Professional Documents
Culture Documents
INFORMÁTICA
ESTÁNDAR
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 2 / de 50 /
ESTÁNDAR
2016
2
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 3 / de 50 /
ESTÁNDAR
INTRODUCCIÓN
La información es un recurso que, como el resto de los activos, tiene valor para la comunidad y por
consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de
información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor
gestión de la organización.
Para que estos principios de la Seguridad de la Información sean efectivos, resulta necesaria la
implementación de una Política de Seguridad de la Información que forme parte de la cultura
organizacional organización, lo que implica que debe contarse con el manifiesto compromiso de
todos los funcionarios de una manera u otra vinculados a la gestión, para contribuir a la difusión,
consolidación y cumplimiento.
3
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 4 / de 50 /
ESTÁNDAR
Es muy importante ser conscientes de que por más que nuestra organización a nuestro criterio sea
la más segura, con el incremento del uso de nueva tecnología para manejar la información nos
hemos abierto a un mayor número y tipos de amenazas. Es por eso que, en el ambiente
competitivo de hoy, es necesario que las entidades aseguren la confidencialidad, integridad y
disponibilidad de la información vital corporativa.
Por lo tanto la seguridad informática debe ser dada por una colaboración entre los encargados de
la seguridad de la información, que deben disponer de las medidas al alcance de su mano, y los
usuarios, que deben ser conscientes de los riesgos que implican determinados usos de los sistemas
y de los recursos que consumen cada vez que les pasa algún problema ya que esto les hace que
pierdan tiempo de producción y el consumo de recursos en horas de la recuperación de la
actividad normal es en muchos casos irrecuperable.
Sin embargo, gran parte de esa concientización está en manos de los responsables de seguridad de
la información apoyados en todo momento por la Gerencia de forma explícita y activa, por ello es
importante indicarles no sólo cuales son las principales amenazas en cada momento, sino qué
deben hacer para evitarlas, impartiendo así procedimientos de actuación que permitan que las
medidas técnicas que se disponen desde informática sean efectivas.
Por consiguiente, en este nuevo entorno, es imprescindible que las organizacións se preparen no
sólo para prevenir el peligro de comprometer sus operaciones de negocio por una falla de
seguridad, sino también que se preparen en establecer medidas que permitan reducir los
problemas de seguridad que pueden surgir.
Las políticas de seguridad informática son parte del engranaje del sistema de seguridad que la
organización posee para salvaguardar sus activos y su aplicación es obligatoria, en el uso y acceso a
4
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 5 / de 50 /
ESTÁNDAR
Las políticas por sí solas no constituyen una garantía para la seguridad de la información
organizacional, ellas deben responder a intereses y necesidades organizacionales, que lleven a un
esfuerzo conjunto de sus actores por administrar sus recursos y a reconocer en los mecanismos de
seguridad informática factores que facilitan la formalización y materialización de los compromisos
adquiridos con la institución.
Este documento de políticas debe verse apoyado por el documento de Normas de Seguridad
Informática, donde las normas constituyen un conjunto de reglas que dan apoyo y amplían el
contenido de cada una de las políticas de seguridad y son de carácter más operativo.
5
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 6 / de 50 /
ESTÁNDAR
ALCANCE
Las políticas aquí documentadas deben ser de implementación obligatoria para todos aquellos
Departamentos y funcionarios que estén involucrados directa o indirectamente con el uso de
tecnologías de información y comunicaciones de la organización.
Cabe responsabilidad administrativa e incluso civil o penal para aquel funcionario que incumpla las
políticas de Seguridad Informática establecidas en este documento, de conformidad con el régimen
jurídico vigente.
6
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 7 / de 50 /
ESTÁNDAR
AREA DE APLICACIÓN
Al definir las políticas de seguridad informática se considerarán, entre otros, los aspectos
siguientes:
Seguridad Organizacional
Establece el marco formal de seguridad que debe sustentar la institución, incluyendo servicios o
contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la
tecnología, denotando responsabilidades y actividades complementarias como respuesta ante
situaciones anómalas a la seguridad.
Seguridad Lógica
Establece e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los
activos de información, que incluyen los procedimientos de administración de usuarios, definición
de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación
sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de
incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.
Seguridad Física
Identifica los límites mínimos que se deben cumplir el perímetro de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de información y control de
los accesos a las distintas áreas con base en la importancia de los activos.
Seguridad Legal
Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios
de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales de
procedimientos de la organización, en cuanto al recurso humano, sanciones aplicables ante faltas
cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas.
Cada uno de los criterios anteriores, sustenta un entorno de administración de suma importancia,
para la seguridad de la información dentro de la red organizacional de la organización.
7
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 8 / de 50 /
ESTÁNDAR
8
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 9 / de 50 /
ESTÁNDAR
A. Definiciones:
- Activo. - Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de
una persona natural o jurídica que por lo general son generadores de renta o fuente de
beneficios, en el ambiente informático llámese activo a los bienes de información y
procesamiento, que posee la institución. Recurso del sistema de información o relacionado
con éste, necesario para que la organización funcione correctamente y alcance los objetivos
propuestos.
- Seguridad de las redes. - Es la capacidad de las redes para resistir, con un determinado
nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en
peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los correspondientes servicios que dichas redes ofrecen o
hacen accesibles y que son tan costosos como los ataques intencionados.
9
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 10 / de 50 /
ESTÁNDAR
- Seguridad en los recursos humanos. - Consiste en los controles que se deben tener con
respecto a la selección, contratación, capacitación y despido del empleado.
- Seguridad Informática. - Son técnicas desarrolladas para proteger los equipos informáticos
individuales y conectados en una red frente a daños accidentales o intencionados.
- Archivo Log: Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los
pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de
conexión, terminales o IP´s involucradas en el proceso, etc.).
- Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
10
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 11 / de 50 /
ESTÁNDAR
- IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son
aceptados a nivel internacional.
- Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno
a la institución.
- Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios
informáticos de la red institucional y tenga una especie de vinculación académica o laboral
con la institución.
12
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 13 / de 50 /
ESTÁNDAR
A. Seguridad Organizacional
3. Los servicios de las redes de la organización son de exclusivo uso técnico y para
gestiones administrativas, cualquier cambio en la normativa de uso de estos, será
expresado como política de seguridad en este documento.
13
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 14 / de 50 /
ESTÁNDAR
8. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos
mínimos de seguridad para acceder a este servicio y se acaten las disposiciones de
conectividad.
1. Excepciones de Responsabilidad
9. Los usuarios que por disposición de sus Jefaturas realicen acciones que perjudiquen a
otros usuarios o la información que estos procesan, y si estos no cuentan con un
contrato de confidencialidad y protección de la información de la institución o sus
allegados.
10. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las
políticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a
situaciones no programadas. Estas excepciones deberán ser solicitadas formalmente
y aprobadas por el comité de seguridad, con la documentación necesaria para el
caso, siendo la gerencia quien dé por sentada su aprobación final.
15. Se tomarán como base, los siguientes criterios, como niveles de importancia, para
clasificar la información:
14
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 15 / de 50 /
ESTÁNDAR
21. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una
capacitación a personal ajeno o propio de la institución, siempre y cuando se vea
implicada la utilización de los servicios de red o se exponga material de
importancia considerable para la institución.
d. Respuestas a Incidentes y Anomalías de Seguridad
23. Las solicitudes de asistencia, efectuados por dos o más empleados o áreas de
15
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 16 / de 50 /
ESTÁNDAR
B. SEGURIDAD LÓGICA
1. CONTROL DE ACCESOS
16
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 17 / de 50 /
ESTÁNDAR
11. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas
o servicios.
12. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie
o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.
15. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su
cargo puedan acceder a la información almacenada en el, mediante una
herramienta de bloqueo temporal (protector de pantalla), protegida por una
contraseña, el cual deberá activarse en el preciso momento en que el usuario deba
ausentarse.
16. Cualquier usuario que encuentre una falla de seguridad en los sistemas
17
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 18 / de 50 /
ESTÁNDAR
17. Los usuarios, son responsables de guardar sus trabajos en discos flexibles, siempre
y cuando hayan sido revisados por el administrador del centro de cómputo o
persona encargada de dicha unidad, y así evitar cualquier pérdida de información
valiosa.
3. USO DE CORREO ELECTRÓNICO
20. Todo uso indebido del servicio de correo electrónico será de responsabilidad
exclusiva del usuario.
21. El usuario será responsable de la información que sea enviada con su cuenta.
24. El acceso de terceros será concedido siempre y cuando se cumplan con los
requisitos de seguridad establecidos en el contrato de trabajo o asociación para el
servicio, el cual deberá estar firmado por las entidades involucradas en el mismo.
25. Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio
que le fue asignado, y acatar las responsabilidades que devengan de la utilización
de este.
26. Los servicios accedidos por terceros acataran las disposiciones generales de acceso
a servicios por el personal interno de la institución, además de los requisitos
18
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 19 / de 50 /
ESTÁNDAR
27. El acceso a la red interna se permitirá siempre y cuando se cumpla con los
requisitos de seguridad necesarios, y éste será permitido mediante un
mecanismo de autenticación.
29. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos
de acceso a la red, será motivo de verificación y tendrá como resultado
directo la realización de una auditoria de seguridad.
31. Los accesos a la red interna o local desde una red externa de la institución o
extranet se harán mediante un mecanismo de autenticación seguro y el
tráfico entre ambas redes o sistemas será cifrado con una encriptación de
128 bit.
34. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios
de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de
auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos
para la seguridad del sistema.
c. Servidores
38. Todo servicio provisto o instalado en los servidores, correrá o será ejecutado
bajo cuentas restrictivas, en ningún momento se obviarán situaciones de
servicios corriendo con cuentas administrativas, estos privilegios tendrán que
ser eliminados o configurados correctamente.
6. CONTROL DE ACCESO A LAS APLICACIONES
39. Las aplicaciones deberán estar correctamente diseñadas, con funciones de acceso
específicas para cada usuario del entorno operativo de la aplicación, las
prestaciones de la aplicación.
42. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser
documentadas, y especificar la terminal por la que deberá ejecutarse
exclusivamente la salida de información.
43. Se deberá llevar un registro mediante Log de aplicaciones, sobre las actividades de
los usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos
fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen
información relevante y revisable posteriormente.
7. MONITOREO DEL ACCESO Y USO DEL SISTEMA
44. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones,
sistemas de información y uso de la red, mediante archivos de Log o bitácoras de
20
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 21 / de 50 /
ESTÁNDAR
sistemas.
46. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviará
hacia otra terminal o servidor, evitando se guarde la copia localmente donde se
produce.
8. GESTIÓN DE OPERACIONES Y COMUNICACIONES
a. Responsabilidades y Procedimientos Operativos
21
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 22 / de 50 /
ESTÁNDAR
seguridad de estos.
57. Cualquier prueba sobre los sistemas, del ámbito a la que esta se refiera
deberá ser documentada y cualquier documento o archivo que haya sido
necesario para su ejecución deberá ser borrado de los dispositivos físicos,
mediante tratamiento electrónico.
c. Protección contra Software Malicioso
60. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y
configurado correctamente software antivirus actualizable y activada la
protección en tiempo real.
d. Mantenimiento
63. Se llevará un registro global del mantenimiento efectuado sobre los equipos y
cambios realizados desde su instalación.
e. Manejo y Seguridad de Medios de Almacenamiento
66. Todo medio de almacenamiento con información crítica será guardado bajo
llave en una caja especial a la cual tendrá acceso únicamente, el Encargado
de seguridad o la gerencia administrativa, esta caja no debería ser removible,
una segunda copia será resguardada por un tercero, entidad financiera o
afín.
C. SEGURIDAD FÍSICA
23
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 24 / de 50 /
ESTÁNDAR
9. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas
de hardware, deberán ser reparados localmente, de no cumplirse lo anterior,
deberán ser retirados sus medios de almacenamiento.
b. Controles Generales
24
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 25 / de 50 /
ESTÁNDAR
14. Toda oficina o área de trabajo debe poseer entre sus inventarios,
herramientas auxiliares (extintores, alarmas contra incendios, lámpara de
emergencia), necesarias para salvaguardar los recursos tecnológicos y la
información.
19. Las instalaciones de las áreas de trabajo deben contar con una adecuada
instalación eléctrica, y proveer del suministro de energía mediante una
estación de alimentación ininterrumpida o UPS para poder proteger la
información.
D. SEGURIDAD LEGAL
25
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 26 / de 50 /
ESTÁNDAR
Licenciamiento de Software:
11. La adquisición del software libre o comercial deberá ser gestionado con las
autoridades competentes y acatando sus disposiciones legales, en ningún
momento se obtendrá software de forma fraudulenta.
26
CONFIDENCIAL POLITICA DE SEGURIDAD INFORMÁTICA Pag. 27 / de 50 /
ESTÁNDAR
15. Cualquier violación a la seguridad por parte del personal que labora, para la
Organización, así como terceros que tengan relación o alguna especie de
contrato con la institución se harán acreedores a sanciones aplicables de ley.
16. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red,
trimestral, enmarcada en pruebas de acceso tanto internas como externas,
desarrolladas por personal técnico especializado o en su defecto personal
capacitado en el área de seguridad.
17. Toda auditoria a los sistemas, estará debidamente aprobada, y tendrá el sello y
firma de la gerencia.
18. Cualquier acción que amerite la ejecución de una auditoria a los sistemas
informáticos deberá ser documentada y establecida su aplicabilidad y objetivos
de esta, así como razones para su ejecución, personal involucrada en la misma
y sistemas implicados.
20. Las herramientas utilizadas para la auditoria deberán estar separadas de los
sistemas de producción y en ningún momento estas se quedarán al alcance de
personal ajeno a la elaboración de la auditoria.
27