamento de sistemas
aprueba la solicitud, el
software se instalar (si se
cuenta con las licencias
debidas), de lo contrario, no se
har la instalacin
Se deber tener un formato
que se debe mantener
actualizado. El formato
contendr la siguiente
informacin: fecha de
adquisicin del equipo,
caractersticas de hardware y
software, fecha de
mantenimiento, tipo de
mantenimiento y
observaciones
En servidores y computadores
que estn ubicados en reas
administrativas que contienen
informacin crtica, se
bloquearn los puertos USB.
Para esto, se realizarn los
siguientes pasos:
1.-Men Inicio - ejecutar
2.- regedit
3.- seguir la siguiente ruta:
HKEY_LOCAL_MACHINE\SY
sistemas
PS2.5
Procedimiento
para
eliminacin
segura de
informacin
en medios
magnticos
Encargado
del
departament
o de
sistemas
PS2.9
Procedimiento
para el
mantenimient
o de equipos
Personal
tcnico
designado
por el
departament
o de
sistemas
STEM\CurrentControlSet\Servi
ces\UsbStor
4.- buscar y hacer doble clic
en Start
5.- cambiar el valor, 3 para
permitir y 4 para bloquear los
puertos.
En caso de que se necesite
borrar informacin desde
memorias flash, se utilizar la
herramienta Disk Wipe, que
sobre escribe varias veces
datos en el dispositivo, para
asegurar un borrado seguro
En caso de que se necesite
borrar informacin de discos
duros, se usar la herramienta
Eraser, que se integra en el
men contextual de Windows
y puede programarse para
realizar acciones
peridicamente
Los funcionarios de la ESAP o
los usuarios de la ESAP
debern solicitar una revisin
tcnica, en caso de que noten
alguna anomala en los
equipos que manejan
El departamento de sistemas
recibe la solicitud y designar
el personal tcnico que
atender la solicitud y se
realiza la revisin de los
equipos
En caso de que sea necesario
instalar o desinstalar software,
o realizar algn arreglo
PS2.10
PS2.11
Procedimiento
para el acceso
a la red de
datos de
equipos
ajenos a la
ESAP
Procedimiento
para el
prstamo de
equipos
Encargado
del
departament
o de
sistemas
Personal
administrativ
o
respecto al hardware, se
deber actualizar el registro de
los equipos (visto en el
procedimiento de registro de
equipos)
Se contar con un firewall
debidamente configurado,
para que se filtren aquellos
sitios a los que los
funcionarios y usuarios podrn
tener acceso, as como para
proteger la red de datos de
usuarios malintencionados
Cuando un usuario externo o
un estudiante necesite usar un
equipo de la ESAP, deber
pedrsele una identificacin
que se le retendr mientras
haga uso del equipo