PDF de programación - Manual de seguridad informática

MANUAL DE SEGURIDAD

INFORMATICA



INSTITUTO TÉCNICO NACIONAL DE COMERCIO

“SIMÓN RODRIGUEZ”

Santiago de Cali, Valle

2015



MANUAL DE SEGURIDAD INFORMATICA



Código:

GTI-MAN-01



Versión:

02

Fecha de Aprobación:

06/07/2015

TABLA DE CONTENIDO

0.

INTRODUCCIÓN ........................................................................................................................... 4

GLOSARIO ............................................................................................................................................ 6

1. DESARROLLO GENERAL ............................................................................................................... 8

1.1.

Aplicación ................................................................................................................................ 8

2.

SEGURIDAD INSTITUCIONAL ....................................................................................................... 8

2.1. Usuarios Nuevos ........................................................................................................................... 9

2.2. Obligaciones de los usuarios ........................................................................................................ 9

2.3. Capacitación en seguridad informática ........................................................................................ 9

2.4. Sanciones ...................................................................................................................................... 9

3.

SEGURIDAD FÍSICA Y DEL MEDIO AMBIENTE ............................................................................ 10

3.1. Protección de la información y de los bienes informáticos ....................................................... 10

3.2. Controles generales .................................................................................................................... 11

3.3. Controles de acceso físico .......................................................................................................... 12

3.4. Protección y ubicación de los equipos ....................................................................................... 12

3.5. Mantenimiento de equipos ........................................................................................................ 14

3.6. Pérdida de Equipo ...................................................................................................................... 14

3.7. Uso de dispositivos extraíbles .................................................................................................... 15

3.8. Daño del equipo ......................................................................................................................... 15

4. ADMINISTRACIÓN DE OPERACIONES EN LOS CENTROS DE CÓMPUTO .................................... 16

4.1. Uso de medios de almacenamiento ........................................................................................... 17

4.2. Adquisición de software. ............................................................................................................ 17

4.3. Licenciamiento de Software ....................................................................................................... 18

4.4. Identificación del incidente ........................................................................................................ 19

4.5. Administración y seguridad de la Red ....................................................................................... 19

4.6. Uso del Correo electrónico ......................................................................................................... 20

4.7. Controles contra virus o software malicioso .............................................................................. 21

4.8. Controles para la Generación y Restauración de Copias de Seguridad (Backups). .................... 23

4.9. Planes de Contingencia ante Desastre ....................................................................................... 25



Intenalco es Excelencia!

Página 2 de 62

MANUAL DE SEGURIDAD INFORMATICA



Código:

GTI-MAN-01



Versión:

02

Fecha de Aprobación:

06/07/2015

4.10. Internet..................................................................................................................................... 26

5. ACCESO LÓGICO ........................................................................................................................ 27

5.1.

Controles de acceso lógico .................................................................................................... 26

5.2.

Administración de privilegios ................................................................................................ 27

5.3.

Equipos desatendidos ........................................................................................................... 28

5.4.

Administración y uso de contraseñas ................................................................................... 28

5.5.

Controles para Otorgar, Modificar y Retirar Accesos a Usuarios .......................................... 28

6. CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA ....................................................................... 29

7. DERECHOS DE PROPIEDAD INTELECTUAL ................................................................................. 29

8. CLÁUSULAS DE CUMPLIMIENTO ............................................................................................... 30

9. VIOLACIONES DE SEGURIDAD INFORMÁTICA ........................................................................... 31

10.

11.

12.

EQUIPOS EN EL ÁREA ADMINISTRATIVA ............................................................................... 31

FUNCIONES DE LA OFICINA DE TECNOLOGIAS DE LA INFORMACIÓN. ................................. 34

PROCEDIMIENTO DE CONTINGENCIAS ................................................................................. 37

12.1 Análisis de evaluación de riesgos y estrategias ..................................................................... 37

12.2

Eventos considerados para los procedimientos de contingencia ......................................... 45

12.3 Actividades previas al Desastre ............................................................................................. 52

12.4

Establecimiento del Plan de Acción ...................................................................................... 52

12.5 Actividades durante el Desastre ........................................................................................... 53

12.6 Procedimiento de Emergencias ............................................................................................ 53

12.6.1

Actividades después del Desastre ..................................................................................... 54

12.7 Amenazas .............................................................................................................................. 54

13.

14.

POLITICA Y REGLAMENTO PARA LA OPERACIÓN DEL SITIO WEB DE LA INSTITUCION ......... 57

SEGURIDAD DE LA INFORMACIÓN DE LOS PROCESOS MISIONALES ..................................... 59

14.1 Actividades de seguridad ...................................................................................................... 61

14.2

Logs de aplicaciones sensibles .............................................................................................. 61



Intenalco es Excelencia!

Página 3 de 62

MANUAL DE SEGURIDAD INFORMATICA



Código:

GTI-MAN-01



Versión:

02

Fecha de Aprobación:

06/07/2015

0. INTRODUCCIÓN

La Oficina de Tecnología Informática (TI), de Intenalco, realiza el manual de

seguridad y políticas de informática para que sea el instrumento para concientizar

a sus funcionarios acerca de la importancia y sensibilidad de la información y

servicios críticos, de la superación de las fallas y de las debilidades, de tal forma

que permiten a la entidad cumplir con su misión.

De esta manera la seguridad informática en la institución pretende cumplir con los

estándares de seguridad de los sistemas de información, garantizando la

confidencialidad de datos (información y de hardware) en los servicios ofrecidos

como en los servicios internos a la comunidad educativa.

Actualmente vivimos en una sociedad que depende de los Sistemas de

Información (Tic’s), que se encuentran tanto en la parte interna como externa de

toda organización, sin embargo para poder acceder a esta información es

necesario que estos sistemas se encuentren interconectados por medio de un

recurso llamado Red, recurso constituido por equipos (router, bridges, switch,

etc.), de medios de comunicación (Fast Ethernet, Gigabyte Ethernet, E1, T1, E3,

STM-1, etc.), adicionalmente, las redes internas se conectan a otras redes

(corporativas, Internet), lo que hace que se vuelvan más complejas y robustas. Es

por ello, que se hace necesario el uso de herramientas para dar el soporte

adecuado y óptimo. La ISO “International Standards Organization”, creó un modelo

de administración, donde se definen claramente

las

funciones de

los

administradores de redes, en 5 áreas:

1. Administración del Desempeño (Performance Management): Encargada de

monitorear y medir varios aspectos de rendimiento, funcionamiento y utilización

de la red, con el fin de mantener en niveles aceptables los servicios