Poltica de Seguridad Informtica

Contenido Exposicin de motivos I. Introduccin II. Polticas de seguridad: II.1 Equipo a) De la instalacin de equipo de cmputo b) Para el mantenimiento de equipo de cmputo c) De la actualizacin del equipo d) De la reubicacin del equipo de cmputo II.2 Control de accesos a) Del acceso a reas crticas b) Del control de acceso al equipo de cmputo c) Del control de acceso local a la red d) De control de acceso remoto e) De acceso a los sistemas administrativos f) Del WWW II.3. Utilizacin de recursos de la red. Software a) De la adquisicin de software b) De la instalacin de software c) De la actualizacin del software d) De la auditora de software instalado e) Del software propiedad de la institucin f) Sobre el uso de software acadmico g) De la propiedad intelectual II.5 Supervisin y evaluacin III. Generales IV. Sanciones V. Recomendaciones

EXPOSICIN DE MOTIVOS
Ante el esquema de globalizacin que las tecnologas de la informacin han originado principalmente por el uso masivo y universal de la Internet y sus tecnologas, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologas se han esparcido, la severidad y frecuencia las han transformado en un continu riesgo, que obliga a las entidades a crear medidas de emergencia y polticas definitivas para contrarrestar estos ataques y transgresiones. En nuestro pas no existe una sola institucin que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y estn pendientes de ste, tratando de contrarrestar y anular estas amenazas reales. Despus del diagnstico que se llev a cabo, se observ la carencia de un inventario detallado de los equipos que se encuentran en la corporacin, lo cual hace difcil su administracin. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa

concientizacin, la falta de visin y las limitantes econmicas han retrasado el plan de seguridad que se requiere. El objetivo principal de la oficina de SOPORTE TECNOLGICO E

INFORMTICO es brindar a los usuarios los recursos informticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 das del ao confiable. As, la cantidad de recursos de cmputo y de telecomunicaciones con que cuenta el Centro son de consideracin y se requiere que se protejan para garantizar su buen funcionamiento.

La seguridad de las instituciones en muchos de los pases se ha convertido en cuestin de seguridad nacional, por ello contar con un documento de polticas de seguridad es imprescindible, y debe de plasmar mecanismos confiables que con base en la poltica institucional proteja los activos del Centro. As pues, ante este panorama surge el siguiente proyecto de polticas rectoras que harn que la Direccin de Telemtica pueda disponer de los ejes de proyeccin que en materia de seguridad la Institucin requiere.

RESUMEN
El presente es una propuesta de las polticas de seguridad que en materia de informtica y de comunicaciones digitales de la oficina de SOPORTE TECNOLGICO E INFORMTICO de CORPOCESAR, ha elaborado, para normar a la institucin. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la prctica como son: los inventarios y su control, se mencionan, as como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologas de la informacin; se han contemplado tambin las polticas que reflejan la visin de la actual administracin respecto de seguridad informtica institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantas bsicas del individuo, y no pretende ser una camisa de fuerza, y ms bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la corporacin. a la problemtica

I. INTRODUCCION Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como los son la de Internet y en particular la relacionada con el Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales estas ventajas, y evitar su uso

internacionales desarrollen polticas que norman el uso adecuado de estas destrezas tecnolgicas y recomendaciones para aprovechar indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad en informtica de CORPOCESAR emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de las fallas y de las debilidades, de tal forma que permiten al Centro cumplir con su misin. El proponer esta poltica de seguridad requiere un alto compromiso con la institucin, agudeza tcnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea.

II. POLTICAS DE SEGURIDAD

La oficina de SOPORTE

TECNOLGICO E INFORMTICO actualmente est

conformado por 3 funcionarios los cuales compelen distintas funciones referentes a el soporte y mantenimiento de la plataforma tecnolgica, desarrollo de sistemas de informacin, administracin de bases de datos, gestin de recursos de tecnologa y administracin de la red; dado a esta razn ha sido necesario emitir polticas particulares para el conjunto de recursos y facilidades informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la oficina de SOPORTE TECNOLOGICO E INFORMATICO. As pues este apartado contiene una clasificacin de estas polticas, y son:

II.1 EQUIPOS
De la Instalacin de Equipo de Cmputo. 1. Todo el equipo de cmputo (computadoras, estaciones de trabajo, servidores, y equipo accesorio), que est o sea conectado CORPOCESAR, o aquel que en forma autnoma a la red de se tenga y que sea

propiedad de la institucin debe de sujetarse a las normas y procedimientos de instalacin que emite el departamento de SOPORTE TECNOLOGICO E INFORMATICO. 2. La Oficina de SOPORTE TECNOLGICO E INFORMTICO en

coordinacin con el rea de LOGSTICA deber tener un registro de todos los equipos propiedad de la corporacin. 3. El equipo de la institucin que sea de propsito especfico y tenga una misin crtica asignada, requiere estar ubicado en un rea que cumpla con los requerimientos de: seguridad fsica, las condiciones ambientales, la

Alimentacin elctrica y la normatividad para el acceso de equipos que la oficina de SOPORTE TECNOLOGICO E INFORMATICO implante. 4. Los funcionarios de la oficina de SOPORTE INFORMATICO debe dar TECNOLOGICO E de

cabal cumplimiento con las normas

instalacin, y notificaciones correspondientes de actualizacin, reubicacin, reasignacin, y todo aquello que implique movimientos en su ubicacin, de adjudicacin, sistema y misin. 5. La proteccin fsica de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de Mantenimiento, departamento de Cmputo, departamento de Control Patrimonial, y otros de competencia). Del Mantenimiento de Equipo de Cmputo. 1. La oficina de SOPORTE TECNOLOGICO E INFORMATICO, corresponde la realizacin del mantenimiento preventivo y correctivo de los equipos, la conservacin de su instalacin, la verificacin de la seguridad fsica, y su acondicionamiento especfico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros la oficina de SOPORTE TECNOLGICO E INFORMTICO deber coordinar y velar por el cuidado y preservacin del mismo. 3. Los responsables de las reas de Cmputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el rea de SOPORTE TECNOLOGICO E INFORMATICO.

4.

Corresponde al rea de SOPORTE

TECNOLOGICO E INFORMATICO

debe dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento bsico, a excepcin de los atendidos por terceros. 5. Por motivos de normatividad interna CORPOCESAR propiedad de la institucin. De la actualizacin del equipo. 1. Todo el equipo de cmputo (computadoras personales, estaciones de trabajo, servidores y dems relacionados), y los de telecomunicaciones que sean propiedad del CORPOCESAR debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeo. De la reubicacin del equipo de cmputo. 1. La reubicacin del equipo de cmputo se realizar satisfaciendo las normas y procedimientos que el rea de SOPORTE TECNOLOGICO E INFORMATICO emita para ello. 2. En caso de existir personal tcnico de apoyo, ste notificar de los cambios tanto fsicos como de software que realice. Dando aviso a la oficina de SOPORTE TECNOLOGICO E INFORMATICO y al rea de LOGISTICA notificando tambin los cambios de los equipos para adjuntarlos al inventario. comunica queda que

estrictamente prohibido dar mantenimiento a equipos de cmputo que no es

3. El equipo de cmputo a reubicar sea de o bien externo se har nicamente bajo la autorizacin del responsable contando el lugar a donde se har la ubicacin con los medios necesarios para la instalacin del equipo.

II.2 DEL CONTROL DE ACCESOS

Del Acceso a reas Crticas. 1. El acceso de personal se llevar acabo de acuerdo a las normas y procedimientos que dicta la oficina de SOPORTE TECNOLGICO E INFORMTICO. En concordancia con la poltica de la institucin y debido a la naturaleza de estas reas se llevar un registro permanente del trfico de personal, sin excepcin. 2. La oficina de SOPORTE TECNOLGICO E INFORMTICO deber proveer de la infraestructura de seguridad requerida con base en los requerimientos especficos de cada rea. 3. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las reas de servicio crtico estar sujeto a las que especifiquen las autoridades superiores de la institucin. Del control de acceso al equipo de cmputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las reas donde se tiene equipo de propsito general cuya misin es crtica estarn sujetas a los requerimientos que la oficina de SOPORTE TECNOLGICO E INFORMTICO emita.

3. Las reas de cmputo de los departamentos donde se encuentre equipo cuyo propsito rena caractersticas de imprescindible y de misin crtica, debern sujetarse tambin a las normas TECNOLGICO E INFORMTICO. 4. Los accesos a las reas de crticas debern de ser clasificados de acuerdo a las normas que dicte la oficina de SOPORTE TECNOLGICO E INFORMTICO de comn acuerdo con su comit de seguridad informtica. 5. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Direccin de la oficina de SOPORTE TECNOLGICO E INFORMTICO tiene la facultad de acceder a cualquier equipo de cmputo que no estn bajo su supervisin. Del control de acceso local a la red. 1. La oficina de SOPORTE TECNOLGICO E INFORMTICO es responsable que establezca oficina de SOPORTE

de proporcionar a los usuarios el acceso a los recursos informticos. 2. La oficina de SOPORTE TECNOLGICO E INFORMTICO es la responsable de difundir el cumplimiento. 3. Dado el carcter unipersonal del acceso a la Red de CORPOCESAR, la oficina de SOPORTE TECNOLGICO E INFORMTICO verificar el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de supercmputo centralizado y distribuido, etc.) conectado a la red es administrado por la oficina de SOPORTE TECNOLGICO E INFORMTICO. reglamento para el uso de la red y de procurar su

5. Todo el

equipo

de cmputo que

est o sea conectado

a la

Red

de CORPOCESAR, o aquellas que en forma autnoma se tengan y que sean propiedad de la institucin, debe de sujetarse a los procedimientos de acceso que emite la oficina de SOPORTE TECNOLGICO E INFORMTICO.

De control de acceso remoto. 1. La oficina de SOPORTE TECNOLGICO E INFORMTICO es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informticos disponibles. 2. Para el caso especial de los recursos de SERVIDORES a terceros debern ser autorizados por la DIRECCIN GENERAL o por la oficina de TALAENTO HUMANO. 3. El usuario de estos servicios deber sujetarse al Reglamento de uso de la Red de CORPOCESAR y en concordancia con los lineamientos generales de uso de Internet. 4. El acceso remoto que realicen personas ajenas a la institucin deber cumplir las normas que emite la oficina de SOPORTE TECNOLGICO E INFORMTICO. De acceso a los sistemas administrativos. 1. Tendr acceso a los sistemas administrativos solo el personal de

CORPOCESAR

o persona que

tenga la autorizacin por la DIRECCIN

GENERAL DE LA ENTIDAD.

2. El manejo de informacin administrativa que se considere de uso restringido deber ser cifrado con el objeto de garantizar su integridad. 3. Los servidores de bases de datos administrativos son dedicados, por lo que se prohben los accesos de cualquiera, excepto para el personal de la oficina de SOPORTE TECNOLGICO E INFORMTICO. 4. El control de acceso a cada sistema de informacin de la Direccin

Administrativa ser determinado por la unidad responsable de generar y procesar los datos involucrados. Del WWW y Servidor Web. 1. En concordancia con la LEY 1273 y de comn acuerdo con las polticas generales de informtica, la oficina de SOPORTE INFORMATICO es TECNOLGICO E el responsable de instalar y administrar el o los

servidor(es) WWW. Es decir, slo se permiten servidores de pginas autorizados por, la oficina de SOPORTE TECNOLGICO E INFORMATICO.

2. La oficina de SOPORTE TECNOLGICO E INFORMATICO deber emitir las normas y los requerimientos para la instalacin de servidores de pginas locales, de bases de datos, del uso de la Intranet institucional, as como las especificaciones para que el acceso a estos sea seguro. 3. Los accesos a las pginas de Web a travs de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la red de CORPOCESAR. 4. A los responsables de los servidores de Web corresponde la verificacin de respaldo y proteccin adecuada.

5. Toda la programacin involucrada en la tecnologa Web deber estar de acuerdo con las normas y procedimientos que la oficina de SOPORTE TECNOLGICO E INFORMATICO emita. 6. El material que aparezca en la pgina de Internet de CORPOCESAR deber ser probado por la oficina de SOPORTE TECNOLGICO E INFORMATICO, respetando la ley de propiedad intelectual (derechos de autor, crditos, permisos y proteccin, como los que se aplican a cualquier material impreso). 7. En concordancia con la libertad de investigacin, se acepta que en la red del CORPOCESAR conectada a Internet pueda ponerse informacin individual sin autorizacin (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales). 8. Con referencia a la seguridad y proteccin de las pginas, as como al diseo de las mismas deber referirse a las consideraciones de diseo de pginas electrnicas establecidas por la oficina de SOPORTE INFORMATICO. 9. La oficina de SOPORTE TECNOLGICO E INFORMATICO tiene la facultad de llevar a cabo la revisin peridica de los accesos a nuestros servicios de informacin, y conservar informacin del trfico. TECNOLGICO E

II.3 DE UTILIZACIN DE LOS RECURSOS DE LA RED

1. Los recursos disponibles a travs de la Red de CORPOCESAR sern de uso exclusivo para asuntos relacionados con las actividades de la entidad.

2. La oficina de SOPORTE TECNOLGICO E INFORMATICO es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3. La oficina de SOPORTE TECNOLGICO E INFORMATICO debe

propiciar el uso de las tecnologas de la informacin con el fin de contribuir con las directrices econmicas y ecolgicas de la institucin.

II.4 DEL SOFTWARE

De la adquisicin de software. 1. En concordancia con la poltica de la institucin, el Comit de Informtica y la oficina de SOPORTE TECNOLGICO E INFORMATICO son los organismos oficiales de la entidad para establecer los mecanismos de procuracin de sistemas informticos. 2. Del presupuesto de los proyectos que se otorga a las diferentes reas de

CORPOCESAR una cantidad deber ser aplicada para la adquisicin de sistemas de informacin licenciados o el desarrollo de sistemas de informacin a la medida. 3. De acuerdo con el MINISTERIO DE LAS TI, la Direccin General en conjunto con el Comit de Informtica y la oficina de SOPORTE TECNOLGICO E INFORMATICO, propiciar la adquisicin de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economas de escala y de acorde al plan de austeridad del gobierno de la repblica. 4. Corresponder a la oficina de SOPORTE TECNOLGICO E

INFORMATICO emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificacin y vigencia.

5. De

acuerdo

los objetivos globales

de

la oficina

de

SOPORTE

TECNOLGICO E INFORMATICO deber propiciar la adquisicin y asesoramiento en cuanto a software de vanguardia. 6. En cuanto a la paquetera sin costo deber respetarse la propiedad intelectual intrnseca del autor. 7. La oficina de SOPORTE oficiales y seguros. 8. La oficina de SOPORTE TECNOLGICO E INFORMATICO deber promover el uso de sistemas programticos que redunden en la independencia de la institucin con los proveedores. De la instalacin de software. 1. Corresponde a la oficina de SOPORTE TECNOLGICO E TECNOLGICO E INFORMATICO promover y

propiciar que la adquisicin de software de dominio pblico provenga de sitios

INFORMATICO emitir las normas y procedimientos para la instalacin y supervisin del software bsico para cualquier tipo de equipo. 2. En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo, nicamente se permitir la instalacin de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. Los departamentos de Cmputo y de Informtica son los responsables de brindar asesora y supervisin para la instalacin de software informtico, asimismo la oficina de SOPORTE TECNOLGICO E INFORMATICO para el software de telecomunicaciones.

4. La instalacin de software que desde el punto de vista de la oficina de SOPORTE TECNOLGICO E INFORMATICO pudiera poner en riesgo los recursos de la institucin no est permitida. 5. Con el propsito de proteger la integridad de los sistemas informticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. La proteccin lgica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cmputo. De la actualizacin del software. 1. La adquisicin y actualizacin de software para equipo especializado de cmputo y de telecomunicaciones se llevar a cabo de acuerdo calendarizacin que anualmente sea propuesta TECNOLGICO E INFORMATICO. 2. Corresponde a la SOPORTE TECNOLGICO E INFORMATICO autorizar a la por la oficina SOPORTE

cualquier adquisicin y actualizacin del software. 3. Las actualizaciones del software de uso comn o ms generalizado se llevarn a cabo de acuerdo al plan de actualizacin desarrollado por la oficina SOPORTE TECNOLGICO E INFORMATICO. De la auditora de software instalado.

1.

El rea de CONTROL INTERNO de CORPOCESAR es el responsable de realizar revisiones peridicas para asegurar que slo programacin con licencia est instalada en las computadoras de la institucin.

2. El rea de CONTROL INTERNO y el comit de seguridad informtica propiciar la conformacin de un grupo especializado en auditora de sistemas de cmputo y sistemas de informacin. 3. Corresponder al grupo especializado dictar las normas, procedimientos y calendarios de auditora. Del software propiedad de la institucin. 1. Toda la programtica adquirida por la institucin sea por compra, donacin o cesin es propiedad de la institucin y mantendr los derechos que la ley de propiedad intelectual le confiera. 2. La oficina SOPORTE TECNOLGICO E INFORMATICO en coordinacin con el rea de LOGSTICA deber tener un registro de todos los paquetes de programacin. 3. Todos los sistemas programticos (programas, bases de datos, sistemas operativos, interfaces) desarrollados con o a travs propiedad intelectual del mismo. 4. Es obligacin de todos los usuarios que manejen informacin masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institucin que debe preservarse. de los recursos de CORMACARENA se mantendrn como propiedad de la institucin respetando la

5. Los datos, las bases de datos, la informacin generada por el personal y los recursos informticos de la institucin deben estar resguardados. 6. Corresponder a la oficina SOPORTE TECNOLGICO E INFORMATICO

promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programticos. 7. La oficina SOPORTE TECNOLGICO E INFORMATICO en conjunto con la oficina de TALENTO HUMANO propiciar la gestin de patentes y derechos de creacin de software de propiedad de la institucin. 8. La oficina SOPORTE TECNOLGICO E INFORMATICO administrar los diferentes tipos de licencias de software y vigilar su vigencia en concordancia con la poltica informtica.

De la propiedad intelectual. 1. Corresponde a la oficina SOPORTE TECNOLGICO E INFORMATICO

procurar que todo el software instalado en CORPOCESAR est de acuerdo a la ley de propiedad intelectual a que d lugar.

II.5 De supervisin y evaluacin

1. Las auditoras de cada actividad donde se involucren aspectos de seguridad lgica y fsica debern realizarse peridicamente y deber sujetarse al calendario que establezca la oficina SOPORTE TECNOLGICO E INFORMATICO y/o el grupo especializado de seguridad.

2. Para efectos de que la institucin disponga de una red con alto grado de confiabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. 3. Los sistemas considerados crticos, debern estar bajo monitoreo permanente.

III. GENERALES.
1. Cada uno de los departamentos deber de emitir los planes de contingencia que correspondan a las actividades crticas que realicen. 2. Debido al carcter confidencial de la informacin, el personal de la oficina SOPORTE TECNOLGICO E INFORMATICO deber de conducirse de acuerdo a los cdigos de tica profesional y normas y procedimientos establecidos.

IV. SANCIONES.
Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de acuerdo al reglamento emitido por la SUBDIRECCIN ADMINISTRATIVA Y FINANCIERA. Las sanciones pueden ser desde una llamada de atencin o informar al usuario hasta la suspensin del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que sta manifiesta. Corresponder al Comit de Informtica hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en materia de informtica de la institucin. Todas las acciones en las que se comprometa la seguridad de la Red de CORPOCESAR y que no estn previstas en esta poltica, debern ser revisadas por la Direccin General para dictar una resolucin sujetndose al estado de derecho. En cuanto a los daos a la infraestructura tecnolgica, Interceptacin ilegtima de sistema informtico o red de telecomunicacin, Suplantacin de sitios Web para capturar datos personales, Acceso abusivo a un sistema informtico y de ms delitos informticos se aplicara la ley 1273, incurriendo a las sanciones que aplica.

V. RECOMENDACIONES Se tendr que convocar un COMIT DE SEGURIDAD INFORMATICA a nivel de la alta gerencia, la cual provea soluciones informticas y de tecnolgicas, promoviendo la preservacin de la arquitectura tecnolgica de la entidad y la informacin vital de la misma. Para el ptimo funcionamiento del rea de SOPORTE TECNOLGICO E INFORMTICO recomiendo conformar tres procesos los cuales velaran por el ptimo funcionamiento de la infraestructura tecnolgica de la entidad. Estos procesos estarn distribuidos de la siguiente manera: Proceso de soporte y mantenimiento. Proceso de administracin de redes. Proceso de Informtica, investigacin y desarrollo Se recomienda implementar planes de contingencia para todos los procesos concernientes a seguridad informtica y continuidad del negocio.