SlideShare uma empresa Scribd logo

Manual politicas de seguridad

Transferir como DOCX, PDF
G
gchv
1 de 17
Manual de Políticas de Seguridad Redes y Comunicaciones REDES Y COMUNICACIONES VI CICLO Documento: Administracion de la Seguridad Informatica para la Infraestructura Fisica y Logica de la sede del Instituto SISE “Sede Santa Beatriz” Estudiante: Gustavo Chuque Vega Profesor: Waldir Cruz
Manual de Políticas de Seguridad Redes y Comunicaciones CONCEPTOS: La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. ¿QUE SON POLÍTICAS DE SEGURIDAD INFORMÁTICA? Una política de Seguridad Informática es una forma de comunicarse con el personal y/o usuarios. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informático, importantes de la organización. Es un conjunto de requisitos definidos por los responsables de un sistema que indica en términos generales que esta y que no está permitido en el área de seguridad durante la operación general del sistema.
Manual de Políticas de Seguridad Redes y Comunicaciones MANUAL DE POLITICAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE 1.- Objetivos Generales Las políticas y estándares de Seguridad Informática tienen por objeto establecer medidas técnicas y de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona la Empresa y contribuyendo con la función informática a la mejora y complimiento de metas institucionales. Es aplicable a los usuarios en general de servicios de tecnologías de información centro de Estudios. De igual forma será una herramienta quedifunde las políticas y estándares de seguridad informática a todo el personal de la Institución Superior Educativa Asegurara: Mayor integridad, confidencialidad y confiabilidad de la información generada por el Centro, al personal, los datos y el hardware y software disponibles. 1.1 Objetivos Específicos Elaborar un manual de políticas de seguridad informática para el Personal del Centro adaptado a las necesidades y activos tecnológicos del instituto así como la naturaleza de la información que se maneja en el mismo.
Manual de Políticas de Seguridad Redes y Comunicaciones 2.- Beneficios Las políticas y estándares de seguridad informática establecidas dentro de este manual son la base para la protección de los activos tecnológicos e información de la Institución Educativa. 3.-Existen 3 tipos de criterios de seguridad informática:  Seguridad Organizativa: Asegura el cumplimiento de normas, estándares y procedimientos físico- técnicos.  Seguridad Lógica: Actúan directa o indirectamente sobre la información procesada por los equipos.  Seguridad Física: Actúan directamente sobre la parte tangible, la parte física. 4.-Los niveles de seguridad fueron organizados constatando un enfoque objetivode la situación real de la institución, desarrollando cada política con cuidadosobre qué activo proteger, de qué protegerlo cómo protegerlo y por qué protegerlo; Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO17799 y que a continuación se detalla: a) Nivel de Seguridad Organizativo:  Seguridad Organizacional  Políticas de Seguridad  Clasificación y Control de Activos
Manual de Políticas de Seguridad Redes y Comunicaciones  Seguridad Ligada al Personal b) Nivel de Seguridad Física:  Seguridad Física  Seguridad Física y Ambiental c) Nivel de Seguridad Lógico:  Control de Accesos  Administración del Acceso de Usuarios  Control de Acceso a la Red, Aplicaciones  Desarrollo y Mantenimiento de Sistemas d) Se tiene también un cuarto Nivel de Seguridad Legal, el cual lo nombramos también, ya que se encuentra dentro de la ISO 17799, no cuenta con relación del todo en la seguridad informática, pero se menciona: Nivel de Seguridad Legal  Cumplimiento de aspectos legales
Manual de Políticas de Seguridad Redes y Comunicaciones 5.- Vigencia: El presente manual entrara en vigencia, previa aprobación de autoridades del Instituto SISE correspondientes y previéndose los medios de difusión entre todo el personal de la Institución. Todo cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros causados por exigencias del Instituto hará necesario efectuar una revisión y actualizaciones del presente documento, estas actualizaciones y revisiones están previstas dentro del control de cambios adjunto al documento. 6.- Sanciones Las sanciones a aplicarse al personal que incumpla las normas de este manual quedan bajo el criterio de las autoridades de la Institución Superior.
Manual de Políticas de Seguridad Redes y Comunicaciones POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE POLITICAS: El sistema de la Institución es de uso solo académico, de investigación,técnico y para casos administrativos, cualquier alteración en la norma de uso de los mismos, será expresa y adecuada como política de seguridad en este manual. Obligaciones del Personal Es responsabilidad del Personal de Equipos y Servicios tecnológicos del Instituto cumplir las políticas y normal del Manual de Políticas de Seguridad para el Centro Superior. Entrenamiento y Capacitación en Seguridad Informática: Todo empleado de la Institución de nuevo ingreso deberá contar con la inducción sobre el Manual de Políticas de Seguridad Informática donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir tras el incumplimiento. Responsabilidades: El administrador de Sistemas es el encargado de mantener en buen estado los servidores dentro de la red Institucional.
Manual de Políticas de Seguridad Redes y Comunicaciones 1. Se tendrá acceso a internet, siempre y cuando se cumpla las medidas mínimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institución. 2. Las actividades como exámenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat , internet) se le podrá indicar que abandone el laboratorio, si así fuese necesario. Responsabilidad por Los Activos: 1.- La persona encargada de cada área de trabajo tendrá la responsabilidad sobre el Hardware y Medios Físicos (Aire Acondicionado, Servidores, activo de Información como Base de Datos, Documentos,etc. y Activos de software (aplicaciones, software desistemas, herramientas y programas de desarrollo 2.- Los administradores del Sistema son los responsables de lo que se almacena y su seguridad en estos recursos. SEGURIDAD AL PERSONAL Todo empleado y colaborador del Instituto SISE, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnológicos de la infraestructura de comunicación de esta, independientemente de su jerarquía en la Institución, debe firmar un convenio en el que acepte, condiciones de Confidencialidad y Manejo de información digital generada en sus funciones, el manejo adecuado de los recursos informáticos, así como el apego a las normal y políticas del presente manual. Usuarios Nuevos: Todo el personal nuevo de la Institución Superior, deberá ser notificado ante el área de Sistemas y Tecnología para dar los derechos correspondientes, por el área de Recursos Humanos vía correo electrónico.  Registro en el Sistema de Asistencia  Equipo de Computo  Derechos de acceso al servidor
Manual de Políticas de Seguridad Redes y Comunicaciones  Correo electrónico institucional (nuevousuario@sise.edu.pe)  Agregar cuenta de correo al grupo (GRUPSISE)  Alta de Bitácora de inventario de hardware (Esto en caso de que el equipo vaya estar bajo su resguardo)  Capacitación dentro del uso de manual. SEGURIDAD FISICA Y AMBIENTAL: En la seguridad Informática se suele dejar bastante de lado la seguridad Física, ya que suceden incidentes el cual debemos estar siempre prevenidos y atentos a su pronta resolución. En nuestro Caso para La institución SISE se plantea hace una clara tendencia al siguiente razonamiento: 1) Proteger bienes de Carácter Informáticos. (Datos Importantes, Confidenciales) 2) Las amenazas que dichos bienes pueden sufrir, proceden del medio informático. (Copia o Backup no autorizada de esos datos) 3) Por tanto, los mecanismos de protección también deben ser informáticos. (Restricciones de acceso a dichos datos) Esto debemos relacionarlo al concepto de seguridad informático, como pueden ser accesos restringidos al Sistema, denegación de Privilegios como lectura y Modificación de Ficheros, cifrados de las comunicaciones, o protección de las redes mediante firewall. Tanto por esto nuestro sistema queda expuesto ante amenazas que en algunos casos no dependen de su configuración, para eso no nos serviría de nada tener los mejores mecanismos de control de acceso a nuestros ordenadores, ya que tal vez un simple accidente de una persona como el encargado de mantenimiento puede hacer que el equipo acabe tirado por el suelo o que la información en el quede irrecuperable, o también si una persona trabaja con estos datos y se los lleva a su domicilio para trabajar con ellos y en el camino sufren un robo.
Manual de Políticas de Seguridad Redes y Comunicaciones La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial, destinados a proteger desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Las medidas de seguridad física servirán para proteger nuestros equipos e información frente a usos inadecuados, accidentes, robos, atentados y cualesquiera otros agentes que atenten directamente contra la integridad física. Amenazas de seguridad física: Está claro que son muchos los factores que pueden acabar con el buen funcionamiento de nuestro hardware o incluso hacerlo desaparecer (un robo, un incendio). Es obvio que mantener con buena funcionamiento nuestro equipamiento resulta ventajoso. Para eso a continuación detallaremos los posibles agentes que pueden ocasionar daños a las instalaciones: Robos, acciones vandálicas y accesos físicos no autorizados: Existe el riesgo ciertamente más preocupante de que personas ocasionen daños o sustracciones a los equipos, a la información contenida en ellos o a los datos almacenados en otros soportes. Debido a su tamaño y su valor, los ordenadores son muy apreciados por los ladrones, sobre todo por la facilidad con la que posteriormente pueden ser revendidos. Accidentes Por ejemplo, comer, beber o fumar mientras se está trabajando con un ordenador es causa de muchos de los pequeños accidentes que se sufren. La protección de los datos Hay que considerar la importancia de la seguridad de las copias de respaldo, no sólo porque pueden constituir una forma apetecible de apropiarse de la información codiciada, sino porque la sustracción nos dejaría en posición vulnerable frente a otros desastres. Los soportes del respaldo deben protegerse en la misma medida que los equipos cuyos datos reproducen, y además deben ser almacenados en lugar diferente para evitar ser objeto de las mismas contingencias, como robos o desastres naturales.
Manual de Políticas de Seguridad Redes y Comunicaciones La protección de los equipos Es natural que lo primero que nos debamos plantear a la hora de planificar la seguridad física de una instalación consiste en determinar cuáles son las barreras que impiden o restringen el acceso físico a los equipos o su manipulación indebida: anclajes, cerraduras, blindajes, servicios de vigilancia, cámaras de vídeo o alarmas de cualquier clase. La limitación del acceso físico a los equipos debe ser planificada de distinta manera para el horario normal de trabajo y para cuando nadie puede o debe acceder a los mismos. El plan de Seguridad Física Para esto primero se debe pensar en cada lugar concretamente, adecuándose a sus características físicas y a los agentes circundantes que pueden suponer una amenaza para los sistemas. La segunda es que existe una cantidad muy grande de variables a considerar, por el gran número de posibles amenazas. El planteamiento de la seguridad física determina una mayor dificultad en la resolución de los problemas. Por ello es absolutamente necesario que el primer paso sea asegurar físicamente nuestras instalaciones en un plan escrito de las necesidades de seguridad física y de las medidas destinadas a cubrirlas en el futuro. Debe incluir nuestro plan lo siguiente: Descripción del área física en el que están localizados esos dispositivos. Descripción del perímetro de seguridad y de sus posibles agujeros. Descripción de las amenazas contra las que nos queremos proteger, incluyendo una estimación de su probabilidad. Descripción de los dispositivos físicos a proteger, incluyendo ordenadores, periféricos, cables, conexiones, soportes de datos, etc. Enumeración de los medios para mejorarlas. Estimación del coste de las mejoras. Descripción de nuestras defensas.
Manual de Políticas de Seguridad Redes y Comunicaciones Descripciones y/o ejemplos de Seguridad Física Seguridad física en el cableado La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un técnico de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado. Los armarios,racks, gabinetes deben tener seguridad En concreto se decidirá que máquinas se incluyen en los racks y lo mismo para los dispositivos de red, o gabinetes. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil. Contraseña de Seguridad en la BIOS Agregando password en la BIOS es una manera de proteger tanto el acceso a la Pc como el acceso al SETUP de la propia BIOS mediante una contraseña, de forma que nadie pueda manipular la computadora ni desconfigurar los valores de la BIOS. También asegurar el Case del computador para que no realicen un RESET a la BIOS. Personal de Seguridad y Cámaras Hacer cumplir el reglamento interior de la Institución con la función de revisar que todos los objetos que sean extraídos de la empresa cuenten con su pase de salida respectivo, con la firmas de los ejecutivos autorizados y supervisar que no se sustraiga objetos dentro del Centro.
Manual de Políticas de Seguridad Redes y Comunicaciones Descripción de la seguridad de la infraestructura de Red del Instituto SISE Podemos describirla, según especificaciones de la siguiente manera: Seguridad Física: 1. En cada aula los proyectores se encuentran cerrados en una protección de metal con llave y solo puede ser operado por el docente o personal de mantenimiento. 2. Los Switches de cada laboratorio no se encuentran debidamente protegidos ya que se encuentran libres encima de una repisa. 3. No todas las BIOS de los equipos cuentan con una contraseña de seguridad. 4. La sede cuenta con personal seguridad solo en las entradas principales. 5. El momento de ingreso a la sede se presenta una identificación (SISECARD) en el caso de los alumnos y su ID en el caso del personal. En el caso de personas ajenas a la institución, estos acceden presentando su DNI en la entrada. 6. Una de las políticas de seguridad de SISE, indica que el docente no tiene que dejar el laboratorio cuando se encuentra en clase, cosa que siempre no se cumple. Seguridad Interna Lógica 7. Cada usuario cuenta con un cierto nivel de administración de la PC, así como por ejemplo los usuarios de laboratorio no tiene permisos administrativos para poder instalar programas, en cambio el usuario del área de soporte sí puede. 8. Cuenta con un Firewall que cumple la función de administrar los paquetes entrantes y salientes de la red. 9. Cuenta con un proxy como delimitador de navegación. Pero este no está bien configurado ya que algunas veces se pueden acceder a páginas que supuestamente están bloqueados con el proxy.
Manual de Políticas de Seguridad Redes y Comunicaciones 10. Cuenta con un controlador de dominio en la cual se detallan las políticas de seguridad. Se tiene conocimiento que este no cuenta con un DC de respaldo. Lista de Políticas de Seguridad para la Mejora del Instituto SISE: Más Cantidad de Cámaras de Seguridad: Se cabe recordar que el Instituto cuenta con el servicio de cámaras de seguridad y todo empleador, como estudiante está siendo grabado las 24 horas del día mientras se encuentre en la institución y se tiene la sustentación de esta, como prueba; cuando amerite una situación sospechosa o acción dentro de nuestra SEDE. Gabinetes de Seguridad en las Salas de Laboratorio En los laboratorios del Instituto se tiene asegurado con candados los gabinetes donde se encuentra el hardware importante de la red de la sala, se debe tener cuidado y no cometer ningún tipo de acto que afecte estos gabinetes. Personal de Seguridad para Ambos Sexos: Se declara que el instituto cuenta con Personal de Seguridad de Ambos Sexos, para la protección, verificaciones y revisión de todo empleador o estudiante al momento de su salida para el control de esta. Y también con el propósito de que las Señoritas Estudiantes o empleadoras también puedan ser revisadas correctamente y no por un Hombre, sino por una persona de su mismo sexo y no tenga ningún tipo de altercado. Implementación de Software Complejo en Antivirus Con la finalidad de mejorar la seguridad de cada PC en cada laboratorio, se implementara un software antivirus (MCAFEE) único que trabaje con la plataforma Windows 7 y server 2003 que permita: Analizar y diagnosticar simultáneamente los programas maliciosos: gusanos, troyanos, malware, rootkits y spyware.
Manual de Políticas de Seguridad Redes y Comunicaciones Políticas Nueva de Seguridad para el Uso de laboratorios del Instituto Se implementara nuevas políticas de seguridad en el uso de los laboratorios de SISE; se mencionan a continuación: 1. Los alumnos solo pueden ingresar al laboratorio si es que no tuvieran clases programadas, podrán hacer uso de internet EXCLUSIVAMENTE para hacer sus TRABAJOS y/o alguna otra actividad que se les haya asignado. Más no para uso personal. 2. En los laboratorios se deberá mantener orden y cordura como en una sala de estudios, deberá permanecer sentado, por lo tanto, el alumno debe demostrar buen comportamiento dentro del mismo. 3. Antes de ingresar al laboratorio la persona tiene que verificar la disponibilidad según el horario publicado en la puerta de cada laboratorio, el ingreso será para clases o prácticas libres. 4. Se prohíbe totalmente el ingreso de alimentos, bebidas y el uso de celulares en el laboratorio de cómputo. 5. Los alumnos deberán acatar explícitamente las instrucciones del docente o del auxiliar de laboratorio en lo referente a la utilización del equipo así como los programas destinados al uso de las clases. 6. La instalación de software necesario en clases deberá ser solicitada formalmente por el docente en el Área de Soporte y Área de Atención al Docente (por lo menos 48 horas antes). 7. Queda estrictamente prohibido cambiar la configuración del equipo y de los programas contenidos en el mismo así como instalar software que no se encuentre autorizado. 8. En caso de que el equipo presente algún tipo de falla, el usuario deberá de hacerlo presente al docente para que de aviso al personal de soporte para que vengan a verificar el problema. 9. Se prohíbe el movimiento de cualquier dispositivo de laboratorio, así como el intercambio de dispositivos.
Manual de Políticas de Seguridad Redes y Comunicaciones POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO - Cada docente o Personal Administrativo es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, como su identificador de usuario y contraseña necesarios para acceder a recursos de la red con permisos y a la infraestructura tecnológica de la Institución Superior, por lo cual deberá mantenerlo de forma confidencial. - Los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones. - Se asignará una cuenta de acceso a los sistemas de la intranet, a todo estudiante y docente de la red institucional, siempre y cuando se identifique previamente con el código dado por la institución, su ID. - Todo usuario que tenga la sospecha de que su contraseña es conocido por otra Persona, deberá cambiarlo inmediatamente. - Todo uso indebido del servicio de correo electrónico corporativo, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema. - El docente será responsable de la información que sea enviada con su cuenta de correo de la Institución Control de Privilegios de Acceso: - Cualquier cambio en la configuración, a la cuenta brindada con privilegios administrativos será responsabilidad del usuario y docente y deberán ser Notificar al Área de Soporte, para el cambio de privilegios, previamente Autorizado por el jefe de área y vuelva a su configuración inicial. Control de Acceso al Sistema Operativo - Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo, dejarlo de manera correcta y en estado óptimo para su nueva utilización.
Manual de Políticas de Seguridad Redes y Comunicaciones MANTENIMIENTO - El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de informática, o del personal de soporte técnico. - Se llevará un registro global del mantenimiento efectuado sobre los equipos de laboratorios y cambios realizados desde su instalación. CUMPLIMIENTO DE SEGURIDAD INFORMATICA Y ASPECTOS LEGALES Cumplimiento Seguridad Informática - La dirección del Instituto SISE emitirá y revisara el cumplimiento de las políticas y normal de seguridad informática que permiten realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnología del Instituto - El mal uso de los recursos informáticos detectado por la Dirección de Informática será reportado conformo a los indicado en la política de Seguridad Personal. Cumplimiento de Aspectos Legales - El instituto SISE deja en claro que el software comercial utilice para sus estudiantes o uso interno, deberá está legalmente registrado, en los contratos de arrendamiento de software con las respectivas licencias. - El software comercial como el libre son propiedadexclusiva de sus programadores, la Institución Superior respeta lapropiedad intelectual y se rige por el contrato de licencia de sus autores. - Cualquier cambio en la política de utilización de software comercial osoftware libre, se hará documentado y en base a las disposiciones de larespectiva licencia. -

Recomendados

DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Proteccion juridica del software
Proteccion juridica del softwareProteccion juridica del software
Proteccion juridica del softwareelimnajera
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023Panel Sistemas
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticossm2099
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
cyber security
cyber security cyber security
cyber security NiharikaVoleti
 

Recomendados

DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Proteccion juridica del software
Proteccion juridica del softwareProteccion juridica del software
Proteccion juridica del softwareelimnajera
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023Panel Sistemas
 
Tipos de Ataques Informaticos
Tipos de Ataques InformaticosTipos de Ataques Informaticos
Tipos de Ataques Informaticossm2099
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
cyber security
cyber security cyber security
cyber security NiharikaVoleti
 
Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...kyaalena
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Modificatoria de rm 312 ds 571
Modificatoria de rm 312 ds 571Modificatoria de rm 312 ds 571
Modificatoria de rm 312 ds 571Manuel Genaro Grados Morales
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Information security
Information securityInformation security
Information securityLusungu Mkandawire CISA,CISM,CGEIT,CPF,PRINCE2
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
Cyber Security PPT.pptx
Cyber Security PPT.pptxCyber Security PPT.pptx
Cyber Security PPT.pptxAbhishekDas794104
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesSlideTeam
 
Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4Carol Montgomery Adams
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
system Security
system Security system Security
system Security Gaurav Mishra
 
Etica informatica
Etica informaticaEtica informatica
Etica informaticaUAGRM
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness SnapComms
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
cyber security.pdf
cyber security.pdfcyber security.pdf
cyber security.pdfYashwanth Rm
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 

Mais conteúdo relacionado

Mais procurados

Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...kyaalena
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesSlideTeam
 
Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4Carol Montgomery Adams
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Etica informatica
Etica informaticaEtica informatica
Etica informaticaUAGRM
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness SnapComms
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
cyber security.pdf
cyber security.pdfcyber security.pdf
cyber security.pdfYashwanth Rm
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 

Mais procurados (20)

Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...Legislación nacional Venezolana e internacional en materia de delitos inform...
Legislación nacional Venezolana e internacional en materia de delitos inform...
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Modificatoria de rm 312 ds 571
Modificatoria de rm 312 ds 571Modificatoria de rm 312 ds 571
Modificatoria de rm 312 ds 571
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Information security
Information securityInformation security
Information security
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
 
Cyber Security PPT.pptx
Cyber Security PPT.pptxCyber Security PPT.pptx
Cyber Security PPT.pptx
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation Slides
 
Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4Security Awareness Training from KnowBe4
Security Awareness Training from KnowBe4
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
system Security
system Security system Security
system Security
 
Etica informatica
Etica informaticaEtica informatica
Etica informatica
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
 
cyber security.pdf
cyber security.pdfcyber security.pdf
cyber security.pdf
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 

Semelhante a Manual politicas de seguridad

Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Seguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander EspinozaSeguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander Espinozaalexutmach
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beayeniferbaez
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
politicas de seguridad
politicas de seguridadpoliticas de seguridad
politicas de seguridadmayuteamo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticablegro
 
Tarea 2 Informatica
Tarea 2 InformaticaTarea 2 Informatica
Tarea 2 InformaticaUNIANDES
 

Semelhante a Manual politicas de seguridad (20)

Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander EspinozaSeguridad informatica By Alexander Espinoza
Seguridad informatica By Alexander Espinoza
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Introducción
IntroducciónIntroducción
Introducción
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 
politicas de seguridad
politicas de seguridadpoliticas de seguridad
politicas de seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Presentación1
Presentación1Presentación1
Presentación1
 
Tarea 2 Informatica
Tarea 2 InformaticaTarea 2 Informatica
Tarea 2 Informatica
 
profesor ya lo hice
profesor ya lo hiceprofesor ya lo hice
profesor ya lo hice
 

Mais de gchv

Forefront tmg
Forefront tmgForefront tmg
Forefront tmggchv
 
Informe instalacion tmg
Informe instalacion tmgInforme instalacion tmg
Informe instalacion tmggchv
 
Preguntas sr ii 071212
Preguntas sr ii 071212Preguntas sr ii 071212
Preguntas sr ii 071212gchv
 
Servidor exchange 2010
Servidor exchange 2010Servidor exchange 2010
Servidor exchange 2010gchv
 
Configuracion basica exchange2010
Configuracion basica exchange2010Configuracion basica exchange2010
Configuracion basica exchange2010gchv
 
Instalacion exchange 2010
Instalacion exchange 2010Instalacion exchange 2010
Instalacion exchange 2010gchv
 
Servidor exchange 2010
Servidor exchange 2010Servidor exchange 2010
Servidor exchange 2010gchv
 
Forefront tmg
Forefront tmgForefront tmg
Forefront tmggchv
 
Definiciones antenas
Definiciones antenasDefiniciones antenas
Definiciones antenasgchv
 
Preguntas para el blog y de las exposiciones
Preguntas para el blog y de las exposicionesPreguntas para el blog y de las exposiciones
Preguntas para el blog y de las exposicionesgchv
 
Conceptuales aplicacion sesion presentacion
Conceptuales aplicacion sesion presentacionConceptuales aplicacion sesion presentacion
Conceptuales aplicacion sesion presentaciongchv
 
Conceptual enlace de datos
Conceptual enlace de datosConceptual enlace de datos
Conceptual enlace de datosgchv
 
Conceptual transporte
Conceptual transporteConceptual transporte
Conceptual transportegchv
 
Conceptuales arp rarp
Conceptuales arp rarpConceptuales arp rarp
Conceptuales arp rarpgchv
 
Preguntas de exposiciones arp
Preguntas de exposiciones arpPreguntas de exposiciones arp
Preguntas de exposiciones arpgchv
 
Capa red
Capa redCapa red
Capa redgchv
 
Capa de red.potx
Capa de red.potxCapa de red.potx
Capa de red.potxgchv
 
Enlace de datos blog
Enlace de datos blogEnlace de datos blog
Enlace de datos bloggchv
 
Temas de exposicion nro5
Temas de exposicion nro5Temas de exposicion nro5
Temas de exposicion nro5gchv
 
Vlsm y cidr conceptuales
Vlsm y cidr conceptualesVlsm y cidr conceptuales
Vlsm y cidr conceptualesgchv
 

Mais de gchv (20)

Forefront tmg
Forefront tmgForefront tmg
Forefront tmg
 
Informe instalacion tmg
Informe instalacion tmgInforme instalacion tmg
Informe instalacion tmg
 
Preguntas sr ii 071212
Preguntas sr ii 071212Preguntas sr ii 071212
Preguntas sr ii 071212
 
Servidor exchange 2010
Servidor exchange 2010Servidor exchange 2010
Servidor exchange 2010
 
Configuracion basica exchange2010
Configuracion basica exchange2010Configuracion basica exchange2010
Configuracion basica exchange2010
 
Instalacion exchange 2010
Instalacion exchange 2010Instalacion exchange 2010
Instalacion exchange 2010
 
Servidor exchange 2010
Servidor exchange 2010Servidor exchange 2010
Servidor exchange 2010
 
Forefront tmg
Forefront tmgForefront tmg
Forefront tmg
 
Definiciones antenas
Definiciones antenasDefiniciones antenas
Definiciones antenas
 
Preguntas para el blog y de las exposiciones
Preguntas para el blog y de las exposicionesPreguntas para el blog y de las exposiciones
Preguntas para el blog y de las exposiciones
 
Conceptuales aplicacion sesion presentacion
Conceptuales aplicacion sesion presentacionConceptuales aplicacion sesion presentacion
Conceptuales aplicacion sesion presentacion
 
Conceptual enlace de datos
Conceptual enlace de datosConceptual enlace de datos
Conceptual enlace de datos
 
Conceptual transporte
Conceptual transporteConceptual transporte
Conceptual transporte
 
Conceptuales arp rarp
Conceptuales arp rarpConceptuales arp rarp
Conceptuales arp rarp
 
Preguntas de exposiciones arp
Preguntas de exposiciones arpPreguntas de exposiciones arp
Preguntas de exposiciones arp
 
Capa red
Capa redCapa red
Capa red
 
Capa de red.potx
Capa de red.potxCapa de red.potx
Capa de red.potx
 
Enlace de datos blog
Enlace de datos blogEnlace de datos blog
Enlace de datos blog
 
Temas de exposicion nro5
Temas de exposicion nro5Temas de exposicion nro5
Temas de exposicion nro5
 
Vlsm y cidr conceptuales
Vlsm y cidr conceptualesVlsm y cidr conceptuales
Vlsm y cidr conceptuales
 

Manual politicas de seguridad

  • 1. Manual de Políticas de Seguridad Redes y Comunicaciones REDES Y COMUNICACIONES VI CICLO Documento: Administracion de la Seguridad Informatica para la Infraestructura Fisica y Logica de la sede del Instituto SISE “Sede Santa Beatriz” Estudiante: Gustavo Chuque Vega Profesor: Waldir Cruz
  • 2. Manual de Políticas de Seguridad Redes y Comunicaciones CONCEPTOS: La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. ¿QUE SON POLÍTICAS DE SEGURIDAD INFORMÁTICA? Una política de Seguridad Informática es una forma de comunicarse con el personal y/o usuarios. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informático, importantes de la organización. Es un conjunto de requisitos definidos por los responsables de un sistema que indica en términos generales que esta y que no está permitido en el área de seguridad durante la operación general del sistema.
  • 3. Manual de Políticas de Seguridad Redes y Comunicaciones MANUAL DE POLITICAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE 1.- Objetivos Generales Las políticas y estándares de Seguridad Informática tienen por objeto establecer medidas técnicas y de organización de las tecnologías de información y de las personas que interactúan haciendo uso de los servicios informáticos que proporciona la Empresa y contribuyendo con la función informática a la mejora y complimiento de metas institucionales. Es aplicable a los usuarios en general de servicios de tecnologías de información centro de Estudios. De igual forma será una herramienta quedifunde las políticas y estándares de seguridad informática a todo el personal de la Institución Superior Educativa Asegurara: Mayor integridad, confidencialidad y confiabilidad de la información generada por el Centro, al personal, los datos y el hardware y software disponibles. 1.1 Objetivos Específicos Elaborar un manual de políticas de seguridad informática para el Personal del Centro adaptado a las necesidades y activos tecnológicos del instituto así como la naturaleza de la información que se maneja en el mismo.
  • 4. Manual de Políticas de Seguridad Redes y Comunicaciones 2.- Beneficios Las políticas y estándares de seguridad informática establecidas dentro de este manual son la base para la protección de los activos tecnológicos e información de la Institución Educativa. 3.-Existen 3 tipos de criterios de seguridad informática:  Seguridad Organizativa: Asegura el cumplimiento de normas, estándares y procedimientos físico- técnicos.  Seguridad Lógica: Actúan directa o indirectamente sobre la información procesada por los equipos.  Seguridad Física: Actúan directamente sobre la parte tangible, la parte física. 4.-Los niveles de seguridad fueron organizados constatando un enfoque objetivode la situación real de la institución, desarrollando cada política con cuidadosobre qué activo proteger, de qué protegerlo cómo protegerlo y por qué protegerlo; Los mismos se organizan siguiendo el esquema, normativo de seguridad, ISO17799 y que a continuación se detalla: a) Nivel de Seguridad Organizativo:  Seguridad Organizacional  Políticas de Seguridad  Clasificación y Control de Activos
  • 5. Manual de Políticas de Seguridad Redes y Comunicaciones  Seguridad Ligada al Personal b) Nivel de Seguridad Física:  Seguridad Física  Seguridad Física y Ambiental c) Nivel de Seguridad Lógico:  Control de Accesos  Administración del Acceso de Usuarios  Control de Acceso a la Red, Aplicaciones  Desarrollo y Mantenimiento de Sistemas d) Se tiene también un cuarto Nivel de Seguridad Legal, el cual lo nombramos también, ya que se encuentra dentro de la ISO 17799, no cuenta con relación del todo en la seguridad informática, pero se menciona: Nivel de Seguridad Legal  Cumplimiento de aspectos legales
  • 6. Manual de Políticas de Seguridad Redes y Comunicaciones 5.- Vigencia: El presente manual entrara en vigencia, previa aprobación de autoridades del Instituto SISE correspondientes y previéndose los medios de difusión entre todo el personal de la Institución. Todo cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros causados por exigencias del Instituto hará necesario efectuar una revisión y actualizaciones del presente documento, estas actualizaciones y revisiones están previstas dentro del control de cambios adjunto al documento. 6.- Sanciones Las sanciones a aplicarse al personal que incumpla las normas de este manual quedan bajo el criterio de las autoridades de la Institución Superior.
  • 7. Manual de Políticas de Seguridad Redes y Comunicaciones POLITICAS Y NORMAS DE SEGURIDAD INFORMATICA PARA EL INSTITUTO SISE POLITICAS: El sistema de la Institución es de uso solo académico, de investigación,técnico y para casos administrativos, cualquier alteración en la norma de uso de los mismos, será expresa y adecuada como política de seguridad en este manual. Obligaciones del Personal Es responsabilidad del Personal de Equipos y Servicios tecnológicos del Instituto cumplir las políticas y normal del Manual de Políticas de Seguridad para el Centro Superior. Entrenamiento y Capacitación en Seguridad Informática: Todo empleado de la Institución de nuevo ingreso deberá contar con la inducción sobre el Manual de Políticas de Seguridad Informática donde se den a conocer las obligaciones para los usuarios y las sanciones que pueden existir tras el incumplimiento. Responsabilidades: El administrador de Sistemas es el encargado de mantener en buen estado los servidores dentro de la red Institucional.
  • 8. Manual de Políticas de Seguridad Redes y Comunicaciones 1. Se tendrá acceso a internet, siempre y cuando se cumpla las medidas mínimas de seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o oficinas administrativas de la Institución. 2. Las actividades como exámenes, practicas, clases, tareas, maquinas libres, en los laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno utilizando otro servicio (Ejemplo: Chat , internet) se le podrá indicar que abandone el laboratorio, si así fuese necesario. Responsabilidad por Los Activos: 1.- La persona encargada de cada área de trabajo tendrá la responsabilidad sobre el Hardware y Medios Físicos (Aire Acondicionado, Servidores, activo de Información como Base de Datos, Documentos,etc. y Activos de software (aplicaciones, software desistemas, herramientas y programas de desarrollo 2.- Los administradores del Sistema son los responsables de lo que se almacena y su seguridad en estos recursos. SEGURIDAD AL PERSONAL Todo empleado y colaborador del Instituto SISE, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnológicos de la infraestructura de comunicación de esta, independientemente de su jerarquía en la Institución, debe firmar un convenio en el que acepte, condiciones de Confidencialidad y Manejo de información digital generada en sus funciones, el manejo adecuado de los recursos informáticos, así como el apego a las normal y políticas del presente manual. Usuarios Nuevos: Todo el personal nuevo de la Institución Superior, deberá ser notificado ante el área de Sistemas y Tecnología para dar los derechos correspondientes, por el área de Recursos Humanos vía correo electrónico.  Registro en el Sistema de Asistencia  Equipo de Computo  Derechos de acceso al servidor
  • 9. Manual de Políticas de Seguridad Redes y Comunicaciones  Correo electrónico institucional (nuevousuario@sise.edu.pe)  Agregar cuenta de correo al grupo (GRUPSISE)  Alta de Bitácora de inventario de hardware (Esto en caso de que el equipo vaya estar bajo su resguardo)  Capacitación dentro del uso de manual. SEGURIDAD FISICA Y AMBIENTAL: En la seguridad Informática se suele dejar bastante de lado la seguridad Física, ya que suceden incidentes el cual debemos estar siempre prevenidos y atentos a su pronta resolución. En nuestro Caso para La institución SISE se plantea hace una clara tendencia al siguiente razonamiento: 1) Proteger bienes de Carácter Informáticos. (Datos Importantes, Confidenciales) 2) Las amenazas que dichos bienes pueden sufrir, proceden del medio informático. (Copia o Backup no autorizada de esos datos) 3) Por tanto, los mecanismos de protección también deben ser informáticos. (Restricciones de acceso a dichos datos) Esto debemos relacionarlo al concepto de seguridad informático, como pueden ser accesos restringidos al Sistema, denegación de Privilegios como lectura y Modificación de Ficheros, cifrados de las comunicaciones, o protección de las redes mediante firewall. Tanto por esto nuestro sistema queda expuesto ante amenazas que en algunos casos no dependen de su configuración, para eso no nos serviría de nada tener los mejores mecanismos de control de acceso a nuestros ordenadores, ya que tal vez un simple accidente de una persona como el encargado de mantenimiento puede hacer que el equipo acabe tirado por el suelo o que la información en el quede irrecuperable, o también si una persona trabaja con estos datos y se los lleva a su domicilio para trabajar con ellos y en el camino sufren un robo.
  • 10. Manual de Políticas de Seguridad Redes y Comunicaciones La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial, destinados a proteger desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Las medidas de seguridad física servirán para proteger nuestros equipos e información frente a usos inadecuados, accidentes, robos, atentados y cualesquiera otros agentes que atenten directamente contra la integridad física. Amenazas de seguridad física: Está claro que son muchos los factores que pueden acabar con el buen funcionamiento de nuestro hardware o incluso hacerlo desaparecer (un robo, un incendio). Es obvio que mantener con buena funcionamiento nuestro equipamiento resulta ventajoso. Para eso a continuación detallaremos los posibles agentes que pueden ocasionar daños a las instalaciones: Robos, acciones vandálicas y accesos físicos no autorizados: Existe el riesgo ciertamente más preocupante de que personas ocasionen daños o sustracciones a los equipos, a la información contenida en ellos o a los datos almacenados en otros soportes. Debido a su tamaño y su valor, los ordenadores son muy apreciados por los ladrones, sobre todo por la facilidad con la que posteriormente pueden ser revendidos. Accidentes Por ejemplo, comer, beber o fumar mientras se está trabajando con un ordenador es causa de muchos de los pequeños accidentes que se sufren. La protección de los datos Hay que considerar la importancia de la seguridad de las copias de respaldo, no sólo porque pueden constituir una forma apetecible de apropiarse de la información codiciada, sino porque la sustracción nos dejaría en posición vulnerable frente a otros desastres. Los soportes del respaldo deben protegerse en la misma medida que los equipos cuyos datos reproducen, y además deben ser almacenados en lugar diferente para evitar ser objeto de las mismas contingencias, como robos o desastres naturales.
  • 11. Manual de Políticas de Seguridad Redes y Comunicaciones La protección de los equipos Es natural que lo primero que nos debamos plantear a la hora de planificar la seguridad física de una instalación consiste en determinar cuáles son las barreras que impiden o restringen el acceso físico a los equipos o su manipulación indebida: anclajes, cerraduras, blindajes, servicios de vigilancia, cámaras de vídeo o alarmas de cualquier clase. La limitación del acceso físico a los equipos debe ser planificada de distinta manera para el horario normal de trabajo y para cuando nadie puede o debe acceder a los mismos. El plan de Seguridad Física Para esto primero se debe pensar en cada lugar concretamente, adecuándose a sus características físicas y a los agentes circundantes que pueden suponer una amenaza para los sistemas. La segunda es que existe una cantidad muy grande de variables a considerar, por el gran número de posibles amenazas. El planteamiento de la seguridad física determina una mayor dificultad en la resolución de los problemas. Por ello es absolutamente necesario que el primer paso sea asegurar físicamente nuestras instalaciones en un plan escrito de las necesidades de seguridad física y de las medidas destinadas a cubrirlas en el futuro. Debe incluir nuestro plan lo siguiente: Descripción del área física en el que están localizados esos dispositivos. Descripción del perímetro de seguridad y de sus posibles agujeros. Descripción de las amenazas contra las que nos queremos proteger, incluyendo una estimación de su probabilidad. Descripción de los dispositivos físicos a proteger, incluyendo ordenadores, periféricos, cables, conexiones, soportes de datos, etc. Enumeración de los medios para mejorarlas. Estimación del coste de las mejoras. Descripción de nuestras defensas.
  • 12. Manual de Políticas de Seguridad Redes y Comunicaciones Descripciones y/o ejemplos de Seguridad Física Seguridad física en el cableado La seguridad física del cableado es bastante sencilla aunque difícil de asegurar. La principal preocupación para un técnico de seguridad física es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado. Los armarios,racks, gabinetes deben tener seguridad En concreto se decidirá que máquinas se incluyen en los racks y lo mismo para los dispositivos de red, o gabinetes. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil. Contraseña de Seguridad en la BIOS Agregando password en la BIOS es una manera de proteger tanto el acceso a la Pc como el acceso al SETUP de la propia BIOS mediante una contraseña, de forma que nadie pueda manipular la computadora ni desconfigurar los valores de la BIOS. También asegurar el Case del computador para que no realicen un RESET a la BIOS. Personal de Seguridad y Cámaras Hacer cumplir el reglamento interior de la Institución con la función de revisar que todos los objetos que sean extraídos de la empresa cuenten con su pase de salida respectivo, con la firmas de los ejecutivos autorizados y supervisar que no se sustraiga objetos dentro del Centro.
  • 13. Manual de Políticas de Seguridad Redes y Comunicaciones Descripción de la seguridad de la infraestructura de Red del Instituto SISE Podemos describirla, según especificaciones de la siguiente manera: Seguridad Física: 1. En cada aula los proyectores se encuentran cerrados en una protección de metal con llave y solo puede ser operado por el docente o personal de mantenimiento. 2. Los Switches de cada laboratorio no se encuentran debidamente protegidos ya que se encuentran libres encima de una repisa. 3. No todas las BIOS de los equipos cuentan con una contraseña de seguridad. 4. La sede cuenta con personal seguridad solo en las entradas principales. 5. El momento de ingreso a la sede se presenta una identificación (SISECARD) en el caso de los alumnos y su ID en el caso del personal. En el caso de personas ajenas a la institución, estos acceden presentando su DNI en la entrada. 6. Una de las políticas de seguridad de SISE, indica que el docente no tiene que dejar el laboratorio cuando se encuentra en clase, cosa que siempre no se cumple. Seguridad Interna Lógica 7. Cada usuario cuenta con un cierto nivel de administración de la PC, así como por ejemplo los usuarios de laboratorio no tiene permisos administrativos para poder instalar programas, en cambio el usuario del área de soporte sí puede. 8. Cuenta con un Firewall que cumple la función de administrar los paquetes entrantes y salientes de la red. 9. Cuenta con un proxy como delimitador de navegación. Pero este no está bien configurado ya que algunas veces se pueden acceder a páginas que supuestamente están bloqueados con el proxy.
  • 14. Manual de Políticas de Seguridad Redes y Comunicaciones 10. Cuenta con un controlador de dominio en la cual se detallan las políticas de seguridad. Se tiene conocimiento que este no cuenta con un DC de respaldo. Lista de Políticas de Seguridad para la Mejora del Instituto SISE: Más Cantidad de Cámaras de Seguridad: Se cabe recordar que el Instituto cuenta con el servicio de cámaras de seguridad y todo empleador, como estudiante está siendo grabado las 24 horas del día mientras se encuentre en la institución y se tiene la sustentación de esta, como prueba; cuando amerite una situación sospechosa o acción dentro de nuestra SEDE. Gabinetes de Seguridad en las Salas de Laboratorio En los laboratorios del Instituto se tiene asegurado con candados los gabinetes donde se encuentra el hardware importante de la red de la sala, se debe tener cuidado y no cometer ningún tipo de acto que afecte estos gabinetes. Personal de Seguridad para Ambos Sexos: Se declara que el instituto cuenta con Personal de Seguridad de Ambos Sexos, para la protección, verificaciones y revisión de todo empleador o estudiante al momento de su salida para el control de esta. Y también con el propósito de que las Señoritas Estudiantes o empleadoras también puedan ser revisadas correctamente y no por un Hombre, sino por una persona de su mismo sexo y no tenga ningún tipo de altercado. Implementación de Software Complejo en Antivirus Con la finalidad de mejorar la seguridad de cada PC en cada laboratorio, se implementara un software antivirus (MCAFEE) único que trabaje con la plataforma Windows 7 y server 2003 que permita: Analizar y diagnosticar simultáneamente los programas maliciosos: gusanos, troyanos, malware, rootkits y spyware.
  • 15. Manual de Políticas de Seguridad Redes y Comunicaciones Políticas Nueva de Seguridad para el Uso de laboratorios del Instituto Se implementara nuevas políticas de seguridad en el uso de los laboratorios de SISE; se mencionan a continuación: 1. Los alumnos solo pueden ingresar al laboratorio si es que no tuvieran clases programadas, podrán hacer uso de internet EXCLUSIVAMENTE para hacer sus TRABAJOS y/o alguna otra actividad que se les haya asignado. Más no para uso personal. 2. En los laboratorios se deberá mantener orden y cordura como en una sala de estudios, deberá permanecer sentado, por lo tanto, el alumno debe demostrar buen comportamiento dentro del mismo. 3. Antes de ingresar al laboratorio la persona tiene que verificar la disponibilidad según el horario publicado en la puerta de cada laboratorio, el ingreso será para clases o prácticas libres. 4. Se prohíbe totalmente el ingreso de alimentos, bebidas y el uso de celulares en el laboratorio de cómputo. 5. Los alumnos deberán acatar explícitamente las instrucciones del docente o del auxiliar de laboratorio en lo referente a la utilización del equipo así como los programas destinados al uso de las clases. 6. La instalación de software necesario en clases deberá ser solicitada formalmente por el docente en el Área de Soporte y Área de Atención al Docente (por lo menos 48 horas antes). 7. Queda estrictamente prohibido cambiar la configuración del equipo y de los programas contenidos en el mismo así como instalar software que no se encuentre autorizado. 8. En caso de que el equipo presente algún tipo de falla, el usuario deberá de hacerlo presente al docente para que de aviso al personal de soporte para que vengan a verificar el problema. 9. Se prohíbe el movimiento de cualquier dispositivo de laboratorio, así como el intercambio de dispositivos.
  • 16. Manual de Políticas de Seguridad Redes y Comunicaciones POLÍTICAS Y ESTÁNDARES DE CONTROLES DE ACCESO - Cada docente o Personal Administrativo es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, como su identificador de usuario y contraseña necesarios para acceder a recursos de la red con permisos y a la infraestructura tecnológica de la Institución Superior, por lo cual deberá mantenerlo de forma confidencial. - Los estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones. - Se asignará una cuenta de acceso a los sistemas de la intranet, a todo estudiante y docente de la red institucional, siempre y cuando se identifique previamente con el código dado por la institución, su ID. - Todo usuario que tenga la sospecha de que su contraseña es conocido por otra Persona, deberá cambiarlo inmediatamente. - Todo uso indebido del servicio de correo electrónico corporativo, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema. - El docente será responsable de la información que sea enviada con su cuenta de correo de la Institución Control de Privilegios de Acceso: - Cualquier cambio en la configuración, a la cuenta brindada con privilegios administrativos será responsabilidad del usuario y docente y deberán ser Notificar al Área de Soporte, para el cambio de privilegios, previamente Autorizado por el jefe de área y vuelva a su configuración inicial. Control de Acceso al Sistema Operativo - Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el equipo, dejarlo de manera correcta y en estado óptimo para su nueva utilización.
  • 17. Manual de Políticas de Seguridad Redes y Comunicaciones MANTENIMIENTO - El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de informática, o del personal de soporte técnico. - Se llevará un registro global del mantenimiento efectuado sobre los equipos de laboratorios y cambios realizados desde su instalación. CUMPLIMIENTO DE SEGURIDAD INFORMATICA Y ASPECTOS LEGALES Cumplimiento Seguridad Informática - La dirección del Instituto SISE emitirá y revisara el cumplimiento de las políticas y normal de seguridad informática que permiten realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnología del Instituto - El mal uso de los recursos informáticos detectado por la Dirección de Informática será reportado conformo a los indicado en la política de Seguridad Personal. Cumplimiento de Aspectos Legales - El instituto SISE deja en claro que el software comercial utilice para sus estudiantes o uso interno, deberá está legalmente registrado, en los contratos de arrendamiento de software con las respectivas licencias. - El software comercial como el libre son propiedadexclusiva de sus programadores, la Institución Superior respeta lapropiedad intelectual y se rige por el contrato de licencia de sus autores. - Cualquier cambio en la política de utilización de software comercial osoftware libre, se hará documentado y en base a las disposiciones de larespectiva licencia. -