POLTICASDESEGURIDADENCMPUTOPARA LAFACULTADDEINGENIERA SUBCOMITDEADMINISTRADORESDERED MARZODEL2003

CONTENIDO I. Introduccin II. Seguridadencmputo III. Polticasdeseguridadfsica IV. Polticasdecuentas V. Polticasdecontraseas VI. Polticasdecontroldeacceso VII. Polticasdeusoadecuado VIII. Polticasderespaldos IX. Polticasdecorreoelectrnico X. Polticasdecontabilidaddelsistema XI. PolticasdeusodedireccionesIP XII. Polticasdeweb XIII. Polticasdecontratacinyfinalizacinderelacioneslaborales derecursoshumanosensistemasinformticos XIV. Sanciones XV. Plandecontingencias XVI. ticainformtica XVII. Cdigosdetica XVIII. Glosario

I.

INTRODUCCIN

Este documento presenta las polticas de alcance institucional que permite crear y establecer una educacin y una filosofa sobre la postura que en materia de seguridad en cmputo debe tener la institucin respecto a los riesgosquelarodean. Las polticas define ciertos lineamientos que establecen un lmite entre lo que est permitido a los usuarios dentro de la institucin y fuera de ella y lo que no est, esto es con el propsito de proteger la informacin almacenadaenlossistemasyelaccesoastos. Para ello para la institucin, el principio bsico de seguridad es "Lo que no se permite expresamente, est prohibido". La tecnologa tiene la capacidad para abrir las puertas a un vasto mundo de recursos de informacin, as como de personas, a cualquier estudiante o miembro de la comunidad universitaria con una conexin a Internet. Las oportunidades que tenemos con esta conectividad son casi ilimitadas, mas no as, los recursos computacionales y de conectividad disponibles. Este nuevo mundo virtual al que tenemos acceso requiere de reglas y precauciones, para asegurar un uso ptimo y correcto de los recursos. En este sentido, la Facultad de Ingeniera cree firmemente en que el desarrollo de polticas que sean bien entendidas, que circulen ampliamente y que sean efectivamente implementadas, conllevar a hacer de la red de cmputo de la Facultad y el Internet un ambientemsseguroyproductivoparaestudiantesymiembrosengeneraldelacomunidaduniversitaria. Las polticas de seguridad son los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema de cmputo, lasresponsabilidades y derechos que tanto usuarios como administradores tienenyquhaceranteunincidentedeseguridad. Mientras las polticas indican el qu, los procedimientos indican el cmo. Los procedimientos son los que nos permiten llevar a cabo las polticas. Ejemplos que requieren la creacin de un procedimiento son los siguientes: Otorgarunacuenta. Dardealtaaunusuario. Conectarunacomputadoraalared. Localizarunacomputadora. Actualizarelsistemaoperativo. Instalarsoftwarelocalmenteovared. Actualizarsoftwarecrtico. Exportarsistemasdearchivos. Respaldaryrestaurarinformacin. Manejarunincidentedeseguridad. Paraqueestosirvadealgo,laspolticasdebenser: Apoyadasporlosdirectivos. 2

nicas. Claras(explcitas). Concisas(breves). Bienestructuradas. Servirdereferencia. Escritas. Dadasaconocer. Entendidasporlosusuarios. Firmadasporlosusuarios. Mantenerseactualizadas.

Las polticas son parte fundamental de cualquier esquema de seguridad eficiente. Como administradores, nos aminoran los riesgos, y nos permiten actuar de manera rpida y acertada en caso de haber una emergencia de cmputo.Comousuarios,nosindicanlamaneraadecuadadeusarunsistema,indicandoloquepuedehacersey lo que debe evitarse en un sistema de cmputo, contribuyendo a que no seamos malos vecinos de la red sin saberlo. El tener un esquema de polticas facilita grandemente la introduccin de nuevo personal, teniendo ya unabaseescritayclaraparacapacitacin;danunaimagenprofesionalalaorganizacinyfacilitanunaauditora. Losprincipalespuntosquedebencontenerlaspolticasdeseguridadsonlossiguientes: mbitodeaplicacin. Anlisisderiesgos. Enunciadosdepolticas. Sanciones. Seccindeusoticodelosrecursosdecmputo. Seccindeprocedimientosparaelmanejodeincidentes. Al disear un esquema de polticas de seguridad, conviene que dividamos nuestro trabajo en varias diferentes polticas especficas: cuentas, contraseas, control de acceso, uso adecuado, respaldos, correo electrnico, contabilidaddelsistema,seguridadfsica,etc. II. SEGURIDADENCMPUTO Esunconjuntoderecursosdestinadosalograrquelosactivosdeunaorganizacinseanconfidenciales,ntegros, consistentes y disponibles a sus usuarios, autentificados por mecanismos de control de acceso y sujetos a auditora. Confidencial. La informacin debe ser leda por su propietario o por alguien explcitamente autorizado parahacerlo. ntegro. La informacin no debe ser borrada ni modificada por alguien que carezca de autorizacin para hacerlo. Consistente.Elsistema,aligualquelosdatos,debecomportarsecomounoesperaquelohaga. 3

Disponible.Lainformacindebeestarsiempredisponibleenellugarycantidaddetiemporequeridos. Autentificado. nicamente deben ingresar al sistema personas autorizadas, siempre y cuando compruebenquesonusuarioslegtimos. Controldeacceso.Debeconocerseentodomomentoquinentraalsistemaydedndeprocede. Auditora.Debenconocerseencadamomentolasactividadesdelosusuariosdentrodelsistema.

LaspolticasdelpresentedocumentotienencomoalcancealaFacultaddeIngenieradelaUNAM. FactoresCrticos Es necesario hacer nfasis en que el apoyo por parte de la gente con el poder de decisin (cuerpo directivo) es fundamental para el xito de un esquema de seguridad, ya que sin l, algunos elementos de dicho esquema no tendran validez. Es vital mantener en constante capacitacin al personal mediante cursos, seminarios, congresos, etc. La mejor defensa es el conocimiento. Los usuarios deben conocer el uso adecuado de los sistemasdecmputoysabercmoprotegerseasmismosdeaccesosnoautorizados.Debecrearseunacultura de seguridad, haciendo ver a la gente involucrada los peligros a los que se est expuesto en un ambiente tan hostilcomoelquehageneradolaevolucindelasactualesredesdecomputadoras. PolticasDeSeguridad Lapolticaqueseguiremosserprohibitiva:Loquenoestexplcitamentepermitidoquedaprohibido. III. POLTICASDESEGURIDADFISICA El primer paso a considerar en un esquema de seguridad, que muchas veces no recibe suficiente atencin, es la seguridad fsica; las medidas que se usan para proteger las instalaciones en las que reside un sistema de cmputo:llaves,candados,tarjetasdeacceso,puertas,ventanas,alarmas,vigilancia,etc. Polticasrespectoalaseguridadfsica: Mantenerlascomputadorasalejadasdelfuego,humo,polvoytemperaturasextremas. Colocarlas fuera del alcance de rayos solares, vibraciones, insectos, ruido elctrico (balastras, equipoindustrial,etc.),agua,etc. Todos los servidores debern ubicarse en lugares de acceso fsico restringido y debern contar paraaccederaellosconpuertasconchapas. El lugar donde se instalen los servidores contarn con una instalacin elctrica adecuada, entre suscaractersticascontierrafsica.YdichosequiposdeberncontarconNOBREAKS. Enloslugaresdondeseencuentrenequipodecmputoquedaprohibidoelconsumodebebidas yalimentos. Ellugardondeseencuentrelosservidoresmantendrncondicionesdehigiene. Debercontarseconextintoresenlassalasdecmputo.Elpersonaldeber estarcapacitadoen elusodeextintores. Lassalasdecmputodeberncontarconunasalidadeemergencia. 4

 IV. POLTICASDECUENTAS Establecen qu es una cuenta de usuario de un sistema de cmputo, cmo est conformada, a quin puede serleotorgada,quineselencargadodeasignarlas,cmodebensercreadasycomunicadas. Polticas: Las cuentas deben ser otorgadas exclusivamente a usuarios legtimos. Se consideran usuarios legtimos aquellos usuariosquieneshayanrealizadosutramitederegistrodecuentayque: 1. SeanmiembrosvigentesdelacomunidaddelaFacultaddeIngeniera. 2. Participenenproyectosespecialesytengalaautorizacindeljefedelrea. 3. Unacuentadeberestarconformadaporunnombredeusuarioysurespectivacontrasea. 4. La asignacin de cuentas la har el administrador del servidor del rea en cuestin y al usuario sloledarderechodeaccederalosrecursosalservidordondeserealizaelregistro. 5. Eladministradorpodrdeshabilitarlascuentasquenoseanvigentes. 6. Lacuentaycontraseapersonalessonintransferibles. V. POLTICASDECONTRASEAS Son una de las polticas ms importantes, ya que por lo general, las contraseas constituyen la primera y tal vez nica manera de autenticacin y, por tanto, la nica lnea de defensa contra ataques. stas establecen quin asignarlacontrasea,qulongituddebetener,aquformatodeberapegarse,cmosercomunicada. Polticas: Eladministradordelservidorserelresponsabledeasignarlascontraseas. Eladministradordebercontarconherramientasdedeteccindecontraseadbiles. La longitud de una contrasea deber siempre ser verificada de manera automtica al ser construida por el administrador/usuario. Todas las contraseas debern contar con al menos seiscaracteres. Todas las contraseas elegidas por los usuarios deben ser difciles de adivinar. No deben ser utilizadas palabras que aparezcan en el diccionario, secuencias conocidas de caracteres, datos personalesniacrnimos. Est prohibido que los usuarios construyan contraseas compuestas de algunos caracteres constantesyotrosquecambiendemanerapredecibleyseanfcilesdeadivinar. Los usuarios no deben construir contraseas idnticas o muy parecidas a contraseas anteriores. Lacomunicacindelacontraseaserealizardemanerapersonalynosepodrinformaraotra personaquenoseaelinteresado. Nosepodrninformarcontraseasporvatelefnica. Lascontraseasdeberncambiarsemximocadaseismeses. 5

 VI. POLTICASDECONTROLDEACCESO Especificancmodebenlosusuariosaccederalsistema,desdedndeydequmaneradebenautentificarse. Polticas: Todos lo administradores que den un servicio de acceso remoto debern contar con aplicacionesquepermitanunacomunicacinsegurayencriptada. Todos los usuarios debern autentificarse con su cuenta y no podrn hacer uso de sesiones activasdeotrosusuarios. Todos los usuarios debern acceder al sistema utilizando algn programa que permita una comunicacinsegurayencriptada. Estprohibidoaccederalsistemaconunacuentadiferentedelapropia,anconlaautorizacin deldueodedichacuenta. Si un usuario est fuera del sitio de trabajo, debe conectarse a una mquina pblica del sitio y, nicamentedesdesta,hacerlaconexinalacomputadoradeseada. AlmomentodeingresaraunsistemaUNIX,cadausuariodebersernotificadodelafecha,hora y direccin desde la que se conect al sistema por ltima vez, lo cual permitir detectar fcilmenteelusonoautorizadodelsistema. Elusuariotendrelderechoacambiarsucontrasea. Elusuariopodrutilizarlosserviciosdesesionesremotassisebrinda. VII. POLTICASDEUSOADECUADO Especificanloqueseconsideraunusoadecuadooinadecuadodelsistemaporpartedelosusuarios,ascomolo queestpermitidoyloqueestprohibidodentrodelsistemadecmputo. Existen dos enfoques: permisivo (todo lo que no est explcitamente prohibido est permitido) y prohibitivo (todo lo que no est explcitamente permitido est prohibido). Cul de estas elegir depender del tipo de organizacinyelniveldeseguridadqueestarequiera. Permitido Alumnos: Realizar sus tareas con fines acadmicos y asociadas con los programas acadmicos de Ingeniera. UtilizarlosserviciosdeInternetdondesebrinden,confinesacadmicos. Utilizarsoftwaredeaplicacinyainstalado. Utilizarlosserviciosdeimpresindondesebrinden. Acadmicos,InvestigadoresyAdministrativos. Utilizar el equipo de cmputo asignado para realizar sus actividades y funciones explcitamente definidasdesuplaza. 6

Las reas de Investigacin de Seguridad en Cmputo de la Facultad de Ingeniera (AISCFI), sern autorizadas en el subcomit de administradores de red, dichas reas sern las nicas a las que se permitirn realizar pruebas e investigacin de seguridad informtica, en ambientes controlados. Las AISCFI debern solicitar permiso e informarn de dichas pruebas al subcomit de administradores, donde se describirn del tipo de pruebas, lugar de las pruebas, fechas y horas. Cmo requisito debern realizarse en lugares aislados (redes internas), que no comprometanlaoperacindelasdemsreas.

Prohibido

Est terminantemente prohibido ejecutar programas que intenten adivinar las contraseas alojadasenlastablasdeusuariosdemquinaslocalesoremotas. La cuenta de un usuario es personal e intransferible, por lo cual no se permite que este comparta su cuenta ni su contrasea con persona alguna, an si sta acredita la confianza del usuario. Est estrictamente prohibido hacer uso de herramientas propias de delincuentes informticos, talescomo:programasquerastreanvulnerabilidadesensistemasdecmputopropiosoajenos. Est estrictamente prohibido hacer uso de programas que explotan alguna vulnerabilidad de un sistemaparaproporcionarprivilegiosnootorgadosexplcitamenteporeladministrador. No se permite instalar programas y software propio, en caso de requerirse deber solicitarlo al administradordelsistema. No se permite bajo ninguna circunstancia el uso de cualquiera de las computadoras con propsitos de ocio o lucro. Por lo cual se prohbe descargar (o proveer) msica, imgenes, videos,chatear,etc.,confinesdeocio.

VIII. POLTICASDERESPALDOS Paraelusuario Serresponsabilidaddelusuariomantenerunacopiadelainformacindesucuenta. Paraeladministradordelsistema El administrador del sistema es el responsable de realizar respaldos de la informacin crtica, siempre que tenga los medios fsicos para realizarla. Cada treinta das deber efectuarse un respaldocompletodelsistema.ydeberverificarquesehayarealizadocorrectamente. Eladministradordelsistemaeselresponsablederestaurarlainformacin. Lainformacinrespaldadadeberseralmacenadaenunlugarseguro. Debermantenerseunaversinrecientedelosarchivosmsimportantesdelsistema. En el momento en que la informacin respaldada deje de ser til a la organizacin, dicha informacindeberserborradaantesdedeshacersedelmedio. IX. POLTICASDECORREOELECTRNICO 7

Establece tanto el uso adecuado como inadecuado del servicio de correo electrnico, los derechos y obligacionesqueelusuariodebehacervalerycumpliralrespecto. Polticas: El usuario es la nica persona autorizada para leer su propio correo, a menos que l mismo autorice explcitamente a otra persona para hacerlo, o bien, que su cuenta est involucrada en un incidente de seguridad de cmputo, donde el administrador del sistema podr auditar dicha cuenta. Est estrictamente prohibido usar la cuenta de correo electrnico proporcionada por la organizacinparapropsitosajenosasusactividadesacadmicosolaboralessegnseaelcaso. Estprohibidoenviarcorreosconteniendoinjurias,falsedadesymalaspalabras. Estprohibidoenviarcorreossinremitenteysinasuntos. Estprohibidoenviarporcorreovirus,archivosoinformacinquepongaenpeligrolaseguridad delsistema. EstprohibidoenviarcorreosSPAM. Estprohibidoenviarcorreosdepublicidadpersonaloconinteresespersonales. Estprohibidoenviarcorreoshacindosepasarporotrapersona. Est prohibido reenviar cadenas, chistes y toda clase de informacin intrascendente, ajena a la actividadacadmicaolaboraldelusuario. X. POLTICASDECONTABILIDADDELSISTEMA Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema decmputo,ascomolamaneraenquedebemanejarselacontabilidaddelsistemayelpropsitodelamisma. Polticas. Eladministradordelsistemadebercontarconherramientasdeauditoriaenelsistema. El administrador de red de la divisin o secretara podr realizar un monitoreo de su red, o de todaencasodeunincidentedeseguridadycuandonecesiteestadsticaspararedisearsured. Losusuariosfinalesenningunasituacinpodrrealizarmonitoreosdelared. Losresponsablesdecmputoyeladministradorgeneraldelaredtienenlaautoridadderealizar auditorasinternaspermanentemente. XI. POLTICASDEUSODEDIRECCIONESIP ElrearesponsableenrepresentaralaFacultaddeIngenieraanteDGSCAesSecretaraGeneral. EladministradordereddebercontarconunregistrodesusdireccionesIPutilizadas. ElformatoqueutilizarpararegistrarsuinformacinestacontenidoenelApndiceA. Ningn rea puede hacer uso de una direccin IP que no le corresponda, sin autorizacin expresayescritadeladministradordelreaencuestin.

Ningn usuario final podr hacer modificacin en la configuracin de su direccin IP asignada al equipodesuresponsabilidad. En el campus de C.U. No se permiten el uso de servidores de DHCP con Direcciones IP homologadas. No se permiten utilizar en subredes de una zona, rangos de otras zonas. Por ejemplo de la en la zonaA,utilizar,rangosdelazonaC. Cada equipo que se incorpore a la red Internet deber tener autorizacin del administrador de reddelreaencuestin. Si se realiza un cambio de tarjeta de red se deber de informar del reemplazo y de la direccin fsicaasociadaalaIPaladministradordered. Sepermiterangosdedireccionesprivadas192.168.X.Xperosuasignacindeberdecontrolarse nicamentealosequiposasignadosalrea. Las direcciones IP que podrn otorgarse sern homologadas o privadas. Las homologadas slo sern otorgadas si se justifican su uso y disponibilidad. Para asignar una direccin IP deber justificarse su utilizacin y solicitarla al administrador o responsable de cmputo para su autorizacin. El administrador de red podr realizar reasignaciones de los rangos de la direcciones IP homologadasyprivadasparaunmejordesempeodelared. El administrador de red y el representante ante comit de cmputo son los nicos autorizados en solicitar dar de alta nombres cannicos de hosts, alias, mail Exchangers al Administrador GeneraldelaRed.

XII. POLTICASDEWEB. VaseLANormatividaddelWeb. XIII. POLTICAS DE CONTRATACIN Y FINALIZACIN DE RELACIONES LABORALES DE RECURSOS HUMANOS ENSISTEMASINFORMTICOS. Polticas Nopodrnsercontratadospersonascomoadministradoresdesistemasoenreasdeseguridad informticaquehayantenidoresponsabilidadesenincidentesgravesdeseguridad. Al finalizar una relacin laboral los administradores o encargados de sistemas debern entregar todaslascuentasycontraseasdelossistemascrticos. Los responsables de sistemas debern cambiar todos las contraseas crticas cuando un administradordesureadejedeprestarsusservicios. XIV. SANCIONES Alcrearnuestraspolticasesnecesariocontemplardiferentesescenarios. 9

 Tardeotemprano,todaslaspolticassernvioladas.Qupuedellevaraqueunapolticaseaviolada? Negligencia. Erroraccidental. Desconocimientodelamisma. Faltadeentendimientodelamisma. Qudebemoshacersiunapolticaesviolada? Investigarquinllevacaboestaviolacin. Investigarcmoyporquocurriestaviolacin. Aplicarunaaccincorrectiva(disciplinaria). Qusucedesiunusuariolocalviolalaspolticasdeunsitioremoto? Debehaberaccionesaseguirbiendefinidasconrespectoalosusuarioslocales. Debeestarsebienprotegidoencontradeposiblesaccionesdesdeelsitioremoto. Cmoreaccionaranteunincidentedeseguridad?Haydosestrategiasbsicas: Protegeryperseguir o Su principal objetivo es proteger y preservar los servicios del sitio, y restablecerlos lo msrpidoposible. o Se realizan acciones drsticas, tales como dar de baja los servicios, desconectar el sistemadelared,apagarlo,etc. o Loutilizamoscuando: o Losactivosestnbienprotegidos Secorreoungranriesgodebidoalaintrusin. Noexistelaposibilidadodisposicinparaenjuiciar. Sedesconocelabasedelintruso. Losusuariossonpocosofisticadosysutrabajoesvulnerable. Losrecursosdelosusuariossonminados. Perseguiryenjuiciar o Su objetivo principal es permitir que los intrusos continen con sus actividades en el sistemahastaquepuedaidentificarsealosresponsables. o Loutilizamoscuando: Losrecursosestnbienprotegidos. Sedisponederespaldosconfiables. Elriesgoparalosactivosesmayorqueeldaodeestayfuturasintrusiones. El ataque proviene de un sitio con el que guardamos cierta relacin, y ocurre conciertafrecuenciaeintensidad. Elsitioposeeciertaatraccinparalosintrusos. El sitio est dispuesto a correr el riesgo a que se exponen los activos al permitir queelataquecontine. Puedecontrolarseelaccesoalintruso. Secuentaconherramientasdeseguridadconfiables. 10

Elpersonaltcnicoconoceaprofundidadelsistemaoperativoysusutileras. Existedisposicinparalapersecucinporpartedelosdirectivos. Existenleyesalrespecto. Enelsitioexistealguienqueconozcasobrecuestioneslegales.

Polticasdesanciones En caso de un incidente de seguridad grave (Un evento que pone en riesgo la seguridad de un sistema de cmputo). Talescomo: Obtener el privilegio de root o administrador del sistema, sin que se le haya otorgado explcitamente. Borrar,modificarInformacin. Difundirinformacinconfidencial. CopiarInformacinconfidencial. Ataquesmaliciososaequiposdecmputo. EjecucindeProgramasparaobtenerprivilegiosyqueseanexitosos Violarcorreosdecuentasajenas. UnincidentedondeestinvolucradounadministradordesistemautrabajadordelaUNAM. Infectarintencionalmenteunservidorconvirus. ModificarConfiguracionesdeSwitchesyruteadoressinserresponsablesdelequipo. Dao fsico intencional a los medios de comunicacin de la red, como fibra ptica, UTP, Switches,hubs,ruteadores,transceivers. Si se llegase a ocurrir un incidente grave se reportar al Departamento de Seguridad de la DGSCA y se seguirn los procedimientos establecidos por ellos. Como medida precautoria y teniendo como prioridad el mantener la seguridad de los sistemas, las cuentas involucradas se deshabilitarn en toda la Facultad hasta que se deslinden lasresponsabilidadesdelincidente.

11

Sanciones Sedarnlassiguientessancionesalosusuarios: ACTIVIDADNOLCITA SANCIN

Consumo de alimentos, bebidas, utilizacin Suspensindelservicioporunda. delosserviciosporocio. Reincidencia. Cancelacin de los servicios por un mes en todas las reas de la FacultaddeIngeniera. Utilizarunasesinactivaajena Suspensinporundasucuenta. Reincidencia. Suspensin de los servicios por un mes en todas las reas de la FacultaddeIngeniera

Acceso con una cuenta diferente a la propia, Suspensin por un mes de los servicios en la Facultad de conpermisodelpropietario Ingeniera,delqueprestaydelqueusalacuenta. Reincidencia. Suspensinporunsemestre. Ejecucin de programas que intenten Suspensin de los servicios por un ao en todas las reas de la adivinar cuentas y contraseas locales o Facultad. remotos Reincidencia. Cese definitivo de los servicios de cmputo, durante toda su carrera. Ejecucin de herramientas para rastrear Suspensin de los servicios por un ao en todas las reas de la vulnerabilidades en sistemas de cmputo Facultad. propiosoajenos. Reincidencia. Cese definitivo de los servicios de cmputo, durante toda su carrera. Hacerusodeprogramasqueexplotanalguna Suspensin de los servicios por un ao en todas las reas de la vulnerabilidaddelsistema. Facultad. Reincidencia. Cese definitivo de los servicios de cmputo, durante toda su carrera. Instalacindesoftwareexternoaloficial Suspensindelservicioporunasemana. 12

Reincidencia. Suspensinporunmes. Cambio de la configuracin de los Equipos y Suspensindelservicioporunmes. queafecteelfuncionamientodelequipo. Envos de falsas alarmas o mensajes que Suspensin de los servicios por un ao en todas las reas de la atentencontralaintegridadfsicaomoralde Facultad. laspersonas. Reincidencia. Cese definitivo de los servicios de cmputo, durante toda su carrera. Cualquier violacin por parte de algn CartadeextraamientodirigidaalJefedeDivisinoSecretara. administrador de red, acadmico u investigador en la poltica de uso de direccionesIP. Violacin de las polticas por parte de un CartadeextraamientodirigidaalJefedeDivisinoSecretara. acadmico, investigador, trabajador, en un incidentenograve. Utilizacin de los servicios con fines no CartadeextraamientodirigidaalJefedeDivisinoSecretara. acordes a las funciones de su plaza en caso deserempleado. Utilizacin de los servicios con fines no Suspensindelservicioporunda. acadmicosudeocio. Reincidencia. Cancelacin de los servicios por un mes en todas las reas de la FacultaddeIngeniera. En caso de robo y dao fsico de equipo y material de forma intencional, el responsable tendr que resarcir los daos. Lacartadeextraamientolapodrrealizarelreaafectadaoelsubcomitdeadministradoresdered. XV. PLANDECONTINGENCIAS Al hablar de polticas de seguridad hay que contemplar tanto la prevencin como la recuperacin. Sin embargo, ningn sistema es completamente seguro, ya que pese a todas las medidas de seguridad puede ocurrir un desastre.DehecholosexpertosenseguridadafirmansutilmentequehayquedefinirunPlandeContingencias paracuandofalleelsistema,noporsifallaelsistema. PolticasdelPlandeContingencias: 13

 Todaslasreasdeberncontarconunplandecontingenciasparasusequipososervicioscrticosdecmputo. Acontinuacinmencionaremosdemanerabrevecomorealizarunplandecontingencias. DefinicindeunPlandeContingencias AlgunasdefinicionesdePlandeContingencias. El plan de contingencias es una estrategia constituida por un conjunto de recursos ideados con el propsito de servir de respaldo, contando con una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los serviciosdenegocioefectuadosporunaparalizacintotaloparcialdelacapacidadoperativade laempresa. Tal estrategia, puntualizada en un manual, es resultado de todo un proceso de anlisis y definicionesquedanlugaralasmetodologas.Asuvezlasmetodologasexistentesversansobre elprocesonecesarioparaobtenerdichoplan. Un Plan de Contingencia de Seguridad Informtica consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque,yporlogeneral,constandereemplazosdedichossistemas. La primera definicin menciona que cualquier empresa debe tener una estrategia en caso de una paralizacin operativa; mientras que la segunda definicin es ms particular, debido a que se enfoca a la Seguridad Informtica,queennuestrocasoeslaquenosinteresa. Pero ambas definiciones coinciden que un Plan de Contingencias debe ser capaz de reestablecer el correcto funcionamientodelaempresaosistemayminimizarlosdaos. DeacuerdoconloanteriorpodemosdefinirunPlandeContingenciascomo: Conjuntodeprocedimientosquepermitenrecuperaryreestablecerelcorrectofuncionamientodelsistemaen un tiempo mnimo despus de que se haya producido el problema; considerando las acciones que se llevarn a caboantes,duranteydespusdeldesastre,paratenerelmnimodeprdidasposibles. El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden estar expuestos los equiposdecmputoylainformacincontenidaenlosdiversosmediosdealmacenamiento. Pese a todas las medidas de seguridad puede ocurrir un desastre, por tanto es necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres, el cual tendr como objetivo, restaurar el Servicio deCmputoenformarpida,eficienteyconelmenorcostoyprdidasposibles. Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace necesario presuponer queeldaohasidototal,conlafinalidaddetenerunPlandeContingenciaslomscompletoposible.

14

Sepuedenanalizardosmbitos:elprimeroabarcalasactividadesquesedebenrealizarylosgruposdetrabajoo responsablesdeoperarlas;yelsegundo,elcontrol,estoes,laspruebasyverificacionesperidicasdequeelPlan deContingenciasestoperativoyactualizado. FasesdeunPlandeContingencia FaseI.AnlisisyDiseo Estudiala problemtica,lasnecesidadesderecursos,lasalternativasderespaldo,yseanalizaelcosto/beneficio de las mismas. sta es la fase ms importante, pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso su seguimiento. En la forma de desarrollar esta fase, se diferencian las dos familiasmetodolgicas.EstassonllamadasRiskAnalysisyBusinessImpact. LasRiskAnalysissebasanenelestudiodelosposiblesriesgosdesdeelpuntodevistadeprobabilidaddequelos mismos sucedan. Aunque los registros de incidentes son escasos y poco fiables, an as es ms fcil encontrar estetipodemetodologasquelassegundas. Las Business Impact, se basan en el estudio del impacto (prdida econmica o de imagen que ocasiona la falta de algn recurso de los que soporta la actividad del negocio). Estas metodologas son ms escasas, pero tienen grandes ventajas como es el mejor entendimiento del proceso o el menor empleo de tiempo de trabajo por ir msdirectamentealproblema Lastareasdeestafaseenlasdistintasmetodologasplanteadassonlassiguientes: RiskAnalysisBusinessImpact 1. Identificacindeamenazas. 2. Anlisisdelaprobabilidaddematerializacindelaamenaza 3. Seleccindeamenazas. 4. Identificacindeentornosamenazados. 5. Identificacindeserviciosafectados. 6. Estimacindelimpactoeconmicoporparalizacindecadaservicio. 7. Seleccindelosserviciosacubrir. 8. Seleccinfinaldelmbitodelplan. 9. Identificacindealternativasparalosentornos. 10. Seleccindealternativas. 11. Diseodeestrategiasderespaldo. 12. Seleccindelaestrategiaderespaldo. 13. Identificacindeserviciosfinales. 14. Anlisis del impacto. En estas metodologas se evalan los daos econmicos y de imagen y otrosaspectosnoeconmicos. 15. Seleccindeservicioscrticos. 16. Determinacinderecursosdesoporte. 17. Identificacindealternativasparaentornos. 18. Seleccindealternativas. 19. Diseodeestrategiasglobalesderespaldo 15

20. Seleccindelaestrategiaglobalderespaldo. Hay un factor importante a determinar en esta fase que es el Time Frame o tiempo que la organizacin puede asumirconparalizacindelaactividadoperativaantesdeincurrirenprdidassignificativas.Estefactormarcar lasestrategiasderecuperacinyseextraerdelanlisisdelimpacto. FaseII.Desarrollodeunplan. Esta fase y la tercera son similares en todas las metodologas. En ella se desarrolla la estrategia seleccionada, implantndosehastaelfinaltodaslasaccionesprevistas.Sedefinenlasdistintasorganizacionesdeemergenciay sedesarrollanlosprocedimientosdeactuacingenerandoasladocumentacindelplan. Esenestafasecuandoseanalizalavueltaalanormalidad,dadoquepasardelasituacinnormalalaalternativa debeconcluirseconlareconstruccindelasituacininicialantesdelacontingencia. FaseIII.Pruebasymantenimiento. En esta fase se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera prueba como comprobacindetodoeltrabajorealizado,ascomoconcientizaralpersonalimplicado. Asimismo se define la estrategia de mantenimiento, la organizacin destinada a ello, y las normas y procedimientosnecesariosparallevarloacabo. CaractersticasdeunPlandeContingencias Unplandecontingenciadeberade: Tenerlaaprobacindelosintegrantes. Serflexible. Contenerunprocesodemantenimiento. Teneruncostoefectivo. Enfatizarenlacontinuidaddelnegocio Asignarresponsabilidadesespecficas. Incluirunprogramadeprueba. Aprobacin El plan debe de ser aceptable para auditores internos; fuera de auditores, el director, clientes y proveedores. FlexibilidadElplandeberserespecificadoenguas,enlugarderelacionarlosdetallesasituacionesindividuales deldesastre. MantenimientoEludirdetallesinnecesariosdemaneraqueelplanpuedaserfcilmenteactualizado. CostoEfectividad La planeacin del proyecto deber enfatizar en la necesidad de minimizar los costos del desarrollo del plan, respaldo redundante del procesamiento de la suscripcin de honorarios, mantenimiento y costodepruebas. Continuidad de la empresa. El plan debe de asegurar la continuidad, durante un periodo de recuperacin de desastres.

16

Respuesta organizada. El plan debe proporcionar una lista de verificacin de salidas que necesitan atencin inmediataquesiguealdesastre.Asmismoincluirlistasdenmerosdetelfonoylasdireccionesdeindividuos paraconectarlos. Responsabilidad. A individuos especficos deber asignrseles la responsabilidad de cada salida que requiera atencindurantelaRespuestadeEmergenciayeltiempodelperiododelprocesamientointerno. Prueba. La prueba con los usuarios para revisar los procedimientos de verificacin de respaldo debe de realizar algo especfico en los intervalos de tiempo. De tal forma que el plan cuente con un estado de frecuencias de pruebaydocumentelametodologadeprueba. CaractersticasdeunbuenPlandeContingencias. Funcional.Desarrolladoporlossupervisoresdeprimeralnea. CostoEfectividad.Enrelacinconbajaprobabilidad. Flexibilidad.Elmismoplanpuedeserutilizadoparacualquierdesastre. Fcildemantener.Mantenerlosimple. Pero no basta con tener un manual cuyo ttulo sea Plan de Contingencia o denominacin similar, sino que es imprescindible conocer si funcionar con las garantas necesarias y cubre los requerimientos en un tiempo inferioralfijadoyconunaduracinsuficiente.Elplandecontingenciainexcusablementedebe: RealizarunanlisisdeRiesgosdeSistemasCrticosquedeterminelatoleranciadelossistemas. Establecer un Periodo Crtico de Recuperacin en el cual los procesos deben ser reanudados antesdesufrirprdidassignificativasoirrecuperables. RealizarunAnlisisdeAplicacionesCrticasporelqueseestablezcanlasprioridadesdeProceso. Determinar las prioridades de Proceso, por das del ao, que indiquen cules son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el desastre y el orden de proceso correcto. Establecer Objetivos de Recuperacin que determinen el perodo de tiempo (horas, das, semanas) entre la declaracin de Desastre y el momento en que el Centro Alternativo puede procesarlasAplicacionesCrticas. Designar,entrelosdistintostiposexistentes,unCentroAlternativodeProcesodeDatos. AsegurarlaCapacidaddeComunicaciones. AsegurarlaCapacidaddelosServiciosderespaldos. Algunasdelaspreguntasquepuedenformularsealrealizarunaauditoriasobreestetipodeplaneses: CmoestestructuradoelPlan? EsfcildeseguirelPlanenelcasodeundesastre? IndicaelPlanquineselresponsablededesarrollartareasespecficas? Cmoseactivaelplanencasodeundesastre? Cmo estn contenidos estos procedimientos de activacin en los procedimientos de emergencianormalesdelaorganizacin? Hansidoprobadosestosprocedimientosenuntestdedesastresimulado?

17

Contiene el Plan procedimientos que fijen los daos en las etapas iniciales de las Operaciones deRecuperacin? Incluye el Plan procedimientos para trasladar el proceso desde el Centro Alternativo al Centro RestauradooNuevo? Contiene el Plan listados del Inventario del proceso de datos y hardware de comunicaciones, software,formulariospreimpresosystockdepapelyaccesorios? Estn actualizados los listados telefnicos del personal de recuperacin as como empleados delprocesodedatos,altadireccin,usuariosfinales,vendedoresyproveedores? Cmoestacontenidoelplan? QuineselresponsabledeactualizarelPlan? Cundofueactualizadoelplan? HaycopiasdelPlandistribuidasenotrolugar?

En la auditora es necesario revisar si existe tal plan, si es completo y actualizado, si cubre los diferentes procesos, reas y plataformas, o bien si existen planes diferentes segn entornos, evaluar en todo caso su idoneidad, as como los resultados de las pruebas que se hayan realizado, y si permite garantizar razonablemente que en caso necesario, y a travs de los medios alternativos, propios o contratados, podra permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones,queavecessontambinlospropietariosdelasmismasperopodrannoserlo. Si las revisiones no aportan garantas suficientes se deben sugerir pruebas complementarias o hacer constar en elinforme,inclusoindicarloenelapartadodelimitaciones. Es necesario verificar que la solucin adoptada es adecuada: instalaciones propias, ajenas, compartidas, etc. Y queexisteelcontratooportunosihayparticipacindeotrasentidadesaunqueseandelmismogrupoosector. Dentro de lo crtico de las aplicaciones se puede distinguir entre las ms crticas, con impacto muy alto en el negocioysinalternativa,otrasconalternativas,einclusodiferenciadosiconcostosaltosoinferiores,yaquellas cuya interrupcin, al menos en un nmero de das fijado, no tiene casi incidencia y habr que distinguir qu tiposde consecuenciaseimpacto,enfuncin delsectoryentidad,ydadelmesenqueocurrieraelincidente, y tal vez la hora en algunos casos. Frente a lo que vena siendo la previsin de contingencias en estos aos pasados, centrndose slo en el host como un gran servidor, hoy en da, con la clara tendencia a entornos distribuidos,esnecesarioconsiderartambinestosenlaprevisindelascontingencias. Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentestiposdeincidenciasyaqunivelsepuededecidirquesetratadeunacontingenciaydequtipo. Entrminosgenerales,elPlandeContingenciasdebercontener: Objetivodel PlandeContingencias:Se debenindicaraquelloscomponentesdelafuncincrtica que se pretenden cubrir frente a la contingencia considerada. Estos componentes pueden variar,ascomosugradodecoberturaparalasdistintascontingenciasanalizadas.

18

Criterio para la ejecucin del Plan de Contingencias: Condiciones bajo las cuales se considera quedebecomenzaraaplicarseelPlandeContingencias. Tiempo esperado de duracin del Plan de Contingencias: Es el tiempo mximo que se puede continuaroperandobajoestascondicionesdecontingencia. Roles, responsabilidad y autoridad: Esto es clave para la buena marcha del Plan de Contingencias.Sedebedeterminarmuyclaramente,culeselpapeldecadaunodelossectores delaorganizacinantelacontingenciaycmosealteranlosprocedimientoshabitualesparadar lugaralosprocedimientosdecontingencia. Requerimientos de recursos: Qu recursos se necesitan para operar en el modo contingencia y cules de los recursos habitualmente utilizados no se deben utilizar. Esto debe estar debidamentedocumentadoyverificadolomsexhaustivamenteposible. Capacitacin: Otro aspecto importante es la capacitacin al personal que debe intervenir en la contingencia, cuando sta se presente. Es necesario que el personal involucrado sepa cmo se saca de servicio cualquier componente que, segn el Plan de Contingencias, no debe seguir operandoantealgunafalla;quepuedadarsecuentadequdebehaceryqueestencapacidad de hacerlo cuando sea preciso. Tambin debe tenerse en cuenta que en algn momento habr quevolveralaoperacinhabitual;porlotantodebernincluirseenelplandemecanismospara volver a la operatoria anterior a la contingencia y el tiempo mximo que la funcin puede permanecerenestadodecontingencia. Implementacin y Operacin de los Planes de Contingencia: Se desea que no haya que implementar los Planes de Contingencia, sin embargo, por si esto sucede, hay que estar preparadoytenerinstructivosclarosparatodaslastareasquedeberanrealizarse. Reinstalacin: La contingencia como su nombre lo indica, no es una situacin permanente. Por lo tanto, se deben prever mecanismos como para recuperar los datos de operacin durante la contingencia, si es que son necesarios, y para aplicar las instrucciones necesarias para que las operacionesnosufranunainterrupcintraumticaalterminarelperiododecontingencia.

XVI. TICAINFORMTICA La tica se define como: principios directivos que orientan a las personas en cuanto a la concepcin de la vida, elhombre,losjuicios,loshechos,ylamoral. Es conveniente diferenciar la tica de la moral, la tica es una disciplina filosfica, la cual tiene como objeto de estudiolamoral,estonoquieredecirquelaticacrealamoral,sinosolamentereflexionasobreella. La moral se refiere a la conducta del hombre que obedece a unos criterios valorativos acerca del bien y el mal, mientrasquelaticareflexionaacercadetalescriterios,ascomodetodoloreferentealamoralidad. Otroconceptoimportanteeseldevalor,estenoloposeenlosobjetosporsimismo,sinoqueestosloadquieren graciasasurelacinconelhombrecomosersocial. DefinicionesdelaticaInformtica 19

LaticadelaInformtica(EI)esunanuevadisciplinaquepretendeabrirsecampodentrodelasticasaplicadas. El origen remoto de la EI est en la introduccin masiva de las computadoras en muchos mbitos de nuestra vida social. Muchas profesiones reivindican para s una tica particular con la cual pueden regirse ante los problemasmoralesespecficosdeesaprofesinoactividadocupacional.LaexistenciadelaEItienecomopunto departidaelhechodequelascomputadorassuponenunosproblemasticosparticularesyportantodistintosa otrastecnologas.Enlaprofesininformticasequierepasardelasimpleaplicacindecriteriosticosgenerales a la elaboracin de una tica propia de la profesin. Los cdigos ticos de asociaciones profesionales y de empresasdeinformticavanenestadireccin. La definicin ms restrictiva de la EI es considerarla como la disciplina que analiza problemas ticos que son creados por la tecnologa de las computadoras o tambin los que son transformados o agravados por la misma, esdecir,porlaspersonasqueutilizanlosavancesdelastecnologasdelainformacin.Algunosdelosautoresse plantean si la cambiante sofisticacin tecnolgica plantea nuevos dilemas ticos o si las cuestiones ticas permanecenconstantes. OtrasdefinicionesdelaEIsonmuchomsamplias.Nosereducenaunnuevocampodeticaaplicadasinoque, por ejemplo, en el libro de James Moor, la EI es el anlisis de la naturaleza y el impacto social de la tecnologa informticaylacorrespondienteformulacinyjustificacindepolticasparaunusoticodedichatecnologa.La EI estara relacionada con los problemas conceptuales y los vacos en las regulaciones que ha ocasionado la tecnologa de la informacin. El problema es que hay una falta de reglamentacin en cmo utilizar estas nuevas tecnologas que posibilitan nuevas actividades para las cuales no hay o no se perciben con nitidez principios de actuacin claros. Las personas con responsabilidades en el rea de diseo o gestin de sistemas de informacin cada vez han de tomar ms decisiones sobre problemas que no se resuelven con lo legal y lo cuasilegal (reglamentos,manualesdeprocedimientodelasempresas,etc.)sinoquerozanloticomismo.LatareadelaEI es aportar guas de actuacin cuando no hay reglamentacin o cuando la existente es obsoleta. Al vaco de polticas se aade generalmente un problema de vaco conceptual. Por ello la EI tambin ha de analizar y proponerunamarcoconceptualqueseaadecuadoparaentenderlosdilemasticosqueocasionalainformtica. Otra definicin ms general viene de Terrel Bynum, que basndose en Moor, define la EI como la disciplina que identifica y analiza los impactos de las tecnologas de la informacin en los valores humanos y sociales. Estos valoresafectadossonlasalud,lariqueza,eltrabajo,lalibertad,lademocracia,elconocimiento,laprivacidad,la seguridad o la autorrealizacin personal. En este concepto de EI se quieren incluir trminos, teoras y mtodos de disciplinas como la tica aplicada, la sociologa de las computadoras, la evaluacin social de las tecnologas o elderechoinformtico. CdigosDeontolgicosenInformtica La Deontologa (Del Griego Den (deber) y Logos (razonamiento o ciencia): Ciencia del Deber), es la disciplina quetrataloconcernientealosdeberesquecorrespondenaciertassituacionespersonalesysociales. Originada en las profesiones intelectuales de antiguo origen histrico (Derecho, Medicina) la Deontologa, en particular, denota el conjunto de reglas y principios que rigen determinadas conductas de los profesionales, ejercidas o vinculadas, de cualquier manera, al ejercicio de la profesin y a la pertenencia al respectivo grupo profesional. 20

 Las asociaciones de profesionales de informtica y algunas empresas relacionadas con la informtica han desarrolladocdigosdeconductaprofesional.Estoscdigostienendistintasfunciones: Existan normas ticas para una profesin, esto quiere decir que un profesional, en este caso un tcnico, no es slo responsable de los aspectos tcnicos del producto, sino tambin de las consecuenciaseconmicas,sociolgicasyculturalesdelmismo. Sirven como un instrumento flexible, como suplemento a las medidas legales y polticas, ya que stas en general van muy lentas comparadas con la velocidad del desarrollo de las tecnologas de la informacin. Los cdigos hacen de la ley su suplemento y sirven de ayuda a los cuerpos legislativos,administrativosyjudiciales. Sirven como concientizacin pblica, ya que crear unas normas as, hace al pblico consciente delosproblemasyestimulaundebateparadesignarresponsabilidades. Estas normas tienen una funcin sociolgica, ya que dan una identidad a los informticos como grupo que piensa de una determinada manera; es smbolo de sus estatus profesional y parte de sudefinicincomoprofesionales. Estas normas sirven tambin como fuente de evaluacin pblica de una profesin y son una llamada a la responsabilidad que permiten que la sociedad sepa qu pasa en esa profesin; aumentalareputacindelprofesionalylaconfianzadelpblico. En las organizaciones internacionales, estas normas permiten armonizar legislaciones o criterios divergentesexistentes(oausentes,ensucaso)enlospasesindividuales. Los cdigos son un paso en la concientizacin de las sociedades y organizaciones que quieren mejorar situaciones en las que los impactos sociales del desarrollo tecnolgico no se tienen en cuenta. No tienen que duplicar lo que ya existe en la ley. La ley trata de la legalidad de las prcticas sociales, es normativa por definicin y se impone con sanciones. Los cdigos, en cambio, tratan del comportamiento segn principios ticos, su normatividad es mostrar una declaracin de intenciones sobre la "misin" de una institucin y la coercinrealconqueseimponenespequea,aunqueenalgunoscasosseincluyenexpulsionesdelaasociacin en cuestin. La ley es el acercamiento de ms poder normativo y asigna con claridad los derechos, responsabilidadesydeberesdecadauno. Un Cdigo de tica se suma a un cambio de actitud por parte de la sociedad, respetando el accionar de la misma. SituacinactualdelaticadelaInformtica La literatura existente es ms sociolgica que tica; es menos prescriptiva o normativa que descriptiva. En general no se ofrecen principios de actuacin o respuestas a las preguntas "debe" (qu debera hacer yo como persona, que debera hacer yo y los mos como organizacin, qu normas sociales deberamos promover, que leyes debemos tener...). El objetivo de la EI no es solamente proponer anlisis sobre "sociologa de la informtica" o sobre la evaluacin social de las tecnologas (technology assessment), sino ir algo ms all en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juegovaloreshumanosydilemasticos. 21

 XVII. CDIGOSDETICA En Mxico, existen algunos cdigos de tica sobre todo en el mbito periodstico, en el derecho y la medicina. Sinembargo,hayinstitucioneseducativasyempresasquesepreocupanporteneruncdigodetica;encuanto a seguridad informtica son muy pocos, es por eso que propondremos una cdigo de tica para la Facultad de Ingeniera. Algunos de los cdigos de tica que hacen referencia a la seguridad informtica o a la informtica, son los siguientes: CdigodeticadelIngenieroMexicano(UMAI) CdigodeticadelaIEEE AmericanSocietyforIndustrialSecurity(ASIS) CdigodeticadelaAsociacinMexicanadelaIndustriaPublicitariayComercialenInternet,A. C.(AMIPCI) Se anexa el cdigo de tica universitario, como una muestra de que la UNAM se preocupa porque la gente que labora en ella est comprometida a realizar su trabajo apegada a los principios establecidos en este cdigo de tica. Paraelpersonalinvolucradoenlosreasdesistemasinformticosseguirnel CDIGO DE TICA UNIVERSITARIO y el CDIGO DE TICA PARA LA FACULTAD DE INGENIERIA EN EL MBITO INFORMTICO. UNIVERSIDADNACIONALAUTNOMADEMXICO CDIGODETICAUNIVERSITARIO *ALACOMUNIDADUNIVERSITARIA Considerando que la Universidad Nacional Autnoma de Mxico, como organismo descentralizado del estado, est comprometida con una responsabilidad moral y tica en el sentido de actuar de acuerdo a normas y principiosquerijanlaconductadelbuenvivirdesucomunidad. Que esa responsabilidad tica obliga a una continua evaluacin del comportamiento social y pblico de sus funcionarios y empleados, a fin de garantizar en todo momento el respeto al derecho y la observancia de su Normatividadevitandoconellofaltasalasnormasticasqueponganenriesgolaestabilidaddelainstitucin. Que para fortalecer la confianza de la comunidad universitaria, as como la del pueblo de Mxico, es preciso adoptar medidas tendientes a reforzar la grandeza de la institucin, hacindolos sentir parte importante de la misma,ademsdepropiciarquesuslaboresnovulnerenlosprincipiosdeunaticainstitucional.

22

Se emite el presente Cdigo de tica para los funcionarios y empleados universitarios cuya implementacin, es detrascendentalimportanciaparaestaUniversidad. *ALCANCEYOBJETIVODELCDIGO Reglamentar la conducta de los funcionarios y empleados universitarios y, en general, a toda persona que desempeeunempleo,cargoocomisindecualquiernaturalezaenlaadministracinuniversitaria. *PRINCIPIOSFUNDAMENTALES I. Todo funcionario y empleado universitario considerar un deber, desempear su trabajo en apego a este Cdigodetica. II. Todo funcionario y empleado universitario, para apoyar y promover el honor y la dignidad de la institucin conlasnormasmselevadasdelaticadeber: Interesarseenelbienestarcomnyaplicarsusconocimientosprofesionalesparabeneficiodela institucinascomodesusintegrantes. Desarrollarsusdeberesconhonestidadeimparcialidadyservircondedicacinasussuperiores, susempleadosyalacomunidaduniversitariageneral. Reconocer que la trayectoria universitaria es el origen de una disponibilidad econmica que debe permitir vivir con decoro, procurando asegurar para los suyos losrecursos materiales y los elementosmoralesqueleseanindispensablesparasuprogresoybienestar. Esforzarse por aumentar la competencia y prestigio de los trabajadores y empleados universitariosentodassusactividades. POSTULADOS I.Responsabilidadhacialasociedadengeneral Bien comn: Asumo un compromiso irrenunciable con el bien comn, entendiendo que la Universidad es patrimonio de la Nacin, que slo se justifica y legitima cuando se procura ese bien comn, por encima de los interesesparticulares. Imparcialidad: Actuar siempre en forma imparcial, sin conceder preferencias o privilegios indebidos a persona alguna. Vocacin de Servicio: Entiendo y acepto que trabajar para esta Universidad constituye al mismo tiempo el privilegioyelcompromisodeserviralasociedad,porqueesellaquiencontribuyeapagarmisalario. Liderazgo:Promoveryapoyarestoscompromisosconmiejemplopersonal,abonandoalosprincipiosmorales quesonbaseysustentodeunasociedadexitosaeninstitucinordenadaygenerosa. Dignidadconlasociedad:Respetareneldebateyenlatomadedecisiones,ladignidaddelaspersonas,siendo justo,verazyprecisoenmisapreciaciones,reconociendolalegtimadiversidaddeopiniones. 23

 II.Responsabilidadhacialacomunidaduniversitaria Honradez: Nunca usar mi cargo para ganancia personal, ni aceptar prestacin o compensacin alguna a mis remuneraciones a las que tengo derecho, de ninguna persona u organizacin que me pueda llevar a actuar con faltadeticamisresponsabilidadesyobligaciones. Justicia: Ceir mis actos a la estricta observancia de la Normatividad Universitaria, impulsando una cultura de procuracinefectivadejusticiayderespetoalaInstitucin. Transparencia:Aceptodemostrarentodotiempoyconclaridadsuficiente,quemisaccionescomofuncionarioy empleado universitario se realizan con estricto y permanente apego a las normas y principios de la Institucin, fomentandosumanejoresponsableyeliminandosuindebidadiscrecionalidad. Rendicin de cuentas: Proveer la eficacia y la calidad en la gestin de la administracin universitaria, contribuyendo a su mejora continua y a su modernizacin, teniendo como principios fundamentales la optimizacindesusrecursosylarendicindecuentas. Respeto: Respetar sin excepcin alguna la dignidad de la persona humana y los derechos y libertades que le soninherentes,siemprecontratoamableytoleranciaparatodalacomunidaduniversitaria. Lealtad: Afirmo que todos mis actos se guan e inspiran por exaltar a la institucin y a sus smbolos; as como el respeto a su Ley Orgnica y dems Normatividad que de ella emana y por la ms firme creencia en la dignidad delapersonahumana. Responsabilidad: Acepto estar preparado para responder de todos mis actos de manera que la comunidad universitaria y la gente con que trato en particular, aumenten permanentemente su confianza en m y en nuestracapacidaddeservirles. Competencia:Reconozcomideberdesercompetente,esdecir,tenerydemostrarlosconocimientosyactitudes requeridos para el ejercicio eficiente de las funciones que desempeo, y actualizarlos permanentemente para aplicarlosalmximodemiinteligenciaydemisesfuerzo. Efectividad y Eficiencia: Comprometo la aplicacin de mis conocimientos y experiencias de la mejor manera posible, para lograr que los fines y propsitos de la Universidad se cumplan con ptima calidad y en forma oportuna. Manejo de recursos: todos los recursos propiedad de la Universidad sin importar su origen, los aplicar nicamenteparalaconsecucindelosobjetivosinstitucionales. Calidad del personal: Contratar para los cargos de mi dependencia, slo a quienes renan el perfil para desempearseconrectitud,aptitudylaactitudnecesarios. III.Responsabilidadhacialoscompaerosdetrabajo 24

Valor civil: Reconozco mi compromiso de ser solidario con mis compaeros y conciudadanos; pero admito mi deber de denunciar y no hacerme cmplice de todo aquel que contravenga los principios ticos y morales contenidosenesteinstrumento. Igualdad: Har regla invariable de mis actos y decisiones el procurar igualdad de oportunidades para todos los universitarios,sindistingodesexo,edad,raza,credo,religinopreferenciapoltica. Probidad: Declaro que todos los recursos y fondos, documentos, bienes y cualquier otro material confiado a mi manejoocustodiadebotratarlosconabsolutaprobidadparaconseguirelbeneficiocolectivo. Dilogo:Privilegiareldilogoylaconcertacinenlaresolucindeconflictos. CDIGODETICAPARALAFACULTADDEINGENIERIAENELMBITOINFORMATICO. 1.Aplicacindelcdigo El presente cdigo de tica establece algunos puntos que regularn la conducta y el desempeo profesional de las personas encargadas de la seguridad informtica de la Facultad de Ingeniera, a las cuales definiremos como Administradores de red (y de sistemas), independientemente del sistema operativo que utilicen; incluyendo a laspersonasquelaboranencualquierreadesistemas,sinimportarelpuestoqueocupen. 2.Actitudprofesional La excelencia tcnica y tica de los administradores de red se vuelve indispensable para todos los profesionales de esta rea, por lo que es necesario que ellos promuevan la difusin y prctica de los principios expresados en estecdigo. Los Administradores de red tienen la obligacin de regir su conducta de acuerdo a las reglas contenidas en este cdigo, las cuales deben considerarse mnimas pues se reconoce la existencia de otras normas de carcter legal ymoralqueamplaneldelaspresentes. Este cdigo rige la conducta de los Administradores de Red, as como el de las personas que pertenecen a cualquierreadesistemas,ensusrelacionesconel pblicoengeneral,conquienprestasusservicios(usuarios) yconsuscompaerosdetrabajo. Los Administradores de red y las personas que trabajan en el rea de sistemas, deben abstenerse de hacer comentarios sobre sus compaeros de trabajo o usuarios, que perjudiquen su reputacin o el prestigio de su profesin,amenosquesesolicitenporquintengauninterslegtimodeellos. 3.Actitudpersonal

25

Los Administradores de red y las personas que trabajan en el rea de sistemas deben respeto a toda persona y su comportamiento tanto en lo personal como en lo social, debe atender a la prctica de buenas costumbres y seguirunobjetivotil. Los Administradores de red y las personas que trabajan en el rea de sistemas deben tener la costumbre de cumplirloscompromisosadquiridos,noporelhechodeestarescritos,sinoporconviccinpropia. Los Administradores de red y las personas que trabajan en el rea de sistemas deben de respetar y hacer respetar su tiempo y el de los dems, predicar con el ejemplo, poseer espritu de servicio y habilidad para comunicarseconlosdems. Los Administradores de red y las personas que trabajan en el rea de sistemas siempre actuarn cuidando el no afectarlaintegridadfsica,emocionalnieconmicadelaspersonas. 4.Calidadprofesionaleneltrabajo Los Administradores de red y las personas que trabajan en el rea de sistemas, deben realizar un trabajo de calidadencualquierservicioqueofrezcan. 5.Preparacinycalidadprofesional Por ser la informacin un recurso difcil de manejar, se requiere de Administradores de definan estrategias para sugeneracin,administracinydifusin;porloqueningunapersonaquenoestrelacionadaconlainformtica, computacin o sistemas computacionales, que no cuente con experiencia y con la capacidad necesaria para realizar stas actividades de manera satisfactoria y profesional, por ningn motivo podr llevar a cabo esta actividad. LosAdministradoresderedylaspersonasquetrabajanenelreadesistemas,sepreocuparndequesupropia actualizacinycapacitacinprofesionalseadecrecimientopermanente. 6.Prcticadelaprofesin Los Administradores de red y las personas que trabajan en el rea de sistemas, deben analizar cuidadosamente las verdaderas necesidades que puedan tenerse de sus servicios, para proponer aquellas que ms convengan dependiendodelascircunstancias. Responsabilidadeshaciaelusuario 1.Importanciadelusuario El principal objetivo de los Administradores de la red y las personas que trabajan en el rea de sistemas es la atencinadecuadaalusuario,alcualseledebebrindartodoelrespeto. 26

2.Protegerelintersdelusuario Los Administradores de red y las personas que trabajan en el rea de sistemas, deben aprovechar las herramientas (software, equipo de cmputo) adquiridas por la Facultad para el beneficio no slo de ella sino tambindelosusuarios. Los Administradores de Red deben asegurarse del buen uso de los recursos informticos, evitando el mal uso paraelquenofueronplaneadosyautorizados. 3.Responsabilidadprofesional Los Administradores de red y las personas que trabajan en el rea de sistemas expresarn su opinin en los asuntosqueseleshayanencomendado,teniendoencuentalosprincipiosexpresadosenstecdigo. Debern ser objetivos, imparciales en la emisin de sus opiniones o juicios, buscando siempre el beneficio de la institucindesuscompaerosyusuarios. 4.Accesoalainformacin Los Administradores de red y las personas que trabajan en el rea de sistemas respetarn la informacin de carcter privado relativa a las personas, contenida en las bases de datos, excepto cuando se requiera una investigacinporunincidentedeseguridadounainvestigacindecarcterlegal. 5.Discrecinprofesional Los Administradores de red y las personas que trabajan en el rea de sistemas tienen la obligacin de guardar discrecin en el manejo de la informacin que se les ha proporcionado para poder prestar sus servicios. Considerarcomoconfidencialtodalainformacinquelehasidoconfiada. Los Administradores de red y las personas que trabajan en el rea de sistemas no deben permitir el acceso a la informacin a personal no autorizado, ni utilizar para beneficio propio la informacin confidencial de los usuarios. 6.Honestidadprofesional. Los Administradores de red y las personas que trabajan en el rea de sistemas, no podrn modificar o alterar la informacin que se les ha confiado, para beneficio propio o de terceros, ni con fines de encubrir anomalas que afectendirectamentelosinteresesdelaInstitucin. LosAdministradoresderedylaspersonasque trabajanenelreadesistemasnodebenparticiparenactosque secalifiquendedeshonestos. 7.NousarequipodecmputoniprogramasdelaInstitucinparabeneficiopersonal 27

 Los Administradores de red y las personas que trabajan en el rea de sistemas no deben usar el equipo de cmputo para fines de esparcimiento que afecten su desempeo profesional, an cuando tenga la autorizacin para utilizar el equipo. Ni fomentar que personas ajenas a la Institucin ingresen a las instalaciones y utilicen el equipoylosprogramasdelsoftware. 8.Tratoadecuadoalosusuariosycompaerosdetrabajo Los Administradores de red y las personas que trabajan en el rea de sistemas deben tratar con respeto a todas laspersonassintenerencuentaraza,religin,sexo,orientacinsexual,edadonacionalidad. Los directivos de las reas de sistemas debe dar a sus colaboradores el trato que les corresponde como profesionalesyvigilarnsuadecuadasuperacinprofesional. 9.Finalizacindeltrabajo Alfinalizarunproyectoindependientementedelreadelaquelosolicite,debecumplircon todoslosrequisitos de funcionalidad, calidad y documentacin pactados inicialmente, a fin de que se pueda obtener el mayor beneficioenlautilizacindelosmismos. Los Administradores de red y las personas que trabajan en el rea de sistemas deben cuidar que el equipo de cmputoylosprogramaspropiedaddelaUnidadseconservenenbuenestadoparasuusoyaprovechamiento. Al concluir el trabajo para el cual fue contratado, Los Administradores de red y las personas encargadas del desarrollo de sistemas en la Institucin deben implementar los mecanismos necesarios, para que tenga la posibilidad de continuar haciendo uso de los programas de aplicacin, as como de modificarlos, a pesar de su ausencia. 10.Desarrollodesistemas Las personas encargadas del desarrollo de sistemas en Institucin deben determinar perfectamente el alcance delsistemaylosrequerimientosnecesariosparasudesarrollo. Las personas encargadas del desarrollo de sistemas en la Institucin deben determinar de manera clara la entrega de las diferentes etapas de desarrollo y establecer las fechas y compromisos formales de entrega, de cadaunadelaspersonasqueparticipeneneldesarrollodelsistema. Las personas encargadas del desarrollo de sistemas en la Institucin deben llevar a cabo las evaluaciones en las fechasdeterminadasyentregarlosresultadosenuntiempoadecuadoquepermitatomardecisiones. Las personas encargadas del desarrollo de sistemas en la Institucin deben dejar siempre documentado el sistema desarrollado, con todos los detalles necesarios, de tal manera que con su consulta se conozca el funcionamientodelsistema. 28

 Las personas encargadas del desarrollo de sistemas en la Institucin deben tener la capacidad para reconocer susfallasenlasrevisiones,hacercorreccionesyaclararlasdudasdequiensolicitoelsistema,ascomoproponer posiblesalternativasdesolucin. Las personas encargadas del desarrollo de sistemas en la Institucin deben comunicar los problemas que se les vayanpresentando. RESPONSABILIDADHACIALAPROFESIN 1.Respetoasuscompaerosdetrabajoyasuprofesin Los Administradores de red y las personas que trabajan en el rea de sistemas cuidarn las relaciones que sostienen con sus compaeros de trabajo y colegas, buscando mejorar el ambiente de trabajo y fomentar el trabajoenequipo. LosAdministradoresderedylaspersonasquetrabajanenelreadesistemasdebernbasarsureputacinenla honestidad,honradez,lealtad,respeto,laboriosidadycapacidadprofesional,observandolasreglasdeticams elevadasensusactosyevitandotodapublicidadconfinesdelucrooautoelogio. Buscarn la manera de hacer cumplir y respetar este cdigo de tica; adems de fomentar la adopcin de un cdigodetica. 2.Difusinyenseanzadeconocimientos Los Administradores de red y las personas que trabajan en el rea de sistemas deben mantener altas normas profesionales y de conducta, especialmente al transmitir sus conocimientos, logrando contribuir al desarrollo y difusindelosconocimientosdesuprofesin. 3.EspecializacinprofesionaldelosAdministradoresdelSistema Los Administradores de red y las personas que trabajan en el rea de sistemas deben tener una orientacin hacia cierta rama de la informtica, computacin o sistemas computacionales, debindose mantener a la vanguardiaenelreadeconocimientodesuinters. 4.Competenciaprofesional Los Administradores de red y las personas que trabajan en el rea de sistemas mantener actualizados todos los conocimientosinherentesalasreasdesuprofesinascomoparticiparenladifusindestosconocimientosa otrosmiembrosdelaprofesin.

29

Los Administradores de red y las personas que trabajan en el rea de sistemas deben informarse permanentementesobrelosavancesdelainformtica,lacomputacinylossistemascomputacionales. 5.Evaluacindecapacidades Los Administradores de red y las personas que laboran en sistemas en la Institucin deben autoevaluarse peridicamente con la finalidad de determinar si cuentan con los conocimientos suficientes para ofrecer un trabajodecalidad. EncasodequelosAdministradoresderedylaspersonasquelaboransistemasenlaInstitucintenganpersonas asucargodebernasegurarsedequeseanevaluadossusconocimientosperidicamente. 6.Personalasusservicios LosAdministradoresdelosSistemasylaspersonasencargadasdeldesarrollodesistemasenlaInstitucindeben realizarunasupervisindeldesempeodelaspersonasquecolaboranconelloseneldesarrollodesistemas. 7.Prcticadocente Los Administradores de red o instructores y las personas que pertenecen a Institucin que den clases en la Facultad de Ingeniera o que den cursos deben cumplir con su responsabilidad en asistencia y puntualidad en el salndeclases. Evaluacionesalosalumnos Los Administradores de red o instructores y las personas que pertenecen a Institucin que den clases en la Facultad de Ingeniera o que den cursos deben comunicar los procedimientos de evaluacin durante el tiempo quedurelaenseanza. Los Administradores de red o instructores y las personas que pertenecen a Institucin que den clases en la Facultad de Ingeniera o que den cursos deben llevar a cabo las evaluaciones en las fechas determinadas y entregar losresultadosen untiempoadecuado,ascomotambinhacerunarevisintotaldelexameny aclarar todaslasdudasqueresultenderivadasdesuaplicacin. Los Administradores de red o instructores y las personas que pertenecen a Institucin que den clases en la Facultad de Ingeniera o que den cursos llevar una supervisin del desempeo del alumno en forma personal preocupndose por establecer si los bajos resultados son resultado del desempeo del alumno o del profesor o instructor.

30

XVIII. GLOSARIO Sitio Cualquierorganizacin(militar,gubernamental,comercial,acadmica,etc.)queposearecursosrelativosaredes ycomputadoras. Usuario Cualquierpersonaquehaceusodealgunodelosrecursosdecmputoconlosquecuentaunaorganizacin. Administrador Elresponsabledemantenerenoperacincontinualosrecursosdecmputoconlosquecuentaunsitio Seguridadencmputo Un conjunto de recursos destinados a lograr que los activos de una organizacin sean confidenciales, ntegros, consistentes y disponibles a sus usuarios, autentificados por mecanismos de control de acceso y sujetos a auditora. Confidencial: La informacin debe ser leda por su propietario o por alguien explcitamente autorizadoparahacerlo. ntegro: La informacin no debe ser borrada ni modificada por alguien que carezca de autorizacinparahacerlo. Consistente:elsistema,aligualquelosdatos,debecomportarsecomounoesperaquelohaga. Disponible: La informacin debe estar siempre disponible en el lugar y cantidad de tiempo requeridos. Autentificado: nicamente deben ingresar al sistema personas autorizadas, siempre y cuando compruebenquesonusuarioslegtimos. Control de acceso: Debe conocerse en todo momento quin entra al sistema y de dnde procede. Auditora: Deben conocerse en cada momento las actividades de los usuarios dentro del sistema. Incidente Uneventoqueponeenriesgolaseguridaddeunsistemadecmputo. Ataque Un incidente cuyo objetivo es causar dao a un sistema, robar informacin del mismo, o utilizar sus recursos de formanoautorizada. Firewall Undispositivodehardwareysoftwarequeactacomounabarreraprotectoraentreunaredprivadayelmundo exterior; se usa para proteger el acceso a los recursos internos desde el exterior, as como para controlar los recursosexternosquesonaccedidosdesdelaredprivada. 31

Herramientasdeseguridad Programas que nos permiten incrementar la fiabilidad de un sistema de cmputo. Existe una gran variedad de ellas, casi todas de libre distribucin. Algunos ejemplos de herramientas de seguridad a considerar para implementarunesquemadeseguridadson: Paraelmanejodecontraseas:anipasswd,passwd+,crack,JohnTheRipper,S/Key Paraelmanejodeautenticacin:Kerberos,SecureRPC Paraelmonitoreoderedes:Satan,ISS Paraauditorainterna:COPS,Tiger,Tripwire Paracontroldeacceso:TCPWrapper,PortSentry SPAM Mensaje de correo electrnico no solicitado por el receptor, usualmente distribuido a una lista de direcciones y cuyocontenidogeneralmenteespublicidaddeproductososervicios. DHCP DHCP (Dinamic Host Configuration Protocol) es una extensin del protocolo BOOTP (BOOTP habilita a clientes disskless a inicializar y automticamente configurar TCP/IP). DHCP centraliza y administra la informacin de la configuracin de TCP/IP, automticamente asigna direcciones IP a las computadoras configuradas para utilizar DHCP. SISTEMADEDETECCINDEINTRUSOS(IDS) IDS es la abreviatura de Sistema de Deteccin de Intrusos(por sus siglas en ingls), que es el arte de detectar actividad inapropiada, incorrecta o annima. Los sistemas de Deteccin de Intrusos que operan en un host para detectar actividad maliciosa se les conoce como Sistemas de Deteccin de Intrusos para host y los sistemas DI queoperanenelflujodedatosdeunaredselesconocecomosistemasdeDeteccindeIntrusos.

32