politica ejemplo

UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN

Manual de Polticas Institucionales de Seguridad de la Informacin

UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN

Manual de Polticas Institucionales de Seguridad de la Informacin

El presente Manual constituye el conjunto de Polticas Institucionales de Seguridad de la Informacin, aprobadas por el Dr. Jos Barbosa, Rector Canciller de la UTPL y revisadas por el comit de Seguridad, integrado por:

Dr. Santiago Acosta Vicecanciller UTPL Dr. Roberto Beltrn Director General Acadmico Eco. Santiago Armijos Director Financiero Loja

Es deber de todos quienes son parte de la UTPL cumplir con las polticas contenidas en el presente manual

CONTENIDO 1. Poltica de gestin de Riesgos.. 5 2. Poltica de Seguridad de la Informacin.....13 3. Poltica de Responsabilidad de la Seguridad de la Informacin..19 4. Poltica de Gestin de Activos..33 5. Poltica de-seguridad Fsica en las Instalaciones...44 6. Poltica de Seguridad en las Comunicaciones y Operaciones.50 7. Poltica de Control de Accesos Lgicos...70 8. Poltica de Adquisicin, Desarrollo y Mantenimiento de Sistemas Informticos..... ..81 9. Poltica de Gestin de Incidentes de Seguridad..90 10. Poltica de Cumplimiento .114 11. Poltica de Licenciamiento de Software ..119 12. Poltica de Gestin del Servicio 126

POLTICA DE GESTIN DE RIESGOS

POLTICA DE GESTIN DE RIESGOS

CDIGO POL-GR 1.0

FECHA DE VIGENCIA DESDE SU APROBACIN

VERSIN 1.0

PGINAS 8

RUBROAPROBADO POR:

CARGOJOSE BARBOSA RECTOR CANCILLER

APROBADO POR: COMITE DE SEGURIDAD UTPL

DR. SANTIAGO ACOSTA VICECANCILLER DR. ROBERTO BELTRN DIRECTOR GENERAL ACADMICO DRA. ROSARIO DE RIVAS DIRECTORA GENERAL MAD ECO. RAMIRO ARMIJOS DIRECTOR FINANCIERO LOJA

REVISADO POR:

MARA PAULA ESPINOZA DIRECTORA UGTI

DESARROLLADO POR:

MARCO CEVALLOS GERENTE DE RIESGO

GESTIN DE RIESGOS E IMPLEMENTACIN DE CONTROLES1. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Fecha de elaboracin: 2. OBJETIVOS Identificar y minimizar la probabilidad de materializacin de los riesgos que puedan afectar a los procesos crticos de la Institucin, soportados por el ambiente tecnolgico. Identificar y minimizar la probabilidad de materializacin de riesgos que puedan afectar a los proyectos crticos. 3. NIVELES DE RESPONSABILIDAD GESTIN DE RIESGOS

BAJO DEMANDA 07/06/2011 Versin del documento: 1.0

ROL O CARGO DEL NIVEL DE RESPONSABILIDADO FUNCIONES RESPONSABLE Comit de Seguridad de Aprobar esta poltica y otorgar lineamientos y UTPL criterios generales para la gestin de riesgos. Aprobar acciones y planes de mitigacin de riesgos crticos que puedan afectar a los procesos de Gestin Acadmica y Gestin Financiera. Director de UGTI / Gerente Revisar peridicamente el mapa de riesgos de de Proyecto. tecnologa que puedan afectar a los procesos crticos de la Universidad: Proceso de Gestin Acadmica y Proceso de Gestin Financiera. Gestionar y dar seguimiento a la implementacin de controles para mitigar los riesgos tecnolgicos. Definir los plazos de mitigacin de cada riesgo y un responsable, basado en las sugerencias del Gestor de Riesgo. Lderes de rea Ejecutar los planes de accin para mitigar los riesgos identificados.

Gestor de Riesgo

Administrar el universo de riesgos tecnolgicos u operativos que pueden afectar a los procesos crticos de la Universidad. Recomendar y asesorar a la Direccin de UGTI y al Comit de Seguridad en la toma de decisiones o definicin de directrices para mitigar riesgos crticos. Presentar un informe peridico sobre la exposicin de riesgo tecnolgico. Mantener informado de manera ejecutiva al Comit de Seguridad sobre riesgos importantes y sus mtodos de mitigacin.

4.

DESCRIPCIN DE LA POLTICA 4.1. NORMAS Y DISPOSICIONES GENERALES

Todos los miembros de la UGTI y de proyectos crticos deben informar a la Unidad de Gestin de Riesgos la existencia de debilidades o amenazas que puedan afectar a los intereses de la Universidad. La Unidad de Gestin de Riesgos tiene la obligacin de detectar y sugerir controles para mitigar los riesgos identificados basndose en un plan de accin aprobado por la UGTI. En caso de existir riesgos crticos o que afecten significativamente a los procesos de Gestin Acadmica y/o Gestin Financiera, el plan de accin debe aprobarlo el Comit de Seguridad de la UTPL. Los riesgos crticos que sern informados al Comit de Seguridad de UTPL deben presentar indicadores como costo, valor y retorno de inversin, con la finalidad de facilitar a los niveles directivos la toma de decisiones. En el Anexo A se detallan las escalas de: a) Probabilidad de ocurrencia de un riesgo; y, b) Impacto en caso de materializacin del riego. Estas escalas han sido aprobadas por el Comit de Seguridad de UTPL. No se definir cuantitativamente el apetito de riesgo en trminos econmicos. Los lmites de apetito de riesgo dependern de cada proyecto y debern ser mitigados todos aquellos riesgos que afecten a la operacin Institucional y/o al cumplimiento de los objetivos principales de un proyecto. Cualquier lineamiento general o cambio en la priorizacin de mitigacin de riesgo debe ser aprobada por el Comit de Seguridad de UTPL. En proyectos estratgicos como Syllabus+ se deber presentar un informe de los riesgos ms importantes identificados al Comit Impulsor creado para el efecto.

5.

MARCO DE REFERENCIA

La administracin del riesgo del proyecto se basar en trminos de proceso en el estndar internacional NIST SP 800-30 para la gestin del riesgo tecnolgico. 6. GLOSARIO DE TERMINOS Riesgos: Es la probabilidad de que ocurra un evento no deseado, afectando en mayor o menor medida a los intereses de la Universidad. Plan de accin: Se refiere al plan de mitigacin de riesgo y los actores involucrados. Comit de Seguridad de UTPL: De acuerdo a la poltica Institucional de Seguridad de la Informacin, el comit est compuesto por: 1. Presidida por el Vicecanciller. 2. Director General Acadmico. 3. Director General de Modalidad Abierta. 4. Director General Administrativo Financiero. Sin embargo, siempre estar asesorado por el equipo tcnico de riesgos.

Escalas de impacto de un riesgo sobre algunos factores que pueden afectar a la InstitucinMuy bajo IMPACTO 0,05 Prdida o dao insignificante. No aumenta las quejas de los usuarios No hay impacto negativo en el patrimonio. Bajo 0,1 Moderado 0,2 Alto 0,4 Muy alto 0,8

Cualitativo

Prdida o dao menor. Aumentan las quejas de los usuarios. Impacto mnimo en el valor del patrimonio (activos)

Prdida catastrfica. Prdida o dao Riesgo inaceptable en Prdida significativa. mayor. el sector. Reclamos de usuarios Investigacin formal Intervencin de ente a gran escala. del regulador y regulador. Potencial prdida de aplicacin de multas. Produce quiebra de la valor en el patrimonio Prdida que afecta el entidad o pone en valor del patrimonio peligro su continuidad. Prdida financiera >$10.000 y $100.000 y $1.000.000 La mayora de los objetivos no pueden ser alcanzados. El evento es de conocimiento a nivel internacional Evento que ocasion prdida de vidas humanas o incapacidad permanente. Los activos se ven expuestos a prdida y comprometidos en un nivel critico debido a la explotacin de varias vulnerabilidades de mbito legal. Las operaciones de la organizacin fueron suspendidas. Los pasivos y contingentes se incrementan en un nivel crtico.

Cuantitativo

Prdida financiera $1000 5% del proy. Aumento del tiempo entre el 10% y 20% Variaciones en el alcance inaceptables por el patrocinador Muy alto 0,80 > $100.000 < 15% del proy. Aumento del tiempo > 20% El producto final del proyecto es inservible

Tiempo

Alcance

$6.001 $2.001 - $6.000 $20.000 < 2% del proy. < 5% del proy. Aumento del Aumento del tiempo entre el tiempo < 5% 5% y 10% Areas de Areas de alcance alcance secundarias principales afectadas afectadas Solo algunos componentes se ven afectados La no disponibilidad del sistema afecta en lo mnimo a la gestin acadmica La reduccin de calidad requiere de aprobacin del patrocinador La no disponibilidad del sistema no afecta considerableme nte a la gestin acadmica La divulgacin no autorizada de informacin afecta al proyecto considerableme nte

Calidad

Reduccin en la El producto final calidad es del proyecto es inaceptable por el inservible patrocinador La no disponibilidad del sistema detiene por completo el proceso de gestin acadmica

Disponibilidad

La disponibilidad del sistema detiene casi por completo el negocio

La divulgacin no autorizada de informacin Confidencialidad no produce ningn inconveniente

La divulgacin no autorizada de informacin puede afectar al proyecto mnimamente

La divulgacin no autorizada de La divulgacin no informacin autorizada de puede traer informacin como afecta al proyecto consecuencia el de manera crtica detenimiento casi total del proyecto Fallas de integridad en la informacin no afectan de manera crtica al proyecto Fallas de integridad en la informacin pueden detener casi por completo el proyecto

Integridad

Fallas de integridad en la informacin no afectan en absoluto al proyecto.

Fallas de integridad en la informacin no afectan mnimamente al proyecto

Fallas de integridad en la informacin no afectan considerableme nte al proyecto

Escalas de probabilidad de que un riesgo se materialiceMuy baja Probabilidad Significado 0,10 Nunca ha pasado Baja 0,30 Ha pasado en alguna ocasin Moderada 0,50 Ha pasado contadas ocasiones Alta 0,70 Pasa la mayora del tiempo Muy alta 0,90 Actualmente ocurre. / Siempre ocurre

POLTICA DE SEGURIDAD DE LA INFORMACIN

13

CDIGO POL_UGTI_SEGURIDAD_V1.0


VERSIN 1.0

PGINAS 132

POLTICA: POLTICA DE SEGURIDAD DE LA INFORMACIN

RUBRO

NOMBRE - CARGO DR. JOS BARBOSA

APROBADO POR:

RECTOR CANCILLER ING. PAL SNCHEZ DIRECTOR DE UGTI (E)

REVISADO POR:

ING. MARCO CEVALLOS RESPONSABLE DE CONTROL INTERNO DE TI ING. JULIA PINEDA RESPONSABLE DE SEGURIDAD DE LA INFORMACIN

REALIZADO POR:

8.

GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLITICA POLTICA DE GESTIN DE TECNOLOGA DE LA INFORMACIN (POL_UGTI_GTI) Versin del 12-OCT-2010 1.0 documento:

REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Ing. Julia Pineda Creacin del 1.0 Documento

Fecha 12-OCT-2010

1. OBJETIVO Establecer los lineamientos necesarios que permitan resguardar la informacin institucional y los recursos tecnolgicos relacionados a su gestin y consumo. 2. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL en el campus Loja.

3.

DESCRIPCIN DE LA POLTICA

NORMAS Y DISPOSICIONES GENERALES Es poltica de la Universidad generar normar de seguridad para: Definir un marco gerencial para iniciar y controlar la implementacin de la seguridad de la informacin, as como para la distribucin de funciones y responsabilidades. La gestin de activos informticos para que estos reciban un apropiado nivel de proteccin. Asegurar a un nivel razonable que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado, as como permitan la continuidad de las operaciones.

El funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. Asegurar a un nivel razonable que la informacin y la capacidad de procesamiento manual y automtico, este disponible en el momento necesario para usuarios autorizados. Considerando la continuidad de la operacin tecnolgica que soporta los procesos institucionales. Asegurar que los datos y/o transacciones cumplan con los niveles de autorizacin correspondiente para su utilizacin y divulgacin. El Registro e identificacin inequvoca de los usuarios de los sistemas. Evitar casos de suplantacin de identidad por medio de los recursos tecnolgicos. Mantener registros de auditora de los eventos ocurridos as como el responsable de su ejecucin. Mantener niveles de operacin razonables en los sistemas e infraestructura estratgica para la Universidad. La identificacin de riesgos relacionados al ambiente tecnolgico que no permitan soportar a la Universidad en su cumplimiento de objetivos.

4. RESPONSABILIDADES

El Comit de Seguridad de la Informacin integrado por: Vice-rectorado Director Administrativo Financiero Director General Acadmico Este comit tendr la responsabilidad de revisar y aprobar la Poltica de Seguridad de la Informacin de la UTPL, as como tambin; supervisar el Plan de Seguridad de la Informacin de manera ejecutiva mediante: La revisin anual del Plan Estratgico del rea Seguridad La definicin de proyectos de tecnologas que fortalezcan la Seguridad del Informacin del Negocio (Servicio, Producto e Informacin). Aprobar el Manual de Gestin de Seguridad de la Informacin y el plan de difusin respectivo, para lograr el compromiso de todos los usuarios de la Universidad.

El rea de Seguridad de la Informacin elaborar las polticas necesarias para proteger la informacin generada en el ambiente tecnolgico de la UTPL. El Director de cada dependencia, cumplir la funcin de notificar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Poltica de Seguridad de la Informacin y de todas las normas, procedimientos y prcticas que de ella surjan. La Direccin de Unidad de Gestin de TI tiene la responsabilidad de otorgar las facilidades para la implementacin del Sistema de Gestin de Seguridad de la Informacin y tomar decisiones estratgicas en el proceso.

El Responsable del rea Legal brindar la asesora necesaria en el mbito legal y regulatorio, as mismo otorgar los lineamientos necesarios para no incurrir en incongruencias legales dentro del mbito de seguridad de la informacin. El rea de control Interno de TI, es responsable de practicar auditoras peridicas sobre el cumplimiento de las normas y procedimientos asociados al Sistema de Gestin de Seguridad de la Informacin. 5. CONTROL DE CUMPLIMIENTO Y ACCIONES

En caso de existir incumplimiento de la presente Poltica de Seguridad de laInformacin por parte de un trabajador de la Universidad, se comunicar al departamento de RRHH para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.

ANEXOS TERMINOS Y DEFINICIONES Poltica General: Contiene principios generales de seguridad de la informacin sobre los cuales deben basarse las normas, procedimientos y estndares tcnicos. Norma: Definiciones concretas sobre cada uno de los temas de seguridad que luego sern adaptados a cada recurso informtico en particular. Procedimientos: Detalle de cursos de accin y tareas que deben realizar los usuarios para hacer cumplir las definiciones de las normas. Estndares tcnicos: Conjunto de parmetros especficos de seguridad para cada una de las tecnologas informticas utilizadas. Confidencialidad: La informacin solo puede ser conocida por las personas definidas. Integridad: La informacin solo puede se creada y/o modificada por las personas autorizadas. Disponibilidad: La informacin este disponible cuando lo necesite el usuario. Evaluacin de Riesgo: Se entiendo por evaluacin de riesgos a valoracin de amenazas y vulnerabilidades relacionadas con la informacin y los procesos que la contienen en tres: disponibilidad, integridad y confidencialidad. La evaluacin de riesgos es un proceso cclico y debe ser llevado peridicamente. Administracin de Riesgos: Es un proceso en que se identifica, controla y minimiza o elimina, a un costo aceptable, los riesgos de seguridad que pueden afectar a la informacin. Comit de Seguridad de la Informacin: Es un equipo integrado por representantes de las diferentes reas de la organizacin, destinado a apoyar las iniciticas de Seguridad de la Informacin. Responsable de Seguridad de la Informacin: Persona que se encarga de supervisar el cumplimiento de la presente poltica de seguridad y asesorar en materia de seguridad de la informacin a los miembros de la organizacin. Incidentes de Seguridad: Es cualquier evento que comprometa la confidencialidad, integridad y disponibilidad de la informacin de la organizacin.

POLTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN

CDIGO POL_UGTI_RESPONSABLESEG_v1.0


VERSIN 1.0

PGINAS 132

POLTICA: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN

RUBRO

NOMBRE - CARGOING. MARA PAULA ESPINOZA DIRECTORA DE UGTI

APROBADO POR: ING. JULIA PINEDA LDER DE SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD DE LA INFORMACIN DR. JUAN CARLOS ROMN DEPARTAMENTO LEGAL ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SEGURIDAD DE LA INFORMACIN

REALIZADO POR:

CONTENIDO1. 2. 3. 4. GENERALIDADES ....................................................................................................................... 22 OBJETIVO .................................................................................................................................... 22 ALCANCE ..................................................................................................................................... 22 DESCRIPCIN DE LA POLTICA ................................................................................................ 22 ORGANIZACIN INTERNA ...................................................................................................................... 22 Asignacin de responsabilidades en materia de seguridad de la informacin ............................ 22 Definicin del Comit de Seguridad de la Informacin ............................................................ 23 Responsabilidades del Comit de Seguridad de la Informacin ............................................. 23 Definicin del Dueo de Datos ................................................................................................. 24 Responsabilidades del Dueo de Datos .................................................................................. 24 Definicin del rea de Calidad, Riesgos y Seguridad .............................................................. 24 Responsable del Calidad, Riesgos y Seguridad ...................................................................... 25 Definicin del Oficial de Seguridad .......................................................................................... 25 Responsabilidades del Oficial de Seguridad ............................................................................ 25 Definicin de los Administradores de los Servicios .................................................................. 26 Responsabilidades de los Administradores de los Servicios ................................................... 26 Definicin de Usuario final ........................................................................................................ 26 Responsabilidades del Usuario Final ....................................................................................... 26 Autorizacin para Instalaciones de Procesamiento de Informacin ............................................. 27 Acuerdos de confidencialidad ....................................................................................................... 27 Revisin independiente de la seguridad de la informacin .......................................................... 27 TERCEROS .......................................................................................................................................... 27 Identificacin de Riesgos Derivados del Acceso de Terceros .................................................... 27 Requerimientos de Seguridad en Contratos y Acuerdos con Terceros ....................................... 27 Requerimientos de Seguridad en Contratos de Tercerizacin ..................................................... 28 5. CONTROL DE CUMPLIMIENTO Y SANCIONES ........................................................................ 29

ACUERDO DE CONFIDENCIALIDAD .................................................................................................. 31

9.

GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:

REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Julia Pineda Creacin del 1.0 Documento Maritza Rueda

Fecha Octubre-2010

10. OBJETIVO Administrar adecuadamente la Seguridad de la Informacin en la UTPL y establecer un marco gerencial para iniciar y controlar su implementacin y establecer las funciones y responsabilidades. Garantizar la aplicacin de medidas de seguridad adecuadas por terceros en el procesamiento de la informacin interna de la UTPL. 11. ALCANCE La presente poltica regir a todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 12. DESCRIPCIN DE LA POLTICA

NORMAS Y DISPOSICIONES GENERALES ORGANIZACIN INTERNA Asignacin de responsabilidades en materia de seguridad de la informacin La Universidad deber considerar los siguientes roles para llevar una adecuada administracin de la Seguridad de la Informacin.

TABLA 1 FUNCIONES REALACIONADAS CON SEGURIDAD DE LA INFORMACIN

Funcin Respaldo de la Poltica de Seguridad Seguimiento de la Poltica de Seguridad Clasificacin de la informacin Cumplimiento de la Poltica de Seguridad

Rol Comit de Seguridad Oficial de Seguridad Dueo de Datos Usuarios finales Terceros y/o Personal Contratado Personal de la Unidad de Gestin de TI

Control de la Poltica de Seguridad

Calidad, Riesgos y Seguridad

Definicin del Comit de Seguridad de la Informacin La seguridad de la informacin es una responsabilidad compartida con todos los miembros de la Universidad, por lo cual se define un comit de seguridad de la Informacin que integra miembros de la alta direccin para el apoyo de las iniciativas de seguridad de la informacin. El comit estar conformado por. Vice-rectorado Director Administrativo Financiero Director General Acadmico Responsabilidades del Comit de Seguridad de la Informacin Este comit tendr la responsabilidad de revisar y aprobar la Poltica de Seguridad de la Informacin de la UTPL, as como tambin; supervisar el Plan de Seguridad de la Informacin de manera ejecutiva mediante:

La revisin anual del Plan Estratgico del rea Seguridad La definicin de proyectos de tecnologas que fortalezcan la Seguridad del Informacin del Negocio (Servicio, Producto e Informacin). Aprobar el Manual de Gestin de Seguridad de la Informacin y el plan de difusin respectivo, para lograr el compromiso de todos los usuarios de la Universidad.

Definicin del Dueo de Datos

Son todos los responsables de cada uno de los procesos y sistemas de informacin que mantiene la Universidad. El oficial de Seguridad conjuntamente con cada lder UGTI son los responsables de identificar los dueos de datos y hacer conocer a los mismos sus responsabilidades. En esta identificacin se debe determinar tambin: o o o o Informacin Dueo de Datos Recursos informticos que procesan la informacin Proceso Involucrado con la informacinTABLA 2 DUEO DE DATOS

Informacin

Propietario

Recurso Asociado

Proceso involucrado

Responsabilidades del Dueo de Datos Deber identificar toda la informacin confidencial que corresponda a su rea de responsabilidad directa cualquiera sea su forma y medio de conservacin, para proceder a clasificarla de acuerdo a lo establecido en la Poltica de Gestin de activos (POL_UGTI_GESTION-ACTIVOS). Deber autorizar el acceso a su informacin a toda persona o grupo que requiera. Este acceso contemplar los privilegios respectivos (lectura, escritura, actualizacin y eliminacin). Podr delegar su funcin a personal idneo, pero conservaran la responsabilidad del cumplimiento de la misma. Adems, debern verificar la correcta ejecucin de las tareas asignadas. La delegacin de funciones debe quedar documentado por el propietarios e informadas al Oficial de Seguridad de dicha delegacin. Definicin del rea de Calidad, Riesgos y Seguridad La Universidad como toda organizacin maneja flujo continuo de informacin que mueve gran nmero de las actividades de la institucin, razn por la cual se ha conformado el rea de Seguridad de la Informacin, cuyos objetivos son:

Desarrollar un grupo formal de administracin de Seguridad en la UTPL, que trabaje en establecer mecanismos y polticas de seguridad que minimicen los

riesgos potenciales. Disminuir el nmero y criticidad de los problemas de seguridad. Difundir la cultura de la seguridad de la informacin a los usuarios finales. Desarrollar procedimientos de seguridad en las distintas plataformas del campus. Potenciar la formacin de Recursos Humanos en el rea de Seguridad de la Informacin. Definir una adecuada Gestin de Incidentes de Seguridad de la Informacin. Responsable del Calidad, Riesgos y Seguridad Deber apoyar al Oficial de Seguridad en la ejecucin del plan de Seguridad de la Informacin. Deber participar en la implementacin de los proyectos establecidos en el plan de Seguridad de la Informacin aprobados pro el comit de Seguridad. Deber investigar y dar seguimiento a los incidentes de seguridad de la informacin. Deber estar en constante innovacin y capacitacin en temas relacionados con la Seguridad de la Informacin. Deber establecer procedimientos de Auditoria a travs de los cuales se efecten controles permanentes del correcto cumplimiento de las medidas en el presente manual. Deber realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente poltica. Definicin del Oficial de Seguridad El oficial de seguridad tiene a su cargo la definicin y el mantenimiento del Manual de Gestin de Seguridad de la Informacin y el asesoramiento a todo el personal de la Universidad para su implementacin. Responsabilidades del Oficial de Seguridad Deber implementar un plan para concientizar a la administracin acerca de la importancia de dar seguridad segn la criticidad de la informacin manejada en cada servicio. Deber llevar a cabo el mantenimiento, aprobacin, actualizacin, distribucin y monitoreo del Manual de Gestin de Seguridad de la Informacin en base a los requerimientos futuros presentados por nuevos servicios. Deber implementar los proyectos de seguridad que se planteen en el Plan de Seguridad de la Informacin de la Universidad. Deber participar en la investigacin y recomendaciones de productos de seguridad para la implementacin de las medidas de seguridad en la Universidad.

Deber dar soporte a los usuarios en los procesos de: o o o Identificacin de la informacin sensible. Identificacin de las medidas de seguridad necesarias en cada sistema para cumplir con el Manual de Gestin de Seguridad de la Informacin. Implementar dichas medidas.

Deber analizar e informar cualquier evento que atente contra la seguridad de la informacin al Director de la Unidad de Gestin de TI, as como monitorear peridicamente que solamente los usuarios autorizados tengan accesos a los sistemas. Deber verificar la validez del plan aprobado para la Seguridad de la Universidad mediante un testeo constante. Deber someter al plan de seguridad en una mejora continua. Llevar un registro actualizado de contactos de todos los administradores de los servicios de la Universidad. Definicin de los Administradores de los Servicios

Se considera a las personas encargadas de llevar la administracin de las aplicaciones, servidores, bases de datos y equipos de comunicacin existentes en la Universidad. Responsabilidades de los Administradores de los Servicios Debern implementar las medidas de seguridad dadas en el Manual de Gestin de Seguridad de la Informacin a fin de garantizar la seguridad de su servicio. Deber participar activamente en las capacitaciones y actualizaciones peridicas para conocer el Manual. Deber apoyar a los proyectos que se planteen en torno al tema de seguridad de la informacin. Deber ser parte del desarrollo e implementacin del Plan de Seguridad de la Universidad. Definicin de Usuario final Se considera a todo el personal de la Universidad y/o terceros que hacen uso de las aplicaciones y la informacin con el objetivo de poder cumplir con sus correspondientes funciones. Responsabilidades del Usuario Final Deber cumplir con todas las medidas de seguridad definidas en el Manual de Gestin de Seguridad de la Informacin. Deber participar activamente de las capacitaciones peridicas para conocer el Manual de Gestin de Seguridad de la Informacin.

Autorizacin para Instalaciones de Procesamiento de Informacin La inclusin de nuevos servicios para el procesamiento de la informacin deber ser autorizada por el dueo de datos involucrado y por el director de la Unidad de Gestin de TI. El rea de Calidad, Riesgos y Seguridad deber identificar e implementar controles de seguridad necesarios contra posibles vulnerabilidades introducidos por la implementacin de nuevos sistemas e infraestructura que procese informacin. Acuerdos de confidencialidad Todos los administradores de servicios debern firmar un Acuerdo de Confidencialidad. Todo el personal que trabaja en el rea de Calidad, Riesgos y Seguridad deber obligatoriamente firmar un Acuerdo de Confidencialidad, estos incluyen personal de planta, becarios de investigacin, tesistas y gestin productiva. (Ver Plantillas Acuerdo de Confidencialidad) Revisin independiente de la seguridad de la informacin rea de Calidad, Riesgos y Seguridad realizar revisiones independientes sobre la vigencia e implementacin de la Poltica de Seguridad de Informacin, con el fin de verificar y garantizar que las prcticas de la Universidad reflejen adecuadamente sus disposiciones.

TERCEROS Identificacin de Riesgos Derivados del Acceso de Terceros En caso que sea necesario que un tercero tenga acceso a informacin o servicios tecnolgicos internos de la Universidad, el Oficial de Seguridad y el responsable de la informacin o servicios tiene la responsabilidad de documentar y realizar una evaluacin de riesgos para definir los controles necesarios, tomando en cuenta los siguientes aspectos: El tipo de accesos que requiere El motivo por el que solicita el acceso El valor de la informacin Los controles que tomar la tercera parte La incidencia del acceso en la seguridad de la informacin de la Universidad.

No se otorgar acceso a terceros a la informacin, hasta que se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdos de confidencialidad que definan las condiciones para la conexin o acceso. Requerimientos de Seguridad en Contratos y Acuerdos con Terceros

Los contratos o acuerdos con terceros que se efecten deben tomar en cuenta: Cumplimiento de la Poltica de Seguridad de la Informacin de la UTPL Proteccin de los activos de la Universidad, incluyendo: o o Procedimientos para proteger los bienes de la Universidad, abarcando los activos fsicos, la informacin y el software. Controles para garantizar la recuperacin o destruccin informacin y los activos al finalizar el contrato o acuerdo, o durante la vigencia del mismo.

Definicin de nivel de servicios esperado y del nivel de servicio aceptable. Acuerdos de control de acceso que contemplen: o o o Mtodos de accesos permitido, y el control uso de identificadores nicos. Procesos de autorizacin y privilegios de usuarios. Requerimiento para mantener actualizada una lista de de individuos autorizados a utilizar los servicios que han de implementarse y sus derechos y privilegios con respecto a dicho uso.

Procesos claros y detallados para la administracin de cambios. Controles que garanticen la proteccin contra software malicioso. Acuerdos de confidencialidad en los contratos Requerimientos de Seguridad en Contratos de Tercerizacin

Los contratos o acuerdos de tercerizacin total o parcial para la administracin y control de sistemas de informacin, redes y/o ambientes de PC del Organismo, contemplarn adems de los puntos especificados en (Requerimientos de Seguridad en Contratos o Acuerdos con Terceros, los siguientes aspectos: Acuerdo de confidencialidad Forma en que se cumplirn los requisitos legales aplicables. Medios para garantizar que todas las partes involucradas en la tercerizacin, incluyendo los subcontratistas, estn al corriente de sus responsabilidades en materia de seguridad. Forma en que se mantendr y comprobar la integridad y confidencialidad de los activos de la Universidad. Controles fsicos y lgicos que se utilizarn para restringir y delimitar el acceso a la informacin sensible de la Universidad. Forma en que se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres. Niveles de seguridad fsica que se asignarn al equipamiento tercerizado. Derecho a la auditora por parte de la universidad sobre los aspectos tercerizados en forma directa o a travs de la contratacin de este servicio. Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.

Si el servicio que se va contratar es la instalacin y/o configuracin de servidores, equipos de comunicacin y/o aplicacin, se deber pedir al tercero que se realice un hardening de seguridad que debe de contemplar como mnimo. o o o o o o o o Definicin de accesos a los servicios Cambio de configuraciones por defecto Cambio o eliminacin de archivos de instalacin Ocultamiento de versiones Cambio o eliminacin de usuarios y claves por defecto Desinstalacin de servicios innecesarios Configuracin de Firewall Eliminacin de accesos a recursos innecesarios

13. CONTROL DE CUMPLIMIENTO Y SANCIONES En caso de existir incumplimiento de la presente Poltica de Seguridad de la Informacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.

PLANTILLAS

ACUERDO DE CONFIDENCIALIDAD Yo, ...........................................................por el presente dejo constancia de haber recibido accesos a sistemas de seguridad e informacin confidencial de la UTPL. Comprometindome a aceptar y cumplir con todas las polticas, normas y est ndares de seguridad informtica de la universidad y, especficamente, a: No utilizar la informacin para fines contrarios a los intereses de la Universidad. El intento de ganar acceso a recursos no asignados al mismo ser considerado intento de violaci n a la seguridad del sistema en el cual la universidad se reserva el derecho de tomar las acciones pertinentes al caso. No divulgar la informacin obtenida de los sistemas de la Universidad. No revelar la contrasea otorgada. Modificar la contrasea al so spechar que esta haya sido descubierta. Aceptar las responsabilidades sobre el uso de mi cuenta de usuario. Utilizar los sistemas de la Universidad nicamente para fines aprobados por sta. No permitir la utilizacin de la cuenta de usuario por terceros. No realizar instalacin de ningn homologado por la Universidad. tipo de software no

Aceptar que toda la informacin conservada en los equipos informticos (archivos y correos electrnicos residentes en servidores de datos centralizados y/o estaciones de t rabajo) es de propiedad de la Universidad, por lo que podr ser administrada y/o monitoreada por los responsables del rea de sistemas de acuerdo con las pautas de seguridad definidos. Efectuar la destruccin de todo mensaje cuyo origen es desconocido, y asumir la responsabilidad por las consecuencias que puede ocasionar la ejecucin de cualquier archivo adjunto. En estos casos, no se deben contestar dichos mensajes y debe ser enviada una copia al

administrador de seguridad para que efecte las tareas de seguimiento e investigacin necesarias. Desconectarse de la estacin de trabajo correspondiente, cada vez que finalice con las tareas que en ella desarrolla, a fin de evitar el uso de la clave por otra persona En caso de incumplimiento de las obligaciones co ntenidas en este documento, reconozco el derecho de la UNIVERSIDAD para reclamar las indemnizaciones respectivas a travs de todas las acciones judiciales contempladas en la legislacin vigente y presentar inclusive las acciones penales a que hubiere lugar de acuerdo con lo dispuesto en la Ley de Propiedad Intelectual. La terminacin del presente acuerdo, por cualquier causa, no me libera de las obligaciones de confidencialidad adquiridas en virtud del mismo, respecto a la informacin que le haya sido revel ada hasta la fecha de la terminacin. Usuario:............................................. Fecha de entrega:....../......./........ ..................................................

Firma de usuario C.I:.

POLTICA DE GESTIN DE ACTIVOS

33

CDIGO POL_UGTI_GESTIONACTIVOS_v1.0


VERSIN 1.0

PGINAS 132

POLTICA: GESTIN DE ACTIVOSRUBRO NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI APROBADO POR: ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO

CONTENIDO

1. 2. 3. 4.

GENERALIDADES .......................................................................................................36 OBJETIVO ....................................................................................................................36 ALCANCE ....................................................................................................................36 DESCRIPCIN DE LA POLTICA ................................................................................36INVENTARIO 36 37 CLASIFICACIN DE LA INFORMACIN

5.

CONTROL DE CUMPLIMIENTO Y SANCIONES .........................................................38

ET1N02 INVENTARIO DE EQUIPO COMPUTACIONES E IMPRESORAS .........................39 ET2N02 INVENTARIO DE SERVIDORES Y EQUIPOS DE COMUNICACIN ....................40 ET3N02 INVENTARIO DE INFORMACIN .........................................................................42 ET5N02 INVENTARIO DE SERVICIOS ...............................................................................43

14. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Noviembre-2010 1.0 documento:


Fecha Novimebre-2010

15. OBJETIVO Alcanzar y mantener una proteccin adecuada de los activos e informacin de la Universidad. 16. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 17. DESCRIPCIN DE LA POLTICA NORMAS Y DISPOSICIONES GENERALES INVENTARIO Todas las rea de la Unidad de Gestin de TI debe llevan un inventario de los activos tecnolgicos que manejan. o Soporte Tcnico deber mantener un inventario actualizado de las PCs e impresoras instaladas dentro de la Universidad. (Ver estndar: Inventario de equipos computacionales e impresoras) Infraestructura de TI deber mantener un inventario de los servidores, y equipos de comunicacin activos existentes en la Universidad. (Ver estndar: Inventario de Servidores y Equipos de comunicacin)

o

Todo PCs e impresoras del campus, equipos activos y servidores debern estar etiquetados para su identificacin y control de inventario. Este etiquetado sern

realizado por el departamento de Activos Fijos. El rea de Soporte Tcnico y Infraestructura de TI conjuntamente con Activos Fijos debern controlar peridicamente y actualizar el inventario de sus respectivos equipos cada que exista una movilizacin y/o nueva adquisicin. Cada rea de la Unidad de Gestin de TI deber identificar la informacin que son procesados por los sistemas informticos y clasificarlos, para luego realizar un inventario de esta informacin y mantenerlo actualizado. (Ver estndar: Inventario de Informacin). Cada rea de la Unidad de Gestin de TI deber definir el inventario de servicios que presta a la UTPL y mantenerlo actualizado. (Ver estndar: Inventario de Servicios) El rea de Soporte Tcnico y Infraestructura deber establecer procedimientos para la movilizacin, adquisicin y dar de baja (de manera tcnica) los equipo a su cargo.

CLASIFICACIN DE LA INFORMACIN Cada rea de la Unidad de Gestin de TI conjuntamente con el dueo de datos y el Oficial de Seguridad debern clasificar la informacin segn los siguientes tres criterios: o Confidencialidad 0. PUBLICO: Informacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, sea de la Universidad o no. 1. RESERVADA USO INTERNO: Informacin que puede ser conocida y utilizada por todos los empleados de la Universidad y algunas entidades externas debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para la Universidad. 2. RESERVADA PRIVADA: Informacin que slo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas a la Universidad. 3. RESERVADA CONFIDENCIAL: Informacin que slo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta direccin de la Universidad, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al mismo. o Integridad 0. Informacin cuya modificacin no autorizada puede repararse fcilmente, o no afecta la operatividad de la Universidad. 1. Informacin cuya modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves para a la Universidad. 2. Informacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas para la Universidad. 3. Informacin cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves a la Universidad. o Disponibilidad

0. Informacin cuya inaccesibilidad no afecta la operatoria de la Universidad durante un mes. 1. Informacin cuya inaccesibilidad permanente durante una semana podra ocasionar prdidas significativas para la Universidad. 2. Informacin cuya inaccesibilidad permanente durante un da podra ocasionar prdidas significativas a la Universidad. 3. Informacin cuya inaccesibilidad permanente durante 2 horas podra ocasionar prdidas significativas a la Universidad. Se asignar a la informacin un valor por cada uno de estos criterios. Luego, se clasificar la informacin en una de las siguientes categoras: o o o CRITICIDAD BAJA: ninguno de los valores asignados superan el 1. CRITICIDAD MEDIA: alguno de los valores asignados es 2 CRITICIDAD ALTA: alguno de los valores asignados es 3

Slo el Dueo de datos puede asignar o cambiar su nivel de clasificacin. El Dueo de datos con apoyo del administrador del servicios deber identificar los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales que debern tener acceso a la misma. En adelante se mencionar como informacin clasificada (o datos clasificados) a aquella que se encuadre en los niveles 1, 2 o 3 de Confidencialidad. El Dueo de datos deber definir los criterios utilizados para la depuracin de datos y su periodicidad.

18. CONTROL DE CUMPLIMIENTO Y SANCIONES

En caso de existir incumplimiento de la presente Poltica de Seguridad de laInformacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.

19. REFERENCIAS Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional, Versin 1, Julio-2005. Disponible en: www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf [Consulta 23-03-2011]

ET1N02 Inventari o de equi po computaciones e impresoras Equipos computaci onalesLocalizacin No. Propietario Edificio Departamento rea Tipo Nombre Marca Modelo Serie Activos Componentes

Aplicaciones extras

Sistema Operativo

Memoria RAM

Procesador Garanta

Observaciones

ImpresorasLocalizacin No. Propietario Edificio Departamento rea Tipo Marca Modelo Serie Activos Garanta Observaciones

ET2N02 Inventari o de Se rvi dores y equipos de comunicacin Servidores N Nombre del ser vidor Depende ncia Datos del Administrador o Nombre y Apellidos o Extensin o Nmero de Celular Datos del Backup o Nombre y Apellidos o Extensin o Nmero de Celular Ser vicios que presta Direccin IP Sistemas Operativos o Nombre del Sistema Operativo o Versin Marca Hardware del Ser vidor o Type/Parte Number o Modelo o N/S o Descr ipcin Procesador o Nmero o Tipo o Velocidad (GHz) Memor ia Disco Interno o Nmero o Tamao o Tipo o Conf ig uracin Disco Interno o Nmero o Tamao o Tipo o Conf iguracin Tarjeta de Red o Nmero o Velocidad Ubicacin Fsica o Lugar o Rack o Blade Center Nmero de BladeCenter Cuchilla Expiracin de Garant a

Fecha de Inicio de produccin Respaldos o Respalda? o Tamaos de respaldos (aproximado) o Medio de respaldo o Periodo de respaldo Crit icidad Observaciones

Dispositivos de redDireccin IP Numero de Parte Tipo de Dispositivo

#

Hostname Ubicacin Modelo Versin Serie

Criticidad Garanta Observacin

ET3N02 Inventari o de Informacin

Clasificacin (0-3) N Informacin Confidencialidad Integridad Disponibilidad Categora Propietario Localizacin

Medio o formato de almacenamiento

Observacin

ET4N02 Inventari o de Servi ciosDescripcin del Servicio Administrador del Servicio Criticidad del Servicio

N rea

Servicio

POLTICA DE LA SEGURIDAD FSICA EN LAS INSTALACIONES

44

CDIGO POL_UGTI_SEGFISICA_v1.0


VERSIN 1.0

PGINAS 132

POLTICA: SEGURIDAD FSICA EN LAS INSTALACIONES

RUBRO

NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI

APROBADO POR:

ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS

REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO

CONTENIDO

1. 2. 3. 4.

GENERALIDADES .......................................................................................................47 OBJETIVO ....................................................................................................................47 ALCANCE ....................................................................................................................47 DESCRIPCIN DE LA POLTICA ................................................................................47CONSIDERACIONES GENERALES ................................................................................................ 47 Control de accesos ....................................................................................................................... 48 Factores de ambientales .............................................................................................................. 48 Instalaciones elctricas ................................................................................................................. 49 Movilizacin de equipos ................................................................................................................ 49 Vigilancia ....................................................................................................................................... 49 Ordenadores porttiles y teletrabajo............................................................................................. 49

NORMAS Y DISPOSICIONES GENERALES .......................................................................47

5.


20. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:


Fecha Octubre-2010

21. OBJETIVO Mantener una adecuada proteccin fsica de los equipos, soportes de procesamiento, transmisin y conservacin de la informacin de la Universidad. 22. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 23. DESCRIPCIN DE LA POLTICA

NORMAS Y DISPOSICIONES GENERALES CONSIDERACIONES GENERALES El rea de Infraestructura de UGTI deber contar con un estndar para la Sala de Servidores, tomando en cuenta: o o o o o Un sistema de climatizacin adecuada para el buen funcionamiento de los equipos Sistemas de deteccin de humo y calor La proteccin contra accesos no autorizados Cableado de red y elctrico (Ejemplo: organizacin y etiquetado) Sistema Elctrico (ejemplo: energa redundante, UPSs (Uninterrumpible

Power Supply), generadores, etc.) Todos los servidores de la Universidad debern ubicarse en la sala de servidores y colocarlos en racks. Si algn administrador no colocara su servidor en dicho lugar, este debe presentar por escrito los motivos y justificacin de esto al Responsable del equipo de la Sala de Servidores. Se deber realizar revisiones peridicas, al menos una vez al ao, sobre el estado del cableado de red y sobre su organizacin. Control de accesos El lder del grupo de Infraestructura de TI deber establecer un equipo de trabajo que se encargar de velar por el buen estado, funcionamiento y la buena presentacin de la Sala de Servidores. Este equipo debe estar compuesto por: o o o o o Responsable del equipo de la Sala de Servidores. Responsable de red. Responsable de la parte elctrica. Responsable de Aire acondicionando. Responsable de mantenimiento de servidores.

Los lderes de las diferentes reas de UGTI y el Oficial de Seguridad debern elaborar un listado del personal autorizado para ingresar a la Sala de Servidores. Estrictamente se debe apuntar a las personas que por el rol de sus funciones tiene que ingresar cotidianamente. Este listado deber estar a cargo del Responsable del equipo de la sala de servidores y el Oficial de Seguridad. Las nuevas solicitudes de acceso a la sala de servidores, debern ser evaluadas por el Oficial de Seguridad de la Informacin. Los miembros del equipo de la Sala de Servidores deber entregar al personal autorizado una clave nica, la que le permitir ingresar a la sala de servidores y ser registrada en el Sistema de Control de Accesos. Los miembros del equipo de la Sala de Servidores y el Oficial de Seguridad deber implementar controles para vigilar que el acceso a la sala de servidores sea efectivamente por el personal autorizado. El personal de Soporte Tcnico debern portar un identificativo para realizar el mantenimiento de software o equipo en las diferentes instalaciones de la Universidad. Los tours de visitas a la sala de servidores, deben ser realizadas con la presencia de al menos un personal de UGTI. Factores de ambientales

El equipo de la sala de servidores deber gestionar mantenimiento peridico para: o o UPS`s Aire acondicionado de la sala de servidores

o o

Generador elctrico del edificio de UGTI. Servidores

Se deber prohibir el ingreso de alimentos y bebidas en la sala de servidores. Instalaciones elctricas

Las estaciones de trabajo y a los equipos que son considerados vitales en la Universidad debern estar conectadas a un UPS y a un generador. Previo a la instalacin de equipos informticos en la sala de servidores el rea de Infraestructura de UGTI deber realizar clculos de la carga elctrica requerida en la instalacin, de los tableros de distribucin, as como de los circuitos y conexiones que deben soportar la carga adicional proyectada. Movilizacin de equipos

Debe existir procedimientos formales para la movilizacin o adquisicin de equipo computacionales. Las movilizaciones de equipos computacionales los debern se informadas y autorizados por el personal de Soporte Tcnico. Vigilancia

El personal de vigilancia deber registrar la orden de salida de los equipos para su movilizacin fuera de las instalaciones de la UGTI. Ordenadores porttiles y teletrabajo

Los equipos porttiles usados por los administradores deben ser de propiedad de la UTPL. Los administradores no puede portar informacin sensible de la Universidad en medios extrables como: discos, pen drive, telfonos celulares, etc, fuera de las instalaciones de la Universidad. Los administradores no puede trabajar con equipos porttiles personales ni portar informacin de la Universidad en los mismos.


En caso de existir incumplimiento de la presente Poltica de Seguridad de laInformacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.

POLTICA DE SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES50

CDIGO POL_UGTI_OPERACIONES_v1.0


VERSIN 1.0

PGINAS 132

POLTICA: SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES

RUBRO

NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI

APROBADO POR:


REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN REALIZADO POR: ING. MARITZA RUEDA SOPORTE TCNICO

CONTENIDO 1. 2. 3. 4. GENERALIDADES .......................................................................................................53 OBJETIVO ....................................................................................................................53 ALCANCE ....................................................................................................................53 DESCRIPCIN DE LA POLTICA ................................................................................53CONSIDERACIONES GENERALES........................................................................................................... 53 RESPONSABILIDADES Y PROCEDIMIENTO DE OPERACIN....................................................................... 53 CONTROL DE CAMBIO EN LAS OPERACIONES ........................................................................................ 54 SEPARACIN DE LOS RECURSOS DE DESARROLLO, PRUEBAS Y OPERACIN ............................................ 55 PLANIFICACIN Y ACEPTACIN DEL SISTEMA ......................................................................................... 55 PROTECCIN CONTRA SOFTWARE MALICIOSO ....................................................................................... 56 RESPALDOS ........................................................................................................................................ 56 ADMINISTRACIN DE SERVIDORES ........................................................................................................ 58 GESTIN DE SEGURIDAD EN LA RED ..................................................................................................... 59 Red Interna ................................................................................................................................... 59 Acceso Remoto............................................................................................................................ 60 Red Inalmbrica ............................................................................................................................ 60 Monitoreo ...................................................................................................................................... 61

5.


ET1N05 CONFIGURACIN DE EQUIPOS COMPUTACIONALES......................................63 ET2N05 LNEA BASE DE SERVIDORES ............................................................................64 PLANTILLA ..........................................................................................................................65 SOLICITUD DE INFORMACIN PARA CONFIGURACION DE ALARMAS .........................66 SOLICITUD DE PERMISOS.................................................................................................67 ASIGNACIONES ..................................................................................................................68 PRVEEDORES DE ENLACES .............................................................................................69

25. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:


Fecha Octubre-2010

26. OBJETIVO Asegurar la integridad, confidencialidad y disponibilidad de la informacin en su transmisin y recepcin tanto en una red interna como externa. 27. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 28. DESCRIPCIN DE LA POLTICA

NORMAS Y DISPOSICIONES GENERALES Consideraciones Generales o o Todos los equipos de comunicacin, servidores y aplicaciones debern contar con soporte de direccionamiento Dual Stack (IPv4 e IPv6). IPv6 deber estar habilitado en todos los servicios de la Universidad tanto internos como externos. Responsabilidades y Procedimiento de Operacin o Se documentarn y mantendrn actualizados los procedimientos operativos identificados en esta poltica y sus cambios sern autorizados por el Oficial de

Seguridad. o Los procedimientos especificarn instrucciones para la ejecucin detallada de cada tarea, incluyendo: o o o o o o o o o o o o o o o o Monitoreo de red y servidores Administracin de la W-LAN, LAN y WAN Administracin de equipo de seguridad (Firewall, Switch de Core, IPS y IDS) Administracin de Servidores Administracin de servicios informticos Alta y baja de cuenta de usuario en todos los sistemas Verificacin de accesos Respaldos Mantenimiento de servidores Mantenimiento de equipo computacionales Mantenimiento de equipos de red Manejo de incidentes de seguridad Recuperacin de informacin Control de cambios

En cada uno de los procedimientos se debern especificar cuales son los responsable de realizar las tareas en cada procedimiento. Se deber establecer estndares de configuracin segura para las diferentes plataformas bases como son: servidores (Windows, Linux, Solaris y Aix), equipos de comunicacin de red y bases de datos. Control de Cambio en las Operaciones

o

Se deber cumplir el proceso de control de cambios para cualquier cambio que se requiera realizar en: infraestructura, sistema, configuracin en servidores, WAN, LAN y la incorporacin de nuevos servicios tecnolgicos. Se definirn procedimientos y estndares para cada rea de TI para el control de los cambios en los ambientes operativos y de comunicacin. Todo cambio deber ser evaluado en aspectos tcnicos y de seguridad. El Oficial de Seguridad de Informacin controlar que los cambios en los componentes operativos y de comunicacin no afecten la informacin y seguridad de los mismos. Cada lder tiene la responsabilidad de evaluar el impacto operativo de su rea debido a los cambios previstos y verificar su correcta implementacin. Los procedimientos de control de cambios debern contemplar lo siguiente: o o o Identificacin y registros de cambios significativos. Evaluacin del posible impacto. Evaluacin de riesgos.

o

o

o o

o o o o o o

Aprobacin formal de de los cambios propuestos. Planificacin del proceso de cambios. Pruebas del nuevo escenario. Comunicacin de cambios a todos los involucrados. Identificacin de las responsabilidades por la cancelacin de los cambios fallidos y la recuperacin respecto a los mismos. Regirse a la Poltica (POL_UGTI_CAMBIOS). de Control de Cambios establecida

Separacin de los recursos de desarrollo, pruebas y operacin o Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, estarn separados preferentemente en forma fsica, y se definirn y documentarn las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Para ello, se tendrn en cuenta los siguientes controles: o o o Ejecutar el software de desarrollo y de operaciones, en diferentes ambientes de operaciones, equipos, o directorios. Separar las actividades de desarrollo y prueba, en entornos diferentes. Impedir el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo, cuando no sean indispensables para el funcionamiento del mismo. Utilizar sistemas de autenticacin y autorizacin independientes para los diferentes ambientes, as como perfiles de acceso a los sistemas. Prohibir a los usuarios compartir contraseas en estos sistemas. Las interfaces de los sistemas identificarn claramente a qu instancia se est realizando la conexin. Definir propietarios de la informacin para cada uno de los ambientes de procesamiento existentes. El personal de desarrollo no tendr acceso al ambiente operativo. De ser extrema dicha necesidad, se establecer un procedimiento de emergencia para la autorizacin, documentacin y registro de dichos accesos.

o

o o

o o

Todo servicio deber ser probado y verificado su funcionamiento en un ambiente de pruebas. Los servicios que se estn probando para su operacin tambin debern pasar pruebas de seguridad. Planificacin y aceptacin del sistema

o

Cada lder de las reas UGTI, o el personal que ste designe, efectuar el monitoreo de las necesidades de capacidad de los servicios en operacin y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento adecuados. Para ello tomar en cuenta los nuevos requerimientos de los servicios as como las tendencias actuales y proyectadas en el procesamiento de la informacin de la Universidad para el perodo estipulado de vida til de cada componente.

o

Los lderes informarn las necesidades detectadas a las autoridades competentes para que puedan identificar y evitar potenciales cuellos de botella, que podran plantear una amenaza a la seguridad o a la continuidad del procesamiento, y puedan planificar una adecuada accin correctiva. El equipo de control de cambio debern especificar los criterios de aceptacin para un nuevo sistema o servicio tecnolgico a implementar en la UTPL. Debe considerar los siguientes puntos: o o o o o Verificar el impacto en el desempeo y requerimientos de capacidad en los equipos informticos. Garantizar la recuperacin ante errores. Garantizar la implementacin acorde a las normas de seguridad establecidas. Asegurara que la nueva implementacin no afectaran negativamente a los sistemas existentes. Considerar el efecto en la seguridad de la Universidad con la nueva implementacin. Proteccin contra software malicioso

o

o o

Las reas de Soporte Tcnico, y Calidad, Riesgos y Seguridad debern definir e implementar controles de deteccin y prevencin contra cdigo maliciosos. El equipo de Calidad, riesgos y Seguridad desarrollar procedimientos adecuados para concientizar a los usuarios en materia de seguridad y control de accesos a los sistemas. Estos controles debern considerar las siguientes acciones: o o Prohibir el uso de software no autorizado por la Universidad Instalar y actualizar peridicamente software de deteccin y reparacin de virus, examinado computadoras y medios informticos, como medida precautoria y rutinaria. Mantener los sistemas al da con las ltimas actualizaciones de seguridad disponibles. Revisar peridicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos crticos de la Universidad, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas. Verificar antes de su uso, la presencia de virus en archivos de medios electrnicos de origen incierto, o en archivos recibidos a travs de redes no confiables. Respaldos

o

o o

o

o

Los administradores de los servicios y sus backp debern mantener documentos actualizados de polticas y manuales de administracin, configuracin y manejo del software instalado en los servidores y equipos de comunicacin, y usuarios finales para la adecuada administracin de los mismos. Estos documentos debern especificar:

o o o o o o

fecha de creacin versin del documento cambios efectuados datos informativos de la persona que los elabor aprobacin

Infraestructura de TI debe proveer al los administradores de servicios un sistema de respaldos como: CDs, cintas, servidor de respaldos o cualquier otro medio de almacenamiento. Los administradores de los servicios debern respaldar el cdigo, datos, base de datos, configuraciones antes de aplicar cualquier cambio. Solo los administradores de los servidores y sus backup tiene acceso al lugar de almacenamiento de los respaldos dentro de la Universidad o fuera de ella. Se deber tener un lugar alterno para guardar los respaldos fsicamente, este lugar debe estar fuera de las instalaciones del edificio de la UGTI. El lugar alterno de respaldos deber contar con la infraestructura, medidas de seguridad y ambientales necesarias para mantener una adecuada organizacin y clasificacin de las copias de respaldos. Cada administrador deber priorizar la informacin segn su nivel de importancia, (aplicando los tems mencionados en la Poltica de Gestin de Activos POL_UGTI_GESTION-ACTIVOS), y su comportamiento para determinar la frecuencia de respaldos. Se deber trasladar de manera inmediata los respaldos residentes en el disco del computador del administrador a dispositivos secundarios como CDs, cintas, o cualquier otro tipo de almacenamiento en forma inmediata luego de haber realizado esta tarea. La copia de respaldos si tuviere un uso excesivo deber reemplazarse peridicamente, antes de que el mismo medio magntico de almacenamiento que la contiene llegue a deteriorarse. Al momento en que los medio de respaldos (cintas magnticas, CDs, etc) deban desecharse, estos debern ser destruidos de forma segura para evitar copias o recuperacin de la informacin almacenada. Los administradores de los servicios y sus backup debern verificar el funcionamiento de los medio de almacenamiento antes de realizar el respaldo. Las copias de respaldo debern conservase en armarios de acceso restringido. El administrador principal y su backup debern realizar pruebas peridicas para verificar la validez y funcionalidad de las mismas. Toda la informacin respaldada ser clasificada y etiquetada. En su medio de almacenamiento debe incluir: nombre del archivo, versin, aplicacin o sistema al que pertenece la informacin, fecha de respaldo, persona que hizo el respaldo, ubicacin fsica para su almacenamiento. Los administradores de los servicios debern llevar un registro de la informacin respaldada para su fcil localizacin. Se deber manejar polticas y procedimientos para la administracin, generacin y

o o o o

o

o

o

o

o o o o

o o

pruebas de respaldos de informacin. Administracin de Servidores o o El responsable de cada dependencia de la UTPL, donde se administren servidores, debe asignar un administrador principal y de bakcup para los equipos. Los administradores son los responsables de establecer el manual de administracin y configuracin de sus servicios, y solicitar y documentar los permisos que son necesarios para el funcionamiento del servicio. Cuando se implemente un nuevo servicio en produccin, el administrador tiene la responsabilidad de solicitar al rea de Calidad, Riesgos y Seguridad un Reporte de vulnerabilidades de equipo. El rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL debe realizar escaneo de vulnerabilidades a los servidores de la Universidad y este debe entregar el reporte respectivo a cada administrador. El administrador y su backup debe dar respuesta a este reporte con un informe de los huecos de seguridad arreglados. Se debe establecer una lnea base del comportamiento de los servidores y equipos de comunicacin para su monitorizacin. Todos los servidores y equipos de comunicacin deben estar monitoreados por el administrador de la red. Como mnimo deben monitorearse: o o o o o o Disponibilidad del Servicio que presta el servidor Disco Procesador Memoria

o

o

o o o

Los informes de monitoreo deben ser enviados al administrador del servicio cada mes o cuando se presente una situacin anormal en el mismo. Para el monitoreo de la integridad del sistema de archivos de los servidores se debe instalar un HIDS (Sistema de Deteccin de Intrusos de Host). Se puede utilizar osiris para Windows y Linux. El administrador de la LAN conjuntamente con el administrador de cada servidor deben planificar cada 6 meses una depuracin de permisos de red tanto de intranet como de internet para los servidores que administran. La solicitud de permisos de red hacia los servidores deben ser solicitados por el administrador o el backup del mismo. Los administradores de servidores deben como mnimo configurar sus servidores bajo el estndar tcnico establecido (ver estndar: Lnea base de servidores) El administrador de servidores debe informar al administrador del antivirus la presencia de cdigo malicioso que no es detectado por el antivirus de la institucin. El administrador del antivirus debe reportar lo antes mencionado al proveedor de antivirus y dar un plan de accin al administrador. Todos los servidores en produccin deben estar en una de las vlans de servidores internos o externos (DMZ Zona Desmilitarizada). En caso de que no sea posible esto, el administrador de servidores se responsabiliza por la seguridad del mismo.

o

o o o

o

o

Los servidores internos no podrn ser accedidos desde una red externa como Internet. En caso de ser estrictamente necesario este acceso se lo realizar a travs de un mecanismo seguro como una red privada virtual o un canal dedicado. El administrador debe revisar peridicamente los log de auditora de su servidor. Cuando existan un cambio de administradores, se debe realizar la capacitacin respectiva al nuevo administrador y se debe realizar la entrega de manuales de administracin y configuracin. Adems, el nuevo administrador debe proceder a realizar el cambio de claves de los usuarios de administracin, eliminar usuarios personales del anterior administrador y depuracin de permisos. En los servidores de pruebas se debe implementar todos los puntos anteriores de esta seccin. Gestin de Seguridad en la red Red Interna

o o

o

o o

El rea de Infraestructura de TI deber establecer estndares para el etiquetad y cableado estructurado de voz y datos. El rea de Infraestructura deber establecer estndares de configuracin para los dispositivos de red (firewall, router, switch) con los niveles de seguridad definidos para cada servicio. El rea de Soporte Tcnico deber configurar los nuevos equipos computacionales bajo el estndar establecido (ver estndar: Configuracin de equipos computacionales). No est permitido el uso de mdems en PCs que tengan tambin conexin a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a travs de la LAN de la Universidad y las autorizaciones por parte del administrador, con el fin de prevenir la intrusin de hackers. Toda estacin de trabajo deber estar asociado a una vlan dependiendo de sus funciones. En los segmentos de red de servidores internos y externos se debe establecer obligatoriamente Listas de Control de Accesos (ACLs) tomando en cuenta el principio del mnimo privilegio. Si un usuario final necesita acceder a servicios externos de la UTPL que se encuentran restringidas (como ftp, vpns, escritorio remoto, etc), este debe realizar la solicitud por medio de correo electrnico a [email protected] (ver plantilla: Solicitud de Permisos). El personal Soporte Tcnico sern encargado de: primeramente validar la necesidad de lo solicitado y realizar la asignacin del permiso en caso de que se requiera. Si un administrador de servicios necesita permisos adicionales a los ya establecidos en sus servidores, el nico personal autorizado para solicitarlos es el administrador del servicio o su backup. Ellos debern por medio de correo electrnico a [email protected] solicitar el permiso (ver plantilla: Solicitud de Permisos). Estas solicitudes debern ser atendidas por el administrador de la LAN o su backup, quienes son los nicos autorizados para asignar permiso de servidores. El administrador de la Red LAN debe tener documentado la asignacin de IPs

o

o

o o

o

o

o

pblicas a los servidores, equipos computacionales y de red, tomando en cuenta: o o o o o Justificacin del uso de la IP pblica Vigencia de la asignacin de la IP pblica Permisos asignados a dicha IP pblica Justificacin de los permisos asignados

El Oficial de Seguridad deber revisar cada tres meses la documentacin de IPs Publicas asignadas y sus permisos asociados. Acceso Remoto

o o

Los accesos remotos a sistemas informticos de uso interno deben estar debidamente autorizados por el administrador del sistema y el Oficial de Seguridad. Se debe permitir acceso remoto (desde la red externa) a los servidores, solamente a personal autorizado e identificados dentro de la UTPL como son administrador y backup de un determinado servicio. Para el acceso remoto a los servidores se debe utilizar protocolos seguros como SSH V2 para servidores Linux, Solaris, AIX, WMWare ESX, Roocks y MAC y mstsc para servidores Windows. Para la administracin remota de los servidores mediante aplicaciones Web, se deber obligatoriamente habilitar SSL en la aplicacin web (HTTPS). En caso de ser necesario el acceso de terceros a la administracin de un determinado servidor, el administrador de dicho servidor y el Oficial de Seguridad son los responsables de autorizar el acceso. Las conexiones externas remotas deben ser autorizadas por el Oficial de Seguridad. Las conexiones externas remotas se las debe establecer por medio del servicio de VPN (cisco o/y utpl-explorer). Red Inalmbrica

o

o o

o o

o o

Infraestructura de TI deber establecer los Manuales de Configuraciones para Access Point. El administrador de la red inalmbrica deber desarrolla un Manual para usuario final en el que se presente paso a paso como unirse a la red inalmbrica y los posibles problemas que puedan haber. Las redes WLAN deben ser asignadas a una subred dedicada y no compartidas con una red LAN. La red WLAN es considerada insegura, por lo que todo el trfico entre ella y la red corporativa debe ser filtrada. Estos filtrados deben ser aplicados principalmente a la red de servidores, por lo que no se permitir la administracin de servidores desde la red inalmbrica. El acceso a la administracin de los Accesos Point ya sea por ssh o via web deben ser permitida solo al personal autorizado. El Access Point deber estar configurado obligatoriamente con una clave segura (ver estndar: Creacin de contraseas para usuarios) mediante el mecanismo de acceso

o o

o o

WPA (Wi-Fi Protected Access) para las red inalmbricas de uso especifico como son: o o o o o o o o o Gubernativo Valle de Tecnologa UGTI OUI Video Conferencia Salas de Reuniones de Abierta

Las claves de las redes inalmbricas protegidas podrn ser cambiados por peticin de un representante del departamento al que pertenece la red. El administrador de la red inalmbrica deber cambiar las claves de acceso a la red cada 3 meses e informarle a cada departamento. Realizar inspecciones fsicas peridicas y emplear herramientas de gestin de red para revisar la red rutinariamente y detectar la presencia de puntos de acceso no autorizados. La instalacin de un Access Point sin autenticacin deber ser solicitada al lder de Infraestructura de TI. Conjuntamente con el Oficial de Seguridad el lder de Infraestructura de TI deber evaluar los riesgos a los que est expuesta la informacin que va a fluir en este canal inseguro. Si el riesgo es aceptable el administrador de la WLAN proceder a instalar el Access Point sin autenticacin, caso contrario se habilitar la autenticacin. Monitoreo

o

o

El administrador de la red deber estar monitoreando: o o Los equipos activos de red Los enlaces de: Internet, centros regionales o asociados, videoconferencia y voz sobre IP.

o

Cada administrador de los servicios y equipos activos deber proporcionar al administrador de la red la informacin que se solicite en la plantilla Configuracin de Alarmas (ver anexo: Plantillas: Solicitud de Informacin para Configuracin de Alarmas) para ser registrado en el monitoreo y aviso de alarmas que ofrece las herramientas de monitoreo. El administrador de la red deber configurar en la herramienta de monitoreo que los avisos de alarmas llegue por correo electrnico o SMS. Los tipos de alarmas que se debern configurar son los siguientes: o o o o Ping: saturacin Traps: anomalas Host down: prdida de conectividad Almacenamiento: almacenamiento saturado

o o

o

El monitoreo deber ser habilitado las 24 horas x 7 das por los enlaces, equipos activos y servidores.

o o

El administrador de la red deber evaluar la capacidad de los enlaces semestralmente, con los administradores de las aplicaciones involucradas. El administrador de la red deber contactarse inmediatamente con el proveedor del servicio cuando haya prdida de enlace (ver anexo: Asignaciones: Proveedores de Enlaces) El servicios de snmp (Protocolo Simple de Administracin de Red) debe estar habilitado en los dispositivos de comunicacin para su monitoreo, el acceso a este servicio debe ser solo para el servidor del NOC. Cuando en un dispositivo de comunicacin deba habilitarse el servicio de snmp, se deber considerar lo siguiente: o o o Utilizar snmp versin 3 El nombre del community no puede ser fcil de adivinar como: public, private, utpl. El community debe ser una palabra robusta. En el caso de monitoreo se debe habilitar un community solo para lectura. En caso que se requiera utilizar snmp para la administracin se debe crear otro community para esta funcin, de igual manera debe ser una palabra robusta y difcil de adivinar. Se debe habilitar listas de acceso en los dispositivos de comunicacin a monitorear para que el servidor de NOC pueda acceder al servicio de snmp.

o

o

o


o En caso de existir incumplimiento de la presente Poltica de Seguridad de laInformacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.

ET1N05 Configuraci n de equipos computacionales Instalacin y c onf iguracin de bsica de equipos computacionales

Instalacin del sistema operativo con lt imo Ser vicesPack o Excepcin: aplicaciones que no son soport ada por el ltimo Ser vicesPack Instalacin de drives de audio, video, y r ed Instalaci n de Antivirus y su actualizaci n Instalacin de s of tware bsico o Microsof t off ice o Adobe Prof esional o W inzip o W inrar Activacin de Fir ewall Activacin de IPv4 y IPV6 Conf iguracin de n ombre del equipo y nombre de dominio ( ver estndar: Nombre de equipo y grupo de tr abajo) Conf iguracin de z ona horar io (Bogot -Lima-Quito GT+5) Conf iguraci n del pr oxy en caso de ser necesar io Conf iguracin del Nombre de equipo (Ejemplo: oct -sa2-001) compuest o por: o Edif icio o Centro o Departamento o Nmero Conf iguracin del Grupo de trabajo: utpl.edu.ec

ET2N05 L nea base de servi dores Instalacin y c onf iguracin de bsica de ser vidores

Instalacin del sist ema operativo con la ltima actual izacin del sistemas Instalaci n de Antivirus y su actualizaci n Activacin y conf iguracin de Firewall Conf iguracin de n ombre del equipo Conf iguracin estt ica de red Conf iguracin de z ona horar io (Bogot -Lima-Quito GT+5) Desinstalacin de sof tware y se r vicios innecesarios Eliminacin de archivos de instalacin Eliminacin de cuent as por def ecto Cambiar el nombre el nombre del usuar io de administracin Establecer contrasea segura para las cuentas adm inistracin segn estndar Creacin de contraseas par a administracin ( Poltica de Control de Accesos Lgicos POL_UGTI_ACCESOS) Documentar los servicios levantados en el equipo y el sof tware instalado

PLANTILLA

SOLICI TUD DE INFORM ACIN P AR A CONFIGUR ACION DE AL ARM AS

D ATO S GENER ALES Administrador Principal

Fecha: ____ _________

Nombres Completos: __________________________________ Direccin de correo electrnico: _________________________ Nmero de Telf ono Mvil: _____________________________ Administrador Backup Nombres Completos: _________ _________________________ Direccin de correo electrnico: _________________________ Nmero de Telf ono Mvil: _____________________________

SERVIDOR Direccin IP Interna Direccin IP Ext erna

SERVICIOS A MONI TO RE AR Servicios a monitorear Puertos Tipo de Al arma

SOLICI TUD DE PERMISOS ############################################################## ## FORMATO DE SOLICITUD DE PERMISOS - SEGURI DAD UTPL ## ##############################################################

* NOMBRE DEL R ESPONSABLE: .. * JUSTIFICACION: .. .. * PERIODO DE TIEMPO: * DESCRIPCIN: IP ORIGEN . IP DESTINO ... PUERTO .

ASIGNACIONES

PRVEEDORES DE ENL ACES ENL ACE Terrestre Terrestre Terrestre Terrestre Satelital PROVEEDOR CEDIA GLOBALCROSSING TELCONET TELCONECT -LOJA GLOBALCROSSING CONTACTO Claudio Chacn Patricio Andrade Gustavo Alarcn Ef rain Encarnacin Patricio Andrade TELEFNICO 074051000 - 093790347 024004040 - 093463800 084974981 072585848 - 099277981 024004040 093463800

POLTICA DE CONTROL ACCESOS LGICOS

70

CDIGO POL_UGTI_ACCESOS_v1.0


VERSIN 1.0

PGINAS 132

POLTICA: CONTROL DE ACCESOS LGICOS

RUBRO

NOMBRE - CARGOING. MARA PAULA ESPINOZA DIRECTORA DE UGTI

APROBADO POR:


REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO

CONTENIDO 1. 2. 3. 4. 5. GENERALIDADES .......................................................................................................73 OBJETIVO ....................................................................................................................73 ALCANCE ....................................................................................................................73 RESPONSABILIDADES ...............................................................................................73 DESCRIPCIN DE LA POLTICA ................................................................................74CONSIDERACIONES GENERALES........................................................................................................... 74 CREACIN DE USUARIOS ..................................................................................................................... 75 GESTIN DE ACCESOS DE USUARIOS ................................................................................................... 75 Registro de usuarios ..................................................................................................................... 75 Gestin de privilegios ................................................................................................................... 75 Seguimiento y Auditoria ................................................................................................................ 76 Gestin de contraseas de usuario .............................................................................................. 76 Revisin de los derechos de acceso de los usuarios ................................................................... 76

6.

CONSECUENCIAS Y SANCIONES .............................................................................77

ET1N04 CREACIN DE CONTRASEAS PARA USUARIOS FINALES DE SISTEMAS O APLICACIONES ...................................................................................................................78 ET2N04 CREACIN DE CONTRASEAS PARA ADMINISTRACIN ................................79

30. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Noviembre- 2010 1.0 documento:

REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Julia Pineda Creacin del 1.0 Documento Maritza Rueda 31. OBJETIVO

Fecha Noviembre- 2010

Proteger la informacin institucional, normando el acceso a travs de los sistemas informticos, considerando: perfiles, permisos, cuentas, contraseas y protectores de pantalla.

32. ALCANCE Las normas definidas en esta poltica cubren toda la informacin que se encuentra almacenada y gestionada en activos tecnolgicos. Su cumplimiento es de carcter obligatorio para quienes necesitan hacer uso de a la misma.

33. RESPONSABILIDADES El Oficial de Seguridad Informacin estar a cargo de: o o o Definir normas y procedimientos para: la gestin de accesos a todos los sistemas, bases de datos y servicios de informacin. Definir pautas de utilizacin de los activos de informacin institucionales para los usuarios del rea de TI. Participar en el comit de control de cambios y aprobar o rechazar un cambio luego de poseer un informe de impacto de las reas involucradas en el cambio. Verificar el cumplimiento del procedimiento de control de cambios Verificar el cumplimiento de las pautas establecidas, relacionadas con control de accesos, registro de usuarios, administracin de privilegios, administracin de contraseas, utilizacin de servicios de red, proteccin

o o

de puertos, subdivisin de redes, control de conexiones a la red, etc. o Autorizar el acceso remoto a la administracin de servicios crticos de la UTPL y a datos sensibles, verificando que se adopten todas las medidas que correspondan en materia de seguridad de la informacin, de modo de cumplir con las normas vigentes.

Los administradores de los servicios junto con el rea de Calidad, Riegos y Seguridad estarn encargados de identificar los riesgos a los cuales se expone la informacin con el objeto de: o o Definir el plan de accin que permita mitigar los riesgos encontrados en: los controles de accesos y autenticacin. Definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisin de los mismos.

El rea de Calidad, Riesgos y Seguridad o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin, realizarn auditorias peridicas a los sistemas, los mismo que tendrn acceso a los registros de eventos a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. El Direccin General de Recursos Humanos se encargar de: o Notificar va correo electrnico al Oficial de Seguridad el cambio de rol, o la salida o ingreso de un empleado para que los administradores de los servicios procedan a eliminar/crear inmediatamente accesos y permisos a los sistemas informticos. Emitir un reporte mensual al Oficial de Seguridad en el que se detalle t

politica ejemplo

Documents