Manual de Políticas y Procedimientos de Riesgo Tecnológico

¿De que trata este manual?    Guia de contribución    Manual de politicas y riesgos tecnologicos   

_{Soló Manual Políticas tienes que escribir para ir aquí. Echa un vistazo a web y sigueme en Twitter.}

Universidad Nacional Autónoma de Honduras

UNAH-VS

Administración Pública y Política informática

Manual elaborado para fines de conocer las distintas normas que podemos encontrar y appcar para buenas prácticas.

---

• Contenido
  • Objetivos
  • Introducción Del Uso De Internet
  • Del Antivirus
  • De Los Accesos
  • Bitácoras
  • Cifrado
  • Contraseñas
  • Control De Respaldo
  • Correo Electrónico
  • Parches
  • Separación De Ambientes
  • Plan De Continuidad
  • Redes Y Equipos De Comunicaciones
  • Estaciones De Trabajo
  • Servidores
  • Tercerización
  • Información Sensitiva
  • Seguridad En Centros De Cómputo
  • Contribuir
  • Compartir
  • Contacto

---

Objetivos

Los Objetivos del Manual de Políticas y Procedimientos de Riesgo Tecnológico, son los siguientes:

• Crear y definir las políticas generales y específicas que faciliten la ejecución de las actividades de tecnología de la información en las diferentes áreas de la Institución.
• Promover el uso adecuado de los recursos humanos, materiales y activos tecnológicos adecuados.
• Normar los procesos de información con la finalidad de mejorar el rendimiento de la empresa.
• Establecer las políticas para resguardo y garantía de acceso apropiado de la información.
• Incorporar medidas de seguridad en los sistemas de información desde su desarrollo e implementación y durante su mantenimiento, con el fin de reducir los riesgos de error humano y sucesos de origen natural.

Introducción Del Uso De Internet

Propósito

El uso del internet se ha vuelto una herramienta de trabajo indispensable para las empresas, ya que permite realizar gestiones administrativas, tales como:

• Video conferencias
• Correos a los clientes y proveedores
• Publicidad

Se establece el uso del internet para mejorar la navegación de los usuarios que tienen acceso a las aplicaciones y páginas web que se utilizan para lograr funciones dentro de la empresa que implica poder cumplir objetivos y metas dentro de la misma.

Establecer límites en torno al uso del mismo.

Normas Y Controles

En la empresa el encargado de controlar el tráfico de red es el área IT quienes aplican normas para tener estándares internacionales y así poder estar avalados en los procesos y funciones que deben cumplir en la empresa.

El personal de IT estará constantemente revisando el contenido que el usuario visita para verificar que se esté cumpliendo el reglamento interno y evitar que se registre cualquier amenaza a la seguridad de la empresa conocido como Cyber Security.

Prohibiciones

Dentro de la empresa se prohíbe:

• Visualizar contenido pornográfico, visualizar contenido que vaya en contra del reglamento interno y valores de la empresa.
• Compartir material confidencial, secretos comerciales o información propietaria fuera de la empresa.
• El uso de mensajería, blogs, foros y sitios de ocio no está permitido porque es una distracción dentro de las empresas que tienen funciones específicas.
• Descargar contenidos que no esté autorizados por la empresa como ser películas, música y videos.

Procedimientos

El departamento de IT se encargara de preparar la red para poder utilizarla dentro de la empresa, debe contener todas las medidas de seguridad adecuadas para evitar una falla en el sistema debe tener:

• Firewall
• Antivirus
• Antimalware
• Parches de seguridad

Esto para la conexión que la haga segura para los usuarios de la misma.

Herramientas

• Bloc notas
• Verity Parental Control Software
• Secure kids

---

Del Antivirus

Propósito

Programas cuyo objetivo es detectar o eliminar virus informáticos. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los mismos.

Actualmente son capaces de reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, etc.

Normas Y Controles

ISO 27001 se encarga de establecer un Sistema de Gestión de Seguridad de la Información, y entre los aspectos que abarca esta materia podemos encontrar la protección contra el código malicioso, las copias de seguridad, la gestión de la seguridad de las redes y la gestión de soporte### Prohibiciones El Personal Usuario, no debe bajo ninguna circunstancia tratar de eliminar instrucciones maliciosas de los equipos y/o sistemas conectados a la red del Ministerio, por sus propios medios.

Ante la mera sospecha de la existencia de una instrucción maliciosa en los sistemas del Ministerio, el usuario debe proceder inmediatamente a hacer uso de los canales formalmente aprobados para hacer el respectivo reporte, ante el Encargado de Seguridad.

Procedimientos

• Definir una política que dé cumplimiento a las licencias de software y que prohíba la instalación de software malicioso no autorizado.
• Establecer un control de acceso a la información.
• Concienciación y formación del personal.Realizar revisiones periódicas.Instalar y actualizar un sistema de antivirus e instaurar una política - para utilizarlo con los ficheros adjuntos en un correo electrónico o con los que descargamos.
• Crear procedimientos para usar el antivirus, dar formación para su uso y para afrontar ataques.
• Disponer de un software espía, que se encargue de rastrear el trabajo que se realiza, y envíe dicha información a alguien externo.

Herramientas

• AVG
• Symantec Norton Security Deluxe
• Kaspersky Anti-Virus
• ESET NOD32 Antivirus
• Avast Free Antivirus

---

De Los Accesos

Propósito

El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de restricciones y excepciones a la información como base de todo Sistema de Seguridad de la Información.

Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información según la norma ISO 27002 se deberán implantar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar de forma clara en los documentos, los comunicados y controlarlos en cuanto a su cumplimiento.

Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de los derechos de todos los usuarios que ya no requieren el acceso.

La cooperación de todos los usuarios es esencial para la eficiencia de la seguridad, por lo que es necesario que se conciencie sobre las responsabilidades que tiene el mantenimiento de los controles de acceso eficientes, en particular aquellos que se relacionan con la utilización de las contraseñas y la seguridad del equipamiento.

Normas Y Controles

• Es necesario establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos, datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de los activos no autorizadas.

• Es necesario que se asegure todos los soportes y la información en tránsito no solo físico sino electrónico. Es necesario que se cifren todos los datos sensibles o valiosos antes de ser transportados.

• Restricción del acceso a la información

• Es necesario que se restrinjan los accesos de los usuarios y el personal de mantenimiento a la información y funciones de los diferentes sistemas de aplicación, en relación con la política de control de accesos definidos.

• Procedimientos seguros de inicio de sesión

• Cuando sea requerido por la política de control de accesos se debe controlar el acceso a los sistemas y las aplicaciones mediante un procedimiento seguro.

• Gestión de contraseñas de usuario

• Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar contraseñas de calidad.

• Uso de herramientas de administración de sistemas

• La utilización de un software que pueden ser capaces de anular o evitar controles en aplicaciones y los sistemas deben estar restringidos y estrechamente controlados.

• Control de acceso al código fuente de los programas Es necesario restringir el acceso al código fuente de las aplicaciones del software.

Prohibiciones

Ninguna persona podrá obligar a otra a proporcionar datos personales que puedan originar discriminación o causar daños o riesgos patrimoniales o morales de las personas.

• Restricción del acceso a la información

• Es necesario que se restrinjan los accesos de los usuarios y el personal de mantenimiento a la información y funciones de los diferentes sistemas de aplicación, en relación con la política de control de accesos definidos

Procedimientos

• Procedimientos seguros de inicio de sesión

• Cuando sea requerido por la política de control de accesos se debe controlar el acceso a los sistemas y las aplicaciones mediante un procedimiento seguro.

• Gestión de contraseñas de usuario

• Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar contraseñas de calidad.

Herramientas

---

Bitácoras

Propósito

Es un registro en el que se anotan de forma cronológica todas las actividades que se deben o se llevan a cabo en torno de un proyecto; las soluciones, avances, observaciones, posibles obstáculos, resultados y toda información que sea conveniente registrar en la bitácora.

Normas Y Controles

Una hoja de control debe contener toda la información necesaria para el uso correcto, lo siguiente descrito es lo que mayormente debe llevar para obtener la información más importante.

• Fecha y hora.

• Direcciones IP origen y destino.

• Dirección IP que genera la bitácora.

• Usuarios.

• Errores.

Prohibiciones

Totalmente prohibido publicar la información contenida en la hoja de control que lleva el personal IT ya que es información confidencial que cada empresa contiene, se puede publicar, pero con permiso de los jefes superiores para evitar un problema mayor.

Procedimientos

Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya que están teniendo mucha relevancia, como evidencia en aspectos legales.

El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras, es importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para mantener un control de las mismas.

Las Herramientas de análisis de bitácoras más conocidas son las siguientes:

• Para UNIX, Logcheck, SWATCH.

• Para Windows, LogAgent.

Herramientas

---

Cifrado

Propósito

Se emplea el cifrado para la protección de la privacidad, identidad e integridad de los datos, así como seguridad al enviar información por redes abiertas.

Es el proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto. Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes.

Normas Y Controles

• Contar con un dispositivo con información confidencial que se encuentre fuera de la organización.

• La información criptográfica en tránsito debe incluir toda la información en procesos de distribución de claves o de copia de seguridad y el traslado a localizaciones diferentes del lugar de operación.

Prohibiciones

• El uso de herramientas de criptografía está prohibido o restringido en algunos países, se requiere una autorización previa del gobierno para usar, importar o exportar herramientas de cifrado.

• Si se detecta un fallo en la protección de la seguridad de la información criptográfica en tránsito:

  • No emplear la información recibida.

  • Reintentar la operación con un número máximo de 3 veces.

  • Generar una incidencia, con la entidad de certificación participante.

Procedimientos

Los dos escenarios de protección en los que puedes aplicar cifrados son dos:

• Cifrado en tránsito: asegura la privacidad de los datos mientras son transmitidos por la red.

• Cifrado local: asegura la privacidad de los datos locales.

Herramientas

• AxCrypt
• TrueCrypt
• CloudFogger
• CamouFlage
• VeraCrypt

---

Contraseñas

Propósito

Las contraseñas es un código secreto que el usuario utiliza para resguardar el acceso a información secreta. Las contraseñas pueden estar creadas de letras, números y caracteres para mayor seguridad del usuario.

Normas Y Controles

• Para mayor seguridad los usuarios deberán contar con una contraseña de 8 caracteres o más.

• Las contraseñas estarán constituidas de dígitos, letras y caracteres especiales.

• Usar contraseñas diferentes para cada dispositivo de acceso.

• Para acceder a archivos secretos es preferible utilizar ordenadores o dispositivos de confianza.

• Requerir otro tipo de acceso luego de ingresar su contraseña se puede poner una pregunta para lograr acceder.

Prohibiciones

• No se debe utilizar la misma contraseña en todos los sistemas o servicios de acceso.

• El usuario no debe crear una contraseña con datos personas que tengan ver con el mismo, familiares o amigos cercanos.

• No se debe usar una secuencia básica de teclado (Ej.: 12345 o cvbnm).

• No repetir los mismos caracteres en las contraseñas (Ej.: 1111113333)

• No compartir su contraseña con familiares, amigos o compañeros de trabajo; se tomará acciones disciplinarias.

• No enviar nunca la contraseña por correo electrónico o en un SMS de ser así estará sujeto a acciones disciplinarias o legales.

• Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes.

• El usuario deberá actualizar su contraseña cuando le sea indicado.

Procedimientos

Las contraseñas serán dadas inicialmente por la persona encargada de dicho procedimiento. Los usuarios recibirán la instrucción de cambiar sus contraseñas siempre que el sistema lo permita. Al momento de cambiar su contraseña deberá tomar en cuenta las normas y prohibiciones.

Herramientas

• Password Generator Online

---

Control De Respaldo

Propósito

El respaldo de información consiste en realizar un duplicado de ésta, llamado también copia de seguridad o backup. Estas copias pueden realizarse de forma manual, en las que el usuario determina la información y periodicidad para llevar a cabo el respaldo, o bien establecerlo automáticamente mediante herramientas de software

ISO-27001 E 27002: Disminuir las fallas del sistema, se necesita planear y preparar de forma garantizada las cualidades y desempeño para un buen servicio y es necesario proyectar el futuro para disminuir los riesgos excesivos del sistema.

Normas Y Controles

• Definir el nivel necesario de información de respaldo.

• Realizar copias seguras y completas de la información. Y establecer los procedimientos de restauración.

• Determinar el grado (completo o parcial) y la frecuencia de los respaldos en correspondencia con los requisitos de la entidad, los requisitos de seguridad de la información implicada, y la importancia de la información permita, la operación continua de la organización

• Precisar las copias que deben ser almacenadas en un área apartada del lugar habitual de procesamiento de la información que se preserva, a una suficiente distancia para la salvaguarda de cualquier daño producto de un desastre en el sitio principal

• Comprobar regularmente los soportes de respaldo para verificar que se puede confiarse en ellos para el uso cuando sean necesarios

• Comprobar regular los procedimientos de restauración para asegurar que son eficaces y pueden ser utilizados dentro del tiempo asignado en los procedimientos de recuperación

• Proteger los respaldos por medio del cifrado en los casos que se requiera

Prohibiciones

• No hagas copias piratas de software importante. Aún si lo puedes hacer, quizás no funcione, y podrías meterte en serios problemas legales. Contacta con tu proveedor de software si no conoces tus opciones.

Procedimientos

• Autenticación. Aplicación de técnicas de autenticación y anti-sproofing.

• Autorización. Aplicación de privilegios en base a las funciones y responsabilidades en lugar de dar acceso administrativo completo. Cuando estén disponibles, uso de capacidades administrativas basadas en funciones de aplicaciones de gestión del almacenamiento, especialmente backup.

• Cifrado. Todos los datos confidenciales deben estar cifrados cuando se almacenen o copien. Además, todos los datos de interfaz de gestión transmitidos a través de cualquier red que no sea privada deben estar cifrados. Los datos confidenciales se definen como la información que contiene datos personales o secretos comerciales.

• Auditoría. Deben mantenerse los registros de las operaciones administrativas de cualquier usuario para garantizar la rastreabilidad y responsabilidad.

Herramientas

• EaseUs Todo
• Comodo Backup
• Aomie Backupper Standard
• Areca Backup
• Cobian Backup

---

Correo Electrónico

Propósito

La importancia de tener una cuenta de correo electrónico radica en facilitar un medio digital de contacto continuo con todo aquel que lo requiera. El correo en la empresa es importante ya que es la forma más sencilla de compartir información con los demás miembros de una empresa u organización. De esta manera tanto las empresas y profesionales como sus clientes reducen los gastos en correo, faxes y llamadas telefónicas a sólo lo imprescindible.

Un trabajador recibe entre 60 y 200 emails al día, y envía más de 25. Gran parte de la comunicación en una empresa se realiza a través del correo.

El correo electrónico es una herramienta que de momento no tiene sustituto natural. En todas las empresas existe tendencia a subestimar la importancia del mismo, pero lo cierto es que cuando hay problemas todos se quejan, por lo tanto es muy importante para ellos.

Normas Y Controles

La utilización del correo electrónico como medio de transmisión de información

Por parte de los agentes y funcionarios de la APP debe favorecerse, teniendo en cuenta sus notorias ventajas sobre los medios tradicionales (economía, rapidez, eficiencia y confiabilidad). El uso del correo electrónico resulta el más apropiado cuando el usuario:

• No tiene urgencias en recibir una respuesta.

• Desea enviar el mensaje a más de un receptor o a receptores en distintas ubicaciones geográficas.

• Necesita información específica sobre determinados temas.

• Necesita dejar evidencia escrita respecto de los mensajes transmitidos.

Prohibiciones

• Utilizar el sistema de correo electrónico exclusivamente para fines relativos a su función, evitando la transmisión de mensajes personales.

• Tomar conciencia que son responsables de todo mensaje que envíen y reciban utilizando los recursos del organismo. Estos deben ser explícitos y concisos, escritos en un tono amable y utilizando un lenguaje adecuado, que no exceda los límites de la moral y las buenas costumbres o la ley.

• Identificar todo mensaje enviado con su nombre, función y organismo a que representan.

• Evitar transmitir o almacenar información considerada confidencial. Solamente podrá transmitirse si se utiliza un medio de encriptación seguro.

• Evitar en todos los casos la divulgación de sus claves o passwords personales.

• Verificar diariamente sus casillas electrónicas, evitando la acumulación de mensajes en ellas.

• Tener en cuenta que al utilizar las direcciones de correo electrónico del gobierno están actuando en su representación. Si las opiniones que expresan son a título personal, deben aclarar que esa no es la posición oficial del gobierno.

Procedimientos

• Se debe contar con un procedimiento formalizado para mantener comunicaciones electrónicas con los clientes.

• La institución podrá hacer llegar a sus clientes, por medio de correo electrónico o por su sitio de Internet, las notificaciones que sus políticas o normas de revelación de información le permitan, así como cualquier otra información relacionada a las obligaciones de confidencialidad.

• La transmisión de correo de la institución hacia el cliente deberá hacerse a través de un ambiente seguro, tomando las medidas apropiadas que protejan la confidencialidad de la información.

Herramientas

• Gmail
• Yahoo
• Outlook
• Aol mail

---

Parches

Propósito

Programa que se encarga de modificar o hacer cambios a una aplicación y se utilizan para los siguientes fines:

• Proporcionar correcciones de errores

• Proporcionar nuevas funcionalidades

• Proporcionar nuevo soporte de hardware

• Proporcionar mejoras de rendimiento y mejoras para las utilidades existentes

Los parches suelen ser desarrollados por programadores ajenos a los autores iniciales del proyecto, esto no siempre es así. Un parche puede ser aplicado tanto a un binario ejecutable como al código fuente de cualquier tipo de programa, incluso, un sistema operativo.

Normas Y Controles

• Desconectar el servidor de la red, o mantenerlo solo conectado a una red segura mientras que los parches se copian e instalan.

• Los parches deberían de probarse antes de aplicarse especialmente en servidores de producción. Para ellos, se debe disponer de un entorno de prueba idéntico al de producción donde chequear que el parche no genera problemas adicionales

• Comprobar si hay licencias caducadas A medida que más productos de software vienen configurados para la aplicación de parches de forma automática, se ha hecho más fácil para los administradores dejarse seducir por una falsa sensación de seguridad. Como tal, las pymes harían bien en realizar verificaciones periódicas de las licencias caducadas.

Prohibiciones

• Nunca instalar un parche en el horario de producción.

• Realizar copias de seguridad antes de instalar un nuevo parche.

• Instalar únicamente parches descargados de los proveedores originales.

• Instalación únicamente en horarios donde no haya usuarios conectados al sistema y todos los procesos terminados.

• Tener siempre un plan de contingencias antes de instalar un parche.

Procedimientos

Para un mejor proceso de instalación de actualización en Windows Server se recomienda el uso WSUS (Windows Server Update Services)

Este servicio permite disponer de un sistema centralizado de actualizaciones para equipos de puesto de trabajo Windows a través de la red local de nuestra empresa. A través de WSUS es posible gestionar completamente la distribución de las últimas actualizaciones publicadas por Microsoft a través del servicio Windows Update así como de los parches de seguridad más recientes.

¿Qué nos permite realizar WSUS?

WSUS permite la distribución de los parches y actualizaciones publicadas por Microsoft de forma centralizada para todos los puestos cliente que corran con cualquier sistema operativo de Microsoft, de forma práctica, cómoda y programada permitiéndonos una gestión más correcta del ancho de banda disponible en la LAN.

¿Cómo funciona WSUS?

Una vez hayamos instalado WSUS en nuestro servidor, éste descargará desde Windows Update todas las actualizaciones que haya disponible para todos los productos de Microsoft para, posteriormente, distribuirlas entre los usuarios que estén vinculados al directorio activo de este servidor o incluso a otros servidores que se encuentren en el mismo bosque que el directorio activo principal.

Herramientas

---

Separación De Ambientes

Propósito

Definir las pautas de administración que permitan cumplir con las definiciones generales sobre organización, dependencia y segregación de funciones de la función de servicios informáticos.

Reglamentar la operatoria con el objeto de asegurar una adecuada separación de funciones del personal del área de Sistemas y los usuarios finales desde el punto de vista de control interno.

Normas Y Controles

• Solidas políticas sobre el personal y las prácticas de la gestión.

• Separación de funciones entre el entorno del procesamiento de información y otros entornos o funciones organizacionales.

• Implementación de los métodos para evaluar operaciones efectivas y eficientes.

• Separar las actividades que requieren connivencia para realizar un fraude.

• Diseñar controles de las actividades que requieren dos o más personas para evitar las connivencias.

• Las actividades de desarrollo y testing deben estar separadas.

Prohibiciones

• No usar los datos de producción como datos de prueba para el desarrollo o modificación de sistemas.

• No deben estar accesibles desde los sistemas en producción los compiladores, editores u otros utilitarios del sistema, si no son requeridos.

• Se prohíbe el acceso a los usuarios no autorizados a productos y utilitarios que permitan la edición de datos y programas.

• Prohibir el acceso de los usuarios al ambiente de desarrollo a los ambientes de producción.

Procedimientos

Definir la correcta segregación de funciones de acuerdo a las funciones operacionales de cada usuario para evitar la connivencia. Luego se debe establecer un mecanismo de comunicación con las áreas de administración de Recursos Humanos sobre los usuarios interno y externos.

Verificamos que la información de seguridad definida en el sistema sea resguardada adecuadamente.

Herramientas

---

Plan De Continuidad

Propósito

Se deberían determinar los requisitos de seguridad de la información al planificar la continuidad de los procesos de negocio y la recuperación ante desastres.

La organización debería establecer, documentar, implementar y mantener procesos, procedimientos y cambios de implementación para mantener los controles de seguridad de la información existentes durante una situación adversa.

Si los controles de seguridad no pueden continuar resguardando la información ante situaciones adversas, se deberían establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad de la información.

Las organizaciones deberían verificar la validez y la efectividad de las medidas de continuidad de la seguridad de la información regularmente, especialmente cuando cambian los sistemas de información, los procesos, los procedimientos y los controles de seguridad de la información, o los procesos y soluciones establecidas para la gestión de la continuidad de negocio.

Normas Y Controles

La gestión de la Continuidad del Negocio, forma parte de la lista de Controles incluidos en el Anexo A de la norma ISO 27001 2017. Como su propio nombre indica, trata de garantizar que la organización pueda sobrevivir ante un acontecimiento que pueda poner en riesgo su futuro. Se trata de un control costoso de implementar, ya que deberemos definir planes de contingencia, implementarlos en la organización y probar regularmente su correcto funcionamiento.

Los mismos acontecimientos no afectan de la misma manera a unas u otras empresas, ya que su actividad y los requisitos de sus clientes, hacen que las consecuencias de un mismo hecho sean anecdóticas o muy críticas. Por ejemplo, el incendio del CPD en una empresa de desarrollo informático puede suponerle la ruina, mientras que en un despacho de abogados puede suponer perder unas horas de trabajo.

Prohibiciones

No distribuyas tu plan a gente que no necesita tenerlo. Tu BCP contendrá cierta información tanto privada como de la compañía que podría ser usada por un empleado descontento con propósitos inapropiados

Procedimientos

Por la dirección de la empresa se tienen que aprobar tanto los procedimientos de contingencia como los de continuidad de negocio.

En cada procedimiento se tiene que insertar:

• La persona encargada de comenzar el proceso.

• Las condiciones perfectas para que se comience el proceso.

• Escalar los accidentes.

• Organizar a los trabajadores.

• Gestionar el incidente.

• Mantener las actividades.

• Implementar las prioridades de recuperación.

Herramientas

---

Redes Y Equipos De Comunicaciones

Propósito

El enfoque principal de redes y equipos de información es garantizar las buenas prácticas de seguridad en red, brindando continuidad a la información que transcurre por estos medios tecnológicos, tratando de evitar la mayor vulnerabilidad que se puede dar, en las distintas circunstancias. Esta normativa proporciona mejoras, lo que permite una visión general de cómo hacerlo.

Normas Y Controles

Los sistemas de información actuales cuentan con redes que son vulnerables a accesos no autorizados, por lo que deben ser protegidas. Los controles para ello son:

• Política de USO de los servicios en red. Hay que establecer cómo se va a utilizar la red y sus servicios, y definir cómo se van a asignar los accesos. Esta política deberá ser coherente con la política de accesos de la organización.

• Diagnostico remoto y protección de los puertos de configuración. Cuando sea necesario mantener un puerto abierto para estas tareas, se debe controlar tanto el acceso físico como el lógico permitido para este puerto.

• Seguridad de las comunicaciones entre redes que utilizan pasarelas de seguridad: Proporciona una visión general de los gateways de seguridad a través de una descripción de las diferentes arquitecturas.

• Segregación de las redes. Cuando sea oportuno y práctico, se separarán en redes distintas los servicios de información, los de usuarios y los sistemas, evitando así filtraciones o modificaciones de la información.

Prohibiciones

• Hacer omiso a estas recomendaciones, estamos dando ventaja a los hacker, vulnerabilidades que ellos pueden atacar, y nuestro sistema de información se puede ver afectado en la integridad y confidencialidad.

• Para asegurar el sistema interno de amenazas, generalmente suplantación de usuarios legítimos de la red o por acceso a través de un agujero en el sistema, Los switch y repetidores son los que filtran el tráfico, y permiten una protección básica al implementar estos equipos.

• Autoridades Certificadoras que nos asegura que estamos ingresando a una clave segura y no alguien que suplanta estas ip y nos garantiza enlaces seguros para intercambio de información confidencial.

• Ejecución de programas desconocidos vía por correo electrónico o por cualquier otro medio.

Procedimientos

Herramientas

---

Estaciones De Trabajo

Propósito

Una estación de trabajo de computadora por lo general es una computadora personal estándar que comparte una red con un tipo servidor.

Suelen tener como objetivo ser lo suficientemente poderosas como para maximizar la eficiencia de la informática en una oficina o entorno empresarial

Normas Y Controles

• Controles de Seguridad: Un Antivirus Corporativo actualizado tanto en las estaciones de trabajo fijas y portátiles como en los servidores.

• Todas las estaciones de Trabajo, dispositivos móviles, y demás recursos tecnológicos son asignadas a un responsable, y acoger instrucciones técnicas que proporcione soporte técnico.

• La instalación, reparación o retiro de cualquier componente de hardware y software de las estaciones de trabajo, dispositivos móviles y demás recursos tecnológicos de la empresa, solo puede ser realizado por personal autorizado que designe soporte técnico.

• Los usuarios del servicio de internet deben de evitar la descarga de software desde internet, así como su instalación en las estaciones de trabajo o dispositivo móviles asignados para el desempeño de sus labores.

• Personas autorizadas por soporte técnico debe establecer un inventario con el software y sistemas de información que se encuentran permitidos en las estaciones de trabajo o equipos móviles del instituto para el desarrollo de las actividades laborales, así como verificar periódicamente que el software instalado en dichas estaciones de trabajo o equipos móviles corresponda únicamente al permitido.

Prohibiciones

• Los responsables de estaciones de trabajo deberán bloquear su sesión en el momento de abandonar su puesto de trabajo.

• El personal no debe dejar encendidas las estaciones de trabajo u otro recurso tecnológico en horas no laborales.

• Bloquear todo acceso a páginas que no tengan ningún interés con la empresa, sitios que vayan en contra de la ética moral.

• Eliminar software sin utilizar, los servicios y procesos de las estaciones de trabajo.

Procedimientos

• Las Estaciones de Trabajo deben de contar con procesadores multinúcleo, una tarjeta gráfica serie Quadro de NVIDIA o las ATi FireGL, una memoria RAM de hasta 24 Gbytes en 6 bancos de memoria, un disco duro de 1 TB, con una caja de ensamblaje robusta (minimo).

• Gateway de seguridad puede filtrar el uso de internet, por medio de servidores proxy Bastion host que es un intermediario para las conexiones entre usuario y servidor real siendo trasparente para ambas partes, su función es analizar el tráfico de la red que violente la seguridad del mismo.

Herramientas

---

Servidores

Propósito

Los servidores son programas de computadoras en ejecución que atienden las peticiones de otros programas y de los usuarios.

Los servidores les permiten a los usuarios compartir datos, información y recursos de hardware y software.

Normas Y Controles

• Los servidores deberán estar físicamente localizados un lugar con acceso controlado. El área de acceso al servidor deberá tener un control de uso de registro para las personas que estén autorizadas para poder acceder a los servidores.

• Mantener todos los servicios actualizados para protegerse de las últimas amenazas.

• El área de localización de los servidores deberá mantenerse a una temperatura ambiente controlada. Se recomienda que el área de los servidores cuente con su propia fuente de energía.

• Los servidores deben tener bloqueadores de pantalla con contraseña que desactivan el acceso a la consola del servidor automáticamente.

Prohibiciones

• Los usuarios encargados del área de los servidores tienen prohibido ingresar al área con alimentos o bebidas.

• Los usuarios que no tengan autorización no podrán entrar al área donde se ubican los servidores en caso de incumplir esta norma se tomaran acciones como castigos o dependiendo de la gravedad se podrán tomar acciones legales.

• No se permite hacer copias secretas de la información de la compañía.

Procedimientos

• El administrador del sistema deberá ver que todos los servidores, así como su sistema operativo, tengan estándares de configuración de seguridad documentados y aplicados de acuerdo al rol del servidor en la organización.

• El Administrador de Sistemas tendrá las actualizaciones más recientes de seguridad sean instaladas en los servidores tan pronto como sea posible, validando previamente en ambientes de prueba, considerando el menor impacto en la continuidad de los servicios de negocio y contando con la aprobación del Comité de Gestión Tecnológica.

• Se deberá crear un respaldo en físico de la información del servidor por si el mismo llega a tener un fallo.

Herramientas

---

Tercerización

Propósito

hoy en día la tercerización del trabajo es un fenómeno que preocupa a la clase política, sobre todo cuando se hacen evidentes los efectos nocivos para la salud y bienestar de la clase trabajadora, resaltando la necesidad de prevenirla fin de mantener una fuerza productiva que genere desarrollo humano.

Normas Y Controles

• Exista un acuerdo formal entre el prestador y el usuario del servicio

• El acuerdo de tercerización incluye una cláusula que establece claramente que el prestador del servicio está obligado a satisfacer todos los requisitos legales que se aplican a sus actividades y a cumplir con las leyes y normas relativas a las funciones que se debe desempeñar en nombre del usuario del servicio

• El acuerdo de tercerización estipula que las actividades realizadas por el prestador del servicio están sujetas a controles y auditorias como si fueran realizadas por el usuario del servicio

• Los derechos de acceso de la auditorias estan contemplados en el acuerdo con el prestador.

• Se implementan los acuerdos de nivel de servicio y aplican procedimientos de monitoreo del desempeño.

• Se cumplen las políticas de seguridad de usuario del servicio

• Los acuerdos de seguro de fidelidad del prestador del servicio adecuados

• Las politicas y los procedimientos del personasl del prestador del servicio son adecuados

Prohibiciones

• La contratación de empresas tercerizadoras para ejecutar obras, servicios o actividades que sean permanentes dentro de las instalaciones de la entidad de trabajo contratante.

• La contratación de trabajadores a través de intermediarios, para evadir las obligaciones Laborales que tiene la organización con el personal.

• Cualquier otra forma de fraude laboral que violente los derechos laborales de los trabajadores estipulados en el código de trabajo.

Procedimientos

• Lograr una liberacion de responsabilidad

• Reportes periódicos sobre el servicio que la empresa tercerizadora está dando.

• Informes completos a la gerencia.

• Cumplir con las normas y políticas relacionadas con la tercerización, siempre mantener toda actividad dentro de la ley laboral.

Herramientas

---

Información Sensitiva

Propósito

información personal privada de un individuo, por ejemplo, ciertos datos personales y Bancarios, contraseñas de correo electrónico e incluso el domicilio en algunos casos, Aunque lo más común es usar este término para designar datos privados relacionados con Internet o la informática. Teniendo en cuenta que cada vez más cantidad de información está en formato electrónico, como profesionales del sector de las TI y en concreto de la Seguridad de la Información, nuestra misión fundamental es protegerla haciendo uso de las diferentes políticas y normas existentes.

Normas Y Controles

• Las computadoras portátiles y memorias usb que contiene información de la organización, debe tener instalado software de cifrado y si no está siendo utilizada debe estar asegurada físicamente.

• Es responsabilidad de los usuarios garantizar que toda documentación en formato impreso, electrónico, etc., que contenga información sensitiva de los participantes, una vez utilizada, o que no pueda ser entregada al propietario, sea archivada de manera segura.

• La información relativa a los empleados, funcionarios y miembros de Junta Directiva, incluida, en su caso, la relativa a remuneraciones, debe ser tratada con especial cuidado como información confidencial sensitiva del recurso humano.

• Es responsabilidad de los usuarios velar por la integridad, confidencialidad, y disponibilidad de la información que acceda o maneje directamente, especialmente si dicha información ha sido clasificada como sensitiva.

• Cuando se traslade documentación física que contenga información sensitiva, por parte de cualquier empleado debe portar los documentos dentro de un fólder que no permita ver el contenido de los mismos (impedir la visión de la información).

• Los medios de almacenamiento de información que contienen información sensitiva, restringida o debe, ser guardada en un área segura a final de cada día laborable.

Prohibiciones

• Únicamente los encargados de IT y personal autorizado podrán realizar respaldo de la información sensitiva ya sea en formato digital o física.

• Usuarios que cuenten con acceso al sistema, rotundamente prohibido dejar notas en el área de trabajo donde muestren sus datos de ingreso al sistema.

• Prohibido cualquier tipo de conexión remota a sus computadoras entre dos usuarios, únicamente personal de IT autorizado para dicha tarea.

• Correo institucional de la organización será para uso exclusivo dentro de la organización, no se deberá utilizar el correo institucional como personal, rotundamente prohibido todo uso que no sean asuntos de la organización tales como inscribirse en sitios web, promociones etc.

• Se prohíbe compartir cualquier tipo de información confidencial tanto con personal de la organización como con gente ajena al a organización, solo a personal autorizado por la gerencia.

Procedimientos

• Clasificar la información sensitiva de la organización previamente un análisis exhaustivo, una vez clasificada dicha información tendrá un cuidado especial.

• Respaldos periódicos de la información sensitiva elaborados por personal de IT o personal autorizado por la gerencia y posteriormente almacenarlo tanto en un medio de almacenamiento como en la nube.

• Incluir mecanismos de concientización sobre el correcto uso de la información sensitiva que incluya todos los niveles de la organización.

• Incluir herramientas tecnológicas, contar con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo).

• Cumplir con las normas y políticas relacionadas con el uso de la información sensitiva definidas por la organización.

Herramientas

---

Seguridad En Centros De Cómputo

Propósito

Seguridad es el conjunto de normas preventivas y operativas, con apoyo de procedimientos, programas, sistemas, y equipos de seguridad y protección, orientados a neutralizar, minimizar y controlar los efectos de actos ilícitos o situaciones de emergencia, que afecten y lesionen a las personas o los bienes de esta. La seguridad en un centro de cómputo no solo se refiere a la protección del hardware, sino también del software.

Normas Y Controles

• Ubique el equipo en un lugar donde no exista mucho movimiento de personal

• Instale la computadora sobre escritorios o muebles estables o especialmente diseñados para ello.

• La energía eléctrica debe ser regulada a 110 voltios y con polo a tierra. Asesórese debidamente para garantizar una buena toma eléctrica.

• Cada usuario, al momento de terminar las labores diarias, deberá apagar los equipos (Computadora, Impresoras, Escáner).

• Evite colocar encima o cerca de la computadora ganchos, clips, bebidas y comidas que se pueden caer accidentalmente dentro del equipo.

• Mantenga libre de polvo las partes externas de la computadora y de las impresoras. Utilice un paño suave y seco. Jamás use agua y jabón.

• Mantenga la pantalla y el teclado cubiertos con fundas cuando no haga uso de ellos por un tiempo considerable o si planea el aseo o reparaciones de la computadora.

• El personal autorizado deberá realizar acciones preventivas y correctivas periódicamente dentro del centro de cómputo.

Prohibiciones

• No se permitirá fumar dentro de los centros de cómputo.

• Prohibido realizar copias de seguridad sin previa autorización.

• Queda prohibido introducir alimentos o bebidas a los centros de cómputo.

• Utilizar cámaras fotográficas y/o de video dentro del centro de cómputo sin previa autorización del encargado del centro de cómputo.

• Prohibido el ingreso de personas particulares, únicamente personas autorizadas por el departamento IT y gerencia.

• No se deberá mover equipos o mobiliario de posiciones sin previa autorización del encargado del centro.

• Está prohibido destapar y tratar de arreglar los equipos por su cuenta, en todo caso los encargados del centro se harán cargo de la operación.

• Prohibido Instalar software y/o archivos en los equipos sin autorizacion.

Procedimientos

• Cumplir con las normas y políticas relacionadas con el uso adecuado del centro de cómputo.

• Incluir mecanismos de concientización sobre el correcto uso del centro de cómputo que incluyan a los colaboradores.

• El encargado del centro de computo llevara el control de las funciones realizadas atravez de un documento diario.

• El encargado del centro de cómputo podrá dar autorización al ingreso de personas previamente identificadas.

Herramientas

---

Contribuir

¡Tus contribuciones son siempre bienvenidas! Por favor, eche un vistazo a las
pautas de contribución primero.

Mantendré algunas solicitudes de extracción abiertas si no estoy seguro de si esas bibliotecas son asombrosas, puedes votar por ellas añadiendo: +1 a ellos. Las solicitudes de extracción se fusionarán luego.

---

Compartir

• Compartir en Twitter
• Compartir en Facebook

---

Contacto

Si tiene alguna pregunta sobre esta lista de opiniones, no dude en ponerse en contacto conmigo andricksantos1@gmail.com en Gmail o abra un issue en GitHub.

---

Volver arriba