pe 26 politicasdeseguridad

15
Proyectos Políticas de Seguridad PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 1 de 15

Upload: german-laiho

Post on 22-Jan-2016

219 views

Category:

Documents


0 download

DESCRIPTION

a

TRANSCRIPT

Page 1: PE 26 PoliticasDeSeguridad

Proyectos

Políticas de Seguridad

Calle 50 y 115 3er pisoLa Plata - Buenos Aires - República Argentina

Telefax: (++54221) 423 6609 al 11 Web Site: www.cespi.unlp.edu.ar

Control de Cambios

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 1 de 10

REVISÓ y APROBÓ

DIRECTOR del CeSPIFECHA

18/04/2013

Page 2: PE 26 PoliticasDeSeguridad

Proyectos

Ultimas Revisiones

Rev. Fecha: Motivo:0 16/02/2009 Original1 09/08/2010 Mayor nivel de especificidad en el ítem de Manejo de

Documentación.2 05/03/2012 Se controla el documento y no se realizan cambios. 3 18/04/2013 Revisión general de las políticas. Ajuste de Formato. Se

agrega número de Revisión al pie de página.

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 2 de 10

Page 3: PE 26 PoliticasDeSeguridad

Proyectos

Audiencia

Este documento esta dirigido a todos los miembros de todos los proyectos del CeSPI.

Objetivo

El objetivo de este documento es presentar las políticas establecidas cuyo fin, es mantener la información y la infraestructura lo más segura posible, y así evitar incidentes relacionados con la seguridad de la información generada, almacenada ó transmitida desde o hacia cualquier miembro del CeSPI.

Desarrollo

Teniendo en cuenta la diversidad de proyectos llevados a adelante por el CeSPI, y la sensibilidad de la información implicada en varios de los mismos, es necesario contar con políticas de seguridad a ser transmitidas a todas las personas que integran cualquiera de dichos proyectos.

En algunos casos, las políticas de seguridad se encuentran acompañadas con las correspondientes cláusulas de confidencialidad, ya sea entre el CeSPI y la entidad con la cual se establece el proyecto, como también entre el CeSPI y su personal.

Contenido del documento

El presente documento se encuentra estructurado como se detalla a continuación:

- Seguridad en el ambiente de trabajo- Manejo de la documentación- Uso de la PC

o Almacenamientoo Antiviruso Comunicaciones

- Contraseñas- Uso de la Web- Uso del correo electrónico- Política de resguardo

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 3 de 10

Page 4: PE 26 PoliticasDeSeguridad

Proyectos

Ambiente de trabajo:

El acceso a las oficinas de personal ajeno a dichas áreas debe ser evitado.

Cualquier persona que deba acceder a la oficina, sólo deberá hacerlo con la supervisión de alguien responsable designado a tal fin. Son ejemplo de ello personal de limpieza, técnicos (aire acondicionado, impresora, etc).

Las oficinas deben mantenerse cerradas de manera que sólo puedan ser accedidas mediante la utilización de llaves ó tarjetas magnéticas.

Mantener moderación en todo tipo de comentario, información, etc., que se provea a personas ajenas a un proyecto.

Colaborar en los aspectos relacionados con la seguridad física y lógica de un proyecto, así como también del orden y la higiene de las oficinas asignadas.

Manejo de la documentación:

NO ESTA PERMITIDO retirar ninguna información sensible, en soporte digital o papel, del CeSPI sin la autorización de la Dirección General, la Dirección del Proyecto ó el coordinador del área.

La información debe ser utilizada sólo en el área que corresponda.

La información sólo debe ser utilizada por personas autorizadas. Si Ud. puede acceder a información a la que no está autorizado, debe informar inmediatamente a su coordinador de dicha situación.

Ningún documento, en formato digital o papel, aunque sea borrador, puede salir de las oficinas asignadas al proyecto.

Los documentos borradores o copias que se consideren sensibles no deben ser reutilizados como borrador y deben ser destruidos inmediatamente a su utilización.

El material utilizado debe ser archivado correctamente y en caso de no saber dónde, consultar con el Coordinador del área o con la Asistente.

El material que no se archivara, debe ser destruido indefectiblemente en la destructora de papeles (en caso de contar con una) ó bien manualmente.

Toda la información debe guardarse en los repositorios, digitales o físicos, asignados para tal fin. Dicha información no debe quedar sobre escritorios o mesas de trabajo cuando la

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 4 de 10

Page 5: PE 26 PoliticasDeSeguridad

Proyectos

persona se retira del área, ni tampoco quedar sin supervisión mientras permanece en ella.

No imprima documentos de no ser imprescindible.

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 5 de 10

Page 6: PE 26 PoliticasDeSeguridad

Proyectos

Uso de la PC

Almacenamiento

No deben dejarse documentos electrónicos relacionados a un proyecto en los discos rígidos de PCs locales. Los mismos deberán ser guardados en el servidor de archivos destinado a tal fin. Si desconoce la metodología para almacenar los archivos en el servidor, consulte con el Director del proyecto o a la Asistente.

Cualquier dispositivo de almacenamiento portátil (Notebook, Netbook, PDA, Cámaras de Foto, MPxPlayer, grabador digital, USB, CD, DVD, etc) deben estar bajo permanente supervisión de sus poseedores, ya que son responsables de la información contenida en los mismos. En el caso que sean compartidos, deben guardarse vacíos, o bien bajo llave para el caso de los dispositivos de sólo lectura. En caso que la información sea sensible, y deba permanecer en dichos dispositivos, la misma deberá estar cifrada y la clave en posesión del usuario y del Coordinador.

Si se retira de la PC que utiliza, aunque sea sólo momentáneamente, deje la misma bloqueada de manera tal que sea necesario introducir credenciales válidas para poder usar nuevamente el equipo.

Todos los documentos que se guardan en forma temporal en la PC local, deberán ser eliminados una vez finalizado su uso, asegurándose que los mismos no queden en la papelera de reciclaje o en otro espacio de almacenamiento.

Antivirus y actualizaciones

En caso de no contar con un producto antivirus instalado en su PC, notifique al personal responsable.

Controle diariamente el estado de su software antivirus, de manera determinar si el mismo se encuentra activo, si su base de datos se encuentra actualizada, si se produjo algún tipo de error, etc.

En caso de recibir una notificación de presencia de virus, desconecte el cable de red de su PC y notifique de inmediato al personal responsable.

Ejecute en forma periódica la detección de virus de su producto antivirus instalado en todas las unidades de disco de su equipo.

Verifique periódicamente que su equipo esté actualizado en cuanto a su sistema operativo y aplicaciones instaladas. Si no está seguro de ello o no sabe cómo realizar esta tarea, consulte inmediatamente a su Coordinador.

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 6 de 10

Page 7: PE 26 PoliticasDeSeguridad

Proyectos

Comunicaciones

No deben dejarse sesiones abiertas de clientes de mail, mensajería instantánea ó cualquier otro software que permita algún tipo de intercambio de mensajes sin supervisión.

Evite intercambiar información sensible por teléfono o por celular.

En caso de requerir el intercambio de algún tipo de información relacionada con el proyecto a través de mensajería instantánea, dicho intercambio sólo podrá realizarse de manera cifrada.

El acceso a cualquier sistema tipo web, debe realizarse sólo a través de https (en caso de ser posible). Ejemplo de ello es la página de correo corporativo del CeSPI.

El acceso a cualquier tipo de activo del CeSPI desde equipos ubicados fuera de la red local de los mismos, deberá ser realizado sólo a través de conexiones seguras (VPN). Para tal fin, la persona recibirá una serie de certificados, los cuales deberán ser guardados con los correspondientes cuidados. En caso de perderlos, o sospechar que los mismos pueden haber sido obtenidos por extraños, notifíquelo de inmediato, ya que alguien podría acceder a los activos del CeSPI bajo su identidad.

En caso de utilizar PCs ubicadas fuera del CeSPI (por ejemplo en otras dependencias de las UNLP, domicilio particular, etc) se deben extremar los cuidados.

Evite en lo posible, los accesos a cualquier tipo de información, sistema, ó equipo (incluso aunque el mismo sea realizado a través de una conexión cifrada) desde equipos públicos, o de los cuales ud desconoce su configuración de seguridad, como ser aquellos ubicados en ciber cafés, locutorios, salas de PC u otros. En caso de ser inevitable, una vez finalizado su uso, asegúrese de

o Eliminar cualquier archivo descargado,o Vaciar la papelera de reciclajeo Borrar el historial de sitios visitados, cookies, y cualquier

otra información almacenada por el navegador utilizadoo Elimine cualquier tipo de información sensibleo Cambie la o las contraseñas de los sistemas accedidos

desde equipos inseguros, ni bien pueda hacerlo (siempre desde un equipo de confianza)

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 7 de 10

Page 8: PE 26 PoliticasDeSeguridad

Proyectos

Contraseñas

No escriba la clave en papeles, ni en post-it, ni en archivos no protegidos. Si por algún motivo tuvo que escribir la clave, no la deje al alcance de terceros (por ej. debajo del teclado) y nunca pegada en el monitor.

No habilite la opción de “recordar claves” en los programas que utilice.

No envíe su clave por correo electrónico o mensajería instantánea. Tampoco la mencione en una conversación, ni se la entregue a nadie.

No pida la clave de otro ni comparta su clave. No utilice palabras comunes (aunque sean extranjeras) ni

nombres de fácil deducción (usuario, familiar, mascota, su ciudad, su equipo de fútbol).

No use contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, etc.)

Elija una contraseña que combine caracteres alfabéticos (mayúsculas y minúsculas), números y caracteres especiales.

Utilice contraseñas largas, cuanto más larga más segura. Utilice contraseñas distintas para máquinas diferentes y/o

sistemas diferentes. Puede usar una contraseña base y ciertas variaciones lógicas para distintos sistemas.

Una buena regla de generar claves seguras que sean fáciles de recordar es tomar alguna letra de alguna frase familiar que Ud. pueda recordar, poniendo alguna letra en mayúscula, agregando algún número y algún símbolo. Por Ej. “maS valE pajarO eN manO quE cientoS volandO”, lo que le dará una clave del tipo SEONOESO_89. Si quiere validar la seguridad de la clave elegida, puede probarla en alguna de las siguientes direcciones:

http://www.microsoft.com/protect/yourself/password/checker.mspxhttp://www.passwordmeter.com/http://www.securitystats.com/tools/password.php

NOTA IMPORTANTE: teniendo en cuenta que los sitios sugeridos son sitios públicos no administrados por el CeSPI, se sugiere emplearlos para entender la metodología para adquirir claves fuertes, y no para probar la fortaleza de las claves elegidas para emplear en sistemas o accesos en producción.

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 8 de 10

Page 9: PE 26 PoliticasDeSeguridad

Proyectos

Uso de la Web

Permita ventanas emergentes sólo desde sitios confiables. Verificar la procedencia del sitio a visitar y la utilización de

conexiones seguras al realizar transacciones en línea (https). Acceda a páginas sensibles ingresando la dirección

directamente en la barra de direcciones del navegador y no siguiendo enlaces.

No modifique las opciones de seguridad del navegador para hacer más sencilla la navegación. Esto puede hacer que su equipo sea más vulnerable.

No instale aplicaciones descargadas de sitios que no son de confianza, ni tampoco aplicaciones en las que se debe aplicar algún mecanismo de “crackeo” para su uso.

Evite visitar páginas web que no estén relacionadas con su tarea diaria, o bien páginas que no son de su confianza. Muchos sitios web maliciosos, pueden vulnerar su equipo con sólo accederlos.

Evite la instalación de controles sugeridos por las páginas visitadas (toolbars, actives, plug-in, etc.) Consulte a su Coordinador o al Área de Soporte.

En sitios que utilicen certificados (https), verifique que los mismos sean emitidos por autoridades reconocidas. Ante cualquier duda consulte a su Coordinador.

Uso del correo electrónico

Constate todos los archivos adjuntos a cada mensaje de correo electrónico, independientemente de su origen para evitar el ingreso de virus. Sólo abra y/ó guarde archivos adjuntos esperados.

NO envíe información a direcciones de correo de dominios públicos (Yahoo, Hotmail, Gmail, etc)

Asegúrese que cualquier información sensible recibida, provenga de direcciones de correo de dominios válidos, y que corresponden con el remitente. No tome como válida información recibida de correos de dominio público sin previa verificación. No conteste mensajes si no está seguro quién lo envió.

NO esta permitido participar en cadenas, o registrarse a sitios web empleando para ello, su cuenta de correo institucional.

Cuidado de mi sesión Envío de información confidencial

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 9 de 10

Page 10: PE 26 PoliticasDeSeguridad

Proyectos

Política de resguardo y recuperación:

El área de soporte técnico es el encargado de gestionar y administrar la política de resguardo y recuperación aplicada en el CeSPI.

Recuerde, cualquier tipo de irregularidad o malfuncionamiento de algún tipo que detecte en su equipo deberá ser notificado inmediatamente al personal responsable.

PE_26_PoliticasDeSeguridad.doc Revisión 3 Página 10 de 10