guÍa para la seguridad de la informaciÓn - … · de acuerdo con las funciones y...

GUA PARA LA SEGURIDAD DE LA INFORMACIN

CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 1 DE: 21

Elabor: Gestin Documental

Revis: Equipo de Gestin de Calidad

Aprob: Vicerrector Administrativo y Financiero

GUA PARA LA SEGURIDAD DE

LA INFORMACIN

www.entertic.cat spot.com
http://www.entertic.cat/es/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 2 DE: 21




TABLA DE CONTENIDO

INTRODUCCIN 3

OBJETIVO 5

MARCO NORMATIVO 5

ACUERDOS DE CONFIDENCIALIDAD 6

AMENAZAS Y RIESGOS EN EL MANEJO DE LA INFORMACIN 7

Cdigo malicioso (malware) 7

Ingeniera Social 8

POLTICAS DE SEGURIDAD 9

Uso responsable de los recursos y servicios de informacin 9 Uso de correo electrnico 9 Uso de redes sociales 10 Polticas de respaldo de datos 11 Copias de seguridad (backup) 11 Antivirus 12 Anti-espas 13 Corta fuegos (firewall) 13 Correo electrnico no deseado (spam) 14 Sistemas de alimentacin ininterrumpida (SAI) 15

POLTICAS DE USO RESPONSABLE DE LAS CUENTAS DE USUARIO Y

CONTRASEAS 16

Autenticacin 16 Normas para construir una Clave de Acceso 16 Firma electrnica 18 Poltica de escritorio limpio 18 Control de acceso fsico 19

VENTAJAS DE APLICAR LA GUA PARA LA SEGURIDAD DE LA INFORMACIN. 20

BIBLIOGRAFA 21


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 3 DE: 21




INTRODUCCIN La informacin es uno de los principales activos de las empresas, razn por la cual tiene un alto valor para las mismas y es crtica para su desempeo y subsistencia. Por tal motivo, al igual que el resto de los activos organizacionales, debe asegurarse que est debidamente protegida. Las buenas prcticas en Seguridad de la Informacin, protegen a sta contra una amplia gama de amenazas, tanto de orden fortuito (destruccin parcial o total por incendio inundaciones, eventos elctricos y otros) como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc. Una vulnerabilidad es una debilidad en un activo. Una amenaza es una violacin potencial de la seguridad. No es necesario que la violacin ocurra para que la amenaza exista. Las amenazas explotan vulnerabilidades. La seguridad absoluta no existe en ningn mbito de la actividad humana. Por ello las medidas de seguridad se disean buscando el equilibrio entre su costo, las probabilidades de los distintos riesgos y los daos que estos produciran en caso de materializarse.

AMENAZAS

HUMANAS

Maliciosas

NATURALES

Impericia

Externas

Internas

No Maliciosas

Incendios Terremotos Inundaciones


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 4 DE: 21




La seguridad de la informacin se entiende como la preservacin de las siguientes caractersticas:

Confidencialidad: es garantizar que la informacin sea accesible slo a

aquellas personas autorizadas a tener acceso a la misma.

Integridad: es salvaguardar la exactitud y totalidad de la informacin y los

mtodos de procesamiento.

Disponibilidad: es garantizar que los usuarios autorizados tengan acceso

a la informacin y a los recursos relacionados con la misma, toda vez que lo

requieran.

Autenticidad: es asegurar la validez de la informacin en tiempo, forma y

distribucin. Asimismo, garantizar el origen de la informacin, validando el

emisor para evitar suplantacin de identidades.

Auditabilidad: define que todos los eventos de un sistema deben poder ser

registrados para su control posterior.

Proteccin a la duplicacin: consiste en asegurar que una transaccin

slo se realiza una vez, a menos que se especifique lo contrario. Impedir

que se grabe una transaccin para luego reproducirla, con el objeto de

simular mltiples peticiones del mismo remitente original.

No repudio: se refiere a evitar que una persona o entidad que haya

enviado o recibido informacin alegue ante terceros que no la envi o

recibi.

Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones

o disposiciones a las que est sujeto el Organismo.

Confiabilidad de la Informacin: es decir, que la informacin generada

sea adecuada para sustentar la toma de decisiones y la ejecucin de las

misiones y funciones.

Trazabilidad: caracterstica de la informacin que asegura el conocimiento

de aspectos claves de las operaciones de creacin, modificacin y consulta,

tales como: Quin realiz la operacin?, Cundo se realiz la

operacin?, Qu resultados tuvo la operacin? (Gesdoc).


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 5 DE: 21




OBJETIVO Teniendo en cuenta que las organizaciones a diario estn amenazadas por riesgos que ponen en peligro la integridad de la informacin y con ello la viabilidad de la organizacin, el objetivo de esta gua es proteger los recursos de informacin de la Escuela de Administracin y Mercadotecnia del Quindo EAM y la tecnologa utilizada para su procesamiento; frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin. MARCO NORMATIVO

ACUERDO No. 047 (05 de mayo de 2000). "Por el cual se desarrolla el

artculo 43 del captulo V "Acceso a los documentos de archivo", del AGN

del Reglamento general de archivos sobre "Restricciones por razones de

conservacin".

Acuerdo No. 056 (05 de julio de 2000). Por el cual se desarrolla el artculo

45, Requisitos para la Consulta del captulo V, ACCESO A LOS

DOCUMENTOS DE ARCHIVO, DEL REGLAMENTO GENERAL DE

ARCHIVOS.

Norma ISO 27001:2013:

- A.6.1.5

- A.6.2.2

- A.7.1.3

- A.9.1

- A.9.2

- A.10.4

- A.10.5

- A.10.8

- A.11.2.3

- A.11.2.4

LEY 1273 (05 de enero de 2009). Por medio de la cual se modifica el

Cdigo Penal, se crea un nuevo bien jurdico tutelado - denominado "de la

proteccin de la informacin y de los datos"- y se preservan integralmente


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 6 DE: 21




los sistemas que utilicen las tecnologas de la informacin y las

comunicaciones, entre otras disposiciones.

- Artculo 269A: Acceso abusivo a un sistema informtico

- Artculo 269B: Obstaculizacin ilegtima de sistema informtico o red de

telecomunicacin

- Artculo 269C: Interceptacin de datos informticos.

- Artculo 269D: Dao Informtico.

- Artculo 269E: Uso de software malicioso.

- Artculo 269F: Violacin de datos personales.

- Artculo 269G: Suplantacin de sitios web para capturar datos personales.

ACUERDOS DE CONFIDENCIALIDAD

Es recomendable que la EAM establezca acuerdos de confidencialidad con funcionarios y terceros, que reflejen los compromisos de proteccin y buen uso de la informacin; donde individualmente se comprometan a no divulgar, usar o explotar la informacin confidencial a la que tengan acceso, respetando los niveles establecidos para la clasificacin de la informacin; dicho acuerdo deber ser aceptado por cada uno de ellos como parte del proceso de contratacin y cualquier violacin a lo establecido en el acuerdo de confidencialidad, ser considerado como un incidente de seguridad (Todo evento que afecte la confidencialidad, como por ejemplo, fallas en los sistemas, prdida de informacin y errores por datos incorrecto).

actualicese.com spot.com
http://actualicese.com/actualidad/2008/10/30/acuerdo-de-confidencialidad/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 7 DE: 21




AMENAZAS Y RIESGOS EN EL MANEJO DE LA INFORMACIN Cdigo malicioso (malware) Es un tipo de software que tiene como objetivo infiltrarse o daar un computador sin el consentimiento de su propietario, este trmino se utiliza para referirse a una cantidad de software malicioso, intruso o molesto. Entre ellos encontramos los siguientes:

Virus: tienen la funcin de propagarse a travs de un software, y su objetivo

va desde una simple broma, hasta llegar a realizar daos importantes en

los sistemas, o bloquear las redes informticas.

Gusanos: tienen la propiedad de duplicarse as mismos, a diferencia de un

virus no precisa alterar los archivos de programas, sino que residen en la

memoria y casi siempre causan problemas en la red.

Troyanos: es un software que se presenta al usuario como un programa

aparentemente legtimo e inofensivo, pero al ejecutarlo ocasiona daos.

Rootkits: es un programa que permite un acceso de privilegio continuo a un

computador, y puede daar el funcionamiento normal sistema operativo u

otras aplicaciones.

Spyware: es un software que recopila informacin de un computador y

despus trasmite esta informacin a una entidad externa si el conocimiento

o el consentimiento del propietario del equipo.

Keyloggers: son programas maliciosos que monitorizan todas las

pulsaciones del teclado y las almacena para un posterior envo al creador.

Stealers: son sistemas que roban informacin privada que se encuentra

almacenada en el computador.

Adware: es cualquier programa que automticamente se ejecuta,

mostrando publicidad web, despus de instalarlo o mientras se est

utilizando la aplicacin.

Crimeware: ha sido diseado, mediante tcnicas de ingeniera social u otras

tcnicas genricas de fraude en lnea, con el fin de conseguir el robo de

identidad para acceder a los datos de usuario de las cuentas en lnea de

compaa de servicios financieros o compaas de ventas por correo; con el

objetivo de obtener los fondos de dichas cuentas, o complementar

transacciones no autorizadas por su propietario legtimo.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 8 DE: 21




Pharming: es la explotacin de una vulnerabilidad en el software de los

servidores DNS (Domain Name System) o el de los equipos de los propios

usuarios, que permite a un atacante redirigir un nombre de dominio (domain

name) a otro computador.

Ingeniera Social

Es una accin social destinada a conseguir informacin de las personas cercanas a un sistema de informacin; es el arte de conseguir lo que nos interesa de un tercero por medio de habilidades sociales. Por ejemplo el usuario es persuadido a realizar una accin necesaria para daar un sistema, como recibir un mensaje que lo lleva a una pgina web recomendada.

Smishing: Es un tipo de delito informtico o actividad criminal usando

tcnicas de ingeniera social empelando mensajes de texto dirigidos a los

usuarios de telefona celular, con el fin de robar dinero o adquirir

informacin personal.

Vishing: Consiste en el envo de un correo electrnico en el cual los

delincuentes consiguen detalles de datos bancarios mediante un nmero

telefnico gratuito, en la cual una voz computarizada de aspecto profesional

requiere de las vctimas la confirmacin de su cuenta bancaria,

solicitndoles el nmero de cuenta, tarjeta, PIN, etc.

recuperacion7.blogspot.com

x-web.blogcindario.com spot.com
http://www.alegsa.com.ar/Dic/e-mail.phphttp://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://x-web.blogcindario.com/2007/03/00173-vishing-y-phishing-aumentan-en-lo-que-va-de-ano.htmlhttp://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 9 DE: 21




Phishing: Tcnica utilizada para captar datos bancarios de los usuarios a

travs de la utilizacin de la imagen de la entidad bancaria.

POLTICAS DE SEGURIDAD

Uso responsable de los recursos y servicios de informacin

Restringir la utilizacin de programas que no hayan sido instalados y

autorizados por el rea de sistemas de la EAM.

Los perfiles de acceso a los sistemas de informacin deben estar definidos

de acuerdo con las funciones y responsabilidades de cada empleado.

Si se enva informacin confidencial, esta deber ser cifrada para proteger

la confidencialidad.

Instalar oportunamente las actualizaciones (parches) de seguridad del

sistema operativo de un PC.

Tener instalado y actualizado un sistema de antivirus y antispyware.

Instalar y configurar un firewall.

Se debe evitar brindar informacin que pueda comprometer la seguridad

personal o de los sistemas de informacin; datos como usuario, contrasea,

fecha de nacimiento, nombres de familiares, empresas, nmeros de

tarjetas, costumbres, etc. Estos datos pueden ser utilizados para daar los

sistemas y realizar acciones perjudiciales.

Muchos de los mensajes de texto SMS recibidos anunciando premios,

bonos y descuentos son falsos y solo buscan robar dinero o informacin

con fines criminales, evite comunicarse con los telfonos o sitios web

desconocidos.

Uso de correo electrnico

El correo institucional no se debe utilizar para enviar mensajes en cadenas

o chistes, este tipo de correos pueden contener engaos y molestar a los

destinatarios.

La cuenta de correo electrnico debe ser usada para el desempeo de las

funciones asignadas dentro de la EAM, as mismo podr ser utilizada para

uso personal, siempre y cuando se realice de manera tica, razonable,

responsable y sin afectar la productividad.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 10 DE: 21




El envo masivo de mensajes publicitarios corporativos deber contar con la

aprobacin de la Direccin de Comunicaciones. Adems, para terceros se

deber incluir un mensaje que le indique al destinatario como ser eliminado

de la lista de distribucin. Si una dependencia debe, por alguna

circunstancia, realizar envo de correo masivo, de manera frecuente, este

debe ser enviado a travs de una cuenta de correo electrnico a nombre de

la dependencia respectiva y/o Servicio habilitado para tal fin y no a travs

de cuentas de correo electrnico asignadas a un usuario particular.

Todos los mensajes enviados deben respetar el estndar de formato e

imagen corporativa definido por la EAM y deben conservar en todos los

casos el mensaje legal corporativo de confidencialidad.

Evitar abrir correos de procedencia desconocida.

Uso de redes sociales

Se debe evitar la publicacin de informacin sensible si el sitio no cuenta con funcionalidades de configuracin para la confidencialidad de datos. Antes de aceptar las peticiones de amigos, se debe confirmar que la persona sea la que dice ser. Seleccionar cuidadosamente las aplicaciones que se instalan en los perfiles, ya que muchas de stas contiene cdigos maliciosos que pueden robar informacin del perfil.

riskcontrol.com.co
http://riskcontrol.com.co/content/riesgos-de-seguridad-de-la-informaci%C3%B3n


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 11 DE: 21




Polticas de respaldo de datos

Toda la informacin sensible, valiosa o crtica, residente en los sistemas de cmputo debe tener respaldo peridicamente. La periodicidad y respaldo de la informacin debe estar definida de acuerdo con las necesidades de recuperacin. Estas polticas deben ser definidas por el Comit de Gestin Documental. Copias de seguridad (Backup) Es la primera y la ms importante de las medidas de seguridad. Se deben realizar copias de seguridad de la informacin crtica de la empresa. Hay distintas formas de organizar las copias, pero una bastante sencilla y eficiente es tener una cinta o disco por cada da laborable de la semana, de este modo, si la copia ms reciente fallara, se puede utilizar otra hecha slo 24 horas antes. Se recomienda la copia del ltimo da de la semana en un lugar distinto a las instalaciones de la EAM, ya que en caso de robo o incendio se perdera toda la informacin. Aunque pueda parecer increble, el incidente grave que se produce con ms frecuencia es la prdida de informacin por no haber seguido una poltica correcta de copias de seguridad.

www.pcworld.com.mx spot.com
http://www.pcworld.com.mx/Articulos/31987.htmhttp://www.pcworld.com.mx/Articulos/31987.htmhttp://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 12 DE: 21




NOTA:

Hay programas que permiten programar

las copias de seguridad para que se hagan

de forma automtica, por ejemplo, al

medioda o por la noche. Entre ellos

algunos son gratuitos como

Cobian Backup, mCopias o SyncBack.

Antivirus Tener un antivirus actualizado es una medida bsica de seguridad, debe instalarse uno en todos los equipos y mantenerlo actualizado. Teniendo en cuenta, adems, que algunos virus aprovechan vulnerabilidades del sistema operativo y para protegerse de ellos hay que instalar las actualizaciones que publica el fabricante (en el caso de Windows es aconsejable activar la opcin de Actualizaciones Automticas). Tambin pueden llegar virus en un correo electrnico, as que debe evitarse abrir mensajes de origen desconocido y eliminarlos lo antes posible de su computador. Estos virus suelen elegir asuntos que despiertan la curiosidad del destinatario. Otro medio de infeccin es la instalacin de plugins, por tal motivo se debe elegir la opcin NO cuando el sistema le diga que se va a instalar un programa, si no se conoce la procedencia del mismo.

NOTA:

Algunos antivirus gratuitos:

BitDefender

www.bitdefender-es.com

AntiVir

www.free-av.com

Free avast!

www.asw.cz


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 13 DE: 21




Anti-espas Hay programas que se instalan de forma oculta en un computador y pueden enviar a quien los controla la informacin contenida en el mismo e incluso las contraseas que se tecleen en l, y tambin le permiten convertirlo en un zombie (Es un ordenador que, sin que su propietario lo sepa, est controlado por un usuario malicioso) y utilizarlo para sus propios fines. Los programa anti-espas protegen de este software, pero se debe desconfiar de aquellos que se ofrezcan sin haberlos buscado expresamente, porque algunos programas desinstalan los espas que encuentran en el equipo slo para instalar uno propio.

NOTA:

Algunos antispyware gratuitos:

WindowsDefender

www.microsoft.com/spain/

athome/security/spyware/

software/default.mspx

AdAware

www.lavasoftusa.com Cortafuegos (firewall) Los cortafuegos son programas que analizan la informacin que entra y sale de un computador o de la red de la empresa. Evitan los ataques desde el exterior y, adems, permiten detectar los programas espa, ya que avisan de que hay procesos desconocidos intentando enviar informacin a Internet. Junto con el antivirus es una de las medidas bsicas de seguridad para los equipos de cmputo conectados a Internet.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 14 DE: 21




NOTA:

Algunos cortafuegos gratuitos:

ZoneAlarm

download.zonelabs.com

Comodo

www.personalfirewall.comodo.com

En el sitio alerta-antivirus.red.es

puede encontrar ms antivirus y

cortafuegos gratuitos. Correo electrnico no deseado (spam) Se debe evitar dar la direccin de correo a cualquiera, le ayudar a evitar el spam. Si recibe correo de origen desconocido no lo abra, porque puede introducirle un virus, ni lo conteste, porque si contesta confirma al que lo envi que la direccin es correcta y est activa. Tampoco publique direcciones personales en la web de la institucin, utilice mejor direcciones corporativas. Los programas de correo tienen utilidades para filtrar el spam y tambin hay programas especficos y empresas especializadas que ofrecen el servicio de filtrar, con un elevado grado de eficacia, el correo que llega a la institucin. Y, por supuesto, no enve propaganda por correo electrnico a quien no le haya autorizado previamente para ello, ya que podr ser sancionado como spamer por la Agencia de Proteccin de Datos.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 15 DE: 21




NOTA:

Algunos filtros antispam gratuitos:

G-Lock SpamCombat

www.glocksoft.com/sc

K9

www.keir.net/k9.html

Outlook Security Agent

www.outlooksecurityagen

t.com

SpamFighter

www.spamfighter.com

Spamihilator

www.spamihilator.com

SpamPal

www.spampal.org Sistemas de alimentacin ininterrumpida (SAI) Para evitar que los procesos en curso se interrumpan bruscamente en caso de corte del suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan imperceptibles pero que pueden provocar averas en los equipos, es muy aconsejable disponer de sistemas de alimentacin ininterrumpida, al menos para los servidores y equipos ms importantes.

NOTA:

El tiempo de autonoma depende de

la potencia de la unidad y de los

equipos conectados. En general es

suficiente con unos 10-15 minutos,

plazo que permite terminar de forma

ordenada los trabajos en curso.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 16 DE: 21




POLTICAS DE USO RESPONSABLE DE LAS CUENTAS DE USUARIO Y CONTRASEAS

Autenticacin

Se debe asignar nombres de usuario y contraseas al personal de la EAM, para que las personas que accedan a los sistemas sean identificadas, es recomendable configurar los computadores de forma que al arrancar soliciten al usuario su nombre y contrasea, y este mismo tratamiento aplicarlo a los diferentes programas que se utilicen. Se debe evitar dejar computadores con libre acceso en la institucin. Las cuentas de usuario y contraseas son de uso personal e intransferible, por ninguna razn puede prestarlas ni utilizar las de otras personas. El dueo de la contrasea es responsable de todos los eventos que puedan ser realizados con sus cuentas de usuario. Se deben elegir contraseas seguras para evitar posibles suplantaciones. Se debe registrar al rea de sistemas cualquier anomala o sospecha de violacin de las contraseas de acceso. Normas para construir una Clave de Acceso

Evite utilizar palabras comunes ni nombres de fcil deduccin por terceros (nombre de mascota)

Evite vincularlas a una caracterstica personal, (telfono, D.N.I., placa del automvil, etc.).

www.servicioalpc.com mx spot.com
http://www.servicioalpc.com/aprende/cursos-gratuitos/seguridad-informatica/ingenieria-socialhttp://www.servicioalpc.com/aprende/cursos-gratuitos/seguridad-informatica/ingenieria-socialhttp://www.pcworld.com.mx/Articulos/31987.htmhttp://www.pcworld.com.mx/Articulos/31987.htmhttp://www.pcworld.com.mx/Articulos/31987.htmhttp://www.pcworld.com.mx/Articulos/31987.htmhttp://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/http://recuperacion7.blogspot.com/


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 17 DE: 21




Abstngase de utilizar terminologa tcnica conocida (admin)

Combine caracteres alfabticos, maysculas y minsculas, nmeros, caracteres especiales.

Constryalas utilizando al menos 8 caracteres.

Use claves distintas para equipos diferentes y/o sistemas diferentes.

Use un acrnimo de algo fcil de recordar Ej: NorCarTren (Norma , Carlos, Tren)

Aada un nmero al acrnimo para mayor seguridad: NorCarTren09 (Norma, Carlos, Tren, Edad del hijo)

Mejor an, si la frase origen no es conocida por otros: Verano del 42: Verdel4ydos

Elija una palabra sin sentido, aunque pronunciable. (galpo-glio)

Realice reemplazos de letras por signos o nmeros. (3duard0palmit0)

Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina5-0)

Cuide que no lo vean cuando digita su clave.

Abstngase de observar a otros mientras lo hacen.

Evite escribir la clave en papelitos, ni post-it, ni en archivos sin cifrar.

Evite compartir su clave con otros.

Abstngase de habilitar la opcin de recordar claves en los programas que utilice.

Si por algn motivo tuvo que escribir la clave, evite dejarla al alcance de terceros (debajo del teclado, en un cajn del escritorio) y menos pegada al monitor.

Evite enviar su clave por correo electrnico ni la mencione en una conversacin, ni se la entregue a nadie, aunque sea o diga ser el administrador del sistema.

Cambie regularmente su contrasea.

NOTA:

Abstngase de dar sus contraseas o PIN

por correo electrnico o por

telfono, ni los introduzca en pginas

web a las que haya llegado siguiendo un

link recibido en un correo. Su banco

jams se las pedir de esta forma.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 18 DE: 21




Firma electrnica Los certificados electrnicos permiten realizar numerosos trmites con las Administraciones a travs de Internet as como firmar los documentos electrnicos de forma que estos pueden sustituir al papel en documentos autnticos. Hay certificados para personas fsicas, como el DNI electrnico, y para empresas, como los emitidos por las Cmaras de Comercio (Camerfirma), los Registradores (SCR) o los Notarios (ANCERT). Otra clase de certificados son los de servidor. Estos no se utilizan para firmar, sino que identifican a los sitios web y cifran la conexin para que no pueda ser leda por terceros. Evite introducir o solicitar datos en Internet sin que la conexin est cifrada.

NOTA:

Desde 2002 las facturas con firma

electrnica tienen plena validez legal.

Piense en los rboles y el dinero que se

ahorraran enviando por correo

electrnico al menos parte de las facturas

que hoy se envan en papel.

Poltica de escritorio limpio

sitio.mv-tel.com
https://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&docid=7cyEgcYQ7ydBeM&tbnid=SnnowIZ-K_wOOM:&ved=0CAQQjB0&url=http%3A%2F%2Fsitio.mv-tel.com%2F~mvtelcom%2Findex.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D17%26Itemid%3D24%26lang%3Des&ei=V5aXU7HcIKfNsATYooHIBQ&bvm=bv.68693194,d.cWc&psig=AFQjCNFfDsnL2pvhy6Kt8uyfQjggDNNrcg&ust=1402529695846203


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 19 DE: 21




Con el fin de evitar prdidas, daos o accesos no autorizados a la informacin, todo el personal de la EAM debe evitar dejar activos de informacin, que se clasifiquen como restringidos o confidenciales, en los puestos de trabajo al alcance de otras personas en los momentos de ausencia. Esto incluye: documentos impresos, CDs, dispositivos de almacenamiento USB y medios removibles en general. Adicionalmente, se requiere que la informacin sensible que se enva a las impresoras sea recogida manera inmediata. Todos los usuarios son responsables de bloquear la sesin de su estacin de trabajo en el momento en que se retiren del puesto de trabajo, la cual se podr desbloquear slo con la contrasea del usuario. Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones y dejar los equipos apagados. Todas las estaciones de trabajo debern usar el papel tapiz y el protector de pantalla corporativo, el cual se activar automticamente despus de cinco (5) minutos de inactividad y se podr desbloquear nicamente con la contrasea del usuario. Control de acceso fsico Todas las reas destinadas al procesamiento o almacenamiento de informacin sensible, as como aquellas en las que se encuentren los equipos y dems infraestructura de soporte a los sistemas de informacin y comunicaciones, se consideran reas de acceso restringido. En consecuencia, deben contar con medidas de control de acceso fsico en el permetro; tales que puedan ser auditadas, as como con procedimientos de seguridad operacionales que permitan proteger la informacin, el software y el hardware de daos intencionales o accidentales. De igual forma, los centros de cmputo, cableado y cuartos tcnicos de las oficinas deben contar con mecanismos que permitan garantizar que se cumplen los requerimientos ambientales (temperatura, humedad, etc.), especificados por los fabricantes de los equipos que albergan y que pueden responder de manera adecuada ante incidentes como incendios e inundaciones. Los equipos que hacen parte de la infraestructura tecnolgica de la EAM tales como; servidores, equipos de comunicaciones y seguridad electrnica, centros de cableado, UPS, subestaciones elctricas, aires acondicionados, plantas telefnicas, as como estaciones de trabajo y dispositivos de almacenamiento y/o comunicacin mvil que contengan y/o brinden servicios de soporte a la


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 20 DE: 21




informacin crtica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la prdida, dao, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibracin, interferencia electromagntica y vandalismo, entre otros. VENTAJAS DE APLICAR LA GUA PARA LA SEGURIDAD DE LA INFORMACIN.

Reduccin de riesgos debido al establecimiento y seguimiento de controles

sobre ellos.

Reduccin de amenazas hasta alcanzar un nivel asumible por la institucin.

Si se produce una incidencia, los daos se minimizan y la continuidad de la

institucin est asegurada.

Ahorro de gastos derivados de una racionalizacin de los recursos,

eliminando las inversiones innecesarias e ineficientes; como las producidas

por desestimar o sobrestimar los riesgos.

La seguridad de la informacin deja de ser un conjunto de actividades ms

o menos organizadas y pasa a transformarse en un ciclo de vida, metdico

y controlado en el que participa toda la institucin.

La institucin se asegura del cumplimiento de la legislacin vigente y se

evita riesgos y costos innecesarios.

La institucin se asegura del marco legal que protege a la empresa de

aspectos que probablemente no se haban tenido en cuenta anteriormente.

Contribuye a mejorar la competitividad en el mercado, diferencindola de

las dems instituciones, hacindola ms fiable e incrementando su

prestigio.

Mejora la imagen y confianza de la institucin entre clientes y proveedores.


CDIGO: G01.300.GD

FECHA: 18/07/14

VERSIN: 1.0

PGINA: 21 DE: 21




BIBLIOGRAFA

ARCET. Fundamentos de la seguridad de la informacin. Consultado en: www.acert.gov.ar

Archivo General de la Nacin. Acuerdo 047 (05 de mayo de 2000).

Archivo General de la Nacin. Acuerdo No. 056 (05 de julio de 2000). Consultado en: www.archivogeneraldelanacion.gov.co

Congreso de la Repblica. Ley 1273 (05 de enero de 2009). Consultado en: http://www.mintic.gov.co/portal/604/articles-3705_documento.pdf

Espinosa Ramrez, Liliana; Ferreira, Nilson. (2013). Mdulo de Herramientas Telemticas. Universidad Nacional Abierta y a Distancia. Programa de Ingeniera de Sistemas

Formacin Activa. Manual para la gestin documental 2014. Pgs. 344 351

Gobierno de Aragn. Departamento de ciencia, tecnologa y universidad. Gua para la seguridad de la informacin en su empresa. Consultado en: http://www.aragon.es/estaticos/GobiernoAragon/Departamentos/CienciaTecnologiaUniversidad/Areas/03_Sociedad_Informacion/Textos/si1.pdf

Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior. Poltica General de Seguridad de la Informacin. Consultado en: www.icetex.gov.co

Norma Tcnica Ntc-Iso/Iec Colombiana 27001 Consultado en: http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf

Universidad Tecnolgica de Pereira. Polticas de Seguridad de Activos de Informacin. Consultado en: http://media.utp.edu.co/sistema-de-gestion-de-seguridad-de-la-informacion/archivos/politicas_sgsi.pdf
http://www.acert.gov.ar/http://www.archivogeneraldelanacion.gov.co/http://www.mintic.gov.co/portal/604/articles-3705_documento.pdfhttp://www.aragon.es/estaticos/GobiernoAragon/Departamentos/CienciaTecnologiaUniversidad/Areas/03_Sociedad_Informacion/Textos/si1.pdfhttp://www.aragon.es/estaticos/GobiernoAragon/Departamentos/CienciaTecnologiaUniversidad/Areas/03_Sociedad_Informacion/Textos/si1.pdfhttp://www.icetex.gov.co/http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdfhttp://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdfhttp://media.utp.edu.co/sistema-de-gestion-de-seguridad-de-la-informacion/archivos/politicas_sgsi.pdfhttp://media.utp.edu.co/sistema-de-gestion-de-seguridad-de-la-informacion/archivos/politicas_sgsi.pdf

guÍa para la seguridad de la informaciÓn - … · de acuerdo con las funciones y...

Documents