prev
next
out of 38

Plan de Seguridad ESAP

Embed Size (px)

DESCRIPTION

seg

Citation preview

SISTEMA DE GESTION DE SEGURIDAD INFORMATICAESCUELA SUPERIOR DE ADMINISTRACION PBLICA

MAYRA ALEJANDRA PREZ DURN ANDREA CORREA BERNAL

UNIVERSIDAD FRANCISCO DE PAULA SANTANDERINGENIERIA DE SISTEMASSAN JOSE DE CUCUTA2012

SISTEMA DE GESTION DE SEGURIDAD INFORMATICAESCUELA SUPERIOR DE ADMINISTRACION PBLICA

MAYRA ALEJANDRA PREZ DURN 1150211

ANDREA CORREA BERNALCdigo: 0152591

Presentado a:JEAN POLO CEQUEDAIngeniero de Sistemas

UNIVERSIDAD FRANCISCO DE PAULA SANTANDERINGENIERIA DE SISTEMASSAN JOSE DE CUCUTA2012

INTRODUCCIONLos activos de una empresa, sin importar su tamao, o su tipo, son los recursos ms importantes con los que cuenta. Estos recursos, tales como el personal, la informacin y los equipos que procesan o almacenan dicha informacin, son de vital importancia para que una organizacin se mantenga en funcionamiento.

Debido a esto, se ha planteado un conjunto de declaraciones que proporcionan guas generales sobre el manejo, uso, y proteccin de los activos de la Escuela Superior de Administracin Pblica ESAP. Estas declaraciones contenidas en el presente documento van dirigidas a los empleados, directivos, estudiantes y dems personal que se relaciona directa o indirectamente con la institucin.

Es importante la divulgacin de estas polticas y normas, para el normal funcionamiento de la institucin, y para evitar as un posible incidente de seguridad que comprometa los activos, y en caso de no poder evitar esto, establecer las actividades que se han de realizar para recuperar la normalidad, y las personas que sern responsables de cada una de ellas.

JUSTIFICACION

En la actualidad los organizaciones y la mayora de las empresas estn manejando y utilizando las TIC( Tecnologas Informticas de comunicacin) para el funcionamiento de su organizacin, lo cual hace que cada vez se vuelva ms importante al implantar un sistema de informacin en una empresa y a su vez disear un sistema de gestin de seguridad de la informacin que sea aplicado a esta.

Una organizacin que hoy en da maneja un sistema de informacin, los activos ms importantes que esta posee son: la informacin, los procesos, las personas y sistemas que hacen uso de ellos y que hacen que la empresa funcione como tal.

Considerando la informacin como una de los recursos ms importantes que poseen las organizaciones hoy es da es primordial velar por la confidencialidad, integridad y disponibilidad de esta informacin, de manera que la empresa pueda mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos.

En vista que los sistemas de informacin se han convertido en uno de los factores principales para el funcionamiento de las empresas, a su vez son los que se encuentran expuestos cada vez a un nmero ms elevado de riesgos y amenazas que pueden generarse desde dentro de la propia organizacin o desde el exterior y por causas que pueden ser naturales o malintencionadas, que provocan daos o perdidas de recursos y informacin.

Es importante hoy en da para una empresa poder identificar los posibles vulnerabilidades existentes, de manera de poder establecer las medidas preventivas y correctivas necesarios para que estas vulnerabilidades no sean aprovechadas por las amenazas y puedan ocasionar perdidas en el sistema, ya sea a travs de diversas formas como lo podran ser fraude, espionaje, sabotaje o vandalismo, entre otros. Otras amenazas que pueden sufrir los sistemas de informacin son Los virus informticos, el hacking o los ataques de negacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallas tcnicos.El SGSI es una herramienta de gran utilidad y de gran ayuda para las empresas y la gestin de las organizaciones, el cumplimiento, las condiciones del entorno y la proteccin adecuada de los objetivos del negocios, sirven para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio. En la gestin efectiva de la seguridad, debe tomar parte activa toda la organizacin apoyada por la Alta Direccin, tomando en consideracin tambin a clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad debe contemplar polticas y procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos.El Modelo de gestin de seguridad de la informacin (SGSI) sirve para establecer las polticas y procedimientos en relacin con los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un sistema SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y activos y los asume, minimiza, transfiere o controla mediante una metodologa definida, documentada y conocida por todos, que se revisa y mejora constantemente.

BENEFICIOS

Reduccin de los riesgos que podran presentarse en cuanto a la seguridad de los activos relacionados con la informacin, y la informacin misma Reduccin de costos en la atencin de emergencias, ya que se busca prevenirlas en primera instancia Se establece un compromiso con la razn de ser de la organizacin, asegurando que su funcionamiento se mantenga aun en situaciones adversas Reducir perdidas de informacin o recursos, as como el deterioro de los mismos La organizacin inspirar confianza a sus clientes y mejorar su imagen corporativa La organizacin tendr una ventaja competitiva frente a otras organizaciones en el mercado Tener procedimientos de seguridad establecidos para que todos los integrantes de la organizacin los conozcan, los apliquen para que de esta forma los procesos, as como los recursos y la informacin que se maneja en ellos, estn asegurados

OBJETIVO

Establecer un conjunto de indicaciones, polticas y procedimientos que garanticen un nivel de seguridad de la informacin aceptable en la Escuela Superior de Administracin Pblica, haciendo uso de herramientas, procesos e indicaciones que regulen la forma en que se maneja, procesa, protege y se accede a la informacin o a los equipos informticos que la contienen, evitando que informacin esencial o confidencial sea revelada, robada, alterada o usada indebidamente

ALCANCE

Las polticas y procedimientos de seguridad contenidos en este documento, sern aplicables a la infraestructura tecnolgica e informacin de la Escuela Superior de Administracin Pblica, sede Norte de Santander.

Estas polticas y procedimientos sern aplicables a los sistemas de informacin y las redes de comunicaciones que se encuentren en la sede Norte de Santander, as mismo se aplicar al personal que haga parte de ella.

POLITICAS Y PROCEDIMIENTOS DE SEGURIDADLa polticas de seguridad son esencialmente orientaciones e instrucciones que indican cmo manejar los asuntos de seguridad y forman la base de un planmaestro para la implantacin efectiva de medidas de proteccin tales como: identificacin ycontrolde acceso, respaldo dedatos, planes de contingencia y deteccin de intrusos.Las polticas son obligatorias, mientras que las recomendaciones o directrices son ms bien opcionales. De hecho, las declaraciones de polticas de seguridad pueden transformarse fcilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debera".Por otro lado las polticas son de jerarqua superior a las normas, estndares y procedimientos que tambin requieren ser acatados. Las polticas consisten de declaraciones genricas, mientras las normas hacen referencia especfica a tecnologas, metodologas, procedimientos de implementacin y otros aspectos en detalle. Adems las polticas deberan durar durante muchos aos, mientras que las normas y procedimientos duran menostiempo.Las normas y procedimientos necesitan ser actualizadas ms a menudo que las polticas porque hoy da cambian muy rpidamente las tecnologas informticas, lasestructurasorganizativas, losprocesosdenegociosy los procedimientos.

Unapoltica de seguridaddebe establecer las necesidades y requisitos de proteccin en el mbito de la organizacin y es la gua o marco para la creacin de otro tipo de documento ms detallado que denominamos norma de seguridad. Formalmente describe qu tipo de gestin de la seguridad se pretende lograr y cules son los objetivos perseguidos. Definen qu quiere la organizacin a muy alto nivel, de forma muy genrica, quedando como una declaracin de intenciones sobre la seguridad de la Organizacin. A su vez, una poltica de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos.

Unanorma de seguridaddefine qu hay que proteger y en qu condiciones, pero para situaciones ms concretas. Sirven para establecer unos requisitos que se sustentan en la poltica y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretacin. Se pueden agrupar en base a las diferentes reas de la seguridad dentro de la organizacin: normas de seguridad fsica, normas de control de acceso a sistemas, normas de gestin de soportes, normas de clasificacin de informacin, etc.* Unprocedimiento de seguridaddetermina las acciones o tareas a realizar en el desempeo de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecucin. Son, por tanto, la especificacin de una serie de pasos en relacin la ejecucin de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecucin de actividades se considerarn determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecucin. No tiene por qu ser extenso, dado que la intencin del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones tcnicas de seguridad.* Unainstruccin tcnica de seguridaddetermina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de informacin (hardware, sistema operativo, aplicacin, datos, usuario, etc.). Al igual que un procedimiento, son la especificacin pormenorizada de los pasos a ejecutar. Una instruccin tcnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos tcnicos necesarios para que la persona que ejecute la instruccin tcnica no tenga que tomar decisiones respecto a la ejecucin de la misma. A mayor nivel de detalle, mayor precisin y garanta de su correcta ejecucin.* Unapoltica de usoes un documento destinado a usuarios finales con la intencin de establecer una regulacin especfica sobre la utilizacin de un sistema, tecnologa o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de informacin o los aspectos generales que se desean regular, as como los usos que son considerados autorizados y los usos no aceptables.

1. ANALISIS Y GESTION DE RIESGOS

1.1 ACTIVOS

NoRecursos HardwareCantidad

1Switch1

2Access point3

3Servidor2

4Computadores de escritorio60

5UPS2

6Porttiles8

7Impresoras10

8Video Beam4

9Escneres4

10Antena Satelital1

Recursos de Software:

Sistemas Operativos: Windows Herramientas de ofimtica: Microsoft Office Software de Gestin: Academusoft, RYCA. Aplicaciones desarrolladas a medidas: Sistema de Gestin Documental.

Usuarios:33 usuarios en las oficinas, aparte de los estudiantes y dems personas particulares que ingresen a adquirir informacin.Oficinas: se dividen en dependenciasLugares de trabajo: Sede administrativa.

1.2 AMENAZAS

Desastres Naturales:

Podran llegarse a presentar las siguientes situaciones Inundacin en las oficinas del primer piso cuando se presentan fuertes lluvias (que ya se ha presentado). Incendio que puede suceder en cualquier momento (debido a cortocircuito, descuido de humano, etc.), agregando el hecho de que no hay alarmas contra incendios Tormenta, porque no se cuenta con un pararrayo, en una ocasin, un rayo da las cmaras de seguridad con las que contaba la ESAP Filtraciones en las sala de sistemas y cuarto del servidor (actualmente se presenta esto debido a una obra en el piso superior que aun no est terminada).

De origen industrial

Podran ocurrir las siguientes:

Fallo elctrico porque no hay buena estructura y explosin. Cada de la red de comunicaciones, ya que el cableado est en mal estado

Ataques intencionados

Virus informticos Ataques de una organizacin criminal Sabotajes Disturbios y conflictos sociales Intrusos en la red Robos, ya que no hay cmaras de video vigilancia porque un rayo quem las que haban Empleados con formacin inadecuada, o descontentos

Errores y fallos no intencionados

Empleados descuidados en el manejo de la informacin y de sus usuarios y claves de contrasea para acceder al sistema de informacin Errores en la utilizacin de las herramientas y recursos del sistema Prdida de disponibilidad de la informacin debido a que no hay servidores ni discos duros de respaldo 1.3 IMPACTOS

En caso de presentarse una inundacin, filtracin o incendio grave, se presentaran daos en la informacin que se encuentra de manera fsica, como son los documentos impresos, y se podran presentar daos en los equipos que soportan los sistemas de informacin de la ESAP. Esto ocasionara la suspensin de algunos de los servicios que presta la ESAP, o en el peor de los casos, de todos los servicios que presta y los procesos internos, lo que llevara a un cese temporal de actividades. En caso de presentarse una descarga elctrica sobre las instalaciones, se podran presentar daos en los dispositivos electrnicos, como son las estaciones de trabajo, el servidor, etc; como ya se presento una vez, en la que un rayo da las cmaras de seguridad que tenia la ESAP En caso de presentarse una falla en el sistema elctrico o cada de la red, se producira un impacto en la disponibilidad de la informacin, y se perdera tiempo de trabajo del personal de la ESAP, as como falta de atencin al usuario final Si se presenta un ataque a los sistemas de informacin, un sabotaje o una intrusin a la red, un robo, un virus informtico o algn cdigo malicioso, ya sean estos ataques realizados por agentes externos o internos a la ESAP, y si como consecuencia de esto, se perdiera informacin confidencial, o se alterara la misma, la ESAP afrontara un problema grave de integridad y disponibilidad de los datos, as como la perdida de datos personales privados, lo que afectara no solo a la ESAP sino a los usuarios y empleados. Adems deberan dedicarse tiempo de trabajo extra para tratar de recuperar la informacin que fue alterada o que fue perdida

1.4 SALVAGUARDASCon respecto a las salvaguardas, la Escuela Superior de Administracin Pblica, maneja solamente dos: El personal encargado del manejo de los datos, realiza una copia de seguridad a la base de datos una vez al mes. Se tiene establecido que los usuarios deben cambiar su contrasea para acceder al sistema de informacin cada tres meses. Solamente una persona autorizada tiene acceso al cuarto donde se encuentra el servidor

POLITICAS DE SEGURIDAD

1. SEGURIDAD LOGICA

Polticas sobre el Manejo de softwareDerecho de Autor La ESAP tiene instalado y licenciado para nuestros usuarios software como son Sistema Operativo de Windows, Antivirus Mcafee, base de datos Oracle, Microsoft Office, Adobe CS5, Corel Draw entre otros. La instalacin de programas no licenciados o no autorizados por la Oficina de Sistemas ser responsabilidad directa del usuario que lo utilice. La informacin publicada en la pgina web de la ESAP deber ser aprobado por las reas o sedes responsables de la publicacin, respetando la ley de propiedad intelectual(derechos de autor, crditos, permisos y proteccin, como los que se aplican a cualquier material impreso) Instalar software no licenciado es considerado delito informtico.

Control de las licencias del software: Actualizar el inventario de hardware y software, sealando los paquetes que se tienen instalados por maquina y verificando que cada uno de estos este amparado por una licencia. En caso de no contar con las licencias, es necesario contactar al proveedor del software o del paquete en cuestin para actualizarlas o adquirirlas lo ms pronto posible. Elaborar un plan verificador de software para revisar que no se instale paquetera pirata Designar a una persona responsable del rea de informtica para guardar y tener actualizadas las licencias. Promover un plan de concientizacin entre el personal con el fin de que no se instale paquetera pirata en las maquinas propiedad de la empresa y aplicar sanciones al personal que no acate estas medidas.

Polticas sobre el Acceso a sistemas de informacin y redesPolticas Aplicadas a las Contraseas de ingreso a equipos: La solicitud de creacin de usuarios de sistemas de informacin debe hacerse mediante formato y firmado por Jefe inmediato. Contrasea de carcter alfanumrico de 6 o ms caracteres, ( No permitido usar nombre y apellido en las contraseas) Caducidad 90 das. 5 intentos fallidos para ingresar a la sesin de trabajo bloquea la cuenta del usuario Desbloqueo de la cuenta de usuario transcurrido cinco minutos. El uso y custodia de su contrasea ser exclusivamente responsabilidad de cada usuario. Los usuarios debern bloquear su equipo al ausentarse de este. La oficina de sistemas e informtica es la responsable de difundir las polticas de seguridad para el uso de la red y dems servicios de la oficina para asegurar su cumplimiento. El acceso lgico a equipo especializado de computo (servidores, enrutadores, base de datos, etc.) conectado a la red es administrado por los ingenieros responsables de cada sistema de informacin. Todo el equipo de cmputo que este o sea conectado a la red de la ESAP y que sean propiedad de institucin, debe sujetarse a los procedimientos de acceso que emite la oficina de sistemas para el control de acceso remoto. El acceso remoto que realicen personas ajenas a la institucin deber cumplir las normas que emite la Oficina de Sistemas e Informtica. Las publicaciones en la pgina Web de la ESAP, debern ser realizadas por personas autorizadas mediante usuario y contrasea, en la sede respectiva y en el espacio asignado a cada sede o dependencia. Para los casos en que se requiera publicar informacin en el home o pagina inicial, esta la realizara el personal autorizado de la Oficina de Sistemas e Informtica. A los responsables de los servidores, base de datos y aplicaciones corresponde la verificacin de respaldo y proteccin adecuada.

Polticas Aplicadas a las Contraseas de ingreso a los sistemas de informacin.

La solicitud de creacin de usuarios de sistemas de informacin debe hacerse mediante formato y firmado por jefe inmediato El uso y custodia tiene una fecha de cambio de contrasea y otra de vencimiento de contrasea

Polticas y procedimientos sobreacceso a Red

- La Subgerencia de Informtica no es responsable por el contenido de datos ni por el trfico que en ella circule, la responsabilidad recae directamente sobre el usuario que los genere o solicite. - Nadie puede ver, copiar, alterar o destruir la informacin que reside en los equipos sin el consentimiento explcito del responsable del equipo. - No se permite interferir o interrumpir las actividades de los dems usuarios por cualquier medio o evento salvo que las circunstancias as lo requieran, como casos de contingencia, los cuales debern ser reportados en su momento a sus superiores correspondientes. - No se permite el uso de los servicios de la red cuando no cumplan con los quehaceres propios de la empresa. - Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad de la ESAP y se usarn exclusivamente para actividades relacionadas con la empresa. - Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de informacin son personales e intransferibles. Se permite su uso nica y exclusivamente durante la vigencia de derechos del usuario. - El uso de analizadores de red es permitido nica y exclusivamente por el personal de Informtica, para monitorear la funcionalidad de la Red, contribuyendo a la consolidacin del sistema de seguridad bajo las polticas y normatividades de la ESAP- No se permitir el uso de analizadores para monitorear o censar redes ajenas y no se debern realizar anlisis de la Red de la ESAP desde equipos externos a la entidad. - Cuando se detecte un uso no aceptable, se cancelar la cuenta o se desconectar temporal o permanentemente al usuario o red involucrada dependiendo de la normatividad. La reconexin se har en cuanto se considere que el uso no aceptable se ha suspendido. Solo se le permite el acceso a los usuarios que se encuentren registrados y tengan una cuenta de usuario El acceso en los equipos se hace por medio del acceso remoto, con el Dominio de la principal Bogot

Del rea de Informtica - La oficina de Informtica debe llevar un control total y sistematizado de los recursos de cmputo. - Los encargados del rea de informtica son los responsables de calendarizar y organizar al personal encargado del mantenimiento preventivo y correctivo de los equipos de cmputo.- Si un usuario o departamento viola las polticas vigentes de uso aceptable de la Red, los administradores de la Red lo aislar de la misma. - Para reforzar la seguridad de la informacin de los usuarios, bajo su criterio, deber hacer respaldos de la informacin en sus discos duros dependiendo de la importancia y frecuencia del cambio de la misma. - Los administradores no podrn remover del sistema ninguna informacin de cuentas individuales, a menos que la informacin sea de carcter ilegal, o ponga en peligro el buen funcionamiento de los sistemas, o se sospeche de algn intruso utilizando una cuenta ajena.

Polticas de uso aceptable de los usuarios 1. Los recursos de cmputo empleados por el usuario: Debern ser afines al trabajo desarrollado. No debern ser proporcionados a personas ajenas. No debern ser utilizados para fines personales.

2 Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales de los dems usuarios. 3 El correo electrnico no se deber usar para envo masivo, materiales de uso no institucional o innecesarios (entindase por correo masivo todo aquel que sea ajeno a la institucin, tales como cadenas, publicidad y propaganda comercial, poltica o social, etctera). 4 Para reforzar la seguridad de la informacin de su cuenta, el usuario conforme su criterio- deber hacer respaldos de su informacin, dependiendo de la importancia y frecuencia de modificacin de la misma. Los respaldos sern responsabilidad absoluta de los usuarios 5 Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de cmputo, software y dems fuentes que violen la ley de derechos de autor, para tal efecto todos los usuarios debern firmar un manifiesto donde se comprometan, bajo su responsabilidad, a no usar programas de software que violen la ley de derechos de autor. 6 Los usuarios debern cuidar, respetar y hacer un uso adecuado de los recursos de cmputo y red, de acuerdo con las polticas que en este documento se mencionan. 7 Los usuarios debern solicitar apoyo al encargado del departamento de sistemas ante cualquier duda en el manejo de los recursos de cmputo de la institucin.

De los servidores de la Red.

1 La oficina de Informtica tiene la responsabilidad de verificar la instalacin, configuracin e implementacin de seguridad, en los servidores conectados a la Red. 2 La instalacin y/o configuracin de todo servidor conectado a la Red ser responsabilidad de la oficina de Informtica. 3 Durante la configuracin del servidor los encargados del departamento de sistemas deben normar el uso de los recursos del sistema y de la red, principalmente la restriccin de directorios, permisos y programas a ser ejecutados por los usuarios.4. Los servidores que proporcionen servicios a travs de la RED e Internet debern: Funcionar 24 horas del da los 365 das del ao. Recibir mantenimiento preventivo mximo dos veces al ao Recibir mantenimiento semestral que incluya depuracin de bitcoras. Recibir mantenimiento anual que incluya la revisin de su configuracin. Ser monitoreados por el encargado del departamento de sistemas de la entidad y por el Centro de Operaciones de la Red de la API.

5 La informacin de los servidores deber ser respaldada de acuerdo con los siguientes criterios, como mnimo: Diariamente, informacin crtica. Semanalmente, los correos y los documentos web. Mensualmente, configuracin del servidor y bitcoras. 6 Los servicios institucionales hacia Internet slo podrn proveerse a travs de los servidores autorizados por la Subgerencia de Informtica. 7 El departamento de Sistemas se encargar de asignar las cuentas a los usuarios para el uso de correo electrnico en los servidores que administra. 8 Para efecto de asignarle su cuenta de correo al usuario, ste deber llenar una solicitud en formato libre y entregarlo al rea de informtica, con su firma y la del Gerente del rea. 9 Una cuenta deber estar conformada por cuatro primeras letras de su nombre y apellidos de usuario y su contrasea asignada. La sintaxis de la cuenta de correo ser [email protected] y no deber contener alias. 10 La cuenta ser activada en el momento en que el usuario se presente en el Centro de Operaciones de la Red, para teclear y verificar de manera personal su contrasea de acceso. 11 Los servidores debern ubicarse en un rea fsica que cumpla las normas para un centro de telecomunicaciones: Acceso restringido. Temperatura adecuada al equipo. Proteccin contra descargas elctricas. Mobiliario adecuado que garantice la seguridad de los equipos. 12 En caso de olvido de la contrasea por parte del usuario, podr apoyarse con el Ingeniero de sistemas encargado de la territorial, para el cambio de contrasea.

Polticas sobre el Respaldos a la informacinRespaldos Los usuarios debern realizar respaldos de su informacin mensualmente Contar con polticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios de la informacin Todos los medios magnticos de respaldos no deben estar almacenados en un mismo lugar, aunque se tengan los medios magnticos de operaciones en el sitio, por lo que si hubiera una contingencia grave (incendio, inundacin no se tendra el riesgo de perder parte o totalidad de la informacin y que se cuenta en otro lugar con los respaldos. Debe tenerse acceso restringido al rea en donde se tiene almacenados los medios magnticos, tanto de operacin como de respaldo. Se deben tener identificadas las cintas por fechas, concepto y consecutivo, es conveniente elaborar y actualizar una relacin sobre las cintas, el contenido de los datos de registro y los responsables de efectuarlos. Se debe contar con una poltica que indique los procedimientos a seguir en cuando al almacenamiento de las cintas de respaldo en un lugar diferente de la ubicacin del sitio, en donde se puede tener acceso las 24 horas del da y donde se designen responsables de mantener actualizada la informacin vital de la organizacin. Las Bases de Datos sern respaldadas peridicamente en forma automtica y manual, segn los procedimientos generados para tal efecto. Los respaldos debern ser almacenados en un lugar seguro y distante del sitio de trabajo.

Polticas sobre el Monitoreo de los Sistemas

Polticas aplicadas a todos los Perfiles de Usuarios. Papel tapiz Institucional relativo a la ESAP. Hora y fecha SINCRONIZADA AUTOMATICAMENTE. Panel de control restringido. Comando DOS restringido La instalacin de programas solo para usuarios Administradores. Despus de 15 minutos de inactividad del PC, se inactiva. Las cuentas de administrador local e invitados se renombraran Mayores controles a las cuentas de invitados Clic derecho habilitado para todos los usuarios. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos.

Registro de Eventos Se generarn registros de auditora que contengan excepciones y otros eventos relativos a la seguridad. Los registros de auditora debern incluir: a) Identificacin del usuario. b) Fecha y hora de inicio y terminacin. c) Identidad o ubicacin de la terminal, si se hubiera dispuesto identificacin automtica para la misma d) Registros de intentos exitosos y fallidos de acceso al sistema. e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos. En todos los casos, los registros de auditora sern archivados preferentemente en un equipo diferente al que los genere y conforme los requerimientos de la Poltica de Retencin de Registros Los Propietarios de la Informacin junto con la Unidad de Auditora Interna o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin, definirn un cronograma de depuracin de registros en lnea en funcin a normas vigentes y a sus propias necesidades. Procedimientos y reas de Riesgo Se desarrollarn procedimientos para monitorear el uso de las instalaciones de procesamiento de la informacin, a fin de garantizar que los usuarios slo estn desempeando actividades que hayan sido autorizadas explcitamente. Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos informticos, y se les advertir que determinadas actividades pueden ser objeto de control y monitoreo El alcance de estos procedimientos deber corresponderse a la evaluacin de riesgos que realice el Responsable del rea Informtica y el Responsable de Seguridad Informtica Entre las reas que deben tenerse en cuenta se enumeran las siguientes: a) Acceso no autorizado, incluyendo detalles como:1. Identificacin del usuario. 2. Fecha y hora de eventos clave. 3. Tipos de eventos. 4. Archivos a los que se accede. 5. Utilitarios y programas utilizados. b) Todas las operaciones con privilegio, como: 1. Utilizacin de cuenta de supervisor. 2. Inicio y cierre del sistema. 3. Conexin y desconexin de dispositivos de Ingreso y Salida de informacin o que permitan copiar datos. 4. Cambio de fecha/hora. 5. Cambios en la configuracin de la seguridad. 6. Alta de servicios. c) Intentos de acceso no autorizado, como: 1. Intentos fallidos. 2. Violaciones de la Poltica de Accesos y notificaciones para gateways de red y firewalls. 3. Alertas de sistemas de deteccin de intrusiones. d) Alertas o fallas de sistema como: 1. Alertas o mensajes de consola. 2. Excepciones del sistema de registro. 3. Alarmas del sistema de administracin de redes. 4. Accesos remotos a los sistemas.De los Sistemas Institucionales de Informacin 1. El Administrador de la Base de Datos tendr acceso a la informacin de la Base de Datos nicamente para: La realizacin de los respaldos de la BD. Solucionar problemas que el usuario no pueda resolver. Diagnstico o monitoreo.

2 El Administrador de la Base de Datos no deber eliminar ninguna informacin del sistema, a menos que la informacin est daada o ponga en peligro el buen funcionamiento del sistema.

2. SEGURIDAD FISICA

Equipos de la empresa

PS2.1: Se restringir el acceso de personal estudiantil y personal externo a la ESAP a las reas administrativas de la institucin, en donde se encuentren equipos de cmputo o informacin sensible. En caso de que el acceso de estas personas sea necesario, el acceso debe estar autorizado por el responsable del rea a la que van a ingresar, y deben estar acompaados en todo momento. El responsable del rea se har cargo de cualquier anomala que se pueda presentar a raz de esta situacin.

PS2.2: Solamente el personal tcnico designado por el responsable del departamento de sistemas podr instalar o desinstalar software en los equipos de la institucin. La ESAP tiene instalado y licenciado software como: Sistema Operativo de Windows, Antivirus Mcfee, base de datos Oracle, Microsoft Office, Adobe CS5, Corel Draw entre otros. La instalacin de programas no licenciados o no autorizados por la Oficina de Sistemas ser responsabilidad directa del usuario que lo utilice.

PS2.3: El encargado del departamento de sistemas deber llevar un registro detallado de los equipos de cmputo que son propiedad de la ESAP. Dicha informacin contendr las caractersticas de hardware y software, el registro de los mantenimientos correctivos o preventivos que se les han hecho, y las fechas en las que estn programados nuevos mantenimientos.

PS2.4: En equipos con informacin sensible, se desactivarn los puertos USB, para evitar que se extraiga informacin indebidamente, o se contaminen los equipos con cdigos maliciosos.

PS2.5: En caso de que se requiera destruir informacin crtica, ya sea en medios magnticos, o informacin impresa o manuscrita, se proceder a destruir completamente el medio en el que est almacenada, o a realizar por medio de herramientas, un borrado definitivo y seguro de la misma.

PS2.6: Los servidores de la institucin debern recibir suministro elctrico ininterrumpido por medio de UPS

PS2.7: No se permitir la salida de dispositivos de almacenamiento masivo, como discos duros, memorias flash, etc. que sean propiedad de la ESAP. En caso de que sea necesario la salida de estos dispositivos, por ejemplo en caso de mantenimiento, se establecer por escrito de que dispositivo se trata, y quien va a ser responsable por ellos y por la informacin que contengan. Tampoco se permitir que personal no autorizado destape o desensamble equipos de cmputo.

PS2.8: Solo personal autorizado por el departamento de sistemas podr utilizar los video beams y la sala de videoconferencia.

PS2.9: Los tcnicos tanto internos como externos que prestan servicio de mantenimiento a equipos de cmputo debern ser presentados por la oficina de sistemas para, que puedan tener acceso a los equipos y brindar los mantenimientos bsicos.

Equipos externos a la empresa

PS2.10: Los equipos de visitantes externos a la ESAP, o de estudiantes, (como porttiles, smartphones, tablets, etc.), tendrn acceso a la red de datos, con las restricciones que el departamento de sistemas considere pertinentes.

Acceso a equipos o informacin

PS2.11: Los servidores, respaldos y equipos de cmputo estarn ubicados en lugares seguros dentro de la institucin, debidamente vigilados y con acceso restringido del personal.

PS2.12: Solo tendrn acceso a los sistemas de informacin de la ESAP y a los equipos que estn en reas administrativas, las personas autorizadas, cuya labor dentro de la institucin lo ameriten (cargos administrativos, de alta gerencia y de mbito acadmico)

PS2.13: El encargado del departamento de sistemas ser el responsable del cuidado y proteccin de los servidores de la institucin.

PS2.14: Si estudiantes o personal visitante necesita usar equipos destinados a prstamos, debern hacerlo bajo supervisin

PS2.15: Cada empleado de la ESAP tendr asignado un equipo, y deber ser responsable de su cuidado, de usarlo debidamente, y de responder por las acciones que se hagan desde l. Tambin deber informar al departamento de sistemas en caso de cualquier anomala que se presente.

PS2.16: Los jefes de las dependencias deben enviar a la oficina de Sistemas la inhabilitacin de los usuarios cuando los funcionarios se desvinculan de la entidad.

SANCIONES

Las sanciones a que estn sujetos los usuarios por incumplimiento de sus obligaciones e incurrir en las restricciones sealadas, son las siguientes: a) Llamada de atencin de manera verbal o escrita. b) Suspensin temporal de los servicios de la Red. c) Suspensin definitiva de los servicios de la Red. d) Reposicin o pago de los bienes extraviados, destruidos o deteriorados.

3. RESPUESTAS A INCIDENTES

PLAN DE CONTINGENCIA

3.1 Objetivo GeneralGenerar una herramienta de prevencin, mitigacin, control y respuesta, que contenga actividades, acciones y procedimientos a desarrollar ante posibles contingencias generadas durante el desarrollo de la actividad de la empresa, y restablecer en el menor tiempo posible el funcionamiento normal de la misma.

3.2 Objetivos Especficos

Determinar las amenazas y su probabilidad de ocurrencia, que pueden afectar a los sistemas de informacin de la Escuela Superior de Educacin Pblica. Definir las funciones y responsabilidades de los miembros de la institucin involucrados en la atencin y planificacin de las emergencias. Planificar y coordinar las actividades de atencin y recuperacin para situaciones generales y especificas. Informar en forma precisa y oportuna las actividades previas y a desarrollar en caso de que se presenten situaciones anormales en las actividades de la ESAP. Evaluar, analizar y prevenir los riesgos en la ESAP. Evitar o reducir los daos que las emergencias puedan ocasionar al personal de la institucin y al personal directa o indirectamente involucrados con ella. Reducir o minimizar las prdidas econmicas y daos que las contingencias puedan ocasionar a la institucin. Capacitar al personal en prevencin de riesgos y entrenamientos en acciones de respuesta ante situaciones de emergencia.

3.3 Identificacin de FalenciasLas instalaciones de la ESAP no estn del todo adecuadas para mantener en operacin ptima los sistemas de informacin en caso de un siniestro. Las falencias que se pueden identificar dentro de la ESAP son:

Los equipos de cmputo no estn debidamente protegidos contra factores ambientales, como la humedad, la lluvia y el polvo. Las instalaciones de la ESAP sufren inundaciones cuando se presentan lluvias fuertes Los empleados de la empresa no tienen conocimiento sobre las medidas que deben tomar para prevenir y tratar una emergencia.

3.4 AmenazasPara poder disear procedimientos que permitan evitar las emergencias, reducir sus consecuencias negativas si se presentaran, y permitir que la ESAP se recupere; es necesario determinar con claridad las amenazas que se pueden presentar, para as, analizando cada una de ellas, se pueda dar la mejor solucin.A continuacin se listan las amenazas que se pueden identificar para la ESAP, y cul es la probabilidad de que cada una de ellas ocurra:

AmenazaProbabilidad de Ocurrencia

Muy AltaAltaMediaBajaMuy Baja

Inundacin/Daos por lluvias en la oficinaX

Terremotos X

Manipulacin malintencionada o accidental de la informacinX

Robo de los equipos de cmputoX

Prdida de informacinX

Conductas no ticas de los empleadosX

Corte del servicio de electricidadX

Dao fsico de los equipos de cmputoX

Incendios X

3.5 Actividades Preventivas a la Contingencia

Las actividades preventivas tienen la funcin bsica de evitar la ocurrencia de accidentes y efectos adversos no previstos que se pueden generar en el desarrollo de las actividades de una empresa.Este aparte del plan de contingencias ofrece una serie de recomendaciones y vigilancia de aspectos tcnicos y ambientales, que servirn para detectar los factores de riesgo y tomar medidas correctivas para evitar que ocurran los sucesos.

Inundacin/Daos por lluvias en las oficinas y en los dispositivos almacenados en la oficina Con el fin de prevenir inundaciones y daos por lluvias, tanto en los equipos de la oficina, como en los dispositivos almacenados en ella, es necesario seguir estas recomendaciones: Evitar ubicar los equipos electrnicos y de cmputo en lugares cercanos a ventanas, y a lugares con fuentes de agua potable, como baos. Asegurarse que los techos de cada una de las partes de la oficina estn en ptimas condiciones, y verificar que no haya ningn orificio, grieta o falla estructural en sus superficies que puedan permitir el paso de agua; y dar mantenimiento preventivo una vez al ao con impermeabilizantes a techos y paredes para evitar la humedad. Contar con cubiertas de plstico para proteger los computadores y documentos importantes que puedan mojarse. Para prevenir corto circuitos, asegurarse de que no existan fuentes de lquidos cerca a las conexiones elctricas.

TerremotosPara evitar los daos que la institucin pueda sufrir en caso de que se presente un terremoto, se deben seguir las siguientes recomendaciones: Reparar cualquier deterioro en la infraestructura de la empresa. Asegurar objetos pesados que puedan caer desde altura. Asegurar a las paredes estantes y muebles que puedan caerse. Establecer el lugar ms seguro para los empleados.

Prdida de la informacin y manipulacin malintencionada o accidental de la mismaPara prevenir las consecuencias negativas que pueda ocasionar para la ESAP la prdida de informacin, ya sea por manipulacin malintencionada, como por errores de manejo por parte de los empleados, es conveniente seguir las siguientes recomendaciones:

Definir perfiles de usuario, para as poder tener control sobre los accesos a la informacin. Contar con copias de seguridad (backups), de los sistemas operativos, de los software aplicativos, de los datos (Bases de Datos, contraseas, etc.) necesarios para la correcta ejecucin de los software aplicativos, que se usan en la institucin. Cambiar peridicamente contraseas y claves de acceso a la informacin.

Robo de equipos de cmputoEl robo de los equipos de cmputo representa una doble problemtica, en primer lugar la prdida fsica de los equipos, y en segundo lugar la prdida de la informacin contenida en ellos.Para evitar en su mayor parte estas consecuencias se debe:

Ubicar los equipos que contengan la informacin ms relevante para la empresa, en un lugar seguro y con acceso restringido. Proteger los datos contenidos en los equipos por medio de claves de acceso, de tal forma que si alguien roba el equipo, no pueda acceder a la informacin contenida en l. Establecer vigilancia mediante cmaras de seguridad, reparando las existentes, para poder estar al tanto de todos los movimientos de entrada del personal de la empresa, o de personas ajenas a ella; y alarmas y sensores que detecten cualquier tipo de intrusin en reas de acceso restringido, como por ejemplo, rupturas violentas de puertas o cristal. Fijar un lugar, fuera de las instalaciones principales de la empresa, para almacenar los medios magnticos que contengan las copias de seguridad. Contar con una empresa que pueda proveer equipos de cmputo que puedan dar soporte a la empresa, con el fin de darle continuidad a las actividades normales. Contar con plizas de seguro, para que en caso de este tipo de situaciones, la empresa aseguradora garantice la restitucin de los equipos perdidos.

Dao fsico de los equipos de cmputoPara prevenir las consecuencias negativas que pueda ocasionar para la ESAP el dao fsico de los equipos de cmputo, se deben tener en cuenta las siguientes recomendaciones: Como se mencion anteriormente, contar con una pliza de seguro. Tener un listado de las actividades que se equipo de cmputo realiza normalmente dentro de la institucin, para que mientras se solucione el inconveniente de forma definitiva, usando otros equipos de la empresa, se puedan cubrir sus funciones.

IncendioPara evitar en mayor parte los daos que la ESAP pueda sufrir en caso de que se presente un incendio, se deben seguir las siguientes recomendaciones: Mantener funcionando, y debidamente sealizados, los equipos y sistemas de alarma contra incendios. Informar a todos los empleados de la empresa las zonas seguras a las que deben dirigirse, y las vas de evacuacin. Tener especial cuidado con elementos de material inflamable, y ubicarlos lejos de cualquier fuente de ignicin. No permitir que se fume dentro de la institucin. Contar con extinguidores, y capacitar a los empleados para su uso. Etiquetar los equipos de cmputo de acuerdo a la prioridad de su contenido y la importancia que tiene para la empresa, para que esta clasificacin sea tenida en cuenta en caso de una posible evacuacin.

3.6 Actividades de Mitigacin

Si las contingencias suceden; se debe proceder a ejecutar las actividades de mitigacin. Estas actividades buscan que la emergencia, una vez ocurra, produzca el menor dao posible a la institucin.

Inundacin/Daos por lluvias en la oficina y en los dispositivos almacenados en la oficina Una vez ocurra la contingencia, se debe proceder a:

Abrir ventanas para permitir la ventilacin en el rea. Llevar a lugares seguros el hardware, software y documentos importantes. Apagar equipos de cmputo y electrnicos.

TerremotosEn el momento en el que se est presentando cualquier actividad ssmica, se deben realizar las siguientes actividades:

Desconectar o apagar inmediatamente dispositivos elctricos o a gas, que estn encendidos. Permanecer bajo vigas, puertas, o lugares seguros establecidos con anterioridad. Mantenerse alejado de ventanas y elementos que al deteriorarse puedan significar riesgo para las personas. Si es necesaria la evacuacin, hacerlo rpidamente y slo por las vas de evacuacin establecidas. Si hay estudiantes o personal visitante en la ESAP en ese momento, los empleados deben servir de guas

Prdida de la informacin y manipulacin malintencionada o accidental Tan pronto como se advierta que hubo prdida de informacin por cualquier causa se debe hacer lo siguiente: Cambiar las contraseas y claves de acceso a la informacin. Identificar que informacin se perdi para as saber que acciones realizar.

Robo de equipos de cmputoCuando se produzca un robo en las instalaciones de la institucin se deben seguir las siguientes recomendaciones:

El personal de la ESAP deber reportar el robo al jefe inmediato, para que ste pueda dar aviso a las autoridades y as pueda adelantarse una investigacin. Si se sospecha que el autor del robo fue una persona conocida, tratar de localizarla y dar aviso a las autoridades.

Si la ESAP es vctima de robo a mano armada: No oponer ningn tipo de resistencia. Obedecer las rdenes del delincuente pausadamente, y manteniendo la calma. Observar discretamente a la persona, y tratar de recordar caractersticas especficas, como acento, frases, rasgos fsicos. Dar aviso a las autoridades tan pronto como se pueda.

Conductas no ticas de los empleadosCuando se identifique que hubo un comportamiento no tico por parte de un empleado, que implique robo o acceso indebido de informacin o robo de equipos, proceder de la siguiente manera:

Cambiar las claves de acceso a la informacin correspondientes a se empleado. Proceder a la amonestacin o a la cancelacin del contrato laboral, segn sea la gravedad de la infraccin, y segn las normativas estipuladas en dicho contrato correspondientes a su cancelacin. Informar a las autoridades sobre lo sucedido.

Corte del servicio de electricidadSi se presentan las siguientes situaciones, proceder como se indica a continuacin.

En caso de interrupcin del suministro elctrico en lapsos cortos consecutivos - Considerar la decisin de apagar los equipos que estn activos, para evitar daos o prdida de informacin y daos en los equipos.

En caso de una interrupcin del suministro elctrico no mayor a una hora - Apagar los equipos que no tengan mucha prioridad, como impresoras, o computadores que no necesiten ser usados con urgencia.- Desconectar cualquier otro electrodomstico que se tenga dentro de la institucin

En caso de una interrupcin del suministro elctrico mayor a una hora - Apagar equipos activos

Dao fsico de los equipos de cmputoCuando se detecte un dao fsico en los equipos de cmputo, proceder de la siguiente manera: Tomando el listado que se hizo previamente de las actividades que se equipo de cmputo realiza normalmente dentro de la empresa, empezar a usar otros equipos de la empresa, para cubrir las funciones del equipo averiado.

IncendioCuando se presente un incendio en la institucin, se debe realizar lo siguiente:

Mientras que se recibe atencin profesional (por medio del sistema de alarmas contra incendios), y si el fuego es controlable, usar los extinguidores. Respetar las rutas de evacuacin establecidas con anterioridad. Si se cuenta con tiempo, apagar todos los equipos. Cortar el servicio de energa elctrica y suministros de gas si los hubiere. Si el fuego est muy avanzado, simplemente evacuar el lugar. Si se encuentran estudiantes o personal visitante dentro de la empresa, los empleados se debern encargar de servir de gua para la evacuacin. Revisar si hay personas atrapadas en oficinas o baos. Si ya se comenz a evacuar, no se regrese al lugar, ni permita que otra persona lo haga. Cubra su boca y nariz con prendas hmedas, y avanzar en lo posible gateando, ya que a menor altura, menor concentracin de gases txicos. Solo use las escaleras.

3.7 Actividades de Recuperacin

Inundacin/Daos por lluvias en la oficina y en los dispositivos almacenados en la oficina Si algn equipo de cmputo sufri daos irreparables, acudir a la aseguradora.

TerremotosLuego de que suceda el terremoto, seguir las siguientes recomendaciones: Ayude a las personas que tengan alguna dificultad. No regrese al lugar hasta que no se d autorizacin por parte de las autoridades pertinentes.

Prdida de la informacin y manipulacin malintencionada o accidental Restablecer la informacin que se perdi haciendo uso de las copias de seguridad que se hicieron previamente.

Robo de equipos de cmputo Acudir a la empresa aseguradora, para proceder con la restitucin de los equipos robados.

Corte del servicio de electricidad Notificar a todos los empleados de la institucin, que el servicio fue restablecido. Poner en funcionamiento nuevamente los equipos que se apagaron durante la contingencia. Revisar el correcto funcionamiento de los equipos, e identificar posibles averas.

Dao fsico de los equipos de cmputo Contactar con la empresa a la cual se le adquiri la pliza de seguro, para que se ponga en marcha el restablecimiento de los equipos averiados.

Incendio Prestar ayuda a las personas que se encuentren con usted, si puede hacerlo. No vuelva al lugar ni permita que otros lo hagan, hasta que no se tenga la autorizacin de las autoridades. Cuando ya tenga acceso nuevamente a la empresa, verifique los daos que se presentaron, y realice las acciones correctivas segn sea el caso

3.8 Organismos de Apoyo al Plan de Contingencia

Los organismos de apoyo al plan de contingencias descrito anteriormente son los siguientes:

Polica NacionalLnea de emergencia123PBX5760622

Cuerpo de BomberosLnea de emergencia119Bomberos Villa del Rosario 5700558Bomberos Los Patios5802288

Defensa CivilLnea de emergencia1445710624

Clnica san Jos de CcutaCalle 13 Nro. 1E-74 Barrio Caobos, Telfono 5821111

3.9 Encargados de dar respuesta a incidentes de seguridad

Los encargados de llevar a cabo los procedimientos de seguridad establecidos, y de liderar el plan de contingencia establecido para la Escuela Superior de Administracin Pblica, son las personas pertenecientes al departamento de sistemas. Estas personas son responsables de llevar a la prctica los lineamientos que en teora deben cumplirse, y son encargados tambin de dar apoyo a las dems personas que estn relacionadas con la institucin.

4. PROCEDIMIENTOS DE SEGURIDAD

1. SEGURIDAD FISICA

PROCEDIMIENTOS DE SEGURIDAD FISICA

POLITICANOMBRE DEL PROCEDIMIENTO

RESPONSABLE

PROCEDIMIENTO

PS2.1

Procedimiento para el acceso a la Escuela Superior de Administracin Pblica

Personal de Vigilancia Funcionarios de la ESAP Si la persona que desea ingresar a las instalaciones de la ESAP es estudiante, deber identificarse en la entrada, el vigilante revisar la identificacin y si es vlida le permitir el ingreso, de no serlo, se lo restringir. Si la persona que desea ingresar a la ESAP es un visitante, deber identificarse en la entrada, el vigilante le pedir informacin acerca del funcionario al cual busca, y si el funcionario autoriza su ingreso, se le permitir, quedando a cargo del funcionario la responsabilidad que esto conlleva. Si el funcionario niega la autorizacin al visitante, ste no podr ingresar a las instalaciones Si el visitante o el estudiante necesita ingresar a reas restringidas, estar bajo la compaa permanente de el encargado de esta rea, o del funcionario que autoriz su ingreso

PS2.2

Procedimiento para manejo de software en los equipos

Personal tcnico designado por el departamento de sistemas Si algn funcionario de la ESAP necesita o cree que es necesario tener una nueva herramienta de software, deber solicitarlo al personal del departamento de sistemas, y no podr instalarlo por su propia cuenta Si el personal del departamento de sistemas aprueba la solicitud, el software se instalar (si se cuenta con las licencias debidas), de lo contrario, no se har la instalacin

PS2.3

Procedimiento para el registro de equipos

Encargado del departamento de sistemas Se deber tener un formato que se debe mantener actualizado. El formato contendr la siguiente informacin: fecha de adquisicin del equipo, caractersticas de hardware y software, fecha de mantenimiento, tipo de mantenimiento y observaciones

PS2.4

Procedimiento para bloqueo de puestos USB

Personal tcnico designado por el departamento de sistemas En servidores y computadores que estn ubicados en reas administrativas que contienen informacin crtica, se bloquearn los puertos USB. Para esto, se realizarn los siguientes pasos:1.-Men Inicio - ejecutar2.- regedit3.- seguir la siguiente ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor4.- buscar y hacer doble clic en Start5.- cambiar el valor,3para permitir y4para bloquear los puertos.

PS2.5Procedimiento para eliminacin segura de informacin en medios magnticos

Encargado del departamento de sistemas En caso de que se necesite borrar informacin desde memorias flash, se utilizar la herramienta Disk Wipe, que sobre escribe varias veces datos en el dispositivo, para asegurar un borrado seguro En caso de que se necesite borrar informacin de discos duros, se usar la herramienta Eraser, que se integra en el men contextual de Windows y puede programarse para realizar acciones peridicamente

PS2.9

Procedimiento para el mantenimiento de equipos

Personal tcnico designado por el departamento de sistemas Los funcionarios de la ESAP o los usuarios de la ESAP debern solicitar una revisin tcnica, en caso de que noten alguna anomala en los equipos que manejan El departamento de sistemas recibe la solicitud y designar el personal tcnico que atender la solicitud y se realiza la revisin de los equipos En caso de que sea necesario instalar o desinstalar software, o realizar algn arreglo respecto al hardware, se deber actualizar el registro de los equipos (visto en el procedimiento de registro de equipos)

PS2.10Procedimiento para el acceso a la red de datos de equipos ajenos a la ESAP

Encargado del departamento de sistemas Se contar con un firewall debidamente configurado, para que se filtren aquellos sitios a los que los funcionarios y usuarios podrn tener acceso, as como para proteger la red de datos de usuarios malintencionados

PS2.11Procedimiento para el prstamo de equiposPersonal administrativo Cuando un usuario externo o un estudiante necesite usar un equipo de la ESAP, deber pedrsele una identificacin que se le retendr mientras haga uso del equipo


BTC Construction Phase ESAP Annex D.6 Health and Safety Management Plan

BTC Construction Phase ESAP Annex D.6 Health and Safety Management Plan

Documents
Gobierno En Linea (Esap)

Gobierno En Linea (Esap)

Education
Repensando la esap historia de la esap agusto alvarez

Repensando la esap historia de la esap agusto alvarez

Documents
5 Informe de gestión 1er semestre 2015 (2) - ESAP€¦ · La ESAP en el primer semestre del año ha presentado avance en las cinco políticas de desarrollo. Fuente: Plan sectorial

5 Informe de gestión 1er semestre 2015 (2) - ESAP€¦ · La ESAP en el primer semestre del año ha presentado avance en las cinco políticas de desarrollo. Fuente: Plan sectorial

Documents
WELCOME TO ESAP!

WELCOME TO ESAP!

Documents
Diplomados ESAP

Diplomados ESAP

Documents
Plan operativo ANUAL DE inversión – esap- 2020 · PLAN OPERATIVO ANUAL DE INVERSIÓN – ESAP- 2020 BPIN 2017011000090 PROGRAMA PRESUPUESTAL 0503 Mejoramiento de la calidad educativa

Plan operativo ANUAL DE inversión – esap- 2020 · PLAN OPERATIVO ANUAL DE INVERSIÓN – ESAP- 2020 BPIN 2017011000090 PROGRAMA PRESUPUESTAL 0503 Mejoramiento de la calidad educativa

Documents
Reglamento Estudiantil ESAP

Reglamento Estudiantil ESAP

Documents
Plan operativo ANUAL DE inversión – esap- 2020...pág. 1 PLAN OPERATIVO ANUAL DE INVERSIÓN – ESAP- 2020 CONSOLIDADO GENERAL PLAN OPERATIVO ANUAL DE INVERSIÓN _2020 Recursos

Plan operativo ANUAL DE inversión – esap- 2020...pág. 1 PLAN OPERATIVO ANUAL DE INVERSIÓN – ESAP- 2020 CONSOLIDADO GENERAL PLAN OPERATIVO ANUAL DE INVERSIÓN _2020 Recursos

Documents
Esap meci gp 1000

Esap meci gp 1000

Education
Plan de Formación - ESAP...Plan de Formación en Competencias Investigativas 2017 Escuela superior de Administración Pública – Facultad de Investigaciones 1 Plan de Formación

Plan de Formación - ESAP...Plan de Formación en Competencias Investigativas 2017 Escuela superior de Administración Pública – Facultad de Investigaciones 1 Plan de Formación

Documents
::ESAP ACADEMUSOFT:: - ESCUELA SUPERIOR DE ...apl01.esap.edu.co/esap/gestasoft/gestionDocumentalv2/...Solicitar prueba de la autorización otorgada a la ESAP para el tratamiento de

::ESAP ACADEMUSOFT:: - ESCUELA SUPERIOR DE ...apl01.esap.edu.co/esap/gestasoft/gestionDocumentalv2/...Solicitar prueba de la autorización otorgada a la ESAP para el tratamiento de

Documents
ESAP Estatuto Anticorrupcion

ESAP Estatuto Anticorrupcion

Documents
Esap mid term_preso

Esap mid term_preso

Documents
PETI ESAP€¦ · 3 Presentación (Introducción) ... 7.1 Plan Nacional de Desarrollo y Organización del Estado ... Tabla 2 Valor brecha identificada sobre el estado real de la ESAP

PETI ESAP€¦ · 3 Presentación (Introducción) ... 7.1 Plan Nacional de Desarrollo y Organización del Estado ... Tabla 2 Valor brecha identificada sobre el estado real de la ESAP

Documents
CALIDAD ESAP

CALIDAD ESAP

Documents
Presentacion general esap

Presentacion general esap

Government & Nonprofit
Presentación de PowerPoint - ESAP · que ofrece la ESAP en su cronograma de oferta y los currículos a la medida que ... Plan Anticorrupción y de atención al ciudadano Taller binacional

Presentación de PowerPoint - ESAP · que ofrece la ESAP en su cronograma de oferta y los currículos a la medida que ... Plan Anticorrupción y de atención al ciudadano Taller binacional

Documents
Trabajo intormatica ii esap

Trabajo intormatica ii esap

Documents
Presupuestos por Programas, ESAP

Presupuestos por Programas, ESAP

Education
Proceso de Inscripciones 2018-1 - ESAP – ESAP Escuela ... · - Diligencia su información personal de acuerdo a los campos establecidos. - Ingrese el código de seguridad que aparece

Proceso de Inscripciones 2018-1 - ESAP – ESAP Escuela ... · - Diligencia su información personal de acuerdo a los campos establecidos. - Ingrese el código de seguridad que aparece

Documents
Politica economica esap

Politica economica esap

Education
PLAN LOCAL DE SEGURIDAD CIUDADANA …munisanjeronimo.gob.pe/.../04/PLAN-LOCAL-DE-SEGURIDAD-CIUDA… · Plan Local de Seguridad Ciudadana -2017 Comité Distrital de Seguridad Ciudadana

PLAN LOCAL DE SEGURIDAD CIUDADANA …munisanjeronimo.gob.pe/.../04/PLAN-LOCAL-DE-SEGURIDAD-CIUDA… · Plan Local de Seguridad Ciudadana -2017 Comité Distrital de Seguridad Ciudadana

Documents
JANUAR 2021. - ESAP

JANUAR 2021. - ESAP

Documents
Taller 1 lida ESAP

Taller 1 lida ESAP

Government & Nonprofit
Tipo Modalidad 53 M-3: PLAN DE MEJORAMIENTO ......DEL PLAN DE MEJORAMIENTO Hallazgo No. 1 - 2014 Identificación y control de aportantes a la ESAP, Ley 21/1982. La ESAP no tiene certeza

Tipo Modalidad 53 M-3: PLAN DE MEJORAMIENTO ......DEL PLAN DE MEJORAMIENTO Hallazgo No. 1 - 2014 Identificación y control de aportantes a la ESAP, Ley 21/1982. La ESAP no tiene certeza

Documents
Syllabus 00 - ESAP - Fondamentaux de la Méthodologie d'Etudes … · 2014-05-09 · Syllabus 01 ‐ ESAP ‐ Economie Générale 1 / 4 Syllabus 01 - ESAP - Economie Générale –

Syllabus 00 - ESAP - Fondamentaux de la Méthodologie d'Etudes … · 2014-05-09 · Syllabus 01 ‐ ESAP ‐ Economie Générale 1 / 4 Syllabus 01 - ESAP - Economie Générale –

Documents
ESAP .Konseling keluarga berencana

ESAP .Konseling keluarga berencana

Documents
Esap Demarc Unit Catalog

Esap Demarc Unit Catalog

Documents
Tipo Modalidad 53 - ESAP...DEL PLAN DE MEJORAMIENTO Hallazgo No. 1 - 2014 Identificación y control de aportantes a la ESAP, Ley 21/1982. La ESAP no tiene certeza del universo de entidades

Tipo Modalidad 53 - ESAP...DEL PLAN DE MEJORAMIENTO Hallazgo No. 1 - 2014 Identificación y control de aportantes a la ESAP, Ley 21/1982. La ESAP no tiene certeza del universo de entidades

Documents