Proyecto Administracion de Sistemas Julio Maldonado.pdf

7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf

1/77

Sistema de Gestin de Seguridad de la Informacin

Pgina 1de 77

IMPLEMENTACIN DE SISTEMA DEGESTION DE SEGURIDAD DE LA

INFORMACION-SGSI

ORGANISMO EJECUTIVO DE GUATEMALA

INGENIERA EN SISTEMAS DE INFORMACINEVALUACIN GENERAL PRIVADA, ADMINISTRACIN DE SISTEMAS

ING. ERVIN CANO

JULIO ALFREDO MALDONADO SAENZ 2790-09-6882

GUATEMALA, NOVIEMBRE DE 2014


2/77


Pgina 2de 77

INDICE

Capitulo Tema !"i#a1 Introduccin 4

Antecedentes 5Objetivos 6Alcance y Limitaciones 7Justiicacin 7!escri"cin #ntidades O# $

2 %undamentos &ericos '()ormas I*O '+,etodolog-a ,A.#/I& '0

Proceso ,etodolog-a ,A.#/I& 11

$Pre2Anlisis 3om"arativo de las #ntidades del O# con los controles deI*OI#3 17((11((5

15

/esultado del Pre2Anlisis 3om"arativo +(4 Anlisis y .estin de /iesgos +1

.u-a "ara el Anlisis de /iesgos +13riterios de aloracin ++Proceso de Anlisis de /iesgos +$/esultados del Anlisis de /iesgos 45.estin de /iesgos 47

% Pol-ticas de *eguridad 5(Pol-ticas de *eguridad Organiacional 5'Pol-ticas de *eguridad %-sica y Lgica 56Pol-ticas de ,antenimiento del #8ui"o de 3om"uto 57Pol-ticas de Administracin de O"eraciones en el 3entro de 3om"uto 50Pol-ticas de .eneracin y /estauracin de 3o"ias de *eguridad 65Pol-ticas de 3um"limiento 66Pol-ticas de Pro9ibicin 67

& 3onclusiones 6$/ecomendaciones 60:ibliogra-a 7(

Ane;os 71


3/77


Pgina $de 77

Re'ume#

#l "resente "royecto est enocado en el uso de controles de las normas de seguridad de la

inormacin I*OI#3 17(('1((5< I*OI#3 17((11((5 e I*OI#3 17((51(''< dedicada a es"eciicar

re8uerimientos necesarios "ara gestin de riesgos< establecer< im"lementar< o"erar< monitorear y

mantener un sistema de gestin de la seguridad de la inormacin=

As- tambi>n el A"ego del !ecreto 4721(($?Ley "ara el /econocimiento de las 3omunicaciones y

%irmas #lectrnicas@< 8ue "romueve 8ue integracin al comercio electrnico global re8uiera 8ue

sean ado"tados instrumentos t>cnicos y legales basados en los modelos de legislacin

Internacional 8ue buscan la uniicacin de esta rama del derec9o tan es"ecialiada< y 8ue debe

drsele seguridad jur-dica y t>cnica a las contrataciones< comunicaciones y irmas electrnicas

mediante sealamientos de la e8uivalencia uncional a estas Bltimas con res"ecto a los

documentos en "a"el y irmas manuscritas= Acuerdo .ubernativo '+521((0 ?/eglamento de la Ley

"ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas@ dedicada a regular la ley "ara

el reconocimiento de las comunicaciones y %irmas #lectrnicas< "romueve el comercio electrnicos de

los certiicados digitales de irma2e avanada 8ue son algoritmos electrnicos 8ue emite 3mara

de 3omercio de .uatemala 8ue "ermiten identiicar de manera ine8u-voca a una "ersona en

medios digitales= Adicionalmente caliica tanto su actividad "roesional< como el rol 8uedesem"ea en el momento< 8ue garantia

Identidad y ca"acidad de las "artes 8ue tratan entre s- sin conocerse ?emisor y rece"tor del

mensaje@=

Integridad de la transaccin ?veriicar 8ue la inormacin no ue mani"ulada@=

Irreutabilidad de los com"romisos ad8uiridos ?no re"udio@=

3onidencialidad de los contenidos de los mensajes ?solamente conocidos "or 8uienes

est>n autoriados@=


5/77


Pgina %de 77

'=1 Antecedentes

#l Organismo #jecutivo es uno de los organismos del #stado< 8ue ejerce el "oder ejecutivo

de la /e"Bblica de .uatemala= #st com"uesto "or el Presidente< el ice"residente< los ,inisterios

de #stado< las *ecretar-as de la Presidencia y ice"residencia< las gobernaciones de"artamentalesn basado en la Ley "ara el

/econocimiento de las 3omunicaciones y %irmas #lectrnicas en .uatemala= 3on el a"ego de las

distintas )ormas y Leyes antes mencionadas se establecern bases "ara la im"lementacin de un

*.*I ?*istema de .estin de la *eguridad de la Inormacin@ "or lo tanto deber cum"lir las

siguientes ases

Anlisis y .estin de /iesgos

Pol-ticas necesarias "ara la adecuada .estin de la *eguridad

!ocumentacin de "rocesos y registros

Plan de im"lementacin

'=+=1 Objetivos #s"ec-icos

Ayudar a descubrir y "laniicar las medidas o"ortunas "ara mantener los riesgos

bajo control=

3oncienciar a los res"onsables de los sistemas de inormacin y comunicacin

de la e;istencia de riesgos y de la necesidad de evitar al m;imo 8ue estos se

ejecuten=

Asegurar 8ue la inormacin transmitida "or la red LA) sea la misma 8ue reciba el

destinatario al cual se 9a enviado y 8ue no llegue a manos de "ersonas

malintencionadas=

A"oyar a las distintas #ntidades "ara 8ue "ueda cum"lir con lo deinido en el

sistema de gestin de seguridad de la inormacin 8ue se va a desarrollar en

este "royecto=


7/77


Pgina 7de 77

'=5 Alcance y Limitaciones

3on el anlisis de riesgo de la seguridad de la red de las distintas Organiaciones de

Organismo #jecutivo de .uatemala< se identiicarn las amenaas< vulnerabilidades y riesgos de la

inormacin sobre la "lataorma tecnolgica de esta organiacin< con el in de .enerar un *istemade .estin de la *eguridad de la Inormacin 8ue se asegure en un ambiente inormtico seguros de 8ue se

9an tomado acciones o establecido controles 8ue "ermitan a la organiacin reducir su

"robabilidad de ocurrencia=

A#!li'i' -e +ie'"o Fso sistemtico de la inormacin "ara identiicar uentes y "ara estimar el

riesgo=

E3alua*i# -el Rie'"o.Proceso de com"arar el riesgo estimado con el criterio de riesgo dado "ara

determinar la im"ortancia del riesgo=

Valua*i# -el Rie'"o.Proceso general de anlisis del riesgo y evaluacin del riesgo=

T+atamie#to -el Rie'"o Proceso de tratamiento de la seleccin e im"lementacin de medidas

"ara modiicar el riesgo=

Ge'ti# -el Rie'"o.Actividades coordinadas "ara dirigir y controlar una organiacin con relacin

al riesgo=

i+ma Ele*t+#i*a. #s de naturalea undamentalmente legal< ya 8ue coniere a la irma un marco

normativo 8ue le otorga valide jur-dica=

i+ma Di"ital. #s un m>todo cri"togrico 8ue asocia la identidad de una "ersona o de un e8ui"o

inormtico al mensaje o documento= #n uncin del ti"o de irma< "uede< adems< asegurar la

integridad del documento o mensaje=

Ce+ti5i*a-o Di"ital #s un ic9ero inormtico generado "or una entidad de servicios de certiicacin

8ue asocia unos datos de identidad a una "ersona -sica< organismo o em"resa conirmando de

esta manera su identidad digital en Internet= #l certiicado digital es vlido "rinci"almente "araautenticar a un usuario o sitio Ceb en internet "or lo 8ue es necesaria la colaboracin de un

tercero 8ue sea de coniana "ara cual8uiera de las "artes 8ue "artici"e en la comunicacin

u#*io#e' 9a'8. La uncin 9as9 es un algoritmo matemtico 8ue "ermite calcular un valor

resumen de los datos a ser irmados digitalmente= %unciona en una sola direccin< es decir< no es

"osible< a "artir del valor resumen< calcular los datos originales= 3uando la entrada es un

documento< el resultado de la uncin es un nBmero 8ue identiica indiscutible al te;to= *i se


13/77


Pgina 1$de 77

adjunta este nBmero al te;to< el destinatario "uede a"licar de nuevo la uncin y com"robar su

resultado con el 8ue 9a recibido= #ste ti"o de o"eraciones no estn "ensadas "ara 8ue las lleve a

cabo el usuario< sino 8ue se utilia sotCare 8ue automatia tanto la uncin de calcular el valor

9as9 como su veriicacin "osterior=

Delito I#5o+m!ti*o. O ciberdelincuencia es toda a8uella accin< t-"ica< antijur-dica y cul"able< 8ue

se da "or v-as inormticas o 8ue tiene como objetivo destruir y daar ordenadores< medios

electrnicos y redes de Internet=

2)$ No+ma' I/O :O+"a#i6a*i# I#te+#a*io#al pa+a la E'ta#-a+i6a*i#;.esuna organiacin no gubernamental 8ue orma un "uente entre los sectores "Bblicos y "rivados y

naci con el objetivo de acilitar la coordinacin internacional y la uniicacin de los estndares

industriales= La I*O 9a reservado la serie I*OI#3 17((( "ara una gama de normas de gestin de la

seguridad de la inormacin de manera similar a lo realiado con las normas de gestin de la

calidad< la serie I*O 0(((=

2)$)1 I/O


14/77


Pgina 14de 77

!einicin de nuevos "rocesos de gestin de seguridad de la inormacin

Identiicacin y clariicacin de los "rocesos de gestin de seguridad de la

inormacin e;istentes

Ftiliar la gestin de las organiaciones "ara determinar el estado de las actividades

de gestin de seguridad de la inormacin Fsar "or los auditores internos y e;ternos de las organiaciones "ara determinar el

grado de cum"limiento de las "ol-ticas< directrices y normas ado"tadas "or una

organiacin

Ftiliar las organiaciones "ara "ro"orcionar inormacin relevante acerca de las

"ol-ticas de seguridad de la inormacin< directivas< normas y "rocedimientos a los

socios comerciales y otras organiaciones con las 8ue interactBan "or raones

o"erativas o comerciales

Im"lementacin de seguridad de la inormacin em"resarial "ro"icio

Ftiliar las organiaciones "ara "ro"orcionar inormacin relevante sobre seguridadde la inormacin a los clientes=

+o*e'o -e A-apta*i#


15/77


Pgina 1%de 77

la#ea+. E'tale*e+"ol-tica< objetivos< "rocesos y "rocedimientos *.*I relevantes "ara manejar el

riesgo y mejorar la seguridad de la inormacin "ara entregar resultados en concordancia con las

"ol-ticas y objetivos generales de la organiacin< "ol-tica y objetivos=

9a*e+ :Impleme#ta+;.Im"lementar y o"erar la "ol-tica controles< "rocesos y "rocedimientos *.*I=

C8e=uea+ :Mo#ito+ea+ el /G/I;.#valuar y medir el desem"eo del "roceso en com"aracin con la

"ol-tica< objetivos y e;"eriencia "racticas *.*I y re"ortar los resultados a la gerencia "ara su

revisin=

A*tua+ :Ma#te#e+ meo+a+ el /G/I;. Toma+ acciones correctivas y "reventivas basadas en los

resultados de la auditoria interna *.*I y la revisin gerencial u otra inormacin relevante continua

del *.*I

2)$)2 I/O < IEC 27002. 200%. establece directrices y "rinci"ios generales "ara iniciar'i*a amie#tal *e reiere a un "er-metro de seguridad -sicaa MAGERIT

Para la realiacin de un Anlisis de /iesgos e;isten varias gu-as inormales< a"ro;imaciones

metdicas< estndares y 9erramientas de so"orte 8ue buscan gestionar y mitigar los riesgos= Las

"rinci"ales metodolog-as de anlisis y gestin de riesgos de uso 9abitual en el mercado de la

seguridad de la inormacin son ,A.#/I&< O3&A#< 3/A,,< I/A,< a continuacin tenemos una

tabla en la cual nos com"ara todas las metodolog-as=


22/77


Pgina 22de 77

2)& 9e++amie#ta EAR


23/77


Pgina 2$de 77

I*OI#3 17((11((5 2 3digo de buenas "rcticas "ara la .estin de la *eguridad de

la Inormacin

#)* 2 #s8uema )acional de *eguridad

La utiliacin de esta 9erramienta en este "royecto me ayudara analiar los riesgos de acuerdo

a la conidencialidad< integridad< dis"onibilidad< autenticidad y traabilidad=

&ambi>n dis"one de salvaguardas< normas y "rocedimientos de seguridad "ara el anlisis del

riesgo en el "roceso de tratamiento= Para realiar un anlisis de riesgo adecuado< es necesario

tener conocimiento sobre el entorno Pilar en cuanto a identiicar los activos< de"endenciass I& .overnance

Institute@< tiene una serie de recursos 8ue "ueden servir de modelo de reerencia "ara la gestin

de &I< incluyendo un resumen ejecutivo< un rameCorE< objetivos de control< ma"as de auditor-acnicas de gestin=

3riterio de aloracin segBn el modelo de ,adure 3O:I& ?Objetivos de 3ontrol "ara Inormacin

y &ecnolog-as /elacionadas@

A continuacin se reali un anlisis 8ue tiene como objetivo identiicar las reas d>biles de

las distintas entidades del Organismo #jecutivo de .uatemala< basndonos en los criterios de

valoracin del ,odelo de ,adure 3O:I&

% OLITICA DE /EGURIDAD CUMLIMIENTO GRADO DEMADURE

UNIDADEECUTORA

5=' Pol-tica de seguridad de la inormacin

%)1)1 !ocumento de la "ol-tica de seguridad de la

inormacin=

no cum"le ( ine;istente *#.F/I!A!

%)1)2 /evisin de la "ol-tica de seguridad de la

inormacin=


& ORGANIACIN DE LA /EGURIDAD DE LA

Valo+ C+ite+io

0 Ine;istente

1 Inicial

2 /e"etible

$ Proceso !einido

4 .estionado #valuable

% O"timiado


25/77


Pgina 2%de 77

INORMACIN

&)1 Organiacin interna

&)1)1 3om"romiso de la direccin con la seguridad de la

inormacin=


&)1)2 3oordinacin de la seguridad de la inormacin= cum"le 1 re"etible *#.F/I!A!

&)1)$ Asignacin de res"onsabilidades "ara la seguridad

de la inormacin=

no cum"le 1 re"etible *#.F/I!A!

&)1)4 Acuerdos sobre conidencialidad no cum"le + "roceso

deinido

*#.F/I!A!

7 GE/TIN DE ACTIVO/

7)1 /es"onsabilidad "or los activos

7)1)1 inventario de activos cum"le + "roceso

deinido

*#.F/I!A!

7)1)2 "ro"iedad de los activos no cum"le + "roceso

deinido

*#.F/I!A!

7)1)$ uso ace"table de los activos 3um"le 4 gestionadoevaluable

//GG

( /EGURIDAD DE LO/ RECUR/O/ 9UMANO/

()1 Antes de la contratacin

()1)1 roles y res"onsabilidades 3um"le 4 gestionado

evaluable

//GG

()1)2 seleccin < revisar antecedentes cum"le + "roceso

deinido

//GG

()1)$ t>rminos y condiciones laborales )o cum"le ' inicial //GG

()2 !urante la vigencia de contratacin laboral

()2)1 /es"onsabilidad de la direccin 3um"le ' inicial //GG()2)2 educacin < ormacin y concientiacin sobre la

seguridad de la inormacin

no cum"le ( ine;istente //GG

()2)$ "roceso disci"linario no cum"le ( ine;istente //GG

()$ &erminacin o cambio de la contratacin laboral

()$)1 /es"onsabilidad en la terminacin cum"le 5 o"timiado //GG

()$)2 devolucin de los activos cum"le 4 gestionado

evaluable

//GG

()$)$ /etiro de los derec9os de acceso cum"le 4 gestionado

evaluable

//GG

/EGURIDAD I/ICA DEL ENTORNO)1 Mreas *eguras

)1)1 "er-metro de seguridad -sica cum"le 5 o"timiado *#.F/I!A!

%I*I3A

)1)2 controles de acceso -sico cum"le 5 o"timiado *#.F/I!A!

%I*I3A

)1)$ seguridad de oicinas < recintos e instalaciones cum"le 4 gestionado

evaluable

*#.F/I!A!

%I*I3A


26/77


Pgina 2&de 77

)1)4 "roteccin contra amenaas e;ternas y

ambientales

)o cum"le 5 o"timiado *#.F/I!A!

%I*I3A

)1)% trabajo en reas seguras cum"le ' inicial *#.F/I!A!

%I*I3A

)1)& reas de carga des"ac9o y acceso "ublico cum"le 5 o"timiado *#.F/I!A!

%I*I3A

)2 *eguridad de los e8ui"os

)2)1 Fbicacin y "roteccin de los e8ui"os cum"le 4 gestionado

evaluable

*#.F/I!A!

%I*I3A

)2)2 servicios de suministros cum"le 5 o"timiado *#.F/I!A!

%I*I3A

)2)$ seguridad del cableado cum"le 5 o"timiado P/O3 !A&O*

/#!#*

)2)4 mantenimientos de los e8ui"os cum"le 4 gestionado

evaluable

P/O3 !A&O*

/#!#*

)2)% seguridad de los e8ui"os uera de las instalaciones )o cum"le ' inicial *#.F/I!A!%I*I3A

)2)& seguridad en la reutiliacin o eliminacin de los

e8ui"os

cum"le 1 re"etible *#.F/I!A!

%I*I3A

)2)7 retiro de activos cum"le ' inicial *#.F/I!A!

%I*I3A

10 GE/TION DE COMUNICACIONE/ OERACIONE/

10)1 /es"onsabilidades y "rocedimientos de o"eracin

10)1)1 !ocumentacin de los documentos de o"eracin cum"le ' Inicial P/O3 !A&O*a pa+a el A#!li'i' -e Rie'"o


33/77


Pgina $$de 77

4)2)1 E'tale*e+ C+ite+io' -e Valo+a*i#.#stablecer criterios de valoracin= #n esta tarea el l-der y

el comita de seguridad establecen los criterios de valoracin< los cuales van a "ermitir

identiicar la im"ortancia de cada uno de los activos a evaluar=

*e deben establecer los criterios de valoracin "ara

+oaili-a- -e o*u++e#*ia :Ame#a6a' Vul#e+aili-a-e';. 3onsidera la

e;istencia de una amenaa< la cual "uede llegar a e;"lotar una determinada

vulnerabilidad de la organiacin= #n este caso es necesario establecer dos

criterios de valoracin< el "rimero "ara medir la "robabilidad de 8ue ocurra

una amenaa y el segundo "ara medir la "robabilidad de 8ue se e;"lote una

vulnerabilidad=

Ame#a6a :/e"@# la I/O


34/77


Pgina $4de 77

Vul#e+aili-a- /e"@# I/O


35/77


Pgina $%de 77

I#te"+i-a- /e"@# I/O


36/77


Pgina $&de 77

Co#t+ole' -e E?i'te#te'.3onsidera 8ue tan eectivos son los controles 8ue se

estn utiliando= #n este caso es necesario establecer un criterio de

valoracin 8ue "ermita identiicar si e;iste un control y si este cum"le su

uncin correctamente=

R

i

e

'

"

o

I#

Rie'"o I#8e+e#te. Identiica la valoracin del riesgo e;istente en la

organiacin antes de tomar acciones o establecer controles< 8ue "ermitan a

la organiacin reducir su "robabilidad de ocurrencia=


37/77


Pgina $7de 77

Rie'"o Re'i-ual. Identiica la valoracin del riesgo e;istente en la

organiacin des"u>s 8ue se 9an tomado acciones o establecidos controles

8ue "ermiten a la organiacin reducir su "robabilidad de ocurrencia=


38/77


Pgina $(de 77

+io+i6a*i# -e Rie'"o'. La siguiente matri es una re"resentacin grica

"ara ilustrar la "rioriacin de los riesgos de acuerdo a la "robabilidad de

ocurrencia contra el im"acto= Los 8ue se encuentran en la ona roja son los

ms cr-ticos e involucran el ms alto riesgo< la ona anaranjada im"lica

riesgos medios y re8uieren atencin continua= Las reas amarillas sonriesgos bajos y es recomendable asumirlos=

4)$ +o*e'o A#!li'i' -e Rie'"o OE.Para el anlisis de /iesgos se tom como ejem"lo el ,inisterio

de #ducacin de .uatemala< "ara ellos se identiicaron los riesgos< amenaas< /iesgo In9erenteti*a' E'tale*i-a'

%)2 ol>ti*a -e /e"u+i-a- O+"a#i6a*io#al. &oda "ersona 8ue ingresa como usuario nuevo a

la em"resa "ara manejar e8ui"os de cm"uto y 9acer uso de servicios inormticos debe ace"tarlas condiciones de conidencialidad< de uso adecuado de los bienes inormticos y de la

inormacin< as- como cum"lir y res"etar al "ie de la letra las directrices im"artidas en el ,anual

de Pol-ticas y #stndares de *eguridad Inormtica "ara Fsuarios=

%)2)1 U'ua+io' Nue3o'.&odo el "ersonal nuevo de la organiacin'i*o.

3ual8uier "ersona 8ue tenga acceso a las instalaciones de las

organiaciones del O# deber registrar al momento su entrada< el e8ui"o

de cm"uto< e8ui"o de comunicaciones< medios de almacenamiento y

9erramientas 8ue no sean "ro"iedad de la entidad< en el rea de

rece"cin o "orter-a< el cual "odrn retirar el mismo d-a= #n caso

contrario deber tramitar la autoriacin de salida corres"ondiente=

Las com"utadoras "ersonales< las com"utadoras "orttiles y cual8uieractivo de tecnolog-a de inormacin< "odr ser retirado de las

instalaciones de las Organiaciones Bnicamente con la autoriacin de

salida del rea de inventario< ane;ado el comunicado de autoriacin del

e8ui"o debidamente irmado "or el Jee .eneral de la #ntidad=


56/77


Pgina %&de 77

5=+=1 Co#t+ole' -e A**e'o L"i*o. 3ada usuario y uncionario son res"onsables de los

mecanismos de control de acceso 8ue les sean "ro"orcionado< esto es< el login de

usuario y contrasea necesarios "ara acceder a la red interna de inormacin y a la

inraestructura tecnolog-a de la Organiacin< "or lo 8ue se deber mantener de

orma conidencial=

&odos los usuarios de servicios de inormacin son res"onsables "or el

usuario y contrasea 8ue recibe "ara el uso y acceso de los recursos=

&odos los usuarios debern autenticarse "or los mecanismos de

control de acceso "revisto "or el !e"artamento de Inormtica< antes

de "oder usar los e8ui"os de tecnolog-a de inormacin=

Los usuarios y uncionarios son res"onsables de todas las actividadesrealiadas con su identiicador de usuario?I!@= Los usuarios no deben

divulgar ni "ermitir 8ue otros utilicen sus identiicadores de usuarion tengan "ol-ticas de directivas

de gru"o "ara la autoriacin de uso de dis"ositivos de almacenamiento

e;terno< cono Pen !river o ,emorias F*:< !iscos Porttiles< Fnidades de3!!! e;ternos< "ara el manejo y traslado de inormacin o realiacin de

co"ias de seguridad o bacEu"s=

3ada jee de rea o de"endencia debe re"ortar al !e"artamento de

Inormtica el listado de uncionarios a su cargo 8ue manejan estos ti"os de

dis"ositivos< es"eciicando clase< ti"o y uso determinado=

%)7 DaHo -el E=uipo

#l e8ui"o de cm"uto< "eri>rico o accesorio de tecnolog-a de inormacin

8ue sura algBn des"erecto< dao "or maltrato< descuido o negligencia "or

"arte del usuario res"onsable< se le levantara un re"orte de incum"limiento

de "ol-ticas de seguridad=


59/77


Pgina %de 77

%)( A-mi#i't+a*i# -e Ope+a*io#e' e# el Ce#t+o -e Computo

%)()1 A-mi#i't+a*i# -e Ope+a*io#e' e# el Ce#t+o -e Cmputo

Los usuarios y uncionarios de la #ntidas del O# 8ue 9agan uso de e8ui"os decm"utos< deben conocer y a"licar las medidas "ara la "revencin de cdigo

malicioso como "oder ser virus< caballos de &roya< gusanos< s"yCare=

#l de"artamento de inormtica encabeado "or el .erente de I&< establece

las "ol-ticas y "rocedimientos administrativos "ara regular< controlar y

describir el acceso de visitantes o uncionarios no autoriados a las

instalaciones de cm"uto restringidas=

3uando un uncionario no autoriado o un visitante re8uieran la necesidadde ingresar a la sala donde se encuentran los servidores< debe solicitar

mediante comunicado interno debidamente irmada y autoriado "or el jee

inmediato de su seccin o de"endencia y "ara un visitante se debe solicitar la

visita con antici"acin la cual debe traer el visto bueno de la .erencia< y

donde se es"ecii8ue ti"o de actividad a realiar< y siem"re contrar con la

"resencia de un uncionario del !e"artamento de inormtica=

#l Jee del !e"artamento de inormtica deber llevar un registro escrito de

todas las visitas autoriadas a los centros de cm"uto restringidos=

&odo e8ui"o inormtico ingresado a los centros de cm"uto restringidos

deber ser registrado en el libro de visitas=

3uando se vaya a realiar un mantenimiento en algunos de los e8ui"os de

cm"uto restringido< se debe dar aviso con antici"acin a los usuarios 8ue se

vayan a ver aectados con el "aro del servicio=

#l Jee del !e"artamento de inormtica deber solicitar a la Alta .erencia

los e8ui"os de "roteccin "ara las instalaciones contra incendio< sistema

el>ctrico de res"aldo ?.eneradores #l>ctricos@< FP*=

Las actividades 8ue realicen los usuarios y uncionarios en la inraestructura

de &ecnolog-a de inormacin y 3omunicaciones &I3Rs de la #ntidades sern

registradas y "odrn ser objeto de auditoria=


60/77


Pgina &0de 77

%) A-=ui'i*i# -e 'o5tJa+e.

Los usuarios y uncionarios 8ue re8uieran la instalacin de sotCare 8ue sea

"ro"iedad de la Organiacin< debern justiicar su uso y solicitar su

autoriacin "or !e"artamento de Inormtica con el visto bueno de su Jee

inmediato< indicando el e8ui"o de cm"uto donde se instalar el sotCare y

el "er-odo de tiem"o 8ue ser usado=

*e considera una alta grave el 8ue los usuarios o uncionarios instalen

cual8uier ti"o de "rograma ?sotCare@ en sus com"utadoras< estaciones de

trabajo< servidores< o cual8uier e8ui"o conectado a la red de la Organiacin autoriado "or !e"artamento de Inormtica=

#l !e"artamento de Inormtica< tiene a su cargo la tarea de inormar

"eridicamente a los usuarios< !irectivos< Administrativos< Jees de Fnidadcnicos@ del !e"artamento de Inormtica tiene la

res"onsabilidad de velar "or el buen uso de los e8ui"os de cm"uto y del

cum"limiento de las "ol-ticas de seguridad= A su ve debern orecer

mantenimiento "reventivo a las com"utadoras de la em"resa=

#n el "roceso de reinstalar un "rograma el t>cnico debe borrar

com"letamente la versin instalada "ara luego "roceder a instalar la nueva

versin 8ue desea< esto siem"re y cuando no sea una actualiacin del

mismo=


61/77


Pgina &1de 77

5='(Li*e#*iamie#to -e /o5tJa+e

Para el control de licenciamiento de *otCare La organiacin cuenta con un

contrato con vigencia anula< con la 3om"a-a ,I3/O*O%& *=A=< adems como

"ol-tica de seguridad se tienen establecido en el /eglamento< la "ro9ibicinde instalar sotCare y "rogramas no autoriados y sin licencia= #l

!e"artamento de Inormtica deber realiar 8uincenalmente un inventario

-sico de los "rogramas y sotCare instalados en cada uno de los

com"utadores de la institucin=

%)11I-e#ti5i*a*i# -e I#*i-e#te'.

#l usuario o uncionario 8ue detecte o tenga conocimiento de la "osible

ocurrencia de un incidente de seguridad inormtica deber re"ortarlo alMrea de Inormtica lo antes "osible< indicando claramente los datos "or los

cuales lo considera un incidente de seguridad inormtica=

3uando e;ista la sos"ec9a o el conocimiento de 8ue inormacin conidencial

o reservada 9a sido revelada< modiicada< alterada o borrada sin la

autoriacin de las !irectivas Administrativas com"etentes< el usuario o

uncionario inormtico deber notiicar al !e"artamento de Inormtica=

%)12A-mi#i't+a*i# -e la Re-.

Los usuarios de las reas de no deben establecer redes de rea localn autoriados a ello=

%)1&Co#t+ole' *o#t+a 3i+u' o 'o5tJa+e mali*io'o

Para "revenir inecciones "or virus inormtico< los usuarios de la

Organiacin no deben 9acer uso de sotCare 8ue no 9aya sido

"ro"orcionado y validado "or el !e"artamento de Inormtica=

&odos los arc9ivos de com"utadoras 8ue sean "ro"orcionados "or el

"ersonal e;terno o interno considerando al menos "rogramas de sotCaren tener en

cuenta un correcto desem"eo de los "rocesos y una correcta ormacin y concientiacin

del "ersonal 8ue se encuentra dentro de la organiacin< ya 8ue en Bltimas son los

encargados de mani"ular la inormacin vital del negocio y son la "iea undamental "ara

una correcta gestin en el mbito de la seguridad de la inormacin=

La seguridad de la inormacin es un "roceso continuo 8ue debe ser a"oyado y liderado

constantemente "or la alta direccin "ara "oder tener el res"aldo necesario e im"lementar

las medidas adecuadas 8ue "ermitan asegurar la dis"onibilidad< integridad y

conidencialidad de la inormacin=

Por medio de un anlisis de riesgos se logr identiicar las dierentes amenaas inormticas

8ue "ueden aectar a los sistemas de inormacin y a "artir de este anlisis se reali la

gestin de riesgos donde se establecieron las dierentes recomendaciones "ertinentes=

La I*OI#3 17((11((5 es un estndar 8ue brinda una guida de buenas "rcticas en el

as"ecto de seguridad de la inormacin< "ara el desarrollo de este "royecto se tuvo en

cuenta la norma "ara obtener recomendaciones en el mbito de la seguridad de la

inormacin

3on el a"ego del !ecreto 4721(($?Ley "ara el /econocimiento de las 3omunicaciones y

%irmas #lectrnicas en .uatemala y con el Acuerdo .ubernativo '+521((0?/eglamento de

la Ley "ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas< se establecern

certiicados de seguridad dentro de la organiacin "ara la im"lementacin de irma2

electrnica< "ara garantiar la seguridad de la inormacin a trav>s de la Autenticacincnicas de seguridad X *istema de .estin de *eguridad de

la Inormacin

9tt"CCC=iso=orgisocatalogueYdetailcsnumber41'(+

I*O 17((' # I*O 17((1 en 3astellano

9tt"sgsi2iso17(('=blogs"ot=com1((7(0iso217(('2en2castellano=9tml

!ecreto 4721(($ ?Ley "ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas

en .uatemala

9tt"CCC=redi"d=orglegislacioncommonlegislacionguatemalaAcuerdo

Y4721(($Y%irmasY#lectronicasY.uatemala="d

Acuerdo .ubernativo '+521((0?/eglamento de la Ley "ara el reconocimiento de las

3omunicaciones y %irmas #lectrnicas en .uatemala

9tt"CCC=minin=gob=gtarc9ivosleyestesoreriaAcuerdosN1(.ubernativ

osA3F#/!ON1(.F:#/)A&ION1('+521((0="d

Iniciativa de Ley 4(55?Ley de !elitos Inormticos en .uatemala

9tt"CCC=csirt=gt8node5

%irma #lectrnica en .uatemala

9tt"CCC=irma2e=com=gt


72/77


Pgina 72de 77

ANEO/

IA10 o+mato I-e#ti5i*a-o+ -e A*ti3o'. Para la identiicacin de activos es necesario utiliar el

"resente ormato=


73/77


Pgina 7$de 77

IA1% o+mato I-e#ti5i*a-o+ -e Ame#a6a'.Para la identiicacin de amenaas es necesario 9acer

uso del "resente ormato=


74/77


Pgina 74de 77

AR20 o+mato -e A#!li'i' -e Rie'"o' Para realiar el Anlisis de /iesgo de la Organiacin es

necesario 9acer uso del "resente ormato=


75/77


Pgina 7%de 77

GR2% o+mato Ge'ti# -e Rie'"o'. Para .estionar los /iesgos encontrados a "artir del Anlisis

de /iesgos< es necesario 9acer uso del "resente ormato=


76/77


Pgina 7&de 77

/B$0 o+mato -e /e"uimie#to -e Ba*Kup'.Para darle seguimiento a las co"ias de seguridad de la

inormacin dentro de la Organiacin es necesario 9acer uso del siguiente ormato=


77/77


GCU$% o+mato -e Ge'ti# -e Cue#ta' -e U'ua+io'.Para la 3reacin< ,odiicacin y #liminacin

de cuentas de usuarios en la Organiacin< es necesario 9acer uso del "resente ormato=

Documents

Proyecto Administracion de Sistemas Julio Maldonado.pdf