Manual de Políticas de Seguridad de La Información-Final-121213

MANUAL DE POLTICAS DE SEGURIDAD DE LA
INFORMACIN
Noviembre 2013
Avenida Andrs Bello, sector Guaicaipuro, Torre MPPCTII, piso 16, Municipio Libertador, Caracas -Venezuela. 1050
Master: +58 (212)- 578.59.92 / 507.21.11 / RIF: G-2000-4417-9 / Sitio Web: www.cnti.gob.ve
NDICE DE CONTENIDO
1. Introduccin.................................................................................................................... 6
3. Objetivo General............................................................................................................. 7
3.1 Objetivos Especficos..................................................................................................... 7
4. Alcance............................................................................................................................ 7
5. Base Legal....................................................................................................................... 8
6. Glosario de Trminos....................................................................................................... 9
7. Sanciones y Procedimientos Disciplinarios....................................................................16
8. Estrategia de Seguridad Institucional de la Informacin...............................................17
8.1. Modelo de Seguridad de la Informacin.............................................................17
8.1.1. Fsico (Infraestructura y Equipos)....................................................................18
8.1.2. Organizacin y Usuarios.................................................................................. 18
8.1.3. Aplicaciones y Servicios.................................................................................. 18
8.1.4. Redes y Comunicaciones................................................................................. 19
8.1.5. Bases de Datos................................................................................................ 19
8.1.6. Sistemas Operativos y Servidores...................................................................20
8.1.7. Datos e Informacin........................................................................................ 20
8.2. Estrategia Proactiva de Seguridad.....................................................................20
8.3. Estrategia Reactiva de Seguridad......................................................................21
8.4. Responsabilidades.............................................................................................. 21
9. Poltica de Seguridad Institucional de la Informacin....................................................23
9.1. Propiedad de la informacin............................................................................... 24
9.2. Acceso a los recursos de informacin.................................................................24
9.3. Educacin y Entrenamiento................................................................................25
10. Poltica de Clasificacin de la Informacin...................................................................26
10.1. Informacin Pblica.......................................................................................... 27
10.2. Informacin Interna.......................................................................................... 27
10.3. Informacin Confidencial..................................................................................28
10.4. Informacin estrictamente confidencial...........................................................28
10.5. Clasificaciones.................................................................................................. 29
10.6. Disponibilidad de la Informacin......................................................................30
10.7. Integridad de la Informacin............................................................................ 31
11. Poltica de Manejo de Informacin...............................................................................31
11.1. Privacidad de la Informacin............................................................................32
12. Poltica para el Uso del Correo Electrnico..................................................................33
13. Poltica de Controles de Cambio..................................................................................37
14. Poltica de Respaldos................................................................................................... 39
14.1. Clasificacin de Respaldos............................................................................... 39
14.2. Respaldos de Servidores y Aplicaciones...........................................................39
14.3. Respaldo a Informacin en Papel......................................................................40
14.4. Respaldos a Equipos de Computacin de Usuarios..........................................40
14.5. Medios Fsicos de Respaldo.............................................................................. 41
14.6. Periodicidad de Respaldos................................................................................41
14.7. Almacenamiento del Respaldo.........................................................................42
14.8. Deshechos de Respaldos.................................................................................. 42
14.9. Restauracin de Respaldos..............................................................................43
15. Poltica de Seguridad Fsica......................................................................................... 43
15.1. Instalaciones Generales................................................................................... 43
15.2. Centro de datos................................................................................................ 45
15.3. Equipos de computacin..................................................................................46
15.4. Estacionamiento............................................................................................... 47
15.5. Infraestructura Elctrica...................................................................................47
15.6. Cmaras de Circuitos Cerrados........................................................................48
15.7. Equipos contra incendio................................................................................... 48
16. Poltica de Desecho Seguro de Informacin.................................................................49
16.1. Desperdicios en Papel...................................................................................... 50
16.2. Desperdicios Electrnicos................................................................................. 50
17. Poltica para el Uso de Internet Intranet...................................................................51
17.1. Estndares de Uso de Internet Intranet.........................................................51
18. Poltica de Contraseas............................................................................................... 53
19. Poltica de Control de Accesos a la Informacin..........................................................54
19.1. Alta de Usuarios............................................................................................... 56
19.2. Baja de Usuarios.............................................................................................. 56
19.3. Cambios de Privilegios..................................................................................... 58
20. Poltica para Uso de equipos de computacin.............................................................58
21. Poltica para el Desarrollo y Mantenimiento de Sistemas Aplicativos..........................60
21.1. Validacin de Datos de Entrada.......................................................................61
21.2. Actualizaciones................................................................................................ 62
21.3. Cifrado.............................................................................................................. 63
21.4. Firmas Digitales................................................................................................ 63
22. Poltica de Planeacin Estratgica de Continuidad del Servicio...................................64
23. Referencias.................................................................................................................. 67
HOJA DE APROBACIN
Las mximas autoridades del Centro Nacional de Tecnologas de Informacin (CNTI), ente
adscrito al Ministerio del Poder Popular para Ciencia, Tecnologa e Innovacin, en sesin
de fecha aprob la informacin contenida en el presente Manual de Polticas
de Seguridad de la Informacin, el cual entra en vigencia a partir de la presente fecha,
quedando bajo la responsabilidad del Presidente del Centro Nacional de Tecnologas de
Informacin (CNTI), el hacer cumplir las disposiciones contenidas en l, as como velar
por su ejecucin.
La informacin contenida en el presente instrumento fue debidamente revisada,

elaborada, analizada, conformada y aceptada en todo su contenido por la Gerencia de
Tecnologa y Operaciones / Oficina de Seguridad de la Informacin como usuario principal.
Lic. Jos Sosa Ing. Arelis Mantilla

Presidente Directora Ejecutiva (E)
Polticas para la Seguridad de la Informacin
1. Introduccin.
Las Polticas de Seguridad surgen como una herramienta organizacional para concientizar
y fijar las reglas a los colaboradores de la organizacin sobre la importancia, sensibilidad
de la informacin y servicios crticos que permiten a la Institucin crecer y mantenerse
competitiva.
Las directrices que conforman las Polticas de Seguridad de la Informacin sern de
obligatorio cumplimiento para todo el personal, en todos sus niveles, cargos y relacin
laboral directa con el Centro Nacional de Tecnologas de Informacin, siendo
responsabilidad de los niveles gerenciales respectivos, ejecutar y hacer cumplir estas
disposiciones regulatorias de los aspectos relacionados con la seguridad de los activos de
informacin pertenecientes a, o bajo custodia de la Institucin.
La Gerencia de Tecnologa y Operaciones (GTO) junto a la Oficina de Seguridad de la
Informacin (OSI), ejercer la custodia de las referidas polticas y normas y ser
responsable de definir procedimientos de controles especficos, as como de administrar,
implementar y mantener medidas de supervisin y vigilancia de acceso a los Activos de
Informacin y suministrar formas de recuperacin, en concordancia con las instrucciones
emanadas de los Gerentes y Propietarios de los Activos de Informacin.
De igual manera, debe quedar establecido que estas Polticas se debern aplicar
independientemente de la manera en que se representa la informacin, as como su
categorizacin, ubicacin y la tecnologa usada para manipularla.
ELABORADO: REVISADO: VALIDADO: APROBADO:
Ing. Jos Troconis Lic. Germn J. Montes Ing. Yoel Jerez Ing. Richard Pernia
Oficina de Seguridad de la Oficina de Modelado de Jefe de Oficina de Seguridad Gerente de Tecnologa y
Informacin Procesos de la Informacin. Operaciones
Fecha: Noviembre 2013 Fecha : Noviembre 2013 Fecha: Noviembre 2013 Fecha: Noviembre 2013
6
3. Objetivo General.
Definir las polticas y lineamientos a seguir, con el propsito de indicar procedimientos y

estndares de seguridad informtica para el Centro Nacional de Tecnologas de
Informacin que permitan resguardar y asegurar la integridad, disponibilidad y
confidencialidad de sus servicios.
3.1 Objetivos Especficos.
Implantar estrategias para la seguridad institucional de la informacin.
Generar lineamientos para el uso del correo electrnico y los respaldos.
Ejecutar programas de concienciacin relacionadas a la seguridad de la

informacin institucional.
Especificar mecanismos para el resguardo de la seguridad fsica y control de

acceso de la institucin.
Establecer criterios para la clasificacin de la informacin.
Definir las auditorias y evaluaciones de seguridad para los sistemas, aplicaciones,

servicios y dispositivos de telecomunicaciones de la institucin.
Establecer medidas de contingencia para la continuidad de los servicios de la

institucin.
4. Alcance.
Estas polticas aplican para todos los Usuarios y todas las Unidades Organizativas del
Centro Nacional de Tecnologas de Informacin, as como a todas las personas que
presten para dicha Institucin, servicios personales subordinados o independientes, sin
importar su nivel, puesto, antigedad o cualquier otra circunstancia anloga que manejen
informacin propiedad de la Institucin.
7
5. Base Legal
El presente documento est apegado a las siguientes leyes nacionales y decretos

presidenciales:
LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRNICAS. Gaceta Oficial N

37.076 de fecha 13 de diciembre de 2000.
LEY ORGANICA DE LA ADMINISTRACION PUBLICA. Gaceta Oficial N 37.305 de

fecha 17 de octubre de 2001.
LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS. Gaceta Oficial N 37.313 del
30 de octubre de 2001.
LEY ORGNICA DE LA CONTRALORA GENERAL DE LA REPBLICA Y DEL SISTEMA

NACIONAL DE CONTROL FISCAL. Gaceta Oficial N 37.347 de fecha 17 de diciembre
de 2001.
LEY DE INFOGOBIERNO. Gaceta Oficial N 40.274, con fecha del 17 de octubre de

2013
REGLAMENTO DE LA LEY ORGNICA DEL TRABAJO. Gaceta Oficial N 38.426 del 28

de abril de 2006 .
DECRETO N 3.390. mediante el cual se dispone que la Administracin Pblica

Nacional emplear prioritariamente Software Libre desarrollado con Estndares
Abiertos, en sus Sistemas, Proyectos y Servicios Informticos. Gaceta Oficial N
38.095 de fecha 28 de diciembre de 2004.
8
6. Glosario de Trminos
Acceso Remoto: Es una tecnologa de redes que permite a los usuarios

distantes/externos tener acceso a redes empresariales privadas a travs de internet o
servidores de acceso remoto.
Activo de Informacin: Es la informacin misma en cualesquiera de sus formas y

modalidades; es decir, impresa, manuscrita, oral, electrnica y visual a la cual la
Institucin, segn sus intereses, le ha atribuido un valor determinado en funcin a la
trascendencia de dicha informacin. Esta definicin incluye la Plataforma Tecnolgica de
la Institucin.
Acuerdo de Servicio: Documento en el que de antemano se le informa al usuario del

alcance, responsabilidades y procedimientos relacionados con el servicio a recibir.
Administrador de la informacin: Es la persona designada por el propietario de la

informacin para proteger y almacenar la informacin de los sistemas y redes de la
Institucin, segn las especificaciones dadas.
Autenticacin: Proceso que verifica la identidad y el perfil del usuario.
Clasificacin: Son diferentes niveles de confidencialidad o criticidad que se asignan a

los Activos de Informacin de acuerdo a su contenido estratgico, valor comercial, valor
de reposicin, repercusiones legales y su importancia para la continuidad operacional y/o
reanudacin de las operaciones y que tiene la finalidad de determinar el grado de
proteccin requerida.
Confidencialidad: Es el compromiso de discrecin, que la Institucin exige a sus

empleados, contratados, terceros y/o relacionados, sobre los conocimientos,
procedimientos y documentos que comprenden los activos de informacin de su
propiedad o bajo su custodia. La confidencialidad es una consecuencia de la seguridad de
Ing. Jos Troconis Lic. Germn J. Montes Ing. Joel Jerez Ing. Richard Pernia
Oficina de Seguridad de la Oficina de Modelado de Jefe de Oficina de Gerente de Tecnologa y
Informacin Procesos Seguridad de la Inform. Operaciones
9
la informacin.
Continuidad del Negocio: Es el proceso mediante el cual se asegura la continuidad de

las funciones medulares de la Institucin, en el caso de ocurrir un desastre, mediante la
proteccin de su informacin contra eventualidades como actos terroristas, desastres
naturales o incluso errores de calculo humano, ataques de virus, entre otros. Los factores
a tenerse en cuenta son, qu tanto tiempo puede sobrevivir la Institucin sin acceso a su
informacin y qu cantidad de informacin debe ser recuperada en caso de darse una
interrupcin del servicio.
Contrasea (Password): Secuencia alfabtica, numrica o combinacin de ambas,

protegida por reglas de confidencialidad, utilizada para verificar la autenticidad de la
autorizacin, expedida a un usuario, para acceder a la data o a la informacin contenida
en un sistema.
Control: Mecanismo de seguridad que verifica lo que un usuario puede hacer, una vez
que tenga acceso a los datos o recursos del sistema, en base a un determinado perfil.
Control de Acceso: Proceso que autoriza y controla quin y cmo se tiene acceso a los
datos y a los recursos de un sistema.
Institucin: Centro Nacional de Tecnologas de Informacin (CNTI).
Cuenta de Usuario: Representa toda la informacin que el sistema guarda acerca de

cada usuario. Est conformada por un nombre nico de identificacin de usuario y una
contrasea secreta.
Datos (Data): Hechos, conceptos, instrucciones o caracteres representados de una

manera apropiada para que sean comunicados, transmitidos o procesados por personas o
por medios automticos y a los cuales se les asigna o se les puede asignar un significado.
Derecho de Autor: Son las normas jurdicas de proteccin para toda obra de ingenio de
10
carcter creador, ya sea de ndole literaria, cientfica, tcnica o artstica, cualesquiera sea
su gnero, forma de expresin, mrito o destino, que sea susceptible de ser
comercializada por terceras personas.
Desastre: Incidente que compromete parcial o totalmente la disponibilidad de los

sistemas informticos y los activos de informacin y que podra afectar las operaciones
de la Institucin.
Disponibilidad: Valor que mide el nivel de operatividad de los sistemas informticos

para los usuarios, en un periodo especfico.
Dispositivos de Copiado: Son todos aquellos equipos que permiten la reproduccin de

documentos, imgenes, entre otros; tales como fax, fotocopiadora, scanner e impresoras.
Dispositivos Mviles: Son todos aquellos equipos de computacin de uso individual de

una persona, tanto en posesin como en operacin, suficientemente pequeos para ser
transportados y utilizados durante su transporte, tales como Pocket PCs, Tablet PCs,
Porttiles, SmartPhone, entre otros.
Dispositivos de Transmisin de Informacin: Son todos aquellos equipos de

comunicacin que permiten el intercambio de informacin, tales como Telfono Fijo,
Telfono Celular, Fax, Telefax, Radios, Beeper, Vdeo Conferencia, etc.
Documento: Registro incorporado en un sistema en forma de escrito, vdeo, audio o

cualquier otro medio, que contiene data o informacin acerca de un hecho o acto capaz
de causar efectos jurdicos.
Estndar: Comprende la descripcin de los mecanismos y productos requeridos para el

desempeo de las Polticas de seguridad.
Oficina Responsable de la Imagen Institucional: Oficina de Comunicacin y

Relaciones Institucionales (OCRI)
11
Gerencia Responsable de Adquisicin de Tecnologa de Informacin: Gerencia de
Tecnologas y Operaciones (GTO).
Gerencia Responsable del Manejo de Personal: Gerencia de Recursos Humanos
Hardware: Equipos o dispositivos fsicos, considerados en forma independiente de su

capacidad o funcin, que forman un computador o sus componentes perifricos, de
manera que pueden incluir herramientas, implementos, instrumentos, conexiones,
ensamblajes, componentes y partes.
Identificacin: Proceso en el cual el usuario se da a conocer en el sistema para ingresar

fsica o lgicamente.
Informacin: significado que el ser humano le asigna a la data utilizando las

convenciones conocidas y generalmente aceptadas.
Informacin Confidencial: Informacin clasificada que pueda influir en la toma de

decisiones estratgicas para el Negocio de la Institucin.
Informacin de Uso Interno: Informacin de uso exclusivo de la Institucin que

describe cmo opera la organizacin y cuya divulgacin a entes externos puede afectar
de manera negativa el funcionamiento de sta. Ejemplo: Informacin sobre los clientes
de la Institucin, Informacin sobre polticas, normas y procedimientos.
Informacin Pblica: Informacin que puede ser divulgada libremente tanto al personal
de la Institucin como a entes externos. Ejemplo: Tarifas y precios de productos,
publicidad de los productos ya existentes en el mercado.
Integridad: Atributo que garantiza que la informacin recibida sea exactamente igual a
la informacin transmitida. Tambin garantiza que la informacin recuperada de un
medio de almacenamiento o archivo sea exactamente igual a la informacin almacenada,
es decir que no ha sido daada o alterada durante su almacenamiento, en forma
12
accidental o intencional.
Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula
alto trfico de informacin.
Intranet: Es una infraestructura bien definida y limitada, basada en los estndares y

tecnologas de Internet, que soporta el intercambio de informacin dentro de una
organizacin.
Monitoreo: Es la accin de vigilar que tiene por objeto detectar anomalas o usos
indebidos en la Plataforma Tecnolgica.
Normas: Son disposiciones caracterizadas por su imperatividad, coercividad y

obligatoriedad.
Plataforma Tecnolgica: Son todos los medios utilizados para procesar, almacenar y
transmitir la informacin.
Polticas de Seguridad: Es una declaracin de intenciones emanadas de la alta

direccin de la Institucin, que cubre la seguridad de los activos de informacin y que
proporciona las bases para definir y delimitar las responsabilidades que se requieran en
las diversas actuaciones tcnicas y organizativas.
Prcticas: Describe en forma detallada la manera de implementar las actividades y

acciones de seguridad.
Procedimientos: Son el conjunto de actividades, que en forma cronolgica y en orden

lgico, se debern seguir para ejecutar determinadas acciones.
Programa: Plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo

en particular o resolver un problema dado a travs de un computador.
Procesamiento de datos o de informacin: realizacin sistemtica de operaciones
13
sobre datos o sobre informacin, tales como manejo, fusin, organizacin o cmputo.
Recuperacin: Es el plan que asegura el restablecimiento de los recursos informticos a

un estado operativo despus de una falla, incidente o desastre.
Respaldo (Backup): Copia de un recurso o data para permitir la recuperacin en el caso

de una prdida o dao del mismo.
Relacionado: Personas naturales o jurdicas que tienen relaciones contractuales o no

con la Institucin.
Riesgo: Es la probabilidad de que ocurra un evento o posible incidente que pudiera

ocasionar prdida o dao al patrimonio de la Institucin.
Seguridad: Condicin que resulta del establecimiento y mantenimiento de medidas de

proteccin que garanticen un estado de inviolabilidad, que no permitan influencias o
actos hostiles especficos, que pudieran propiciar el acceso a la data, de personas no
autorizadas, o que afecten la operatividad de las funciones de un sistema.
Sistema: Cualquier conjunto estructurado de recursos y procedimientos diseados para

el uso de tecnologas de informacin, unidos y regulados por interaccin o
interdependencia que cumplen una serie de funciones especficas, y combinan dos o ms
componentes interrelacionados, organizados en un paquete funcional, de manera que
estn en capacidad de realizar una funcin operacional o satisfacer un requerimiento
dentro de unas especificaciones previstas.
Sistema de Informacin: Conjunto de aplicaciones que proporcionan informacin para

las decisiones y aplicaciones de carcter estratgico en la Institucin.
Sistema Operativo: Conjunto de programas que se integran con el Hardware para

facilitar al usuario, el aprovechamiento de los recursos disponibles.
Software: Informacin organizada, en forma de programas de computacin,
14
procedimientos y documentacin asociados, concebida para realizar la operacin de un
sistema que provee instrucciones a los sistemas de cmputo, con el objeto que dichos
sistemas realicen funciones especficas.
Tecnologa de Informacin: Rama de la tecnologa que se dedica al estudio, aplicacin

y procesamiento de datos, lo cual involucra la obtencin, creacin, almacenamiento,
administracin, modificacin, manejo, movimiento, control, visualizacin, distribucin,
intercambio, transmisin o recepcin de informacin en forma automtica, trata, as
mismo, el desarrollo y uso del Hardware, Firmware, Software, cualesquiera de sus
componentes y todos los procedimientos asociados con el procesamiento de datos.
Tcnicas de Cifrado: Mtodos para el cifrado de mensajes de forma que no pueda ser
decodificados por personas no autorizadas.
Terceros: Es la relacin comercial y/o tcnica establecida por la Institucin con personas
naturales o jurdicas bajo la modalidad de empresas mixtas, exploracin a riesgo,
ganancias compartidas, contratos de servicio, entre otros.
Usuario: Toda persona autorizada para utilizar los activos y servicios de informacin en
base al conocimiento requerido, atendiendo el cargo ejercido dentro de la Institucin.
15
7. Sanciones y Procedimientos Disciplinarios.
Se sancionar administrativamente a todo aquel que incurra en una violacin a las Polticas
y Normas de Seguridad presentados en este documento, conforme a lo dispuesto por las
normas que rigen al personal de la Administracin Pblica Nacional, se realizarn las
acciones correspondientes ante los rganos pertinentes .
En cuanto a las sanciones laborales, disciplinaria o administrativas, la persona que no de

debido cumplimiento a las normas de seguridad y manejo de la informacin puede incurrir
tambin en responsabilidad civil o patrimonial cuando ocasione un dao que debe ser
indemnizado; en responsabilidad penal cuando su conducta constituye un comportamiento
considerado delito por el Cdigo Penal y Leyes especiales; la persona que no cumpla con la
obligacin de resguardar la informacin de la institucin incurrir en responsabilidad
laboral, cuya consecuencia ser el despido justificado, establecido en la Ley Orgnica del
Trabajo, de los Trabajadores y Trabajadoras.
16
8. Estrategia de Seguridad Institucional de la Informacin.
OBJETIVO: Crear y mantener un ambiente seguro, en el cual la informacin se encuentre

disponible para su uso adecuado, protegiendo los datos de la organizacin de
alteraciones accidentales o deliberadas, y divulgacin fuera de la organizacin.
ALCANCE: Lo previsto en esta Estrategia de Seguridad de la Informacin incluye las

directrices que regirn como fundamento institucional para todos los proyectos, planes,
inversiones, programas y acciones en materia de Seguridad de Informacin que se
aprueben y ejecuten a partir de la fecha de publicacin de este documento de forma
global a todas la estructura organizativa del Centro Nacional de Tecnologas de
Informacin.
8.1. Modelo de Seguridad de la Informacin.
Como parte fundamental de la Estrategia de Seguridad de la Informacin a nivel

Institucional, se adopta a partir de esta fecha, un modelo de Seguridad de la Informacin
que cubre los distintos elementos que se debern proteger mediante los mecanismos
adecuados, tales como Polticas, Normas y Procedimientos. Los elementos que conforman
cada una de las capas del modelo son los siguientes:
Modelo de Seguridad
Capa Elementos
1 Fsico (Infraestructura y Equipos)
2 Organizacin y Usuarios
3 Aplicaciones y Servicios
4 Redes y Comunicaciones
5 Bases de Datos
6 Sistemas Operativos y Servidores
7 Datos e Informacin
17
8.1.1. Fsico (Infraestructura y Equipos)
1. Centros de Datos.
2. Plantas de energa y sistemas de emergencia.
3. Equipos de Aires Acondicionados y Control de Humedad.
4. Equipo de Redes y Comunicaciones.
5. Diseo de la red.
6. Acceso fsico a los equipos de red.
7. Contratos y planes de mantenimiento de equipos tecnolgicos.
8. Seguridad Fsica.
8.1.2. Organizacin y Usuarios
1. Estructura de Seguridad a nivel Institucional.
2. Responsables de la Seguridad de Informacin.
3. Estrategia, Polticas y Procedimientos.
4. Cultura de Seguridad.
5. Capacitacin y buen uso de los recursos de TI.
8.1.3. Aplicaciones y Servicios.
1.Funciones de Seguridad de las aplicaciones y servicios (software).
2. Control de Cambios.
18
3. Estndares de Documentacin.
4. Uso de Metodologas (Anlisis, Diseo, Administracin de Proyectos y Control

de Proyectos de TI).
8.1.4. Redes y Comunicaciones
1. Monitoreo de Redes y Equipo de Comunicaciones.
2. Protocolos de comunicacin, protocolos seguros.
3. Cifrado de datos.
4. Deteccin de Intrusiones.
5. Control de Accesos.
6. Administracin de redes.
7.Distribucin de sistemas operativos, aplicaciones, actualizaciones y parches
8. Diseo y topologa de la red.
9. Registro de Transacciones (logs).
8.1.5. Bases de Datos
1. Actualizaciones de Administradores de Bases de Datos.
2. Parches de Seguridad.
3. Registros de transacciones (logs).
4. Administracin de Bases de Datos Documentales.
5. Sistemas de Administracin del Conocimiento.
19
8.1.6. Sistemas Operativos y Servidores
1. Actualizaciones y parches de seguridad.
2. Mecanismos de Redundancia.
3. Respaldos.
4. Monitoreo Desempeo de Servidores.
5. Proyecciones de Desempeo en Servidores.
6. Monitoreo espacio en Disco Duro.
7. Proyecciones de requerimientos de espacio en Discos Duros.
8.1.7. Datos e Informacin
1. Clasificacin de la informacin.
2. Manejo de la informacin (contratos, escrituras, facturas, impresiones,

reportes, estados de cuenta, actas constitutivas, estudios, etc.).
3. Resguardo de la informacin.
8.2. Estrategia Proactiva de Seguridad.
La Oficina de Seguridad de la Informacin del Centro Nacional de Tecnologas de

Informacin deber realizar revisiones anuales, con el fin de prevenir posibles
vulnerabilidades y debilidades en las diferentes capas del modelo de seguridad adoptado
por la organizacin. Estas revisiones deben incluir un anlisis de vulnerabilidades para
cada capa descrita en el Modelo de Seguridad de la Informacin.
20
8.3. Estrategia Reactiva de Seguridad.
Se deber establecer un mecanismo para el Manejo de Incidentes que permita identificar

el dao que ha sido causado, las vulnerabilidades que fueron explotadas en el incidente,
determinando su causa, la reparacin del dao y la ejecucin del Plan de Contingencia,
en caso de que se requiera. Cada incidente que se presente debe estar documentado y
formar parte de una base de conocimiento que ser administrada por la Oficina de
Seguridad de la Informacin.
8.4. Responsabilidades.
Las siguientes reas son responsables en distintos grados, de la seguridad de la

informacin en el Centro Nacional de Tecnologas de Informacin:
1. La Oficina de Seguridad de la Informacin est encargada de elaborar y

actualizar las polticas, normas y procedimientos relativos a la Seguridad de la
Informacin a lo largo de toda la organizacin. Tambin es responsable de
coordinar el anlisis de riesgos, planes de contingencia y prevencin de desastres.
Semestralmente, se efectuar la evaluacin y revisin de la situacin del Centro
Nacional de Tecnologas de Informacin en cuanto a seguridad informtica,
incluyendo el anlisis de incidentes ocurridos y que afecten la seguridad.
2. La Oficina de Seguridad de la Informacin es la responsable de vigilar y

salvaguardar el cumplimiento de polticas y normas de seguridad descritos en este
documento.
3. El Jefe de la Oficina de Seguridad de la Informacin es responsable de

dirigir las investigaciones sobre incidentes y problemas relacionados con la
seguridad. As como recomendar las medidas pertinentes para lograr disminuir los
problemas de seguridad detectados.
21
4. La Presidencia, Direccin Ejecutiva y la Alta Gerencia, son responsable de
autorizar, implantar y velar por el cumplimento de las polticas, normas, pautas y
procedimientos que la Oficina de Seguridad de la Informacin proponga a lo largo
de toda la Organizacin.
5. La Unidad de Auditora Interna deber conducir evaluaciones, revisiones y

auditorias en forma peridica para evaluar y dictaminar sobre el cumplimiento
adecuado de las polticas y de la normativa de seguridad de la informacin.
6. La Gerencia de Tecnologas y Operaciones es responsable de evaluar,

adquirir e implantar productos de seguridad informtica, y realizar las dems
actividades necesarias para garantizar un ambiente informtico seguro. Adems
deber ocuparse de proporcionar apoyo tcnico y administrativo en todos los
asuntos relacionados con la seguridad, y en particular a los posibles casos de
infeccin de cdigo malicioso, fraudes y otros percances, as como supervisar el
uso de los recursos informticos, revisar las bitcoras de acceso y llevar a cabo las
tareas de seguridad relativas a los sistemas que administra.
7. Los Usuarios son responsables de cumplir con todas las polticas del Centro
Nacional de Tecnologas de Informacin relativas a la seguridad, as como reportar
a su jefe inmediato cualquier evento que pueda comprometer la seguridad de la
informacin
8. Los gerentes y jefes de oficina, sern responsables de la implementacin de

estas polticas de seguridad de la informacin dentro de sus reas de competencia,
as como, del cumplimiento de dichas polticas por parte de su equipo de trabajo.
9. Tomando como base lo dispuesto en la Providencia Administrativa Nro. 009-10,

mediante la cual se dicta la normativa de clasificacin y tratamiento de la
Informacin en la Administracin Pblica cuyo mbito de aplicacin ser de
obligatorio cumplimiento de todos los entes y rganos de la Administracin Pblica
22
Nacional, que creen, administren, modifique, manipulen o eliminen activos de
informacin, se deber crear:
Unidad Responsable de la Proteccin de los Activos de

Informacin del Centro Nacional de Tecnologas de Informacin
(CNTI) tendr las siguientes atribuciones: velar por el cumplimiento de
la presente normativa, velar por la identificacin de la informacin
fsica, a fin de garantizar su confidencialidad, la cual deber ser
implementada y administrada por el propietario o el custodio, de
conformidad a lo establecido en la normativa indicada anteriormente,
implementar los mecanismos de identificacin y cifrado para la
informacin electrnica, definidos por SUSCERTE, a fin de garantizar la
confidencialidad de los activos de informacin de la institucin.
Unidad Responsable de la Administracin de los Activos de

Informacin del Centro Nacional de Tecnologas de Informacin
(CNTI) tendr la atribucin de implementar los mecanismos
seleccionados por la Unidad Responsable de la Proteccin de los Activos
de Informacin o su equivalente.
9. Poltica de Seguridad Institucional de la Informacin.
OBJETIVO: Proteger los recursos de informacin del CNTI y la tecnologa utilizada para su
procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con
el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad,
legalidad y confiabilidad de la informacin.
23
ALCANCE: Estas polticas aplican para todos los Usuarios y todas las Unidades
Organizativas del Centro Nacional de Tecnologas de Informacin, as como a todas las
personas que presten para el Centro Nacional de Tecnologas de Informacin, servicios
personales subordinados o independientes, sin importar su nivel, puesto, antigedad o
cualquier otra circunstancia anloga que manejen informacin propiedad de la
Institucin.
9.1. Propiedad de la informacin.
1. Toda informacin deber tener un responsable.
2. Los responsables de la informacin debern clasificarla en trminos de su

sensibilidad y valor. (monetario, oculto, intrnseco o adquirido). Consultar la
Poltica de Clasificacin de la Informacin.
9.2. Acceso a los recursos de informacin.
1. Deben ser implantados mecanismos de seguridad apropiados para controlar

el acceso a los recursos e informacin.
2. Los accesos a la informacin confidencial deben ser controlados y provistos

solamente a Usuarios autorizados.
3. Toda la informacin confidencial debe estar marcada con la leyenda

Confidencial.
4. Toda la informacin que no est claramente clasificada se considera como

Interna o Confidencial.
5. Como parte de sus trminos y condiciones iniciales de empleo, los

empleados, cualquiera sea su situacin, firmarn un Compromiso de
24
Confidencialidad o no divulgacin, en lo que respecta al tratamiento de la
informacin del CNTI. La copia firmada del Compromiso deber ser retenida en
forma segura por el rea de Recursos Humanos u otra competente.
Asimismo, mediante el Compromiso de Confidencialidad el empleado declarar
conocer y aceptar la existencia de determinadas actividades que pueden ser
objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de
no violar el derecho a la privacidad del empleado.
6. Todo personal externo al Centro Nacional de Tecnologas de Informacin que

requiera utilizar informacin interna o confidencial, debe firmar un acuerdo de
confidencialidad, que le autorice el acceso a esta.
7. Todos los Usuarios que accedan a datos procesados o almacenados en

equipos de computacin deben ser autenticados individualmente.
8. La Oficina de Seguridad de la Informacin deber definir, elaborar, vigilar,

difundir y controlar las polticas y normas de la construccin, uso y manejo de
claves de acceso (contraseas).
9.3. Educacin y Entrenamiento.
El rea de Recursos Humanos en conjunto con la Oficina de Seguridad de la Informacin y

la Gerencia de Formacin Tecnolgica / Oficina de Gestin de Formacin deben implantar
un programa continuo para asegurar que todos los usuarios nuevos y existentes sean
capacitados en las prcticas adecuadas de Seguridad de la Informacin.
Esta capacitacin en Seguridad de la Informacin deber incluir:
1. Norma ISO 27000.
25
2. Mejores Practicas de Cobit e Itil.
3. Clasificacin y Manejo de la Informacin.
4. Conocimiento de las Polticas de Seguridad.
5. Reconocimiento de tcnicas utilizadas para comprometer la seguridad de

sistemas.
6. Adecuada seleccin de claves de acceso.
7. Proteccin de la informacin que pertenece al Centro Nacional de Tecnologas de

Informacin cuando se encuentra fuera de su lugar de trabajo. (dispositivos
porttiles, medios de almacenamiento, documentos de uso interno y
confidenciales).
8. Conocimiento en pruebas de penetracin (pentest).
9. Conocimiento en hacking tico.
10. Estudios en Informtica forense.
11. Conocimiento en tcnicas de programacin segura.
12. Cualquier otra rea del conocimiento que la Jefatura de Seguridad de la

Informacin en conjunto con la Gerencia de Tecnologa y Operaciones, establezcan
como necesaria para el resguardo de la seguridad de la informacin del CNTI.
10. Poltica de Clasificacin de la Informacin.
OBJETIVO: Asegurar un nivel de proteccin adecuada a los activos de informacin.
26
ALCANCE: Aplica para todos los Usuarios y todas las Unidades Organizativas del Centro
Nacional de Tecnologas de Informacin, as como a todas las personas que presten para
el Centro Nacional de Tecnologas de Informacin, servicios personales subordinados o
independientes, sin importar su nivel, puesto, antigedad o cualquier otra circunstancia
anloga que manejen informacin propiedad de la Institucin. A continuacin se
presentan las definiciones:
10.1. Informacin Pblica
Definicin: Comprende toda aquella informacin que los Directores, Gerentes y

Presidente de la Institucin consideren apropiada para uso pblico. No existe ninguna
restriccin para distribuir o compartir este tipo de informacin.
10.2. Informacin Interna
Definicin: Se define como toda informacin relacionada al Centro Nacional de

Tecnologas de Informacin, cuya exposicin o difusin se establece nicamente dentro
de la organizacin.
1. El acceso a este tipo de informacin tanto a Usuarios del Centro Nacional de

Tecnologas de Informacin como a personas externas ser autorizado mediante un
convenio de confidencialidad.
2. El Usuario no deber divulgar informacin interna a personas no autorizadas,

incluyendo a familiares y amigos.
3. Para la destruccin de informacin interna se deber consultar la Poltica para el

Desecho Seguro de la Informacin.
27
10.3. Informacin Confidencial
Definicin: Es la informacin sensible del Centro Nacional de Tecnologas de Informacin

autorizada expresamente a determinadas personas, cuya exposicin debe ser controlada
y administrada por los Gerentes y Presidente de la Institucin.
1. El acceso a este tipo de informacin tanto a Usuarios del Centro Nacional de

Tecnologas de Informacin como a personas externas ser autorizado mediante un
convenio de confidencialidad y un documento que indique explcitamente la
responsabilidad que el usuario tiene con dicha informacin.
2. Para la destruccin de informacin confidencial se deber consultar la Poltica

para el Desecho Seguro de Informacin.
3. El envo mediante correo electrnico debe estar firmado y cifrado digitalmente.
4. En la distribucin va electrnica o fax se deben incluir la siguiente nota:
La informacin contenida en este mensaje es

confidencial y slo puede ser utilizada por la persona o la
organizacin a la cual esta dirigido. Si usted no es el
receptor autorizado, cualquier retencin, difusin,
distribucin o copia de este mensaje esta prohibida y
ser sancionada por la ley. Si por error recibe este
mensaje, favor reenvelo al remitente que le hizo llegar
este correo y borre el mensaje recibido inmediatamente.
10.4. Informacin estrictamente confidencial
Es todo activo de informacin relacionado con la direccin operacional, estratgica de la

institucin, documentos y materiales clasificados que requieren el mas alto grado de
proteccin, cuyo conocimiento y divulgacin por parte de personas no autorizadas,
causen grandes daos a la institucin como lo son:
28
1. Planes de contingencia, planes operacionales y de reas estratgica vitales para la
continuidad operativa de la institucin
2. Informacin critica, relacionadas directamente con procesos medulares de la

institucin y cuya divulgacin pone en riesgo la institucin
3. Mapas de arquitectura de la plataforma tecnolgica de la institucin
4. Convenios internacionales, convenios operacionales tecnolgicos, contratos

asociados al suministro de informacin durante su elaboracin y antes de su firma
5. La clave de mximo privilegio de los sistema o aplicaciones, as como toda la

documentacin pertinente de la misma
6. Toda informacin resultante del tratamiento de incidentes y de diagnostico de

seguridad
7. Cualquier activo de informacin que permita conocer gran parte de las operaciones
de la institucin.
10.5. Clasificaciones
Los activos de informacin del Centro Nacional de Tecnologas de Informacin sern

clasificados por el Propietario de la informacin, de acuerdo a su valor estratgico y/o
criticidad que posean los mismos; con base a la siguiente clasificacin:
Clasificacin Descripcin
De uso pblico Comprende toda aquella informacin que el

Presidente y los Gerentes de la Institucin
consideren apropiada para uso pblico.
29
De uso interno Se define como toda informacin relacionada al
Centro Nacional de Tecnologas de Informacin, cuya
exposicin o difusin se establece nicamente
dentro del Centro Nacional de Tecnologas de
Informacin.
Confidencial Es la informacin sensible del Centro Nacional de

Tecnologas de Informacin autorizada
expresamente a determinadas personas, cuya
exposicin deben ser controlada y administrada por
el Presidente y los Gerentes de la Institucin.
Estrictamente Es todo activo de informacin relacionado con la

confidencial direccin operacional, estratgica de la institucin,
documentos y materiales clasificados que requieren
el mas alto grado de proteccin, cuyo conocimiento
y divulgacin por parte de personas no autorizadas,
causen grandes daos a la institucin
10.6. Disponibilidad de la Informacin.
Baja Informacin que una vez solicitada, se dispone de un

tiempo mayor a 7 das para su entrega.
Media Informacin que una vez solicitada, se dispone de 1 da a

7 das para su entrega.
Alta Informacin que debe encontrarse en lnea.
30
10.7. Integridad de la Informacin.
Baja Precisin baja (50 %)
Media Si la informacin es de tipo estimativo como

Proyecciones o Presupuestos. Precisin Media (Del 51%
al 80%)
Alta Si la informacin debe ser exacta sin ningn tipo de

tolerancia. (> 80%)
11. Poltica de Manejo de Informacin.
OBJETIVO: Definir los lineamientos a seguir para el manejo de la informacin en todas

sus formas (impresa, electrnica o almacenada).
el Centro Nacional de Tecnologas de Informacin, servicios personales subordinados o
independientes, sin importar su nivel, puesto, antigedad o cualquier otra circunstancia
anloga que manejen informacin propiedad de la Institucin.
31
11.1. Privacidad de la Informacin.
1. Toda la informacin que el Centro Nacional de Tecnologas de Informacin utiliza

para su operacin es de su propiedad y debe considerarse de uso exclusivo de la
Institucin. La informacin deber protegerse estableciendo que no pueda ser
modificada, destruida, divulgada o accedida sin autorizacin expresa de los
respectivos Gerentes como dueos de la informacin.
2. Para mantener y administrar adecuadamente la propiedad de la informacin, el

Centro Nacional de Tecnologas de Informacin se reservar el derecho de
examinar toda la informacin almacenada o transmitida en los sistemas propiedad
del Centro Nacional de Tecnologas de Informacin, incluyendo pero no limitado a
equipos personales, equipos porttiles y dispositivos mviles.
3. Las identificaciones de acceso a la informacin (contraseas) son personales e

intransferibles, siendo responsabilidad de cada usuario el uso de las mismas.
4. El procesamiento, transmisin, divulgacin, modificacin y destruccin de

informacin requeridos para la operacin deben estar expresamente
documentados en manuales, memorias tcnicas, especificaciones funcionales de
aplicaciones, polticas y otros documentos que soporten el manejo cotidiano de la
informacin.
5. Se usar firma digital y cifrado para toda aquella informacin que la Oficina de
Seguridad de la Informacin junto con los Gerentes y Presidente consideren
confidencial.
6. As mismo se considera secreta y confidencial toda la informacin del Centro

Nacional de Tecnologas de Informacin en los casos en que las leyes as lo
determinen.
7. Toda aplicacin (software) instalada debe ser aprobada por la Gerencia de
32
Tecnologa y Operaciones adems de contar con las licencias libres de uso
correspondiente.
8. Es de uso obligatorio para el Centro Nacional de Tecnologas de Informacin el

uso del Sistema Operativo de escritorio Linux, Meta-distribucin Nacional Canaima
en su versin actual estable.
12. Poltica para el Uso del Correo Electrnico
OBJETIVO: Definir los lineamientos a seguir para el uso adecuado del correo electrnico
como herramienta de comunicacin, implementar controles para reducir los riesgos de
incidentes de seguridad en el correo electrnico, contemplando:
1. La posible intercepcin y el consecuente acceso a los mensajes en los medios de

transferencia que intervienen en la distribucin de los mismos.
2. Las posibles vulnerabilidades a errores, la confiabilidad y disponibilidad general del

servicio.
3. La posible recepcin de cdigo malicioso en un mensaje de correo, el cual afecte la

seguridad de la terminal receptora o de la red a la que se encuentra conectada.
4. El impacto de un cambio en el medio de comunicacin en los procesos del CNTI.
5. Las consideraciones legales, como la necesidad potencial de contar con prueba de

origen, envo, entrega y aceptacin.
6. El acceso de usuarios remotos a las cuentas de correo electrnico.
33
7. El uso inadecuado por parte del personal.
la misma, servicios personales subordinados o independientes, sin importar su nivel,
puesto, antigedad o cualquier otra circunstancia anloga que manejen este servicio.
1. nicamente se dar acceso a este servicio, a los Usuarios que por su funcin de
trabajo se encuentre justificado.
2. Las cuentas de correo electrnico se darn de alta previa solicitud autorizada

por la Gerencia de Recursos Humanos.
3. Es responsabilidad del Usuario mantener la confidencialidad de su usuario y

contrasea.
4. El servicio de correo electrnico deber usarse nicamente para fines laborales

de cada actividad, cualquier abuso o mal uso conllevar a su suspensin y
aplicacin de sanciones correspondientes.
5. La Informacin transmitida es responsabilidad nica y exclusivamente del titular

de la cuenta de correo.
6. En el servidor de correo electrnico solamente se almacenaran los mensajes

segn la cuota de espacio en disco establecida en la siguiente tabla:
Tipo Cuota (Mb)

Obreros Bsica
Analistas Bsica
Especialistas Bsica
Jefe oficina Media
34
Gerente Alta
Auditor Interno Alta
Adjunto Consultora Alta
Jurdica
Consultor Jurdico Alta
Asistente Director Alta
Ejecutivo
Director Ejecutivo Directiva
Presidente Directiva
El Gerente de Tecnologa y Operaciones establecer el valor en megabytes de

dichas cuotas, segn las capacidades de almacenamiento del que disponga la
Gerencia.
7. Una vez superada esta cuota de espacio en correo, se bloquear el acceso a la

cuenta de dicho usuario. Ser responsabilidad del usuario generar el ticket en
atencin usuario con el fin de respaldar y eliminar los mensajes que tengan mayor
inters.
8. El tamao mximo de archivos adjuntos, para envo y recepcin es de 10 Mb.
9. La lectura de correo se debe hacer va web o desde el cliente de correo

electrnico designado para ello, por lo que queda prohibido utilizar clientes de
correo no autorizados.
10. Es responsabilidad del Usuario cerrar la sesin una vez que ha terminado de
utilizarla, esto es para evitar el uso de su identidad por otros usuarios.
11. Al utilizar el servicio de correo electrnico el Usuario acepta que puede ser
monitoreado.
12. No se debe abrir mensajes o archivos adjuntos que provengan de un origen
35
desconocido.
13. El envi de correo masivo sin justificacin esta estrictamente prohibido,

entendiendo como correo masivo al envo de ms de 30 destinatarios.
14. Queda prohibido el uso de cuentas de correo externo o pblico (Ejemplo Yahoo,
Hotmail, etc.) para el envo y recepcin de correos de carcter laboral.
15. Los mensajes con informacin confidencial del Centro Nacional de Tecnologas
de Informacin no deben ser reenviados sin la debida aprobacin.
16. El envo o recepcin de informacin confidencial de alto nivel deber

transmitirse nicamente por el usuario autorizado y este no debe delegar su nivel
a otras personas, estos mensajes deben ser enviados cifrados y firmados
digitalmente.
17. El Centro Nacional de Tecnologas de Informacin se reserva el derecho de

proporcionar o revelar el contenido de algn mensaje si lo considera necesario
para cumplir con procesos legales o para responder a quejas de terceras personas.
En base a la poltica de Manejo de la Informacin.
18. El rea responsable de la administracin del correo electrnico, debe tomar las
medidas necesarias para implantar una solucin anti-spam, fishing, antivirus, entre
otros, que permita revisar todo correo entrante y saliente utilizando una
administracin centralizada.
19. Se deben establecer controles que aseguren la integridad, confidencialidad y

autenticacin de la informacin transmitida va correo electrnico.
Queda estrictamente prohibido enviar:
36
1. Archivos que tengan contenido ilegal, peligroso, amenazador, abusivo, vulgar,
obsceno, o de otra forma que causen dao a terceras personas.
2. Archivos adjuntos con virus o cdigos maliciosos.
3. Software ilegal.
4. Archivos de msica, juegos o videos.
5. Cualquier contenido o material que viole las condiciones de uso y propiedad

intelectual, impuestas por dueos o propietarios de los mismos.
13. Poltica de Controles de Cambio.
OBJETIVO: Definir los lineamientos a seguir para mantener el control de los cambios
realizados en la infraestructura tecnolgica del Centro Nacional de Tecnologas de
Informacin
puesto, antigedad o cualquier otra circunstancia anloga que manejen informacin
propiedad de la Institucin.
Definicin: Es la evaluacin y planificacin del proceso de cambio para asegurar que se

haga de la forma ms eficiente, siguiendo los procedimientos establecidos y asegurando
en todo momento la calidad y continuidad del servicio.
1. Queda designado como Gestor del Cambio, a la Oficina de Seguridad de la

Informacin, quien se encargar de velar por el correcto cumplimiento de esta
poltica.
37
2. Todo control de cambio debe ser solicitado mediante el sistema de atencin de
tickets y su correspondiente mdulo.
3. Debe conformarse un comit que se encargar de las discusiones, aprobaciones

y cancelaciones de los controles de cambios solicitados.
4. El comit de control de cambios debe agendar reuniones extraordinarias para la

toma de decisiones de los cambios a realizarse.
5. Todo control de cambio debe ser evaluado y corregido por las siguientes reas:
Oficina de Seguridad de la Informacin.
Oficina de Desarrollo de Sistemas.
Oficina de Soporte y Servicios.
Oficina de Calidad de Sistemas.
6. Todo control de cambio debe ser revisado, devuelto, aprobado o rechazado

mediante el sistema de gestin por las siguientes reas:
7. Gerente de Tecnologas y Operaciones.
8. Usuario Custodio del Servicio.
9. Oficina de Seguridad de la Informacin.
10. Oficina de Desarrollo de Sistemas.
11. Oficina de Soporte y Servicios.
38
14. Poltica de Respaldos.
OBJETIVO: Definir los principios generales para la realizacin de respaldos, as como su

periodicidad y deshecho.
14.1. Clasificacin de Respaldos.
1. El respaldo Total es aquel en el cual se copian todos los archivos residentes en

los discos duros, sin considerar si tuvo o no cambios en los datos.
2. El respaldo Incremental se realiza una copia de todos los archivos que han
tenido modificaciones desde el ltimo respaldo total o incremental.
14.2. Respaldos de Servidores y Aplicaciones.
1. La Gerencia de Tecnologa y Operaciones debe tener un esquema de respaldos

de todos los servidores y aplicaciones que se encuentren en produccin y estos
deben estar disponibles en todo momento.
2. El respaldo a servidores ser de forma general, es decir se contemplan los

siguientes rubros:
39
Aplicaciones.
Bases de Datos.
Sistemas Operativos.
Arreglos de Discos Duros.
En todos los casos se debe contar con una bitcora (logs) diaria.
3. Deben existir Acuerdos de Servicio entre las reas responsables de la

informacin y la Gerencia de Tecnologa y Operaciones en los que se definan los
trminos y lapsos de respaldos de aplicaciones, bases de datos y medios de
almacenamiento de informacin.
4. En todos los servidores se deben generar discos de rescate, por lo menos una
vez al mes.
14.3. Respaldo a Informacin en Papel.
1. Se encuentran incluidos en este apartado todos los documentos que tengan

alguna validez oficial o legal.
2. Se debe realizar respaldos de estos documentos en copias o digitalizacin de

documentos.
14.4. Respaldos a Equipos de Computacin de Usuarios.
1. Es responsabilidad del Usuario respaldar peridicamente los archivos sensibles

de la computadora que se le asigno. La Gerencia de Tecnologa y Operaciones no
puede garantizar la integridad de los datos en caso de fallas de disco o sistema,
40
mantenimientos de hardware/software o cambios del Sistema Operativo.
14.5. Medios Fsicos de Respaldo.
1. Se deber considerar el medio fsico donde se llevar acabo el respaldo,

basndose en anlisis de espacios, tiempos de lectura/escritura y tipo de respaldo
a realizar. Por lo cual se recomienda se utilice los siguientes:
Respaldos Disco a Disco.
Respaldos en CD, DVD y unidades ZIP.
Respaldos en unidades de cinta o libreras de cintas.
Respaldos en unidades de almacenamiento independientes.
Arreglos de discos RAID.
2. Se debe etiquetar todos los medios, para saber el contenido de cada uno. Dicha
etiqueta debe de ser clara y concisa.
3. Deben tomarse las medidas necesarias para proteger fsicamente los medios
donde se realizan los respaldos, teniendo en cuenta las consideraciones propias
para cada medio.
14.6. Periodicidad de Respaldos.
1. Se debe generar un respaldo incremental diario a los equipos que se consideren

sensibles a la organizacin. As como generar un respaldo Total por lo menos una
vez a la semana.
41
2. El respaldo para la informacin en papel se deber realizar inmediatamente
despus de que esta se clasifique como confidencial o interna.
14.7. Almacenamiento del Respaldo.
1. La eleccin de la ubicacin para respaldos de informacin crtica es una decisin

de la Gerencia de Tecnologa y Operaciones segn corresponda el caso. Esta
ubicacin debe contar con sistemas de deteccin y extincin de incendios.
2. Los respaldos que se mantienen dentro de las instalaciones, deben ser los ms
actualizados y estar ubicados en un rea segura.
3. Se debe mantener una copia de los respaldos ya sea en otra ubicacin o centro
de almacenamiento.
14.8. Deshechos de Respaldos.
1. Los respaldos en forma electrnica se mantendrn como mnimo 1 ao despus

de su realizacin y su periodo mximo depender de los requerimientos del
usuario.
2. Los respaldos en papel, podrn mantenerse hasta 10 aos, de acuerdo a los

requerimientos de los Usuarios o disposiciones legales.
4. Para el desecho de respaldos que en sus distintas formas (Electrnica o Papel)

Consultar la Poltica de Desecho Seguros de Informacin.
42
14.9. Restauracin de Respaldos.
De todos los respaldos realizados se deber comprobar y corroborar que no exista

prdida de informacin, adems realizar pruebas de restauracin total o parcial de dicho
respaldo en los casos que se pueda en un lapso no mayor a 3 meses.
15. Poltica de Seguridad Fsica.
OBJETIVO: Definir los lineamientos a seguir para mantener la seguridad fsica en las
instalaciones del Centro Nacional de Tecnologas de Informacin.
Definicin: La Seguridad Fsica se define como un conjunto integrado de capacidades y

soluciones que deben proveerse en la Institucin y centros de datos para mantener la
seguridad en un alto nivel establecido, intentando ir de lo global a lo especfico.
15.1. Instalaciones Generales
1. La Institucin debe contar con personal de vigilancia en todos los accesos a las
instalaciones.
2. No se permitir el acceso a personas bajo presunto dopaje con sustancias

estupefacientes o psicotrpico, ni a personas que ejerzan el comercio informal.
3. El acceso al personal que labora en las instalaciones del Centro Nacional de
43
Tecnologas de Informacin ser permitido solo si muestran el Carn de
Identificacin emitido por Centro Nacional de Tecnologas de Informacin que los
identifica como empleados autorizados.
4. Para el acceso de equipo de computacin se debe registrar la entrada y la salida

del mismo, incluyendo pero no limitado a equipos personales y equipos porttiles.
5. Para el acceso a personas externas, el personal de vigilancia deber solicitar

informacin del rea, motivo y empleado a donde intenta dirigirse, igualmente
deber solicitar una identificacin con fotografa para el registro por el sistema y
posteriormente entregarle el Carn de Identificacin con colores correspondiente al
rea que lo identificar como visitante.
6. Se debe contar con una bitcora de entrada y salida a las instalaciones para
todo el personal externo.
7. El personal de vigilancia deber registrar todo tipo de equipaje (morrales,

carteras, bolsos y portafolios) y registrar las especificaciones de equipos y
dispositivos propiedad particular que estn ingresando.
8. Toda persona que permanezca en las instalaciones debe portar en un lugar

visible el Carn de Identificacin emitido por Recursos Humanos que lo identifica
como personal autorizado.
9. Se deben establecer horarios de acceso a Instalaciones Generales, especificando

los procedimientos y en que casos se deber hacer excepciones.
10. Se debe contar con planes documentados y aprobados para evacuacin del
personal en caso de cualquier contingencia.
44
15.2. Centro de datos.
1. Se tiene que contar con cerraduras automticas especializadas para el acceso a

ste.
2. El centro de datos permanecer cerrado.
3. Se debe contar con una bitcora de acceso, la cual ser revisada por el gerente
a cargo.
4. El centro de datos debe:
Recibir limpieza al menos una vez por semana.
Ser un rea restringida.
Estar libre de contactos e instalaciones elctricas en mal estado.
Contar con los extinguidores de incendio necesarios.
Poseer control de temperatura y humedad.
5. Los sistemas de puesta a tierra, sistemas de proteccin e instalaciones

elctricas del centro de datos, deben recibir mantenimiento anual con el fin de
garantizar la efectividad del sistema.
6. El acceso de cualquier persona externa o de la misma Institucin pero ajena al

centro de datos, debe ser con motivo justificado, asunto y persona del centro de
datos que se encargar de su atencin.
7. Se debe contar con un directorio de localizacin inmediata del personal de

guardia responsable del soporte de operaciones a las instalaciones y equipos.
8. Queda estrictamente prohibido ingresar dispositivos mviles, de

almacenamiento y celulares a personas ajenas al centro de datos, salvo
45
autorizacin expresa por escrito del Gerente del rea.
9. Queda estrictamente prohibido ingresar alimentos y bebidas.
10. Deber estar definido el personal autorizado para mover, cambiar o extraer
equipo del Centro de Datos, adems se informar todo tipo de movimiento al
Gerente del rea.
11. El acceso a bvedas externas debe ser controlado, as como el control estricto
de entrada y salida de objetos.
12. Los servidores centrales y remotos deben estar ubicados en un ambiente

seguro. Se tomarn medidas para limitar el acceso fsico al servidor y siempre que
sea posible, est estar ubicado en sitio cerrado y solo personal autorizado debe
tener acceso al mismo.
13. Las reas seguras deben contar con equipo apropiado de seguridad fsica para
evitar daos, tanto a la informacin como a los equipos fsicos y se debe contar
con capacitacin e instruccin al personal sobre el uso y funcionamiento de los
equipos.
15.3. Equipos de computacin.
Los equipos de computacin deben ser apagados de forma adecuada y segura,

siguiendo los procedimientos del equipo para tal fin.
Queda estrictamente prohibido:
Acceder a equipos de computacin ajenos, sin autorizacin expresa y escrita

del responsable del equipo.
46
Prestar el equipo de computacin asignado por Centro Nacional de
Tecnologas de Informacin sin el permiso correspondiente.
Mover o reunificar los equipos de computacin sin el permiso

correspondiente de la Oficina de Soporte Tcnico y la Oficina de Bienes y
Servicios.
14. El personal que utiliza un equipo de computacin porttil que contenga

informacin confidencial del Centro Nacional de Tecnologas de Informacin, no
debe dejarlo desatendido, sobre todo cuando est fuera de su lugar de trabajo y se
considera como responsable de la informacin contenida en el, as como usar
elementos de proteccin para su equipo, tales como cajas de seguridad, etiquetas
o marcas, cables de seguridad, cifrado de informacin confidencial, sensores de
movimiento y alarmas.
15. Los equipos de computacin deben marcarse para su identificacin y control de

inventario.
15.4. Estacionamiento.
1. Para el acceso al estacionamiento interno del Centro Nacional de Tecnologas de

Informacin el Personal de Vigilancia responsable de este acceso, debe llevar una
bitcora diaria.
2. El personal de Vigilancia responsable de este acceso debe revisar el maletero

del automvil a la entrada y salida del mismo.
15.5. Infraestructura Elctrica.
1. Se deber contar con un sistema de energa sin interrupciones (UPS) para los
47
equipos de computacin sensibles dentro del centro de datos.
2. Se deben revisar peridicamente los equipos UPS, para asegurar que tienen la
capacidad adecuada y probada de acuerdo con las especificaciones del fabricante.
3. Se deber instalar luces de emergencia para el caso de fallas de la fuente

principal de energa, en todos los edificios y oficinas.
4. Inspeccionar el sistema de instalacin elctrica en forma peridica as como las

cajas de conexiones y paneles de distribucin de electricidad.
5. La Oficina de Bienes y Servicios ser la responsable de conservar los planos de

la instalacin elctrica y el acceso a los mismos.
15.6. Cmaras de Circuitos Cerrados.
1. Es responsabilidad de la Oficina de Bienes y Servicios y de la Oficina de

Seguridad de la Informacin tener supervisin constante en todos los accesos a la
Institucin y centros de datos.
2. La Presidencia y Direccin Ejecutiva deber garantizar a travs de la Gerencia

de Administracin y Finanzas / Oficina de Bienes y Servicios el correcto
funcionamiento del sistema de cmaras y circuitos cerrados as como su
mantenimiento preventivo y correctivo.
15.7. Equipos contra incendio.
1. Deber existir sistemas para la deteccin de fuego, calor o humo que acten en
forma automtica.
2. Deber estar funcionando correctamente los sistemas de deteccin y extincin.
48
3. Deber existir un sistema manual que acte sobre el sistema de extincin de
incendios.
4. Inspeccionar y probar el sistema de extincin de fuego en forma peridica.
16. Poltica de Desecho Seguro de Informacin.
OBJETIVO: Definir los lineamientos a seguir para el Desecho Seguro de la Informacin

propiedad del Centro Nacional de Tecnologas de Informacin.
ALCANCE: Esta poltica aplica para todos los Usuarios y todas las Unidades Organizativas
del Centro Nacional de Tecnologas de Informacin, as como a todas las personas que
presten para los mismos servicios personales subordinados o independientes, sin
importar su nivel, puesto, antigedad o cualquier otra circunstancia anloga que manejen
informacin clasificada como propiedad sensible de la Institucin.
Principios generales:
1. Slo los desperdicios de informacin interna y confidencial deben seguir los

lineamientos aqu descritos.
2. Los desperdicios de la informacin debern ser tratados en base a la

clasificacin que esta definida en la Poltica de Clasificacin de Informacin.
3. La destruccin de informacin es responsabilidad exclusiva de cada rea y sta

debe ser autorizada por el Gerente correspondiente.
49
16.1. Desperdicios en Papel
1. Se deber conocer el tiempo de vida de los documentos confidenciales a

destruir, ya que por norma legal algunos documentos tienen vigencia de al menos
10 aos.
2. Queda estrictamente prohibido ocupar como material de reciclaje los

documentos clasificados como confidenciales.
3. Se deber contar con mquinas trituradoras de papel para la destruccin del

mismo y el desperdicio generado, se vender como papel para su reciclaje.
4. La destruccin de informacin en papel se deber realizar por el mtodo de

trituracin mediante corte cruzado.
5. Queda estrictamente prohibido enterrar o incinerar los desperdicios de

informacin.
16.2. Desperdicios Electrnicos.
1. Se deber de garantizar el borrado irreversible de la informacin almacenada, lo

cual se define como el proceso que certifica que los datos contenidos en los
dispositivos quedan destruidos de una manera totalmente segura e irreversible.
2. Cada medio podr ser reutilizado despus del proceso de borrado irreversible de
la Informacin contenida.
3. Para que un medio de respaldo se pueda reutilizar, debe tener un documento

que certifique que ste ya no contiene informacin. Dicho certificado deber
contener el visto bueno del gerente del rea y administradores de equipos
involucrados.
50
4. Al finalizar su ciclo de uso los medios de respaldo deben ser destruidos de tal
forma que no se puedan utilizar, procediendo a la destruccin total o tener algn
proveedor certificado en destruccin de medios electrnicos.
17. Poltica para el Uso de Internet Intranet.
OBJETIVO: Definir los lineamientos para el acceso a Internet Intranet para los Usuarios
autorizados del Centro Nacional de Tecnologas de Informacin.
puesto, antigedad o cualquier otra circunstancia anloga que utilicen este servicio.
17.1. Estndares de Uso de Internet Intranet.
1. El servicio deber otorgarse exclusivamente a Usuarios cuyas funciones

requieran de la utilizacin de ste y es exclusivo para los objetivos de la
organizacin.
2. El Usuario es el nico responsable del uso que se de al servicio de Internet.
3. Al acceder al servicio de Internet el Usuario acepta que puede ser monitoreado.
4. Cualquier aplicacin que sobrecargue la utilizacin de la red propia o de un

tercero a travs de las instalaciones del Centro Nacional de Tecnologas de
Informacin ser considerada de uso impropio, siendo el Usuario nico responsable
civil y penal de los daos causados.
5. Los Usuarios que violen la seguridad de sistemas informticos o redes pueden
51
caer en situaciones penales o civiles. El Centro Nacional de Tecnologas de
Informacin cooperar de manera completa con investigaciones hacia sospechosos
de actividades criminales o de violaciones a sistemas de seguridad de cmputo y
redes, bajo la coordinacin y direccin de las fuerzas de la ley o autoridades
correspondientes.
6. El servicio de Internet que provee el Centro Nacional de Tecnologas de

Informacin a conexiones remotas deber estar controlado y autorizado para
Usuarios especficos.
7. Queda estrictamente prohibido:
Transferir, prestar o ceder los privilegios concedidos para este servicio.
Distribuir material que cause dao como piratera, sabotaje y ms

especficamente la distribucin de Software Daino o Ilegal.
Transferir o compartir informacin confidencial del Centro Nacional de

Tecnologas de Informacin en Internet.
Utilizar la red para fines que no corresponda a su actividad.
Acceder a archivos y directorios de otro Usuario, sin la autorizacin previa de

ste.
Acceder a equipos de computacin o red, tratando de evitar los mecanismos

de seguridad (actividad conocida como "cracking" o "hacking").
Interferir con el servicio de Internet Intranet de cualquier Usuario, equipo

de computacin o red (actividad conocida como ataques de Negacin de
Servicio o "Denial of Service Attacks, DoS").
Bajar cualquier informacin de terceros que infrinja las leyes de propiedad
52
intelectual o derechos de autor.
18. Poltica de Contraseas.
OBJETIVO: Definir los lineamientos a seguir para fortalecer los mecanismos de

autenticacin de los usuarios, disminuyendo el riesgo a ser irrumpidos.
puesto, antigedad o cualquier otra circunstancia anloga que manejen algn servicio
que requiera autenticar para poder acceder.
1. Todas las aplicaciones y sistemas operativos que requieran autenticarse por

medio de una contrasea, deben apegarse al contenido de este documento.
2. Las contraseas deben expirar mximo cada 180 das.
3. Para la creacin de contraseas se deber realizar los siguientes pasos:
Combinar nmeros, smbolos y letras en maysculas y minsculas, de

preferencia no repetir los mismos caracteres.
Ajustarse a los caracteres mnimos que solicita cada sistema, estableciendo

10 caracteres como mnimo.
4. Al acceder a un sistema en forma errada el nmero de intentos estar limitado a

un mximo de tres (3) oportunidades, posteriormente se bloqueara o se dar de
53
baja el Usuario.
5. Queda estrictamente prohibido:
Revelar contraseas con terceros, (a menos que se tenga la orden expresa

por escrito del Gerente del rea).
Publicar las contraseas, dejarlas escritas en algn sitio, por ejemplo post-it,
agenda, etc.
Enviar su contrasea por correo electrnico o en un mensaje instantneo.
Asignar una contrasea de fcil averiguacin, como fecha de nacimiento,

nombre de la Institucin, nombre de hijos, nombres de mascotas, parientes,
o datos personales que se puedan llegar a indagar fcilmente.
Asignar exactamente la misma contrasea en distintos sistemas o archivos.
Asignar la misma contrasea o parecida, al momento de realizar el cambio

de sta.
19. Poltica de Control de Accesos a la Informacin.
OBJETIVO: Impedir el acceso no autorizado a los sistemas de informacin, bases de

datos y servicios de informacin, implementar seguridad en los accesos de usuarios por
medio de tcnicas de autenticacin y autorizacin, controlar la seguridad en la conexin
entre la red del CNTI y otras redes pblicas o privadas, registrar y revisar eventos y
actividades crticas llevadas a cabo por los usuarios en los sistemas, concientizar a los
usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos,
garantizar la seguridad de la informacin cuando se utiliza computacin mvil e
54
instalaciones de trabajo remoto.
puesto, antigedad o cualquier otra circunstancia anloga que manejen algn servicio
que requiera tener acceso.
1. Sin excepcin todos los sistemas informticos deben autenticarse con un usuario
y contrasea.
2. Los recursos informticos que atiendan a mltiples usuarios deben ser capaces
de:
Identificar y verificar la identidad y si es necesario conocer la identificacin

y localizacin de la estacin de trabajo de cada usuario autorizado.
Registrar accesos exitosos y fallidos.
Proveer un sistema de administracin de contraseas que aseguren la

calidad de estas. Consultar Poltica de Contraseas.
Se debe restringir en caso de ser necesario, el tiempo de conexin de los

usuarios.
3. Deben establecerse controles que prevengan el acceso No Autorizado a la

informacin.
55
19.1. Alta de Usuarios.
1. La asignacin de privilegios de acceso a la informacin, deber ser controlada

mediante un proceso de autorizacin, dicho proceso debe:
Identificar privilegios asociados a cada perfil, sistema o aplicacin.
Asignar privilegios nicamente a quien por sus funciones as lo requiera.
2. El acceso a servicios o aplicaciones informticas debe ser controlado por medio

de un procedimiento de registro de alta de usuarios. Dicho procedimiento deber:
Verificar que el usuario tiene autorizacin para acceder a la informacin.
Verificar que el acceso a la informacin, corresponde a las actividades y

responsabilidades del usuario.
Especificar por escrito condiciones, polticas, usuario y contrasea del

acceso autorizado, as mismo asegurar el conocimiento y entrega del mismo,
mediante la firma del usuario.
3. El administrador del servicio o aplicacin debe tener un registro de todos los

usuarios autorizados.
4. Los privilegios sern asignados a grupos y nunca a usuarios especficos.
5. Se debe contar con perfiles especiales para las reas de Auditora y Seguridad
de la Informacin.
19.2. Baja de Usuarios.
1. La baja definitiva de Usuarios para el acceso a sistemas informticos se debe

realizar inmediatamente que suceda cualquiera de las siguientes condiciones:
56
El Usuario haya causado baja del Centro Nacional de Tecnologas de
Informacin ya sea por renuncia, jubilacin o despido.
El Usuario cambie de rea de trabajo.
Cuando el Usuario, a pesar de su permanencia como usuario, haya violado

normas sensitivas de seguridad
El Usuario se haya hecho acreedor por alguna accin u omisin, a la

suspensin de su cuenta de acceso.
El tiempo solicitado para una cuenta temporal haya expirado.
2. En caso de baja definitiva de un Usuario (renuncia, jubilacin, despido o cambio

de rea) se deben considerar los siguientes aspectos:
El Gerente del rea en donde se est dando de baja el Usuario, es

responsable de comunicar en un periodo no mayor a 24 horas la baja en
cuestin a las reas de Recursos Humanos.
Cada Gerente de las reas mencionadas ser responsable de difundir esta

informacin al nivel que le corresponda, as como tambin debe ser
responsable de recoger toda la informacin privada y confidencial que el
empleado haya manejado.
Es responsabilidad de la Oficina de Servicios y Soporte Tcnico validar el

funcionamiento del equipo de computacin, sistemas y cuentas de acceso
entregadas por el Usuario.
3. Es responsabilidad de la Gerencia de Recursos Humanos, eliminar

inmediatamente las cuentas de acceso a cualquier sistema, de todos los usuarios
que hayan causado baja por cualquiera de los motivos considerados en esta
57
poltica.
19.3. Cambios de Privilegios
1. El cambio de asignacin de privilegios a usuarios, debe ser controlada mediante

un proceso de autorizacin, dicho proceso deber:
Ser autorizado por el Gerente responsable de la informacin, el cual debe

solicitar el cambio y justificar la modificacin.
Asignar privilegios nicamente a quien por sus funciones as lo requiera.
Se deber llevar registro de todos los cambios realizados.
20. Poltica para Uso de equipos de computacin.
OBJETIVO: Definir los lineamientos a seguir para el uso adecuado de los equipos de
computacin asignados por la Institucin.
puesto, antigedad o cualquier otra circunstancia anloga que utilicen algn equipo de
computacin de la Institucin.
1. El equipo de computacin debe otorgarse exclusivamente a Usuarios cuyas

funciones requieran de la utilizacin de ste.
58
2. Los equipos de computacin son de uso exclusivo para los fines de la
Organizacin.
3. El Usuario deber firmar el resguardo que lo responsabiliza por el equipo de

computacin asignado, as mismo es responsable de reportar inmediatamente la
prdida o robo de cualquier componente de hardware o software a su Jefe
inmediato, el cual debe reportarlo a su Gerencia y a la Oficina de Seguridad de la
Informacin.
4. Queda estrictamente prohibido transferir y prestar el equipo de computacin sin

la autorizacin de la Oficina de Servicios y Soporte Tcnico
5. La Oficina de Servicios y Soporte Tcnico deber proporcionar un

mantenimiento peridico a los equipos de computacin, dicho mantenimiento
comprende actualizaciones, instalaciones y monitoreo del sistema operativo o
aplicaciones autorizadas.
6. Cualquier falla en los equipos de computacin debe reportarse inmediatamente

al Centro Integrado de Atencin (CIA).
7. El Usuario debe respetar la configuracin de hardware y software establecida

por la Oficina de Servicios y Soporte Tcnico , as mismo solo debe de estar
instalado software proporcionado por Centro Nacional de Tecnologas de
Informacin.
8. El Usuario es responsable de realizar respaldos peridicos de la informacin

contenida en el equipo de computacin, consultar la Poltica de Respaldo.
9. Para adquirir el desarrollo o compra de alguna aplicacin o servicio, el rea

solicitante debe generar el requerimiento a la Oficina de Centro Integrado de
Atencin.
10. Para realizar la actualizacin de una aplicacin la Oficina de Servicios y Soporte
59
Tcnico debe verificar si el equipo de computacin lo soporta.
11. Queda estrictamente prohibido acceder a archivos y directorios de otro

Usuario, sin la autorizacin de ste.
12. Todos los equipos de computacin deben tener configurado un protector de

pantalla con clave y este debe activarse despus de 3 minutos de inactividad.
13. Cuando se reemplaza un equipo de computacin por uno nuevo, el equipo

obsoleto debe ser retirado inmediatamente por la Oficina de Servicios y Soporte
Tcnico sin excepcin.
14. La Oficina de Servicios y Soporte Tcnico es responsable de mantener

actualizado el inventario del equipo de computacin.
15. La Presidencia y la Direccin Ejecutiva a travs de Gerencia de Tecnologa y

Operaciones deber garantizar la actualizacin de su parque tecnolgico
minimizando la obsolescencia, se deben establecer mecanismos de adquisicin de
este equipamiento.
21. Poltica para el Desarrollo y Mantenimiento de Sistemas

Aplicativos.
OBJETIVO: Asegurar que las mejores prcticas en seguridad estn implementadas

dentro de los sistemas de informacin. Incluyendo a las aplicaciones de negocio,
infraestructuras y aplicaciones desarrolladas o diseadas por usuarios.
ALCANCE: Aplica a los Usuarios y todas las Unidades Organizativas del Centro Nacional
de Tecnologas de Informacin y personas que presten para la misma, servicios
personales subordinados o independientes que desarrollen, implementen o administren
aplicaciones informticas.
60
1. Las aplicaciones (nuevas y existentes) deben contemplar los lineamientos

descritos en este documento.
2. Las medidas de seguridad deben ser consideradas desde la primera etapa del
diseo hasta las ltimas etapas del ciclo estndar del desarrollo de aplicaciones.
3. Las aplicaciones no podrn ser liberadas antes de contar con la seguridad

establecida en esta poltica y aprobar las evaluaciones de seguridad y calidad
correspondientes a las Oficina de Seguridad de la Informacin y Oficina de Control
y Calidad de Sistemas respectivamente.
4. Las aplicaciones deben incorporar validaciones que permitan detectar si la

informacin es correcta y no esta corrupta.
21.1. Validacin de Datos de Entrada.
1. Los datos de entrada deben ser validados correctamente para asegurar el

correcto procesamiento de la informacin. Dichas validaciones se describen a
continuacin:
Se deben detectar valores fuera de rango.
Caracteres invlidos en los campos de datos.
Datos incompletos.
Se deben asegurar lmites dentro de los valores.
Informacin inconsistente.
2. Se deben revisar peridicamente los campos claves para confirmar su validez e
61
integridad.
3. Se debe inspeccionar documentacin del desarrollo para detectar cambios no

autorizados.
4. Se deben definir responsabilidades de todos los implicados en los procesos de

entrada de datos.
5. Antes de ser liberados, los sistemas aplicativos deben ser probados en

ambientes de desarrollo en forma exhaustiva.
6. La Gerencia de Tecnologa y Operaciones es la responsable de autorizar que los

sistemas aplicativos desarrollados pasen a produccin. Esta autorizacin debe
estar sujeta al visto bueno del Gerente Usuario responsable del desarrollo.
21.2. Actualizaciones.
1. Se deber contar con un proceso de Control de Cambios que analice las

modificaciones implementadas en el ambiente de produccin. Ver Polticas de
Controles de Cambio.
2. Se deber revisar que los controles y procedimientos que garantizan la

integridad de los datos en la aplicacin no se debiliten durante este proceso.
3. Se deber garantizar la adecuacin del tiempo de implantacin de los cambios,

para no dificultar los procesos de la organizacin implicados.
4. En caso de requerir actualizacin del sistema operativo (instalar una nueva

versin o parche) se deber:
Garantizar que los cambios son los apropiados.
62
Verificar el correcto funcionamiento de la aplicacin con la actualizacin,
esta debe realizarse en un ambiente de pruebas.
Queda estrictamente prohibido realizar actualizaciones en produccin y sin

la autorizacin por escrito del Gerente de Tecnologa y Operaciones a cargo.
Asegurar que las reas afectadas conocen las implicaciones, tiempos y

modificaciones realizadas.
21.3. Cifrado
1. Toda informacin que se clasifique como confidencial debe ser cifrada para
salvaguardar su integridad y transmisin.
2. Se debe tener un control sobre las claves de cifrado, para mantener su

confidencialidad en caso de divulgacin o dao de estas.
3. Se debe definir el nivel de proteccin criptogrfica adecuada, para evitar que se

genere interseccin en la transmisin de datos o se vuelva inoperante este control.
21.4. Firmas Digitales
1. Se designar la Oficina de ? como responsable para la proteccin de la

confidencialidad de la clave privada.
2. Las claves criptogrficas usadas para las firmas digitales deben ser distintas de
las usadas en el cifrado.
3. Se debe tener conocimiento de la legislacin relativa actual, las cuales describen

las condiciones en que las firmas digitales tienen validez legal.
63
4. Establecer los mecanismos de generacin de certificados digitales.
22. Poltica de Planeacin Estratgica de Continuidad del Servicio.
OBJETIVO: Reaccionar a la interrupcin de la Organizacin y proteger sus procesos

crticos frente a grandes fallos o desastres.
Definicin: Un Plan de Continuidad del Servicio es el proceso de gestin para reducir a

niveles aceptables, las interrupciones causadas por los desastres y fallos de seguridad,
mediante una combinacin de controles preventivos y de recuperacin.
La gestin de la continuidad del servicio debe incluir controles para la identificacin y

reduccin de riesgos, limitar las consecuencias de incidencias dainas y asegurar la
reanudacin, a tiempo de las operaciones esenciales.
Se deber implementar en toda la organizacin un proceso de planeacin para el

desarrollo y mantenimiento de la continuidad del servicio.
El Plan de Continuidad deber reunir los siguientes elementos:
Comprensin de los riesgos que Centro Nacional de Tecnologas de

Informacin corre como Organizacin desde el punto de vista de su
vulnerabilidad e impacto.
Comprensin del impacto que tendran las interrupciones en los servicios.
Especificar claramente las condiciones para su activacin.
Un Calendario de Mantenimiento.
64
Considerar la adquisicin de los seguros adecuados que formarn parte del
proceso de continuidad del servicio.
1. El Plan de Continuidad del Servicio deber ser probado y actualizado

regularmente mediante un calendario que especifique como y cuando se harn
pruebas a dicho plan.
2. Dicho plan debe tener una copia de seguridad, la cual deber encontrarse fuera
de las oficinas Institucionales.
65
66
23. Referencias.
Alexander, A. (2007). ISO 27001:2005 y el tratamiento del Riesgo. [En lnea].
Consultado [Diciembre, 2012]. Disponible en: www.eficienciagerencial.com
Avellaneda, J. (2009). Estableciendo el rumbo a un SGSI. Consultado [Diciembre,
2012]. [En lnea]. Disponible en:
http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/Articulo_y_comen
tari os/?postAction=getDetail&blogID=1000077536&articleID=1000343270
Decreto N. 3.390. (2004, Diciembre 23). Consultado [Noviembre, 2012].

Disponible en: http://www.gobiernoenlinea.ve/docMgr/sharedfiles/Decreto3390.pdf
El Portal de ISO 27000 en Espaol (2005). Norma ISO 27001. [En lnea]. Consultado
[Enero, 2013]. Disponible en: http://www.iso27000.es/iso27000.html
ITIL (2006). Glosarios v01. Consultado (Febrero 2012). Disponible en:
http://www.itil-officialsite.com/nmsruntime/saveasdialog.aspx?lID=925&sID=242
Ministerio de Administraciones Pblicas (2007). Metodologa de Anlisis y
67
Gestin de Riesgos de los Sistemas de Informacin (1-Mtodo). [En lnea]. Madrid,
Espaa. Consultado (Enero 2013). Disponible en:
http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
Monterroso E. (S/F). Normas ISO. Universidad Nacional de Lujn. Consultado
[Enero, 2011]. Disponible en: http://www.unlu.edu.ar/~ope20156/normasiso.htm
Snchez, J (2007). Gestin de la Seguridad de la Informacin en la empresa.
[En lnea]. Baquia. Consultado (Febrero, 2013). Disponible en:

http://www.baquia.com/noticias.php?id=9402
68

Manual de Políticas de Seguridad de La Información-Final-121213

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Manual de Políticas de Seguridad de La Información-Final-121213

Hochgeladen von

Copyright:

Verfügbare Formate

MANUAL DE POLTICAS DE SEGURIDAD DE LA

3.1 Objetivos Especficos..................................................................................................... 7

7. Sanciones y Procedimientos Disciplinarios....................................................................16

8. Estrategia de Seguridad Institucional de la Informacin...............................................17

8.1. Modelo de Seguridad de la Informacin.............................................................17

8.1.1. Fsico (Infraestructura y Equipos)....................................................................18

8.1.2. Organizacin y Usuarios.................................................................................. 18

8.1.3. Aplicaciones y Servicios.................................................................................. 18

8.1.4. Redes y Comunicaciones................................................................................. 19

8.1.5. Bases de Datos................................................................................................ 19

8.1.6. Sistemas Operativos y Servidores...................................................................20

8.1.7. Datos e Informacin........................................................................................ 20

8.2. Estrategia Proactiva de Seguridad.....................................................................20

8.3. Estrategia Reactiva de Seguridad......................................................................21

9. Poltica de Seguridad Institucional de la Informacin....................................................23

9.1. Propiedad de la informacin............................................................................... 24

9.2. Acceso a los recursos de informacin.................................................................24

9.3. Educacin y Entrenamiento................................................................................25

10.1. Informacin Pblica.......................................................................................... 27

10.2. Informacin Interna.......................................................................................... 27

10.3. Informacin Confidencial..................................................................................28

10.4. Informacin estrictamente confidencial...........................................................28

10.6. Disponibilidad de la Informacin......................................................................30

10.7. Integridad de la Informacin............................................................................ 31

11. Poltica de Manejo de Informacin...............................................................................31

11.1. Privacidad de la Informacin............................................................................32

12. Poltica para el Uso del Correo Electrnico..................................................................33

13. Poltica de Controles de Cambio..................................................................................37

14. Poltica de Respaldos................................................................................................... 39

14.1. Clasificacin de Respaldos............................................................................... 39

14.2. Respaldos de Servidores y Aplicaciones...........................................................39

14.3. Respaldo a Informacin en Papel......................................................................40

14.4. Respaldos a Equipos de Computacin de Usuarios..........................................40

14.5. Medios Fsicos de Respaldo.............................................................................. 41

14.6. Periodicidad de Respaldos................................................................................41

14.7. Almacenamiento del Respaldo.........................................................................42

14.8. Deshechos de Respaldos.................................................................................. 42

14.9. Restauracin de Respaldos..............................................................................43

15. Poltica de Seguridad Fsica......................................................................................... 43

15.1. Instalaciones Generales................................................................................... 43

15.3. Equipos de computacin..................................................................................46

15.5. Infraestructura Elctrica...................................................................................47

15.6. Cmaras de Circuitos Cerrados........................................................................48

15.7. Equipos contra incendio................................................................................... 48

16. Poltica de Desecho Seguro de Informacin.................................................................49

16.1. Desperdicios en Papel...................................................................................... 50

16.2. Desperdicios Electrnicos................................................................................. 50

17. Poltica para el Uso de Internet Intranet...................................................................51

17.1. Estndares de Uso de Internet Intranet.........................................................51

18. Poltica de Contraseas............................................................................................... 53

19. Poltica de Control de Accesos a la Informacin..........................................................54

19.1. Alta de Usuarios............................................................................................... 56

19.2. Baja de Usuarios.............................................................................................. 56

19.3. Cambios de Privilegios..................................................................................... 58

20. Poltica para Uso de equipos de computacin.............................................................58

21. Poltica para el Desarrollo y Mantenimiento de Sistemas Aplicativos..........................60

21.1. Validacin de Datos de Entrada.......................................................................61

21.4. Firmas Digitales................................................................................................ 63

22. Poltica de Planeacin Estratgica de Continuidad del Servicio...................................64

La informacin contenida en el presente instrumento fue debidamente revisada,

Lic. Jos Sosa Ing. Arelis Mantilla

ELABORADO: REVISADO: VALIDADO: APROBADO:

Definir las polticas y lineamientos a seguir, con el propsito de indicar procedimientos y