13
SEGURIDAD DE ACCESO LÓGICO DEFINICIONES Política: son instrucciones mandatorios que indican la intención de la alta dirección respecto a la operación de la organización. Recurso Informático: Elementos informáticos (base de datos, sistemas operacionales, redes, sistemas de información y comunicaciones) que facilitan servicios informáticos. Información: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Usuarios Terceros: Todas aquellas personas naturales o jurídicas, que no son funcionarios de la Institución, pero que por las actividades que realizan en la Entidad, deban tener acceso a Recursos Informáticos Ataque cibernético: intento de penetración de un sistema informático por parte de un usuario no deseado ni autorizado a accederlo, por lo general con intenciones perjudiciales. Brecha de seguridad: deficiencia de algún recurso informático o telemático que pone en riesgo los servicios de información o expone la información en si misma, sea o no protegida por reserva legal. Certificado Digital: un bloque de caracteres que acompaña a un documento y que certifica quién es su autor (autenticación) y que no haya existido ninguna manipulación de los datos (integridad). Para firmar, el firmante emisor utiliza una clave secreta que le vincula al documento. La validez de la firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor Definición de Usuario final

Seguridad de Acceso Lógico

Embed Size (px)

DESCRIPTION

Redes

Citation preview

SEGURIDAD DE ACCESO LGICO

DEFINICIONES Poltica: son instrucciones mandatorios que indican la intencin de la alta direccin respecto a la operacin de la organizacin.

Recurso Informtico: Elementos informticos (base de datos, sistemas operacionales, redes, sistemas de informacin y comunicaciones) que facilitan servicios informticos. Informacin: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos, presentada en imgenes, o expuesta en una conversacin. Cualquiera sea la forma que adquiere la informacin, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Usuarios Terceros: Todas aquellas personas naturales o jurdicas, que no son funcionarios de la Institucin, pero que por las actividades que realizan en la Entidad, deban tener acceso a Recursos Informticos Ataque ciberntico: intento de penetracin de un sistema informtico por parte de un usuario no deseado ni autorizado a accederlo, por lo general con intenciones perjudiciales. Brecha de seguridad: deficiencia de algn recurso informtico o telemtico que pone en riesgo los servicios de informacin o expone la informacin en si misma, sea o no protegida por reserva legal. Certificado Digital: un bloque de caracteres que acompaa a un documento y que certifica quin es su autor (autenticacin) y que no haya existido ninguna manipulacin de los datos (integridad). Para firmar, el firmante emisor utiliza una clave secreta que le vincula al documento. La validez de la firma podr ser comprobada por cualquier persona que disponga de la clave pblica del autor

Definicin de Usuario final

Se considera a todo el personal de la Institucin y/o terceros que hacen uso de las aplicaciones y la informacin con el objetivo de poder cumplir con sus correspondientes funciones.

Obligaciones del Personal

Es responsabilidad del Personal de Equipos y Servicios tecnolgicos del Instituto cumplir las polticas y normal del Manual de Polticas de Seguridad para el Centro Superior.

Entrenamiento y Capacitacin en Seguridad Informtica:

Todo empleado de la Institucin de nuevo ingreso deber contar con la induccin sobre el Manual de Polticas de Seguridad Informtica donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir tras el incumplimiento.

POLTICAS DE SEGURIDAD

INFORMACIN Y DATOS INSTITUCIONALES U OFICIALES Es toda aquella informacin y datos que se utilizan en todos los Procesos y Procedimientos del Sistema Integrado de Gestin para el logro de los objetivos, metas, propsitos misionales y la satisfaccin al cliente y que se maneja, transfiere y procesa en un medio tal como: papel, auditivos, visuales, digitales, electrnicos y/o cualquier otro medio que las circunstancias propias de la gestin y/o de los avances tecnolgicos se requieran para el cumplimiento de las obligaciones y responsabilidades legales de la Institucin.

Cualquier otro tipo de informacin que no est contemplada en la Poltica, no ser Institucional u Oficial y en consecuencia no est permitido su uso, manipulacin, transferencia, procesamiento a travs de los Recursos de Informticos y/o cualquier otro mecanismo o medio de manejo.

ACCESO A LA INFORMACIN Todos los funcionarios pblicos, contratistas, y pasantes que laboran para la Institucin deben tener acceso slo a la informacin necesaria para el desarrollo de sus actividades. En el caso de personas ajenas a la Institucin, la rectora, la Secretaria General, los jefes de procesos deben autorizar slo el acceso indispensable de acuerdo con el trabajo realizado por estas personas, previa justificacin.

El otorgamiento de acceso a la informacin est regulado mediante las normas y procedimientos definidos para tal fin.

Todas las prerrogativas para el uso de los sistemas de informacin de la entidad deben terminar inmediatamente despus de que el trabajador cesa de prestar sus servicios a la entidad

Proveedores o terceras personas solamente deben tener privilegios durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas. Para dar acceso a la informacin se tendr en cuenta la clasificacin de la misma al interior de la Entidad, la cual deber realizarse de acuerdo con la importancia de la informacin en la operacin normal de la Institucin.

SEGURIDAD DE LA INFORMACIN Los funcionarios pblicos, contratistas, y pasantes de la Institucin son responsables de la informacin que manejan y debern cumplir los lineamientos generales y especiales dados por la Institucin, por la Ley para protegerla y evitar prdidas, accesos no autorizados, exposicin y utilizacin indebida de la misma.

Los funcionarios pblicos, contratistas, y pasantes no deben suministrar cualquier informacin de la entidad a ningn ente externo sin las autorizaciones respectivas.

Todo funcionario que utilice los Recursos Informticos, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la informacin que maneje, especialmente si dicha informacin est protegida por reserva legal o ha sido clasificada como confidencial y/o crtica.

Los funcionarios, contratistas y pasantes deben firmar y renovar cada ao, un acuerdo de cumplimiento de la seguridad de la informacin, la confidencialidad y el buen manejo de la informacin. Despus de que el trabajador deja de prestar sus servicios a la Entidad, se compromete entregar toda la informacin respectiva de su trabajo realizado. Una vez retirado el funcionario, contratista o pasante de la Institucin deben comprometerse a no utilizar, comercializar o divulgar los productos o a informacin generada o conocida durante la gestin en la entidad, directamente o travs de terceros, as mismo, los funcionarios pblicos que detecten el mal uso de la informacin estn en la obligacin de reportar el hecho a la oficina de control interno.

Como regla general, la informacin de polticas, normas y procedimientos de seguridad se deben revelar nicamente a funcionarios y entes externos que lo requieran, de acuerdo con su competencia y actividades a desarrollar segn el caso respectivamente.

SEGURIDAD EN RECURSOS INFORMTICOS

Todos los recursos informticos deben cumplir como mnimo con lo siguiente:

Administracin de usuarios: Establece como deben ser utilizadas las claves de ingreso a los recursos informticos. Establece parmetros sobre la longitud mnima de las contraseas, la frecuencia con la que los usuarios deben cambiar su contrasea y los perodos de vigencia de las mismas, entre otras.

Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos debern contar con roles predefinidos o con un mdulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Debern permitir la asignacin a cada usuario de posibles y diferentes roles. Tambin deben permitir que un rol de usuario administre el Administrador de usuarios.

El control de acceso a todos los sistemas de computacin de la entidad debe realizarse por medio de cdigos de identificacin y palabras claves o contraseas nicos para cada usuario.

Las palabras claves o contraseas de acceso a los recursos informticos, que designen los funcionarios pblicos, contratistas y pasantes de la Institucin son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona.

Los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de identificacin de usuario y sus claves personales

Creacin de Usuarios Cada administrador de servicios conjuntamente con el dueo del Servicio debern definir el flujo de autorizacin y procedimiento de creacin de usuarios considerando: las solicitudes y autorizaciones, roles y perfiles.

El nombre de usuario debe estar creado segn el estndar definido.

Gestin de accesos de usuarios

REGISTRO DE USUARIOS

El otorgamiento de roles y perfiles de usuario deber ser definido de acuerdo al principio del mnimo privilegio.

Todo el personal del Liceo tendr asignado un nombre nico de usuario y contrasea para acceder a los sistemas informticos permitidos segn su perfil. Si existe alguna excepcin, esta debe ser autorizada por el Oficial de Seguridad.

Los administradores de servicios debern otorgar acceso a los diferentes sistemas siempre que el solicitante posea la respectiva autorizacin.

Los administradores de cada servicio deber mantener actualizado sus registros de usuario. As como una bitcora relacionada a accesos lgicos de los mismos. Se debera mantener opciones y reportes automticos para obtener los listados necesarios de las cuentas y privilegios de los usuarios en los sistemas.

GESTIN DE PRIVILEGIOS

Cada aplicacin debe gestionar el nivel de privilegios que tienen los usuarios dentro del sistema informtico.

Todo el personal de la Institucin debe estar asociado a un rol/perfil en los sistemas informticos de acuerdo a las actividades que realiza.

Es responsabilidad de los administradores de servidores y servicios, la correcta administracin de las cuentas de acceso, el otorgamiento de privilegios de acuerdo a las autorizaciones que se especifiquen en el flujo de autorizacin.

Cualquier cambio en la configuracin, a la cuenta brindada con privilegios administrativos ser responsabilidad del usuario y docente y debern ser Notificar al rea de Soporte, para el cambio de privilegios, previamente Autorizado por el jefe de rea y vuelva a su configuracin inicial.

Control de Acceso al Sistema Operativo

Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo, dejarlo de manera correcta y en estado ptimo para su nueva utilizacin.

GESTIN DE CONTRASEAS DE USUARIO Se debe aplicar el estndar de creacin de contraseas seguras para el acceso de usuarios finales a los diferentes sistemas.

Se debe aplicar el estndar de creacin de contraseas seguras para el acceso a la administracin de los sistemas, servidores o equipos de comunicacin.

Las claves de acceso a los sistemas deben ser protegidas mediante controles criptogrficos.

Los sistemas crticos: como el sistema de Gestin Acadmica deben estar configurados de tal manera que: o Permitan al usuario cambie su clave obligatoriamente cuando ingresa por primera vez al sistema. Se debe utilizar un sistema de gestin de usuarios que permita:

Bloquear al usuario en la aplicacin por 30 minutos luego de 5 intentos fallidos.

Cambiar la contrasea al menos cada ao para los usuarios finales, con excepcin del sistema para subir calificaciones que debe ser cambiado cada 3 meses. Y cada 3 meses para las cuentas administradores de servicios, servidores o equipos de comunicacin.

Verificar la robustez de las contraseas segn estndar ET1N04 y ET2N04

Se debe cambiar inmediatamente la contrasea al sospechar o detectar que ha sido comprometida.

Todo el personal de la Institucin debe mantener sus equipos de trabajo diario como: PC, PORTATIL con contrasea de acceso segura cuando no estn trabajando en ellas.

ESTNDARES DE SEGURIDAD

ET1N04 Creacin de contraseas para usuarios finales de sistemas o aplicaciones La contrasea debe tener una longitud mnima de seis caracteres La contrasea debe ser una combinacin de letras y nmeros. La contrasea no debe estar conformada por nombres o palabras comunes.

ET2N04 Creacin de contraseas para administracin La contrasea debe tener una longitud mnima de ocho caracteres La contrasea debe ser una combinacin de letras maysculas, minsculas, nmeros y caracteres especiales La contrasea no debe estar conformada por nombres o palabras comunes.

ET3N04 Creacin de cuentas

El nombre de usuario estar conformado por:

Letra del primer nombre Letra del segundo nombre Apellido En caso que ya exista el nombre de usuario agregar secuencia de nmeros

RESPONSABILIDADES

Del administrador

El administrador de Sistemas es el encargado de mantener en buen estado los servidores dentro de la red Institucional.

Se tendr acceso a internet, siempre y cuando se cumpla las medidas mnimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institucin.

Las actividades como exmenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat, internet) se le podr indicar que abandone el laboratorio, si as fuese necesario.

De los usuarios

Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado que la empresa le asigno.

Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna persona ni mantenerla por escrito a la vista, ni al alcance de terceros.

Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario, aunque dispongan de la autorizacin del propietario.

En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.

Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de listados y/o informacin, sospechas de uso indebido del acceso autorizado por otras personas.

Los usuarios nicamente introducirn datos identificativos y direcciones o telfonos de personas en las agendas de contactos de las herramientas informticas

REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS

Los lderes/jefes de rea del colegio sern responsables de ejecutar una depuracin de los derechos y privilegios de acceso de los colaboradores a su cargo, tanto en los sistemas informticos, dispositivos de red, bases de datos, servidores. Esto se lo debe realizar mnimo dos veces al ao.

Los administradores de servicios debern reportar trimestralmente al Oficial de Seguridad los derechos y privilegios de acceso de los usuarios con altos privilegios en los activos de informacin.

MANTENIMIENTO

El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de informtica, o del personal de soporte tcnico.

Se llevar un registro global del mantenimiento efectuado sobre los equipos de laboratorios y cambios realizados desde su instalacin.

CONSECUENCIAS Y SANCIONES

En caso de existir incumplimiento de la presente Poltica de Seguridad de la Informacin por parte de un trabajador de la Institucin, se comunicar al jefe de rea para que tome las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a ms de las responsabilidades civiles y penales a que hubiere lugar.

RESUMEN DE LAS POLTICAS DE CONTROL DE ACCESO EN LA INSTITUCIN

Cada profesor y personal administrativo del colegio es responsable del mecanismo de control de acceso que le sea proporcionado, como su nombre de usuario y contrasea tiles para acceder a los recursos de red y a la infraestructura tecnolgica de la Institucin, por lo cual no puede ser revelado a alguien ms.

El docente podr ingresar al sistema para registrar las notas de sus estudiantes dentro de un tiempo establecido, el cual se le informar al inicio de clases, y la contrasea de acceso se debe solicitar cada trimestre, es decir que tendr una fecha de caducidad de tres meses para evitar posible manipulacin de notas.

Para que un usuario, ya sea docente o estudiante, pueda acceder a los sistemas de intranet, primero debe registrarse con su nmero de cdula y datos personales lo que validar su pertenencia como profesor acreditado o estudiante matriculado, despus de este registro ya puede obtener un usuario y contrasea.

Si un usuario tiene la sospecha de que su contrasea ha sido interceptada por otras personas, debe notificarlo al jefe de sistemas y cambiarla inmediatamente, ya que cada persona es responsable del uso de la cuenta asignada dentro de la institucin.

Todo uso indebido del servicio de correo electrnico corporativo, ser motivo de suspensin temporal de su cuenta de correo o segn sea necesario la eliminacin total de la cuenta dentro del sistema.

El docente ser responsable de la informacin que sea enviada con su cuenta de correo de la Institucin.

Necesitamos que la red sea lo suficientemente robusta para que los estudiantes puedan acceder a la informacin acerca de sus notas, observaciones de profesores, consulta de horarios, sin que se ponga en riesgo su alteracin, por ese motivo los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que estos tengan acceso, ser motivo de revisin y modificacin de esta poltica, adecundose a las nuevas especificaciones.

La informacin sobre festividades del colegio, actos institucionales, y otra informacin acerca de las normas establecidas debe estar abierta a todo el pblico que visite la pgina, con acceso totalmente restringido al resto de servicios para evitar que se filtre cualquier otro dato.

CONCLUSIONES

Para tener una red segura no slo es necesario protegerla contra los posibles ataques de entes externos sino tambin educar a los usuarios sobre las polticas de seguridad que se deben manejar y sus respectivas sanciones por incumplimiento de las mismas.

Para que el usuario tenga total conocimiento de las normas de seguridad que rigen el colegio, es necesario que estas aparezcan en la pgina de forma clara, visible y concisa de manera que no se tenga escusa por la violacin de alguna de ellas sobre todo si afecta directamente a la base de datos del colegio.

REFERENCIAS

[1] POLITICA DE SEGURIDAD DE INFORMACION. En lnea. Disponible en: http://www.colmayorbolivar.edu.co/files/POLITICAS%20SEGURIDAD%20DE%20LA%20INFORMACION.pdf

[2] Manual de Polticas Institucionales de Seguridad de la Informacin. En lnea. Disponible en: http://csirt.utpl.edu.ec/sites/default/files/files/ManualPoliticas.pdf

[3] Administracin de la Seguridad Informatica para la Infraestructura Fisica y Logica de la sede del Instituto SISE. En lnea. Disponible en: http://www.dspace.espol.edu.ec/bitstream/123456789/417/1/724.pdf

[4] POLITICA DE SEGURIDADPARA INSTITUCION EDUCATIVA. En lnea. Disponible en: https://docs.google.com/document/d/1KP5QAdW_uPRjFVk2olpHOIXbtqlmRFGg6dgogC5q7GM/edit