Justificación
Los activos de información y los equipos informáticos son recursos importantes
y vitales de nuestra Compañía. Sin ellos nos quedaríamos rápidamente fuera
del negocio y por tal razón la Presidencia y la Junta Directiva tienen el deber
de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las
acciones apropiadas para asegurar que la información y los sistemas informáticos
estén apropiadamente protegidos de muchas clases de amenazas y riesgos tales
como fraude, sabotaje, espionaje industrial, extorsión, violación de la
privacidad, intrusos, hackers, interrupción de servicio, accidentes y desastres
naturales.
La información perteneciente a La compañía debe protegerse de acuerdo a su
valor e importancia. Deben emplearse medidas de seguridad sin importar cómo la
información se guarda (en papel o en forma electrónica), o como se procesa
(PCs, servidores, correo de voz, etc.), o cómo se transmite (correo electrónico,
conversación telefónica). Tal protección incluye restricciones de acceso a
los usuarios de acuerdo a su cargo.
Las distintas gerencias de La compañía están en el deber y en la
responsabilidad de consagrar tiempo y recursos suficientes para asegurar que los
activos de información estén suficientemente protegidos. Cuando ocurra un
incidente grave que refleje alguna debilidad en los sistemas informáticos, se
deberán tomar las acciones correctivas rápidamente para así reducir los
riesgos. En todo caso cada año el Comité de Seguridad Informática llevará a
cabo un análisis de riesgos y se revisarán las políticas de seguridad. Así
mismo, se preparará cada año un informe para la Junta Directiva que muestre el
estado actual de La compañía en cuanto a seguridad informática y los
progresos que se han logrado.
A todos los empleados, consultores y contratistas debe proporcionárseles
adiestramiento, información, y advertencias para que ellos puedan proteger y
manejar apropiadamente los recursos informáticos de La compañía. Debe hacerse
hincapié en que la seguridad informática es una actividad tan vital para La
compañía como lo son la contabilidad y la nómina.
La finalidad de las políticas de seguridad que se describen más adelante es
proporcionar instrucciones específicas sobre cómo mantener más seguros tanto
los computadores de La compañía (conectados o no en red), como la información
guardada en ellos. La violación de dichas políticas puede acarrear medidas
disciplinarias e incluso el despido.
Responsabilidades
Los siguientes entes son responsables, en distintos grados, de la seguridad en
la Compañía:
" La Gerencia de Informática es responsable de implantar y velar por el
cumplimento de las políticas, normas, pautas, y procedimientos de seguridad a
lo largo de toda la organización, todo esto en coordinación con la Junta
Directiva y la Gerencia de Telecomunicaciones (cuando exista). También es
responsable de evaluar, adquirir e implantar productos de seguridad informática,
y realizar las demás actividades necesarias para garantizar un ambiente informático
seguro. Además debe ocuparse de proporcionar apoyo técnico y administrativo en
todos los asuntos relacionados con la seguridad, y en particular en los casos de
infección de virus, penetración de hackers, fraudes y otros percances.
" El Jefe de Seguridad es responsable de dirigir las investigaciones sobre
incidentes y problemas relacionados con la seguridad, así como recomendar las
medidas pertinentes.
" El Administrador de Sistemas es responsable de establecer los controles
de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos,
revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad
relativas a los sistemas que administra, como por ejemplo, aplicar
inmediatamente los parches correctivos cuando le llegue la notificación del
fabricante del producto o de un ente como el CERT (Computer Emergency Response
Team). El Administrador de Sistemas también es responsable de informar al Jefe
de Seguridad y a sus superiores sobre toda actividad sospechosa o evento insólito.
Cuando no exista un Jefe de Seguridad, el Administrador de Sistemas realizará
sus funciones.
" Los usuarios son responsables de cumplir con todas las políticas de La
compañía relativas a la seguridad informática y en particular:
" Conocer y aplicar las políticas y procedimientos apropiados en relación
al manejo de la información y de los sistemas informáticos.
" No divulgar información confidencial de La compañía a personas no
autorizadas.
" No permitir y no facilitar el uso de los sistemas informáticos de La
compañía a personas no autorizadas.
" No utilizar los recursos informáticos (hardware, software o datos) y de
telecomunicaciones (teléfono, fax) para otras actividades que no estén
directamente relacionadas con el trabajo en La compañía.
" Proteger meticulosamente su contraseña y evitar que sea vista por otros
en forma inadvertida.
" Seleccionar una contraseña robusta que no tenga relación obvia con el
usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas.
" Reportar inmediatamente a su jefe inmediato a un funcionario de Seguridad
Informática cualquier evento que pueda comprometer la seguridad de La compañía
y sus recursos informáticos, como por ejemplo contagio de virus, intrusos,
modificación o pérdida de datos y otras actividades poco usuales.
Políticas de seguridad para computadores
" Los computadores de La compañía sólo deben usarse en un ambiente
seguro. Se considera que un ambiente es seguro cuando se han implantado las
medidas de control apropiadas para proteger el software, el hardware y los
datos. Esas medidas deben estar acorde a la importancia de los datos y la
naturaleza de riesgos previsibles.
" Los equipos de La compañía sólo deben usarse para actividades de
trabajo y no para otros fines, tales como juegos y pasatiempos.
" Debe respetarse y no modificar la configuración de hardware y software
establecida por el Departamento de Informática
" No se permite fumar, comer o beber mientras se está usando un PC.
" Deben protegerse los equipos de riesgos del medioambiente (por ejemplo,
polvo, incendio y agua).
" Deben usarse protectores contra transitorios de energía eléctrica y en
los servidores deben usarse fuentes de poder ininterrumpibles (UPS).
" Cualquier falla en los computadores o en la red debe reportarse
inmediatamente ya que podría causar problemas serios como pérdida de la
información o indisponibilidad de los servicios.
" Deben protegerse los equipos para disminuir el riesgo de robo, destrucción,
y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y
cerradura con llave.
" Los equipos deben marcarse para su identificación y control de
inventario. Los registros de inventario deben mantenerse actualizados.
" No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un
equipo fuera de La compañía se requiere una autorización escrita.
" La pérdida o robo de cualquier componente de hardware o programa de
software debe ser reportada inmediatamente.
" Para prevenir el acceso no autorizado, los usuarios deben usar un sistema
de contraseñas robusto y además deben configurar el protector de pantalla para
que se active al cabo de 15 minutos de inactividad y que requiera una contraseña
al reasumir la actividad. Además el usuario debe activar el protector de
pantalla manualmente cada vez que se ausente de su oficina.
" Si un PCs tiene acceso a datos confidenciales, debe poseer un mecanismo
de control de acceso especial, preferiblemente por hardware.
" Los datos confidenciales que aparezcan en la pantalla deben protegerse de
ser vistos por otras personas mediante disposición apropiada del mobiliario de
la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de
utilidad, los datos confidenciales se deben borrar.
" Debe implantarse un sistema de autorización y control de acceso con el
fin de restringir la posibilidad de los usuarios para leer, escribir, modificar,
crear, o borrar datos importantes. Estos privilegios deben definirse de una
manera consistente con las funciones que desempeña cada usuario.
" No está permitido llevar al sitio de trabajo computadores portátiles
(laptops) y en caso de ser necesario se requiere solicitar la autorización
correspondiente.
" Para prevenir la intrusión de hackers a través de puertas traseras, no
está permitido el uso de módems en PCs que tengan también conexión a la red
local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de
datos deben efectuarse a través de la LAN de La compañía.
" A menos que se indique lo contrario, los usuarios deben asumir que todo
el software La compañía está protegido por derechos de autor y requiere
licencia de uso. Por tal razón es ilegal y está terminantemente prohibido
hacer copias o usar ese software para fines personales..
" Los usuarios no deben copiar a un medio removible (como un diskette), el
software o los datos residentes en las computadoras de la Compañía, sin la
aprobación previa de la gerencia.
" No pueden extraerse datos fuera de la sede de La compañía sin la
aprobación previa de la gerencia. Esta política es particularmente pertinente
a aquellos que usan a computadoras portátiles o están conectados a redes como
Internet.
" Debe instalarse y activarse una herramienta antivirus, la cual debe
mantenerse actualizada. Si se detecta la presencia de un virus u otro agente
potencialmente peligroso, se debe notificar inmediatamente al Jefe de Seguridad
Informática y poner la PC en cuarentena hasta que el problema sea resuelto.
" Sólo pueden bajarse archivos de redes externas de acuerdo a los
procedimientos establecidos. Debe utilizarse un programa antivirus para examinar
todo software que venga de afuera o inclusive de otros departamentos de la Compañía.
" No debe utilizarse software bajado de Internet y en general software que
provenga de una fuente no confiable, a menos que se haya sido comprobado en
forma rigurosa y que esté aprobado su uso por el Departamento de Informática.
" Para prevenir demandas legales o la introducción de virus informáticos,
se prohíbe estrictamente la instalación de software no autorizado, incluyendo
el que haya sido adquirido por el propio usuario. Así mismo, no se permite el
uso de software de distribución gratuita o shareware, a menos que haya sido
previamente aprobado por el Departamento de Informática.
" Para ayudar a restaurar los programas originales no dañados o
infectados, deben hacerse copias de todo software nuevo antes de su uso, y deben
guardarse tales copias en un lugar seguro.
" No deben usarse diskettes u otros medios de almacenamiento en cualquier
computadora de La compañía a menos que se haya previamente verificado que están
libres de virus u otros agentes dañinos.
" Periódicamente debe hacerse el respaldo de los datos guardados en PCs y
servidores y las copias de respaldo deben guardarse en un lugar seguro, a prueba
de hurto, incendio e inundaciones. Los programas y datos vitales para la operación
de Compañía debe guardarse en otra sede, lejos del edificio.
" Los usuarios de PCs son responsables de proteger los programas y datos
contra pérdida o daño. Para sistemas multiusuario y sistemas de
comunicaciones, el Administrador de cada uno de esos sistemas es responsable de
hacer copias de respaldo periódicas. Los gerentes de los distintos
departamentos son responsables de definir qué información debe respaldarse, así
como la frecuencia del respaldo (por ejemplo: diario, semanal) y el método de
respaldo (por ejemplo: incremental, total).
" La información de La compañía clasificada como confidencial o de uso
restringido, debe guardarse y transmitirse en forma cifrada, utilizando
herramientas de encriptado robustas y que hayan sido aprobadas por la Gerencia
de Informática.
" No debe borrarse la información original no cifrada hasta que se haya
comprobado que se puede recuperar desde los archivos encriptados mediante el
proceso de descifrado.
" El acceso a las claves utilizadas para el cifrado y descifrado debe
limitarse estrictamente a las personas autorizadas y en ningún caso deben
revelarse a consultores, contratistas y personal temporal.
" Siempre que sea posible, deba eliminarse información confidencial de de
los computadores y unidades de disco duro antes de que les mande a reparar. Si
esto no es posible, se debe asegurar que la reparación sea efectuada por
empresas responsables, con las cuales se haya firmado un contrato de
confidencialidad. Alternativamente, debe efectuarse la reparación bajo la
supervisión de una representante de La compañía.
" No deben salirse las impresoras desatendidas, sobre todo si se está
imprimiendo (o se va a imprimir) información confidencial de La compañía.
" El personal que utiliza un computador portátil que contenga información
confidencial de la Compañía, no debe dejarla desatendida, sobre todo cuando
esté de viaje, y además esa información debe estar cifrada.
Políticas de seguridad para las comunicaciones
Propiedad de la información
Con el fin de mejorar la productividad, La compañía promueve el uso
responsable de las comunicaciones en forma electrónica, en particular el teléfono,
el correo de voz, el correo electrónico, y el fax. Los sistemas de comunicación
y los mensajes generados y procesados por tales sistemas, incluyendo las copias
de respaldo, se deben considerar como propiedad de La compañía y no propiedad
de los usuarios de los servicios de comunicación.
Uso de los sistemas de comunicación
" Los sistemas de comunicación de La compañía generalmente sólo deben
usarse para actividades de trabajo. El uso personal en forma ocasional es
permisible siempre y cuando consuma una cantidad mínima de tiempo y recursos, y
además no interfiera con las productividad del empleado ni con las actividades
de La compañía.
" Se prohíbe el uso de los sistemas de comunicación para actividades
comerciales privadas o para propósitos de entretenimiento y diversión.
" La navegación en Internet para fines personales no debe hacerse a
expensas del tiempo y los recursos de La compañía y en tal sentido deben
usarse las horas no laborables.
Confidencialidad y privacidad
" Los recursos, servicios y conectividad disponibles vía Internet abren
nuevas oportunidades, pero también introducen nuevos riesgos. En particular, no
debe enviarse a través de Internet mensajes con información confidencial a
menos que estén cifrada. Para tal fin debe utilizarse PGP (Pretty Good
Privacy), Outolook, Outlook Express u otros productos previamente aprobados por
la Gerencia de Informática.
" Los empleados y funcionarios de La compañía no deben interceptar las
comunicaciones o divulgar su contenido. Tampoco deben ayudar a otros para que lo
hagan. La compañía se compromete a respetar los derechos de sus empleados,
incluyendo su privacidad. También se hace responsable del buen funcionamiento y
del buen uso de sus redes de comunicación y para lograr esto, ocasionalmente es
necesario interceptar ciertas comunicaciones.
" Es política de La compañía no monitorear regularmente las
comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones puede
ocasionalmente ser supervisado en caso de ser necesario para actividades de
mantenimiento, seguridad o auditoría. Puede ocurrir que el personal técnico
vea el contenido de un mensaje de un empleado individual durante el curso de
resolución de un problema.
" De manera consistente con prácticas generalmente aceptadas, La compañía
procesa datos estadísticos sobre el uso de los sistemas de comunicación. Como
ejemplo, los reportes de la central telefónica (PABX) contienen detalles sobre
el número llamado, la duración de la llamada, y la hora en que se efectuó la
llamada.
Reenvío de mensajes
Tomando en cuenta que cierta información está dirigida a personas específicas
y puede no ser apta para otros, dentro y fuera de la Compañía, se debe ejercer
cierta cautela al remitir los mensajes. En todo caso no debe remitirse información
confidencial de La compañía sin la debida aprobación.
Borrado de mensajes
Los mensajes que ya no se necesitan deben ser eliminados periódicamente de su
área de almacenamiento. Con esto se reducen los riesgos de que otros puedan
acceder a esa información y además se libera espacio en disco.
Políticas de seguridad para redes
Propósito
El propósito de esta política es establecer las directrices, los
procedimientos y los requisitos para asegurar la protección apropiada de La
compañía al estar conectada a redes de computadoras.
Alcance
Esta política se aplica a todos los empleados, contratistas, consultores y
personal temporal de la Compañía.
Aspectos generales
Es política de La compañía prohibir la divulgación, duplicación, modificación,
destrucción, pérdida, mal uso, robo y acceso no autorizado de información
propietaria. Además, es su política proteger la información que pertenece a
otras empresas o personas y que le haya sido confiada.
Modificaciones
Todos los cambios en la central telefónica (PABX) y en los servidores y equipos
de red de la Compañía, incluyendo la instalación de el nuevo software, el
cambio de direcciones IP, la reconfiguración de routers y switchs, deben ser
documentados y debidamente aprobados, excepto si se trata de una situación de
emergencia. Todo esto es para evitar problemas por cambios apresurados y que
puedan causar interrupción de las comunicaciones, caída de la red, denegación
de servicio o acceso inadvertido a información confidencial.
Cuentas de los usuarios
" Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde
declara conocer las políticas y procedimientos de seguridad, y acepta sus
responsabilidades con relación al uso de esa cuenta.
" La solicitud de una nueva cuenta o el cambio de privilegios debe ser
hecha por escrito y debe ser debidamente aprobada.
" No debe concederse una cuenta a personas que no sean empleados de La
compañía a menos que estén debidamente autorizados, en cuyo caso la cuenta
debe expirar automáticamente al cabo de un lapso de 30 días.
" Privilegios especiales, tal como la posibilidad de modificar o barrar los
archivos de otros usuarios, sólo deben otorgarse a aquellos directamente
responsable de la administración o de la seguridad de los sistemas.
" No deben otorgarse cuentas a técnicos de mantenimiento ni permitir su
acceso remoto a menos que el Administrador de Sistemas o el Gerente de Informática
determinen que es necesario. En todo caso esta facilidad sólo debe habilitarse
para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo,
el mantenimiento remoto). Si hace falta una conexión remota durante un periodo
más largo, entonces se debe usar un sistema de autenticación más robusto
basado contraseñas dinámicas, fichas (tokens) o tarjetas inteligentes.
" Se prohíbe el uso de cuentas anónimas o de invitado (guest) y los
usuarios deben entrar al sistema mediante cuentas que indiquen claramente su
identidad. Esto también implica que los administradores de sistemas Unix no
deben entrar inicialmente como "root", sino primero empleando su
propio ID y luego mediante "set userid" para obtener el acceso como
"root". En cualquier caso debe registrarse en la bitácora todos los
cambios de ID.
" Toda cuenta queda automáticamente suspendida después de un cierto
periodo de inactividad. El periodo recomendado es de 30 días.
" Los privilegios del sistema concedidos a los usuarios deben ser
ratificados cada 6 meses. El Administrador de Sistemas debe revocar rápidamente
la cuenta o los privilegios de un usuario cuando reciba una orden de un
superior, y en particular cuando un empleado cesa en sus funciones.
" Cuando un empleado es despedido o renuncia a la Compañía, debe
desactivarse su cuenta antes de que deje el cargo.
Contraseñas y el control de acceso
" El usuario no debe guardar su contraseña en una forma legible en
archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde
pueda ser encontrada. Si hay razón para creer que una contraseña ha sido
comprometida, debe cambiarla inmediatamente. No deben usarse contraseñas que
son idénticas o substancialmente similares a contraseñas previamente
empleadas. Siempre que posible, debe impedirse que los usuarios vuelvan a usar
contraseñas anteriores.
" Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo
expone al usuario a las consecuencias por las acciones que los otros hagan con
esa contraseña.
" Está prohibido el uso de contraseñas de grupo para facilitar el acceso
a archivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos
del sistema. Esto se aplica en particular a la contraseña del administrador.
" Las contraseña inicial emitida a un nuevo usuario sólo debe ser válida
para la primera sesión. En ese momento, el usuario debe escoger otra contraseña.
" Las contraseñas predefinidas que traen los equipos nuevos tales como
routers, switchs, etc., deben cambiarse inmediatamente al ponerse en servicio el
equipo.
" Para prevenir ataques, cuando el software del sistema lo permita, debe
limitarse a 3 el número de consecutivos de intentos infructuosos de introducir
la contraseña, luego de lo cual la cuenta involucrada queda suspendida y se
alerta al Administrador del sistema. Si se trata de acceso remoto vía módem
por discado, la sesión debe ser inmediatamente desconectada.
" Para el acceso remoto a los recursos informáticos de la Compañía, la
combinación del ID de usuario y una contraseña fija no proporciona suficiente
seguridad, por lo que se recomienda el uso de un sistema de autenticación más
robusto basado en contraseñas dinámicas, fichas (tokens) o tarjetas
inteligentes.
" Si no ha habido ninguna actividad en un terminal, PC o estación de
trabajo durante un cierto periodo de tiempo, el sistema debe automáticamente
borrar la pantalla y suspender la sesión. El periodo recomendado de tiempo es
de 15 minutos. El re-establecimiento de la sesión requiere que el usuario
proporcione se autentique mediante su contraseña (o utilice otro mecanismo, por
ejemplo, tarjeta inteligente o de proximidad).
" Si el sistema de control de acceso no está funcionando propiamente, debe
rechazar el acceso de los usuarios hasta que el problema se haya solucionado.
" Los usuarios no deben intentar violar los sistemas de seguridad y de
control de acceso. Acciones de esta naturaleza se consideran violatorias de las
políticas de la Compañía, pudiendo ser causal de despido.
" Para tener evidencias en casos de acciones disciplinarias y judiciales,
cierta clase de información debe capturarse, grabarse y guardarse cuando se
sospeche que se esté llevando a cabo abuso, fraude u otro crimen que involucre
los sistemas informáticos.
" Los archivos de bitácora (logs) y los registros de auditoría (audit
trails) que graban los eventos relevantes sobre la seguridad de los sistemas
informáticos y las comunicaciones, deben revisarse periódicamente y guardarse
durante un tiempo prudencial de por lo menos tres meses. Dicho archivos son
importantes para la detección de intrusos, brechas en la seguridad,
investigaciones, y otras actividades de auditoría. Por tal razón deben
protegerse para que nadie los pueda alterar y que sólo los pueden leer las
personas autorizadas.
" Los servidores de red y los equipos de comunicación (PABX, routers,
etc.) deben estar ubicados en locales apropiados, protegidos contra daños y
robo. Debe restringirse severamente el acceso a estos locales y a los cuartos de
cableado a personas no autorizadas mediante el uso de cerraduras y otros
sistemas de acceso (por ejemplo, tarjetas de proximidad).
Advertencia: Todos los derechos reservados. Toda
información y diseño de este sitio de Internet son propiedad material de
Victor Cappuccio que son propiedad original del autor o publicador. Está
estrictamente prohibida la reproducción, total o parcial del material
encontrado en este sitio de Internet, sin el consentimiento y aceptación por
escrito del propietario.
Versión 1.0
Preparada por: Victor E. Cappuccio D.
Correo Electronico: c.victor@cantv.net
Fecha: 21-01-2000
