1. UNIVERSIDAD AUTÓNOMA GABRIEL RENÉ MORENO
UNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL
CHACO
DIPLOMADO EN SEGURIDAD INFORMÁTICA
RESPONSABILIDADES DE
USUARIO
INTEGRANTES: ORIEL ARANCIBIA FERNANDEZ
MIGUEL ANGEL JUSTINIANO VERA
GUSTAVO MARTINEZ SALDIAS
YASMANI MARTINEZ MAMANI
GABRIELA INES JERÉZ ALVAREZ
GRACIELA BAUTISTA G.
MODULO IV: CONTROL DE ACCESO AL SISTEMA
DOCENTE: ING. KAREM INFANTAS SOTO
CAMIRI-BOLIVIA
2. MANUAL DE NORMAS Y POLITICAS
Tabla de contenido
1. RESUMEN ........................................................................................................................................ 2
2. INTRODUCCION ............................................................................................................................... 2
3. POLÍTICAS DE CONTROL DE ACCESOS ............................................................................................. 4
3.1 Generalidades ........................................................................................................................... 4
3.2 Misión ........................................................................................................................................ 4
3.3 Visión ......................................................................................................................................... 4
3.4 Objetivo ..................................................................................................................................... 4
3.5 Alcance ...................................................................................................................................... 5
4. POLITICAS Y PROCEDIMIENTOS ...................................................................................................... 5
4.1 Requerimientos para el Control de Acceso ............................................................................... 5
4.2 RESPONSABILIDAD DE USUARIO ............................................................................................... 6
5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL .................................................................. 7
6. CASO DE ESTUDIO (SITUACION IDEAL) ........................................................................................... 8
7. PRESUSPUESTO ............................................................................................................................... 9
8. ANEXOS ......................................................................................................................................... 10
8.1 ANEXO ..................................................................................................................................... 10
SECURIA–SGSI PROGRAMA DE ADMINISTRACION........................................................................ 10
8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS.. 12
8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS ..................................... 13
8.3 ANEXO - ....................................................................................................................................... 13
9. REFERENCIA BIBLIGRAFICA ........................................................................................................... 14
1
3. MANUAL DE NORMAS Y POLITICAS
MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD
INFORMATICA
1. RESUMEN
Para impedir el acceso no autorizado a los sistemas de información se deben implementar
procedimientos formales para controlar la asignación de derechos de acceso a los
sistemas de información, bases de datos y servicios de información, y estos deben estar
claramente documentados, comunicados y controlados en cuanto a su cumplimiento.
El objetivo es Implementar seguridad en los accesos de usuarios por medio de técnicas de
autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a
cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su
responsabilidad frente a la utilización de contraseñas y equipos.
2. INTRODUCCION
Los requerimientos de seguridad que involucran las tecnologías de la información, en
pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como
los son la de Internet y en particular la relacionada con el Web, la visión de nuevos
horizontes explorando más allá de las fronteras naturales, situación que ha llevado la
aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas
organizaciones gubernamentales y no gubernamentales internacionales desarrollen
políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones
para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los
bienes y servicios de las entidades. De esta manera, las políticas de seguridad en
informática que proponemos emergen como el instrumento para concientizar a sus
miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de
la superación de las fallas y de las debilidades, de tal forma que permiten a la organización
cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso
con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para
renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. La
propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir
con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien
muestra una buena forma de operar el sistema con seguridad, respetando en todo
momento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por la
naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios
y su control, se mencionan, así como todos los aspectos que representan un riesgo o las
acciones donde se ve involucrada y que compete a las tecnologías de la información; se
2
4. MANUAL DE NORMAS Y POLITICAS
han contemplado también las políticas que reflejan la visión de la actual administración
respecto a la problemática de seguridad informática organizacional.
Un Sistema Administrativo de Seguridad de la Información (Information Security
Management System ISMS) es una forma sistemática de administrar la información
Sensible de una compañía, para que permanezca segura. Abarca a las personas, los
procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticas
para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado. La
seguridad de la información no termina al implementar el más reciente "firewall", o al
sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de
la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser
administradas para que cada elemento sea completamente efectivo. Aquí es donde entra
el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa,
poder coordinar sus esfuerzos de seguridad con mayor efectividad.ISO/IEC 27000 es un
conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña. La información es un
activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo
que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un
objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de
la información, es necesario implantar un sistema que aborde esta tarea de forma
metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación
de los riesgos a los que está sometida la información de la organización. Seguidamente se
resumen las distintas normas que componen la serie ISO 27000:
ISO/IEC 27000 proporcionará una visión general del marco normativo y un
vocabulario común utilizado por todas las normas de la serie.
ISO/IEC 27001:2005 Especificaciones para la creación de un sistema de gestión de
la seguridad de la información (SGSI). Publicada en 2005.
ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de la seguridad de
la información describe el conjunto de objetivos de control y controles a utilizaren
la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada
en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.
3
5. MANUAL DE NORMAS Y POLITICAS
3. POLÍTICAS DE CONTROL DE ACCESOS
3.1 Generalidades
El acceso por medio de un sistema de restricciones y excepciones a la información es la
base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a los
sistemas de información se deben implementar procedimientos formales para controlar la
asignación de derechos de acceso a los sistemas de información, bases de datos y servicios
de información, y estos deben estar claramente documentados, comunicados y
controlados en cuanto a su cumplimiento.
La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es
necesario concientizar a los mismos acerca de sus responsabilidades por el
mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el
uso de contraseñas y la seguridad del equipamiento.
3.2 Misión
Establecer las directrices necesarias para el correcto funcionamiento de un sistema de
gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso
de desarrollo continuo y actualizable, apegado a los estándares internacionales
desarrollados para tal fin.
3.3 Visión
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto
funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema
de gestión de seguridad de la información, a través de la utilización de técnicas y
herramientas que contribuyan a optimizar la administración de los recursos informáticos
de la organización.
3.4 Objetivo
Impedir el acceso no autorizado a los sistemas de información, bases de datos y
servicios de información.
Implementar seguridad en los accesos de usuarios por medio de técnicas de
autenticación y autorización.
Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios
en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la utilización
de contraseñas y equipos.
4
6. MANUAL DE NORMAS Y POLITICAS
3.5 Alcance
La Política definida en este documento se aplica a todas las formas de acceso de aquellos a
quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o
servicios de información de la empresa, cualquiera sea la función que desempeñe.
Asimismo se aplica al personal técnico que define, instala, administra y mantiene
los permisos de acceso y las conexiones de red, y a los que administran su seguridad.
4. POLITICAS Y PROCEDIMIENTOS
4.1 Requerimientos para el Control de Acceso
Objetivo.- controlar el acceso a la información
Política de Control de Accesos
Control.- Se debiera establecer, documentar y revisar la política de acceso en base a los
requerimientos comerciales y de seguridad para el acceso.
En la aplicación de controles de acceso, se contemplarán los siguientes aspectos:
a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.
b) Identificar toda la información relacionada con las aplicaciones.
c) Establecer criterios coherentes entre esta Política de Control de Acceso y la
Política de Clasificación de Información de los diferentes sistemas y redes.
d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a
la protección del acceso a datos y servicios.
e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría
depuestos de trabajo.
SOLUCION:
Implementar seguridad en los accesos de usuarios por medio de técnicas de
autenticación.
Registrar y revisas eventos y actividades criticas llevados por los usuarios en los
sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la utilización
de contraseñas.
5
7. MANUAL DE NORMAS Y POLITICAS
4.2 RESPONSABILIDAD DE USUARIO
OBJETIVO.- Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro
la información y evitar el robo de información y los medios de procesamiento de la
información.
USO DE CLAVES SECRETAS
Control: Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la
selección y uso de claves secretas.
SOLUCIONES:
Concientizar al usuario a manejar una contraseña que cumplan condiciones de
clave segura.
Programar tareas mensuales de cambio de contraseña.
expired user password: Automatiza la obligación de cambiar la contraseña a
usuarios registrados cada 30 días.
Este software se aplica a usuarios que se requiera que cambien sus contraseñas
cada sierto tiempo.
EQUIPO DE USUARIOS DESATENDIDOS
Control: Los usuarios deberían asegurar que los equipos tenga la protección adecuada.
SOLUCIONES:
Los usuarios deberán garantizar que los equipos sean protegidos adecuadamente.
El administrador de sistemas debe coordinar con el encargado de ventas las
tareas de concientización a todos los usuarios, a cerca de los procedimientos de
seguridad para su respectiva protección.
Proteger los ordenadores o terminales mediante un bloqueo de seguridad o
control equivalente. Ejemplo contraseña de acceso cuando no se utiliza.
Proteger mediante bloqueo adecuado, por ejemplo, un protector de pantallas
protegidas por contraseña.
POLITICA DE ESCRITORIO Y PANTALLA LIMPIO
Control: Se debiera adoptar una política de escritorio limpio para papeles y medios de
almacenaje removibles y una política de pantalla limpia para los medios de procesamiento
de la información.
SOLUCIONES:
6
8. MANUAL DE NORMAS Y POLITICAS
El servidor de dominio deberá bloquear cualquier estación de trabajo con un
protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.
La práctica de guardar las contraseñas en papel adherido al monitor o áreas
cercanas al equipo de trabajo, es una falta grave y sancionable.
El gestor de seguridad debe desactivar cualquier característica de los sistemas o
aplicaciones que les permita a los usuarios, almacenar localmente sus
contraseñas.
El usuario deberá estar consciente de los problemas de seguridad que acarrea la
irresponsabilidad en la salvaguarda y uso de su contraseña.
Usar destructoras de papel en caso que se quiera eliminar algún documento.
5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL
Administrador
T. I. Comision
Ventas Contabilidad Importaciones
Sucursal 1
Sucursal 2
7
9. MANUAL DE NORMAS Y POLITICAS
6. CASO DE ESTUDIO (SITUACION IDEAL)
CICLO DE MEJORA CONTINUA
Para establecer y gestionar este sistema de gestión de la seguridad de la información se
utilizaremos el ciclo PDCA. Esta metodología ha demostrado su aplicabilidad y ha
permitido establecer la mejora continua en organizaciones de todas clases.
El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”, tiene una serie de fases y acciones
que permiten establecer un modelo de indicadores y métricas comparables en el tiempo,
de manera que se pueda cuantificar el avance en la mejora de la organización. A
continuación desarrollaremos cada una de ellas:
Planificar
Esta fase se corresponde con establecer el Software SECURIA-SGSI.
Planifica y diseñar el programa.
Sistematizar las políticas a aplicar en la organización.
Definir cuáles son los fines a alcanzar y en que ayudaran a lograr los objetivos de negocio.
Identificar los medios que se utilizaran para ello.
Proyectar como se enfocara el análisis de riesgos y los criterios que se seguirán para
gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad.
Hacer
En esta fase se implementara y se pondrá en funcionamiento de SECURIA-SGSI.
Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos
técnicos.
Se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones.
Se implementara el software SMART PC LOCKER, una sencilla aplicación para Windows
que hace las veces de muralla defensiva contra terceros, impidiéndoles acceder a tu
ordenador tras configurar una contraseña segura.
Se aplicara el software EXPIRED USER PASSWORD que se aplica a usuarios que se requiera
que cambien sus contraseñas cada cierto tiempo.
Verificar
En esta fase se realizara la monitorización y revisión del SECURIA-SGSI.
Se controlara que los procesos se ejecutan como se ha establecido, de manera eficaz y
eficiente, alcanzando los objetivos definidos para ellos.
8
10. MANUAL DE NORMAS Y POLITICAS
Se verificar el grado de cumplimiento de las políticas y procedimientos, identificando los
fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y
auditorias.
Actualizar
Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones
preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías
internas y revisiones del SECURIA-SGSI.
Revisar otras informaciones relevantes para permitir la mejora permanente del SECURIA-
SGSI.
7. PRESUSPUESTO
SOFTWARE
N° DETALLE COSTO (
USD)
1 SECURIA-SGSI 0
2 EXPIRED USER PASSWORD 0
3 SMART PC LOCKER 0
TOTAL 0
PERSONAL
N° DETALLE COSTO (
USD)
1 CAPACITACION EN EL USO DE POLITICA DE CONTROL DE 400
ACCESO
2 CAPACITACION USO DE CLAVES 300
3 CAPACITACION EQUIPOS DESATENDIDOS 255
4 CAPACITACION ESCRITORIO Y PANTALLA LIMPIA 300
TOTAL 1255
9
11. MANUAL DE NORMAS Y POLITICAS
8. ANEXOS
8.1 ANEXO
SECURIA–SGSI PROGRAMA DE ADMINISTRACION
INGRESO A PROGRAMA ADMINISTRACION
SECURIA – SGSI PROGRAMA CLIENTE
INGRESO A PROGRAMA CLIENTE
10
12. MANUAL DE NORMAS Y POLITICAS
ACCIONES PREVENTIVAS
INFORME DETALLADO DE LA ACCION
11
13. MANUAL DE NORMAS Y POLITICAS
8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS
RECURSOS INFORMÁTICOS
Cuando la Entidad le asigna un recurso informático para el cumplimiento de sus funciones,
usted asume la responsabilidad sobre dicho recurso, es decir, que debe velar por
controlarlo y mantenerlo en buen estado.
Mantener los recursos informáticos en óptimas condiciones le ayudará a desempeñar sus
funciones sin retrasos ni contratiempos.
Para cumplir con este objetivo, además del cuidado normal que se debe tener con
cualquier equipo electrónico, no debe modificar el software ni el hardware instalado.
Seguridad en los puestos de trabajo.
De la seguridad en los puestos de trabajo depende en gran parte el nivel de la Seguridad
Informática de la UAEAC. Por esta razón se presentan unas prácticas básicas de fácil
ejecución que ayudan a mantener los puestos de trabajo en los niveles adecuados de
seguridad y que le permitirán conservar los recursos informáticos bajo su responsabilidad,
en las condiciones en que le fueron entregados.
A continuación se dan unas guías para mejorar la seguridad en sus puestos de trabajo.
Cuándo se vaya a ausentar por corto tiempo bloquee su sesión, de lo contrario apague el
computador.
Uno puede pensar que no va a pasar nada si va al baño y deja la sesión abierta, pero la
realidad es que en un minuto pueden ocurrir muchas cosas en su computador como por
ejemplo copiar información importante, consultar su correo electrónico, borrar
información, enviar un correo electrónico en su nombre, etc.
Nunca deje documentos sobre su escritorio, guárdelos en gabinetes con llave.
Documentos, disquetes y apuntes entre otros, pueden llegar a manos equivocadas, lo cual
genera un gran riesgo para la UAEAC y más aún cuando la información contenida en ellos
es sensible.
No digite su contraseña si sospecha que está siendo observada.
Las contraseñas son personales y tienen el caracter de confidencial. Si su contraseña fuera
conocida por alguien, este podría revisar su correo, suplantarlo, tener acceso a la
información que usted maneja e incluso atentar contra su buen nombre haciendo mal uso
de los recursos informáticos que están bajo su responsabilidad.
12
14. MANUAL DE NORMAS Y POLITICAS
Si observa actividad sospechosa en algún puesto de trabajo denúnciela a Seguridad
Informática.
Un candado puede ser la solución para la pérdida de memoria
Ciertos computadores permiten en la parte de atrás la instalación de un candado que
impide que el equipo sea abierto y en consecuencia, que le sean hurtados elementos de
hardware, por ejemplo memoria, procesador, discos duros, etc.
8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS
La contraseña debe de ser fácil de recordar, de manera que no haya que escribirla o
guardarla en un archivo en el equipo. Conviene elegir una contraseña que:
- Tenga 8 o más caracteres.
- Combine mayúsculas, minúsculas y números.
- No figure, o tenga probabilidad de figurar, en un diccionario.
- Sea difícil de adivinar: nunca use el nombre de la pareja, hijos, mascota, matrícula del
coche, fecha de nacimiento, código postal, etc. etc.
Conviene usar una frase en vez de una palabra como contraseña, porque es más difícil de
adivinar. Cuando se manejan diferentes sistemas que requieren una contraseña para cada
sistema, nunca hay que repetir la misma contraseña para diferentes sistemas. Tampoco
usar contraseñas "recicladas", que tienen pequeños cambios para cada sistema (p ej.
"pepito1" para el sistema 1, y "pepito2" para el sistema 2)
Por supuesto, no se debe revelar la contraseña a nadie, tampoco escribirla ni tenerla
registrada en ninguna parte más que en la propia cabeza.
8.3 ANEXO - LA SEGURIDAD INFORMATICA. LOS USUARIOS Y LAS EMPRESAS SIEMPRE EN
ALERTA
A menudo tendemos a referirnos a la seguridad informática haciendo hincapié en la
importancia del usuario en la misma, en la importancia de sus hábitos, sus costumbres,
sus usos e incluso los programas que adquiere para llevar a cabo la protección total de su
sistema.
No es poco frecuente apelar a la responsabilidad del usuario medio para evitar que un
virus peligroso se propague o para alertar de los riesgos que un agujero de seguridad
13
15. MANUAL DE NORMAS Y POLITICAS
descubierto en un programa puede provocar, no solo para ese usuario en concreto sino
para el resto de la comunidad online. Las empresas, autoridades y blogs de internet
suelen poner siempre el dedo en la yaga alertando a cada uno de sus lectores o
ciudadanos sobre la importancia de mantener una correcta y continua protección contra
sus ordenadores.
Sin embargo, y admitiendo que, lógicamente este punto es fundamental y vital en la
organización y mantenimiento de una internet lo más saludable posible, no podemos
obviar ni olvidar la importancia que la seguridad tiene también desde las propias
empresas, es decir, desde los usuarios de más alto rango de la red de redes. De nada
servir mantener a un usuario informado, preparado y alerta si a continuación las grandes
cabezas pensantes comenten errores infantiles que ayudan, no solo a la propagación de
virus y demás sino a la existencia de productos finales vulnerables que terminan llegando
a nuestros ordenadores.
Durante la reciente Bsecure Conference, ante más de 120 asistentes, Jesús Torrecillas,
consultor de seguridad de Cemex hizo hincapié en algunos los errores que cometen las
empresas a la hora de diseñar sus políticas de seguridad, destacando algunos como:
1. Utilizar gente sin experiencia para el ámbito de la seguridad.
2. Poco conocimiento sobre la seguridad integral.
3. Fiarse demasiado de cierto tipo de medios de seguridad, obviando otros.
4. Externalizar la seguridad de la empresa.
5. No dar soluciones a largo plazo sino parches a corto.
Y un largo etcétera que nos sirve como ejemplo para llamar la atención sobre la
importancia de que la seguridad empiece por las propias empresas y continúe, de manera
clara y contundente, en los usuarios finales.
9. REFERENCIA BIBLIGRAFICA
http://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1
http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3
http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/
http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489
http://expired-password.winsite.com/
14