UNIVERSIDAD MAYOR DE SAN SIMN FACULTAD DE CIENCIAS Y TECNOLOGIA DIRECCION DE POSGRADO

MAESTRIA EN

SISTEMAS DE INFORMACIN Y GESTIN DE TECNOLOGAS Primera Versin

MODULO IV: ANLISIS DE DATOS Y GERENCIA DE TECNOLOGAS DE

INFORMACIN Y COMUNICACIN

DOCENTE:

Mgr. Rensi Arteaga Copari

PROYECTO : CREACIN DE POLITICAS DE SEGURIDAD (UNIVERSIDAD B52) MAESTRANTES : Gimena Mariaca Vargas Jose Luis Machicado Tern Juan Carlos Claros Guzmn Marcelo Bernardo Lpez de La Rosa Paola Ibette Escalera Lakka Ronmy Andy Pozo Gonzales

Cochabamba Bolivia

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

CONTENIDO

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

1. INTRODUCCIN 2. CONTEXTO DE LA INSTITUCIN 3. POLITICAS

1. POLTICA DE ACCESO FSICO

I. Poltica
La universidad B52 una Institucin de Educacin Superior consta con varios equipos de computadoras, servidores, desktops y equipos de redes, su funcin es el control del acceso fsico a cada una de ellas que ya se mencionamos.

II. Objetivos
La institucin de Educacin Superior establece un control del acceso fsico de acuerdo a normas y procedimientos establecidos por la misma, donde cuenta con una infraestructura la cual sus sistemas de comunicaciones estn debidamente protegidos, tambin de lleva un registro permanente del acceso a los usuarios que tienen acceso.

III. Alcance
La universidad B52 aplica esta poltica al acceso de equipos de computacin, servidores, desktops y equipos de redes, velando por la seguridad de la informacin y mantenimiento de las mismas.

IV. Proceso involucrados en la poltica

Esta poltica cuenta con los siguientes procesos: Acceso fsico: Usuario debe portar con la identificacin asignada por la universidad B52 para el uso de de un equipo de computacin, servidores, desktops o equipos de redes. Personas ajenas de la universidad B52 deben tener un permiso o una orden para el acceso.

V. Criterios de control del acceso fsico

Se prohbe el acceso a equipos de computacin, servidores, desktops y equipos de redes sin previa identificacin asignada por la institucin.

Pgina 1

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

Se debe tener precaucin en el manejo de los equipos, servidores, desktops y equipos de redes.

VI. Responsabilidades
La responsabilidad de la universidad B52 es velar el acceso fsico de las personas o usuarios que tienen fines mal intencionados sobre los equipos de computacin, servidores, desktops y equipos de redes, cumpliendo los reglamentos. 2. POLTICA SOBRE ROBO DE EQUIPO

I. Poltica
La universidad B52 tiene como funcin velar por los equipos del centro de computo cuando un usuario hace uso de una computadora que se le asigno, donde en caso de que existe la desaparicin, extravi o robo de un dispositivo se debe dar parte a unidad responsable de la universidad, donde ellos darn parte al responsable de inventarios para proceder con las normas o procedimientos de sancin.

II.Objetivos
El objetivo de la institucin es velar por los equipos de computadoras que es imprescindible para los usuarios de la universidad, as mismo en caso de que exista una perdida, desaparicin o robo se proceda de acuerdo a las normas y procedimientos establecidos por la universidad B52, para procesar su devolucin por parte del responsable que sustrajo el equipo.

III.Alcance
La universidad B52 aplica la poltica sobre los equipos de computadoras para evitar prdidas de computadoras o algn dispositivo de la misma coordinando con el responsable de inventarios.

IV. Procesos involucrados en la poltica

El usuario que hace uso de una computadora, es responsable del uso y custodia, en consecuencia si existe una perdida, robo o extravi, responder de acuerdo a las normas vigentes establecidas. El usuario o responsable debe dar aviso de inmediato en caso de de alguna anormalidad ya sea por la desaparicin, robo o extravio.

Pgina 2

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

El responsable de inventarios tiene a su cargo de generar el resguardo y recabar la firma del responsable de los activos que se asigne y conservarlos en el lugar establecido. Se debe mantener los equipos en entorno limpio y sin humedad con una ventilacin apropiada. Contar con algn tipo de vigilancia y/o algn sistema para recabar evidencia de los acceso fsicos

V. Criterios de control
Queda prohibido mover o reubicar el equipo por eso usuario sin una autorizacin previa de la unidad responsable de la universidad. Queda prohibido sustraer algn accesorio del equipos ya sea de la parte interna de la PC, mouse, teclado, etc.

VI. Responsabilidades
La universidad B52 como institucin, tiene como funcin velar por los equipos de computadoras, donde en caso de que exista una desaparicin, robo o extravi dar parte a la unidad correspondiente y as mismo coordinar con el responsable de inventarios. 3. POLTICA DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA

I. Poltica
La universidad B52 tiene como funcin proponer, revisar y hacer cumplir las normas existentes sobre seguridad informtica, y asegurar un efectivo uso de las mismas

II. Objetivo
El objetivo de esta poltica es proponer y revisar el cumplimiento de normas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos e instalaciones de cmputo, as como de bancos de datos de informacin automatizada en general.

III. Alcance
Esta poltica se aplica a todos los trabajadores y unidades que trabajen sobre la red del centro, referidos sobre derechos de propiedad intelectual, verificacin de su cumplimiento y violaciones de seguridad informtica.

Pgina 3

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

IV Procesos involucrados en la poltica

Sobre los derechos de propiedad intelectual: Los sistemas desarrollados por personal interno o externo que controle el rea de Sistemas y Calidad son propiedad intelectual de la empresa. Sobre el cumplimiento de las normas: El rea de Sistemas y Calidad realizar acciones de verificacin del cumplimiento del Manual de Polticas y Estndares de Seguridad Informtica para Usuarios. El rea de Sistemas y Calidad podr implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la poltica de Seguridad de Personal. Los jefes y responsables de los procesos establecidos en la empresa deben apoyar las revisiones del cumplimiento de los sistemas con las polticas y estndares de seguridad informtica apropiadas y cualquier otro requerimiento de seguridad. Sobre violaciones de seguridad informtica: Est prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informtica. A menos que se autorice por el rea de Tecnologas de la Informacin. Ningn usuario de la empresa debe probar o intentar probar fallas de la Seguridad Informtica o conocidas, a menos que estas pruebas sean controladas y aprobadas por el rea de Tecnologas de la Informacin. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar introducir cualquier tipo de cdigo (programa) conocidos como virus, gusanos caballos de Troya, diseado para auto replicarse, daar o afectar el desempeo o acceso a las computadoras, redes o informacin de la empresa.

V Responsabilidades

Pgina 4

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

Es responsabilidad del departamento de rea de Tecnologas de la Informacin cuidar y velar el cumplimiento de la poltica.

4. POLITICA PARA LA INSTALACIN Y MANTENIMIENTO DE SERVIDORES

I. Poltica
La universidad B52 tiene como funcion velar por las polticas de seguridad al momento de la instalacin y verificar que estos tengan los respectivos mantenimientos preventivos y correctivos.

II. Objetivo
El objetivo de esta poltica es establecer las directrices para asegurar la proteccin de los servidores de la red del centro de educacin superior.

III. Alcance.
Esta poltica se aplica a todos los Servidores y equipos relacionados que pertenezcan a la Universidad B52.

IV Procesos involucrados
De la ubicacin y la instalacin de los servidores : Los servidores deben de ser ubicados en un area fsica que cumpla los requerimientos como: Acceso restringido, temperatura adecuada, proteccin contra descargas elctricas, mobiliario adecuado que garantice la seguridad de los equipos Los servidores debern ser asegurados al momento de la instalacin, permitiendo solamente que el trfico sea solo entre ellos Se debern mantener documentacin de toda configuracin que se realice y se deber tener una poltica de update del software de base de los mismos y de las herramientas de antivirus con las actualizaciones correspondientes.

Pgina 5

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

Se debe de constatar que en cada servidor se cuente con software como firewall, antivirus y antimalware para su respectiva seguridad Cualquier instalacin o configuracin en los servidores debe de ser notificado al administrador del servidor

De los mantenimientos y proteccin internos:

de los servidores contra ataques externos e

Los servidores deben de tener un mantenimiento preventivo y correctivo de manera semanal, mensual y semestral.

Se deber mantener un registro detallado de que usuarios acceden a los servidores y con qu privilegios lo hacen. Se debe de constatar que en cada servidor se cuente con software como firewall, antivirus y antimalware para prevenir futuros ataques. Se debe de contar con un plan detallado de seguridad de la red y los servidores y mostrar la defensa en profundidad que se aplica a la misma, indicando entre otras cosas: Control de flujos de datos dentro de la red, detectores de intrusos y su localizacin Firewalls a implementar. Segmentacin de la red, encriptacin del trfico,etc Se debe de ralizar backups de la informacin de los servidores, de acuerdo a los siguientes criterios: Diariamente, los correos e informacin crtica; Semanalmente, los documentos del portal electrnico; Mensualmente, configuracin del servidor y bitcoras.

V. Criterios de control del servidor.

No permitir acceso al area de los servidores a personas ajenas a la institucin Monitorear el flujo de datos de los sevidores para asegurar la entrada de intrusos Mantener actualizado el software de segurar en cada servidor

VI. Responsabilidades.
Es responsabilidad del Responsable de Infraestructura velar por el cumplimiento de la presente
Pgina 6

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

poltica. El Administrador de Infraestructura se encargar de verificar el cumplimiento de la presente y realizar un control y seguimiento a la misma.

5. POLTICA REA DE SEGURIDAD EN CMPUTO

I. Poltica
Para la Universidad B52 el centro de cmputo contiene los activos y recursos para acceso y salida de informacin y por eso centra sus esfuerzos para resguardar la integridad de los quipos y el control sobre los mismos para mitigar el riesgo de accesos internos o externos inesperados.

II. Objetivo
Suministrar medidas de seguridad adecuadas contra la intrusin o daos a la informacin almacenada en los sistemas as como la instalacin de cualquier herramienta, dispositivo o software que refuerce la seguridad en cmputo

III. Alcance
La poltica es aplicada en las salas de cmputo de la Universidad B52 y salas que tengan relacin con la misma. Debido a la amplitud y constante innovacin de los mecanismos de ataque no es posible garantizar una seguridad completa.

IV. Procesos
De la asignacin de equipos Es el procedimiento por el cual se asigna un equipo de cmputo en el centro de cmputo respectivo por un tiempo determinado por la demanda del solicitante y administrado por el encargado del centro. La asignacin es estrictamente individual e intransferible. En la entrada de cada centro de cmputo el usuario presentara su carnet estudiantil vigente. El encargado deber verificar en el sistema acadmico contable si el
Pgina 7

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

mencionado tiene todas sus cuotas semestrales al da. Durante los ltimos 5 minutos de asignacin del equipo el encargado deber notificar al usuario la culminacin del tiempo asignado y realizar el intercambio de acuerdo al orden de llegada de los usuarios, si los hubiera

De la reservacin del centro de cmputo: Este servicio estar disponible para los catedrticos que imparten docencia que requiera el uso de los centros de cmputo. La reservacin ser realizada por el administrador de los centros de cmputo y ser registrado en el sistema. El docente cuenta con quince minutos de gracia para utilizar el centro de cmputo; si no llega en ese lapso, perder su derecho al uso del mencionado. El curso se dar por terminado en el momento que el catedrtico abandone el centro de cmputo.

V. Criterios de control
Prohibiciones Queda terminantemente prohibidas las siguientes acciones dentro el centro de cmputo: Introducir alimentos y/o bebidas. Fumar dentro los centros de cmputo y reas circundantes Utilizar radios o equipos de sonido sin audfonos. Mover, desconectar y/o conectar equipo de cmputo sin autorizacin. Intentar modificar la configuracin del equipo. Desinstalar software en los equipos. Alterar o daar las etiquetas de identificacin de los equipos Utilizar el equipo como consolas de juegos; esto incluye utilizar software de juegos en medios portables o similares, acceder a servicios que impliquen el uso de juegos interactivos no acadmicos. Copiar o instalar software al equipo. Enviar mensajes a otros usuarios de manera annima. Mal uso del equipo. Acceder a pginas con contenido no apto a la moral pblica. Acceder a programas de CHAT no permitidos. Cualquier actitud agresiva o de mala educacin para con el equipo o para con el resto de usuarios.

Pgina 8

Maestra en Sistemas de Informacin y Gestin de Tecnologas Modulo IV: Anlisis de datos y gerencia de Tecnologas de Informacin y Comunicacin Grupo: B52

Monitoreo El encargado de cada centro debe mantener informados a los usuarios y poner a disposicin de los mismos el software que refuerce la seguridad de los sistemas de cmputo de Universidad. El funcionario mencionado deber monitorear constantemente el trfico de paquetes sobre la red, con el fin de detectar y solucionar problemas, registrar usos indebidos, ataques o cualquier falla que provoque problemas en los servicios de la Red y/o a los equipos relacionados.

VI. Responsabilidades
Es responsabilidad del Administrador y el encaragado de cada centro de cmputo velar por el cumplimiento de la presente poltica. El Administrador de los centros de cmputo se encargar de verificar el cumplimiento de la presente y realizar un control y seguimiento a la misma. 6.

Pgina 9