UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERIA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERIA INFORMTICA

TEMA:

POLITICAS DE SEGURIDAD.

CURSO:

SEGURIDAD INFORMATICA.

DOCENTE:

ING.WILFREDO CRUZ YARLEQUE.

INTEGRANTES:
-

CASTRO SILVA WILLIAM

CHUQUIHUANGA ABAB GLEDY

HERNANDEZ RAMIREZ MIJAIL

PIURA-PER
2014

ndice
INTRODUCCION

1. POLITICAS DE SEGURIDAD INFORMATICA

2. OBJETIVOS

2.1 Objetivo Principal

2.2 Objetivos Especficos

3. ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA

4.DOCUMENTOS DE REFERENCIA

5. SITUACION DE LA SEGURIDAD INFORMTICA

6. PARMETROS PARA ESTABLECER POLTICAS DE SEGURIDAD

7. POLTICAS Y CONDICIONES De OPERACIN

7.1. Control de Acceso a la Informacin

7.1.1 Generalidades

7.1.2 Prohibiciones

7.2. Uso del correo interinstitucional

7.2.1 Generalidades

7.2.2 Prohibiciones

7.3. Uso de las Redes e Internet

7.3.1 Generalidades

7.3.2 Prohibiciones

7.4. Infraestructura de la Red

10

7.4.1 Generalidades

10

7.4.2 Prohibiciones

10

7.5. Uso de los Equipos de Cmputo y el Procesamiento de la Informacin

11

7.5.1 Generalidades

11

7.5.2 Prohibiciones

11

7.6. Administracin de Servidores

12

7.6.1 Generalidades

12

7.6.2 Prohibiciones

12

8. Conclusiones

13

9. Linkografa

13

Seguridad Informtica

2014-II

INTRODUCCION
La informacin es un recurso que, como el resto de los activos, tiene valor para el Grupo
Empresarial lvarez Bohl y por consiguiente debe ser debidamente protegida, garantizando la
continuidad de los sistemas de informacin, minimizando los riesgos de dao y contribuyendo de
esta manera, a una mejor gestin de la entidad empresarial.
Para que estos principios de la Poltica de Seguridad de la Informacin sean efectivos, resulta
necesaria la implementacin de una Poltica de Seguridad de la Informacin que forme parte de la
cultura organizacional de la entidad, lo que implica que debe contarse con el manifiesto
compromiso de todos los funcionarios de una manera u otra vinculados a la gestin, para
contribuir a la difusin, consolidacin y cumplimiento.
As mismo, con el propsito de que dicha implementacin pueda realizarse en forma ordenada y
gradual.

Polticas de Seguridad
1

Seguridad Informtica

2014-II

1) POLITICAS DE SEGURIDAD INFORMATICA

"Las polticas de seguridad informtica tienen por
objeto establecer las medidas de ndole tcnica y
de organizacin, necesarias para garantizar la
seguridad de las tecnologas de informacin
equipos de cmputo, sistemas de informacin,
redes (Voz y Datos)) y personas que interactan
haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de cmputo de las
empresas.

Polticas de Seguridad
2

Seguridad Informtica

2014-II

2) OBJETIVOS
2.1) Objetivo Principal
Propender que los servicios tecnolgicos y de comunicaciones se ofrezcan con calidad,
confiabilidad, integridad, disponibilidad y eficiencia, optimizando y priorizando su uso para
asegurar su correcta funcionalidad y brindando un nivel de seguridad ptimo.
2.2) Objetivos Especficos
a) Controlar el ancho de banda los canales de comunicacin y la disponibilidad de espacio
en disco en el servidor de archivos.
b) Disminuir las amenazas a la seguridad de la informacin y los datos.
c) Evitar el comportamiento inescrupuloso y uso indiscriminado de los recursos.
d) Cuidar y proteger los recursos tecnolgicos de la entidad en cuestin.
e) Concientizar a la comunidad sobre la importancia del uso racional y seguro de la
infraestructura informtica, sistemas de informacin, servicios de red y canales de
comunicacin.
3) ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA
Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la
seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una
visin conjunta de lo que se considera importante.
Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes
elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.
Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos
los niveles de la organizacin.

Polticas de Seguridad
3

Seguridad Informtica

2014-II

4) DOCUMENTOS DE REFERENCIA
Seguridad en la informacin ISO/IEC 27001
Ley n 30171 Y los artculos del cual nos ampararemos legalmente.

Polticas de Seguridad
4

Seguridad Informtica

2014-II

5) SITUACION DE LA SEGURIDAD INFORMTICA

Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el
alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas.
Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.
6) PARMETROS PARA ESTABLECER POLTICAS DE SEGURIDAD
Es importante que al momento de formular las polticas de seguridad informtica, se
consideren por lo menos los siguientes aspectos:
Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las
polticas a la realidad de la empresa.
Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo
los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son
ellos los interesados en salvaguardar los activos crticos en su rea.
Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma
tal, que ante cambios las polticas puedan actualizarse oportunamente.
Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar
situaciones de tensin al momento de establecer los mecanismos de seguridad que
respondan a las polticas trazadas.
7) POLTICAS Y CONDICIONES DE OPERACIN
7.1) Control de Acceso a la Informacin
7.1.1) Generalidades
El acceso a los recursos de informacin que provee la entidad, tales como internet,
sistemas de informacin y redes avanzadas es suministrado a los usuarios de la
entidad como herramientas de soporte para obtener la informacin necesaria para
realizar de manera ptima sus actividades mediante el uso de herramientas
tecnolgicas de punta, para lo cual debe cumplirse con los siguientes aspectos:

Polticas de Seguridad
5

Seguridad Informtica

2014-II

a) Todo tipo de informacin que provenga, sea transmitida o recibida por un

sistema computacional de comunicacin es considerada parte de los registros
oficiales de la entidad empresarial y, por ende, est sujeta a cumplir las normas y
restricciones consignadas en este documento. Como consecuencia de esto, el
usuario, deber siempre asegurarse que la informacin contenida en los mensajes
de e-mail y en otras transmisiones es precisa, apropiada, tica y constructiva.
b) Los equipos, servicios, y tecnologas proporcionadas a los usuarios para hacer
uso del Internet son en todo momento propiedad de la entidad. Por este motivo,
la esta misma se reserva el derecho a monitorear el trfico de Internet, y retirar,
leer o verificar cualquier documento enviado o recibido a travs de conexiones en
lnea y que sea guardado en los computadores de dicho lugar.
7.1.2) Prohibiciones
Est prohibido a los usuarios de los sistemas de informacin de la Empresa,
realizar las siguientes acciones:
a) El acceso fsico y/o manipulacin de los servidores, switches, routers, antenas,
puntos y elementos activos de red y las bases de datos que almacenan
informacin privilegiada y transacciones propias de la entidad. Estas acciones
sern realizadas nica y exclusivamente por el personal de la Oficina de
Informtica AUTORIZADO para realizar estas labores.
b) El ingreso fsico al centro de cmputo principal y dems centros de
comunicaciones. Excepto para el personal de la Oficina de Informtica autorizado
para tal fin.
c) Redactar, Transmitir, accesar o recibir va Internet, haciendo uso de las redes o
equipos de cmputo de la entidad informacin con contenido que pudiera ser
discriminatorio, ofensivo, obsceno, amenazante, intimidante o destructivo para
cualquier individuo u organizacin. Ejemplos de contenido inaceptable incluyen,
entre otros, comentarios en general o imgenes con contenido sexual,
discriminacin racial, otro tipo de comentarios o imgenes que pudieran ofender a
algn individuo con base en su raza, edad, orientacin sexual, creencias religiosas,
orientacin poltica, nacionalidad, limitaciones fsicas o cualquier otra
caracterstica especial protegida por la ley.
d)El acceso fsico o lgico a los servidores, switches, routers, antenas, puntos y
elementos activos de red y las bases de datos que almacenan informacin
privilegiada y transacciones propias de la entidad mediante el uso de herramientas
lgicas tales como programas de computacin que pudieran ocasionar daos

Polticas de Seguridad
6

Seguridad Informtica

2014-II

permanentes en la informacin all almacenada.

7.2) Uso del correo interinstitucional

7.2.1) Generalidades
Para acceder a la cuenta de correo empresarial que establezca la entidad los
usuarios debern hacerlo a travs de su plena identificacin y utilizando la
contrasea correspondiente. Las cuentas de los usuarios cumplirn con los
siguientes aspectos:
a) Los usuarios deben utilizar la direccin de correo asignada por la entidad nica y
exclusivamente para enviar/recibir mensajes de correo electrnico relacionados
con asuntos laborales.
b) Revisar el correo electrnico es de carcter obligatorio ya que estos han
reemplazado para muchos efectos la papelera de entrada.
c) Las cuentas de correo son personales e intransferibles. El propietario de la
cuenta es el UNICO responsable de la privacidad de la clave de acceso a su cuenta,
cualquier accin efectuada desde sta cuenta ser atribuida a dicho propietario.
d) Los correos masivos institucionales que por necesidades especficas de un rea
requieran ser enviados a toda la comunidad Organizacional deben ser solicitados a
la Oficina de Informtica y autorizados por la misma.
e) La apertura de archivos adjuntos debe hacerse siempre y cuando se conozca
con claridad el remitente y el asunto. Es responsabilidad del usuario el cuidado de
ejecutar archivos de fuentes desconocidas, o ciertos archivos como fotos o
imgenes reenviadas va email.
f) Los usuarios de los correos electrnicos Organizacional que adjunten
documentos que no son propios debern citar siempre la fuente de origen con la
finalidad de respetar los derechos de propiedad intelectual.
g) La Entidad Empresarial a travs de la Oficina de Informtica se reserva el
derecho de monitorear las cuentas que presenten un comportamiento sospechoso
para su seguridad.
h) La creacin de los correos electrnicos institucionales es responsabilidad de la
Oficina de Informtica quien define los nombres, estructura y plataforma que se
utilizar.

Polticas de Seguridad
7

Seguridad Informtica

2014-II

7.2.2) Prohibiciones
Est prohibido a los usuarios del correo organizacional, realizar las siguientes
acciones:
a) El uso de cuentas ajenas, as como la sesin de la cuenta propia a terceros.
b) Iniciar o reenviar mensajes encadenados o el envo de correo masivo.
c) Uso de seudnimos y envi de mensajes annimos.
d) Envi de mensajes que atenten contra la dignidad humana y las garantas
fundamentales.
e) Usar el correo corporativo para fines personales, comerciales, publicitarios,
religiosos o polticos.
f) Generar o enviar correos electrnicos a nombre de otra persona o
suplantndola.
g) Enviar archivos adjuntos de tamao mayor a 5 MB y/o archivos ejecutables.

7.3) Uso de las Redes e Internet

7.3.1) Generalidades
La Internet es el mtodo ms comn de contagio y de riesgo informtico que una
compaa puede enfrentar. Es por esto que deben seguirse las siguientes acciones
para proteger la integridad de la informacin y los sistemas y proteger el ancho de
banda con que cuenta la entidad empresarial:
a) El internet de la organizacin, nicamente puede ser usado con fines
EMPRESARIALES.
b) El Internet organizacional debe emplearse como una herramienta para
investigacin, desarrollo, consulta y comunicacin de actividades relacionadas con
los procesos de la empresa.
c) El Internet de la entidad puede llegar a tener fines didcticos permitindole a los
usuarios tomar cursos de capacitacin por Internet en temas que enriquezcan su
labor dentro de la organizacin.
d) El Internet es el medio de difusin de la pgina Web de la entidad y por lo tanto
toda la comunidad empresarial tendr acceso a ella.

Polticas de Seguridad
8

Seguridad Informtica

2014-II

e) Se restringe el uso e instalacin sin previa autorizacin de la Oficina de

Informtica, de programas de Chats tales como: movistar chat, tuenti, Facebook,
twitter o Similares, excepto los autorizados para chat interno. En adelante, para
que este servicio sea instalado en algn equipo, los jefes de rea/facultad debern
pasar la solicitud a la Oficina de Informtica explicando los motivos por lo que
necesitan este tipo de sistemas en sus reas.
f) Se restringe el acceso a las redes sociales Facebook, twitter, tuenti o similares en
los horarios de 6:00 A.M. a 12:00 P.M. y de 2:00 P.M. a 9:00 P.M.

7.3.2) Prohibiciones
Est prohibido a los usuarios de la red e internet de la organizacin, realizar las
siguientes acciones:
a) Ingresar a pginas de dudoso contenido o autora.
b) El acceso a sitios pornogrficos, sitios religiosos dedicados a difundir las
creencias de alguna religin o secta en particular, acceso a sitios web de alzados
en armas o de grupos terroristas a nivel nacional o internacional dedicados a
difundir temas relacionados con violencia.
c) Utilizar el canal de conexin a Internet para descargar e instalar msica, videos y
archivos ejecutables mediante programas tales como whatsapp, Ares, tube catcher
y similares.
d) Bajar programas (software), sin la debida autorizacin de la Oficina de
Informtica, tales como: Shareware, Freeware, software de evaluacin, etc.
Archivos de msica (MP3, WAV, etc.) ya que estos no poseen licencia para su uso
en la entidad.
e) Usar el Internet para realizar llamadas internacionales (Dialpad, NET2PHONE,
FREEPHONE, etc.).

Polticas de Seguridad
9

Seguridad Informtica

2014-II

7.4) Infraestructura de la Red

7.4.1) Generalidades
La entidad cuenta con la infraestructura de red que comprende todo el cableado,
switches, routers, antenas y sistemas inalmbricos que permiten realizar la
conexin.
La Oficina de Informtica definir el manejo de la infraestructura de la red
dependiendo de las necesidades del servicio, con el fin de mantenerla y utilizar de
la mejor forma los recursos existentes.
a) Pruebas de Chequeo de Vulnerabilidades: La Oficina de Informtica realizara
estudios peridicos a la red para evaluar la vulnerabilidad de la misma.
b) Para efectos de realizar mantenimiento de la red y seguridad, la Oficina de
Informtica, podr monitorear equipos, sistemas y trfico de red en cualquier
momento.

7.4.2) Prohibiciones
Est prohibido a los usuarios de la red e infraestructura tecnolgica de la entidad
empresarial, realizar las siguientes acciones:
a) Utilizar la infraestructura de tecnologa de informacin y redes de la
organizacin para conseguir o trasmitir material con nimo de lucro excepto
cuando se trate de cumplir con fines institucionales; igualmente est prohibido su
utilizacin para hacer algn tipo de acoso, difamacin, calumnia o cualquier forma
de actividad hostil en contra de miembros de la comunidad organizacional y en
general de cualquier persona o empresa.
b) Ejecutar cualquier herramienta o mecanismo de monitoreo de la red de manera
no autorizada.
c) Burlar los mecanismos de seguridad, autenticacin, autorizacin o de auditora
de cualquier servicio de red, aplicacin, servidor o cuenta de usuario.
d) Desconectar o manipular los elementos de red tales como swtiches, routers,
antenas, racks y dems elementos pertenecientes a la infraestructura de red de la
entidad.
e) Modificar la configuracin de red establecida en los equipos de cmputo de
cualquier dependencia o sala.

Polticas de Seguridad
10

Seguridad Informtica

2014-II

7.5) Uso de los Equipos de Cmputo y el Procesamiento de la Informacin

7.5.1) Generalidades
La informacin almacenada y el manejo de las estaciones de trabajo o los equipos
porttiles de la entidad debern cumplir con las siguientes pautas:
a) Los equipos asignados a cada uno de los usuarios de la entidad se consideran
propiedad de la institucin y por lo tanto, esta ltima es la encargada de decidir las
aplicaciones que se han de manejar en cada equipo, la instalacin o desinstalacin
de aplicaciones de software por parte de usuarios queda restringida mediante esta
poltica.
b) El uso de los recursos informticos debe limitarse nica y exclusivamente a fines
institucionales.
c) Todas y cada una de las mquinas de la entidad se encuentran trabajando en
red y deben ser validadas por un dominio.
d) Cada usuario es el nico responsable de la administracin y el buen uso de su
nombre de usuario y contrasea de red y por lo tanto, ser responsable de las
acciones realizadas por terceros quienes conozcan su clave de ingreso a las redes
corporativas.

7.5.2) Prohibiciones
Con respecto al almacenamiento de informacin:
a) Almacenar informacin de ndole personal como videos, fotos, msica entre
otros.
b) El uso de equipos, redes, espacio en servidor, impresoras, entre otros para
almacenar o realizar labores de ndole personal.
c) Alterar o copiar un archivo perteneciente a otro Usuario sin el previo
consentimiento del dueo del archivo.

Polticas de Seguridad
11

Seguridad Informtica

2014-II

7.6) Administracin de Servidores

7.6.1) Generalidades
La administracin de los servidores de la entidad empresarial debe cumplir con los
siguientes criterios:
a) Los servidores deben tener un esquema de copias de respaldo y recuperacin
para casos de desastre.
b) Los servidores deben tener un esquema para mantener registros digitales de
acceso y operacin.
c) Los administradores de servidores son responsables de cumplir todas las
polticas, la Oficina de Informtica debe realizar revisiones peridicas a los mismos
con la finalidad de mejorar la seguridad o detectar fallas.
7.6.2) Prohibiciones
Est prohibido a los usuarios de la tecnologa de procesamiento de informacin y
redes de la entidad empresarial lo siguiente:
a) Violacin de los derechos de cualquier persona o institucin protegidos por
derechos de autor, patentes o cualquier forma de propiedad intelectual.
b) Realizar copia no autorizada de material protegido por derecho de autor que
incluye, pero no est limitado a, digitalizacin y distribucin de imgenes y
fotografas de cualquier origen, msica, audio, video, distribucin o instalacin de
software sin licencia ni autorizacin de la organizacin.
c) Exportar software o informacin tcnica sin la autorizacin expresa de la
entidad.
d) Introducir software malicioso en la red o en los servidores (virus, Worms,correo
no deseado, spam, etc).
e) Revelar la clave o contrasea de sus cuentas de los sistemas de informacin de
la organizacin a otros, o permitir su uso a terceros para actividades ajenas a la
misin institucional.
f) Proporcionar informacin confidencial a personas o entidades sin la debida
autorizacin o violando las polticas sobre manejo de la informacin confidencial.

Polticas de Seguridad
12

Seguridad Informtica

2014-II

8) CONCLUSIONES
Para llevar a cabo la implementacin de las polticas de seguridad es necesario tener bien en
claro las polticas, leyes y artculos legales al igual que los estndares internacionales(IEEE); los
cuales nos brindaran una visin detallada respecto a lo que se puede restringir y el nivel de
libertad que se le dar al usuario .
Para poder ejecutar las polticas antes mencionadas es necesaria y de gran relevancia la
autorizacin del representante legal de la entidad empresarial en cuestin, con el fin de evitar
imprevistos legales.
9) LINKOGRAFA
http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-47cf-ba5e5ea421fcbeb4&groupId=10128.
http://www.leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf.
http://www.segu-info.com.ar/articulos/67-ieee-standares-802-2.htm
http://www.expresionbinaria.com/la-seguridad-de-informacion-tratada-en-capas/

Polticas de Seguridad
13