Manual politicas de seguridad

Manual de Políticas de Seguridad Redes y Comunicaciones

Documento:

Administracion de la Seguridad

Informatica para la Infraestructura

Fisica y Logica de la sede del Instituto

SISE

“Sede Santa Beatriz”

Estudiante: Gustavo Chuque Vega

Profesor: Waldir Cruz

REDES Y COMUNICACIONES

VI CICLO


CONCEPTOS:

La seguridad informática es una disciplina que se relaciona a diversas

técnicas, aplicaciones y dispositivos encargados de asegurar la

integridad y privacidad de la información de un sistema informático y

sus usuarios.

¿QUE SON POLÍTICAS DE SEGURIDAD INFORMÁTICA?

Una política de Seguridad Informática es una forma de comunicarse

con el personal y/o usuarios. Las PSI establecen el canal formal de

actuación del personal, en relación con los recursos y servicios

informático, importantes de la organización.

Es un conjunto de requisitos definidos por los responsables de un

sistema que indica en términos generales que esta y que no está

permitido en el área de seguridad durante la operación general del

sistema.


MANUAL DE POLITICAS DE SEGURIDAD

INFORMATICA PARA EL INSTITUTO

SISE

1.- Objetivos Generales

Las políticas y estándares de Seguridad Informática tienen por objeto establecer medidas técnicas y de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona la Empresa y contribuyendo con la función informática a la mejora y complimiento de metas institucionales. Es aplicable a los usuarios en general de servicios de tecnologías de información centro de Estudios.

De igual forma será una herramienta quedifunde las políticas y estándares de seguridad informática a todo el personal de la Institución Superior Educativa

Asegurara: Mayor integridad, confidencialidad y confiabilidad de la información generada por el Centro, al personal, los datos y el hardware y software disponibles.

1.1 Objetivos Específicos

Elaborar un manual de políticas de seguridad informática para el Personal del Centro adaptado a las necesidades y activos tecnológicos del instituto así como la naturaleza de la información que se maneja en el mismo.


2.- Beneficios

Las políticas y estándares de seguridad informática establecidas dentro de este manual son la base para la protección de los activos tecnológicos e información de la Institución Educativa.

3.-Existen 3 tipos de criterios de seguridad informática:

Seguridad Organizativa: Asegura el cumplimiento de normas, estándares y procedimientos físico-técnicos.

Seguridad Lógica:

Actúan directa o indirectamente sobre la información procesada por los equipos.

Seguridad Física:

Actúan directamente sobre la parte tangible, la parte física.

4.-Los niveles de seguridad fueron organizados constatando un enfoque

objetivode la situación real de la institución, desarrollando cada política con cuidadosobre qué activo proteger, de qué protegerlo cómo protegerlo y por qué protegerlo; Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO17799 y que a continuación se detalla:

a) Nivel de Seguridad Organizativo:

Seguridad Organizacional

Políticas de Seguridad

Clasificación y Control de Activos


Seguridad Ligada al Personal

b) Nivel de Seguridad Física: Seguridad Física

Seguridad Física y Ambiental

c) Nivel de Seguridad Lógico: Control de Accesos

Administración del Acceso de Usuarios

Control de Acceso a la Red, Aplicaciones

Desarrollo y Mantenimiento de Sistemas

d) Se tiene también un cuarto Nivel de Seguridad Legal, el cual lo nombramos también, ya que se encuentra dentro de la ISO 17799, no cuenta con relación del todo en la seguridad informática, pero se menciona:

Nivel de Seguridad Legal

Cumplimiento de aspectos legales


5.- Vigencia:

El presente manual entrara en vigencia, previa aprobación de

autoridades del Instituto SISE correspondientes y previéndose los

medios de difusión entre todo el personal de la Institución.

Todo cambio referente a la infraestructura tecnológica, naturaleza de

las aplicaciones u otros causados por exigencias del Instituto hará

necesario efectuar una revisión y actualizaciones del presente

documento, estas actualizaciones y revisiones están previstas dentro

del control de cambios adjunto al documento.

6.- Sanciones

Las sanciones a aplicarse al personal que incumpla las normas de este

manual quedan bajo el criterio de las autoridades de la Institución

Superior.


POLITICAS Y NORMAS DE SEGURIDAD

INFORMATICA PARA EL INSTITUTO SISE

POLITICAS:

El sistema de la Institución es de uso solo académico, de investigación,técnico y

para casos administrativos, cualquier alteración en la norma de uso de los mismos,

será expresa y adecuada como política de seguridad en este manual.

Obligaciones del Personal

Es responsabilidad del Personal de Equipos y Servicios tecnológicos del Instituto

cumplir las políticas y normal del Manual de Políticas de Seguridad para el Centro

Superior.

Entrenamiento y Capacitación en Seguridad

Informática:

Todo empleado de la Institución de nuevo ingreso deberá contar con la inducción

sobre el Manual de Políticas de Seguridad Informática donde se den a conocer las

obligaciones para los usuarios y las sanciones que pueden existir tras el

incumplimiento.

Responsabilidades:

El administrador de Sistemas es el encargado de mantener en buen estado los servidores dentro de la red Institucional.


1. Se tendrá acceso a internet, siempre y cuando se cumpla las medidas mínimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institución.

2. Las actividades como exámenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat , internet) se le podrá indicar que abandone el laboratorio, si así fuese necesario.

Responsabilidad por Los Activos:

1.- La persona encargada de cada área de trabajo tendrá la responsabilidad

sobre el Hardware y Medios Físicos (Aire Acondicionado, Servidores, activo de

Información como Base de Datos, Documentos,etc. y Activos de software

(aplicaciones, software desistemas, herramientas y programas de desarrollo

2.- Los administradores del Sistema son los responsables de lo que se

almacena y su seguridad en estos recursos.

SEGURIDAD AL PERSONAL

Todo empleado y colaborador del Instituto SISE, que debido a sus funciones debe

manipular y utilizar equipos y servicios tecnológicos de la infraestructura de

comunicación de esta, independientemente de su jerarquía en la Institución, debe

firmar un convenio en el que acepte, condiciones de Confidencialidad y Manejo de

información digital generada en sus funciones, el manejo adecuado de los recursos

informáticos, así como el apego a las normal y políticas del presente manual.

Usuarios Nuevos:

Todo el personal nuevo de la Institución Superior, deberá ser notificado ante el

área de Sistemas y Tecnología para dar los derechos correspondientes, por el área

de Recursos Humanos vía correo electrónico.

Registro en el Sistema de Asistencia Equipo de Computo Derechos de acceso al servidor


Correo electrónico institucional ([email protected]) Agregar cuenta de correo al grupo (GRUPSISE) Alta de Bitácora de inventario de hardware (Esto en caso de que el equipo vaya estar bajo su resguardo) Capacitación dentro del uso de manual.

SEGURIDAD FISICA Y AMBIENTAL:

En la seguridad Informática se suele dejar bastante de lado la seguridad Física, ya

que suceden incidentes el cual debemos estar siempre prevenidos y atentos a su

pronta resolución.

En nuestro Caso para La institución SISE se plantea hace una clara tendencia al

siguiente razonamiento:

1) Proteger bienes de Carácter Informáticos. (Datos Importantes,

Confidenciales)

2) Las amenazas que dichos bienes pueden sufrir, proceden del medio informático. (Copia o Backup no autorizada de esos datos)

3) Por tanto, los mecanismos de protección también deben ser informáticos. (Restricciones de acceso a dichos datos)

Esto debemos relacionarlo al concepto de seguridad informático, como pueden ser accesos restringidos al Sistema, denegación de Privilegios como lectura y Modificación de Ficheros, cifrados de las comunicaciones, o protección de las redes mediante firewall.

Tanto por esto nuestro sistema queda expuesto ante amenazas que en algunos

casos no dependen de su configuración, para eso no nos serviría de nada tener los

mejores mecanismos de control de acceso a nuestros ordenadores, ya que tal vez

un simple accidente de una persona como el encargado de mantenimiento puede

hacer que el equipo acabe tirado por el suelo o que la información en el quede

irrecuperable, o también si una persona trabaja con estos datos y se los lleva a su

domicilio para trabajar con ellos y en el camino sufren un robo.


La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial, destinados a proteger desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Las medidas de seguridad física servirán para proteger nuestros equipos e información frente a usos inadecuados, accidentes, robos, atentados y cualesquiera otros agentes que atenten directamente contra la integridad física.

Amenazas de seguridad física: Está claro que son muchos los factores que pueden acabar con el buen funcionamiento de nuestro hardware o incluso hacerlo desaparecer (un robo, un incendio). Es obvio que mantener con buena funcionamiento nuestro equipamiento resulta ventajoso. Para eso a continuación detallaremos los posibles agentes que pueden ocasionar daños a las instalaciones:

Robos, acciones vandálicas y accesos físicos no autorizados: Existe el riesgo ciertamente más preocupante de que personas ocasionen daños o sustracciones a los equipos, a la información contenida en ellos o a los datos almacenados en otros soportes. Debido a su tamaño y su valor, los ordenadores son muy apreciados por los ladrones, sobre todo por la facilidad con la que posteriormente pueden ser revendidos.

Accidentes Por ejemplo, comer, beber o fumar mientras se está trabajando con un ordenador es causa de muchos de los pequeños accidentes que se sufren.

La protección de los datos Hay que considerar la importancia de la seguridad de las copias de respaldo, no sólo porque pueden constituir una forma apetecible de apropiarse de la información codiciada, sino porque la sustracción nos dejaría en posición vulnerable frente a otros desastres. Los soportes del respaldo deben protegerse en la misma medida que los equipos cuyos datos reproducen, y además deben ser almacenados en lugar diferente para evitar ser objeto de las mismas contingencias, como robos o desastres naturales.


La protección de los equipos Es natural que lo primero que nos debamos plantear a la hora de planificar la seguridad física de una instalación consiste en determinar cuáles son las barreras que impiden o restringen el acceso físico a los equipos o su manipulación indebida: anclajes, cerraduras, blindajes, servicios de vigilancia, cámaras de vídeo o alarmas de cualquier clase. La limitación del acceso físico a los equipos debe ser planificada de distinta manera para el horario normal de trabajo y para cuando nadie puede o debe acceder a los mismos.

El plan de Seguridad Física Para esto primero se debe pensar en cada lugar concretamente, adecuándose a sus características físicas y a los agentes circundantes que pueden suponer una amenaza para los sistemas. La segunda es que existe una cantidad muy grande de variables a considerar, por el gran número de posibles amenazas. El planteamiento de la seguridad física determina una mayor dificultad en la resolución de los problemas. Por ello es absolutamente necesario que el primer paso sea asegurar físicamente nuestras instalaciones en un plan escrito de las necesidades de seguridad física y de las medidas destinadas a cubrirlas en el futuro.

Debe incluir nuestro plan lo siguiente:

Descripción del área física en el que están localizados esos dispositivos.

Descripción del perímetro de seguridad y de sus posibles agujeros.

Descripción de las amenazas contra las que nos queremos proteger, incluyendo una estimación de su probabilidad.

Descripción de los dispositivos físicos a proteger, incluyendo ordenadores, periféricos, cables, conexiones, soportes de datos, etc.

Enumeración de los medios para mejorarlas.

Estimación del coste de las mejoras.

Descripción de nuestras defensas.


Descripciones y/o ejemplos de Seguridad Física

Seguridad física en el cableado

La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un técnico de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado.

Los armarios,racks, gabinetes deben tener seguridad

En concreto se decidirá que máquinas se incluyen en los racks y lo mismo para los dispositivos de red, o gabinetes. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil.

Contraseña de Seguridad en la BIOS

Agregando password en la BIOS es una manera de proteger tanto el acceso a la Pc como el acceso al SETUP de la propia BIOS mediante una contraseña, de forma que nadie pueda manipular la computadora ni desconfigurar los valores de la BIOS. También asegurar el Case del computador para que no realicen un RESET a la BIOS.

Personal de Seguridad y Cámaras

Hacer cumplir el reglamento interior de la Institución con la función de revisar que todos los objetos que sean extraídos de la empresa cuenten con su pase de salida respectivo, con la firmas de los ejecutivos autorizados y supervisar que no se sustraiga objetos dentro del Centro.


Descripción de la seguridad de la infraestructura de Red del Instituto SISE Podemos describirla, según especificaciones de la siguiente manera:

Seguridad Física:

1. En cada aula los proyectores se encuentran cerrados en una protección de metal con llave y solo puede ser operado por el docente o personal de mantenimiento.

2. Los Switches de cada laboratorio no se encuentran debidamente protegidos ya que se encuentran libres encima de una repisa.

3. No todas las BIOS de los equipos cuentan con una contraseña de seguridad.

4. La sede cuenta con personal seguridad solo en las entradas principales.

5. El momento de ingreso a la sede se presenta una identificación (SISECARD)

en el caso de los alumnos y su ID en el caso del personal. En el caso de

personas ajenas a la institución, estos acceden presentando su DNI en la

entrada.

6. Una de las políticas de seguridad de SISE, indica que el docente no tiene que

dejar el laboratorio cuando se encuentra en clase, cosa que siempre no se

cumple.

Seguridad Interna Lógica

7. Cada usuario cuenta con un cierto nivel de administración de la PC, así como

por ejemplo los usuarios de laboratorio no tiene permisos administrativos para

poder instalar programas, en cambio el usuario del área de soporte sí puede.

8. Cuenta con un Firewall que cumple la función de administrar los paquetes

entrantes y salientes de la red.

9. Cuenta con un proxy como delimitador de navegación. Pero este no está bien

configurado ya que algunas veces se pueden acceder a páginas que

supuestamente están bloqueados con el proxy.


10. Cuenta con un controlador de dominio en la cual se detallan las políticas de

seguridad. Se tiene conocimiento que este no cuenta con un DC de respaldo.

Lista de Políticas de Seguridad para la Mejora del Instituto SISE:

Más Cantidad de Cámaras de Seguridad: Se cabe recordar que el Instituto cuenta con el servicio de cámaras de seguridad y todo empleador, como estudiante está siendo grabado las 24 horas del día mientras se encuentre en la institución y se tiene la sustentación de esta, como prueba; cuando amerite una situación sospechosa o acción dentro de nuestra SEDE.

Gabinetes de Seguridad en las Salas de Laboratorio En los laboratorios del Instituto se tiene asegurado con candados los gabinetes donde se encuentra el hardware importante de la red de la sala, se debe tener cuidado y no cometer ningún tipo de acto que afecte estos gabinetes.

Personal de Seguridad para Ambos Sexos: Se declara que el instituto cuenta con Personal de Seguridad de Ambos Sexos, para la protección, verificaciones y revisión de todo empleador o estudiante al momento de su salida para el control de esta. Y también con el propósito de que las Señoritas Estudiantes o empleadoras también puedan ser revisadas correctamente y no por un Hombre, sino por una persona de su mismo sexo y no tenga ningún tipo de altercado.

Implementación de Software Complejo en Antivirus

Con la finalidad de mejorar la seguridad de cada PC en cada laboratorio, se

implementara un software antivirus (MCAFEE) único que trabaje con la plataforma

Windows 7 y server 2003 que permita:

Analizar y diagnosticar simultáneamente los programas maliciosos: gusanos,

troyanos, malware, rootkits y spyware.


Políticas Nueva de Seguridad para el Uso de

laboratorios del Instituto

Se implementara nuevas políticas de seguridad en el uso de los laboratorios de

SISE; se mencionan a continuación:

1. Los alumnos solo pueden ingresar al laboratorio si es que no tuvieran clases

programadas, podrán hacer uso de internet EXCLUSIVAMENTE para hacer

sus TRABAJOS y/o alguna otra actividad que se les haya asignado. Más no

para uso personal.

2. En los laboratorios se deberá mantener orden y cordura como en una sala de

estudios, deberá permanecer sentado, por lo tanto, el alumno debe demostrar

buen comportamiento dentro del mismo.

3. Antes de ingresar al laboratorio la persona tiene que verificar la disponibilidad

según el horario publicado en la puerta de cada laboratorio, el ingreso será

para clases o prácticas libres.

4. Se prohíbe totalmente el ingreso de alimentos, bebidas y el uso de celulares

en el laboratorio de cómputo.

5. Los alumnos deberán acatar explícitamente las instrucciones del docente o del

auxiliar de laboratorio en lo referente a la utilización del equipo así como los

programas destinados al uso de las clases.

6. La instalación de software necesario en clases deberá ser solicitada

formalmente por el docente en el Área de Soporte y Área de Atención al

Docente (por lo menos 48 horas antes).

7. Queda estrictamente prohibido cambiar la configuración del equipo y de los

programas contenidos en el mismo así como instalar software que no se

encuentre autorizado.

8. En caso de que el equipo presente algún tipo de falla, el usuario deberá de

hacerlo presente al docente para que de aviso al personal de soporte para que

vengan a verificar el problema.

9. Se prohíbe el movimiento de cualquier dispositivo de laboratorio, así como el

intercambio de dispositivos.


POLÍTICAS Y ESTÁNDARES DE

CONTROLES DE ACCESO

- Cada docente o Personal Administrativo es responsable del mecanismo de

control de acceso que le sea proporcionado; esto es, como su identificador de

usuario y contraseña necesarios para acceder a recursos de la red con

permisos y a la infraestructura tecnológica de la Institución Superior, por lo

cual deberá mantenerlo de forma confidencial.

- Los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a

los que estos tengan acceso, será motivo de revisión y modificación de esta

política, adecuándose a las nuevas especificaciones.

- Se asignará una cuenta de acceso a los sistemas de la intranet, a todo

estudiante y docente de la red institucional, siempre y cuando se identifique

previamente con el código dado por la institución, su ID.

- Todo usuario que tenga la sospecha de que su contraseña es conocido por

otra Persona, deberá cambiarlo inmediatamente.

- Todo uso indebido del servicio de correo electrónico corporativo, será motivo

de suspensión temporal de su cuenta de correo o según sea necesario la

eliminación total de la cuenta dentro del sistema.

- El docente será responsable de la información que sea enviada con su cuenta

de correo de la Institución

Control de Privilegios de Acceso:

- Cualquier cambio en la configuración, a la cuenta brindada con privilegios

administrativos será responsabilidad del usuario y docente y deberán ser

Notificar al Área de Soporte, para el cambio de privilegios, previamente

Autorizado por el jefe de área y vuelva a su configuración inicial.

Control de Acceso al Sistema Operativo

- Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo,

dejarlo de manera correcta y en estado óptimo para su nueva utilización.


MANTENIMIENTO

- El mantenimiento de las aplicaciones y software de sistemas es de exclusiva

responsabilidad del personal de informática, o del personal de soporte técnico.

- Se llevará un registro global del mantenimiento efectuado sobre los equipos de

laboratorios y cambios realizados desde su instalación.

CUMPLIMIENTO DE SEGURIDAD

INFORMATICA Y ASPECTOS LEGALES

Cumplimiento Seguridad Informática

- La dirección del Instituto SISE emitirá y revisara el cumplimiento de las políticas y

normal de seguridad informática que permiten realizar acciones correctivas y

preventivas para el cuidado y mantenimiento de los equipos que forman parte de la

infraestructura tecnología del Instituto

- El mal uso de los recursos informáticos detectado por la Dirección de Informática será

reportado conformo a los indicado en la política de Seguridad Personal.

Cumplimiento de Aspectos Legales

- El instituto SISE deja en claro que el software comercial utilice para sus estudiantes o

uso interno, deberá está legalmente registrado, en los contratos de arrendamiento de

software con las respectivas licencias.

- El software comercial como el libre son propiedadexclusiva de sus programadores, la

Institución Superior respeta lapropiedad intelectual y se rige por el contrato de licencia

de sus autores.

- Cualquier cambio en la política de utilización de software comercial osoftware libre, se

hará documentado y en base a las disposiciones de larespectiva licencia.

-

Documents

Manual politicas de seguridad