Las polticas de seguridad informtica tienen por objeto establecer las medidas de ndole tcnica y
de organizacin, necesarias para garantizar la seguridad de las tecnologas de informacin (equipos
de cmputo, sistemas de informacin, redes (Voz y Datos)) y personas que interactan haciendo
uso de los servicios asociados a ellos y se aplican a todos los usuarios de cmputo de la empresa.
Glosario de Trminos:
ABD
Administrador de Base de Datos.
ATI
Administradores de Tecnologa de Informacin (Help Desk). Responsables de la administracin de
los equipos de cmputo, sistemas de informacin y redes de la empresa. Vela por todo lo
relacionado con la utilizacin de equipos de cmputo, sistemas de informacin, redes informticas,
procesamiento de datos e informacin y la comunicacin en s, a travs de medios electrnicos.
Red
Equipos de cmputo, sistemas de informacin y redes de telemtica de la empresa.
Usuario
Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologas de informacin
proporcionadas por la empresa tales como equipos de cmputo, sistemas de informacin, redes de
telemtica.
Objetivos
Dotar de la informacin necesaria a los usuarios, empleados y gerentes, de las normas y
mecanismos que deben cumplir y utilizar para proteger el hardware y software de la Red, as
como la informacin que es procesada y almacenada en estos.
Planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad
fsica de los recursos informticos, as como resguardar los activos de la empresa.
Los objetivos que se desean alcanzar luego de implantar las Polticas de Seguridad son los
siguientes:
Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la
responsabilidad de los ATI en la administracin del riesgo.
Compromiso de todo el personal de La Empresa con el proceso de seguridad, agilizando la
aplicacin de los controles.
Que la prestacin del servicio de seguridad gane en calidad.
Todos los empleados se convierten en interventores del sistema de seguridad.
Las siguientes PSI estn elaboradas bajo los estndares de la norma ISO27002
SERVIDORES
Configuracin e instalacin
1. Los ATI tiene la responsabilidad de verificar la instalacin, configuracin e implementacin
de seguridad, en los servidores conectados a la Red.
2. La instalacin y/o configuracin de todo servidor conectado a la Red ser responsabilidad de
los ATI.
3. Durante la configuracin de los servidores los ATI deben genera las normas para el uso de
los recursos del sistema y de la red, principalmente la restriccin de directorios, permisos y
programas a ser ejecutados por los usuarios.
4. Los servidores que proporcionen servicios a travs de la red e Internet debern:
Funcionar 24 horas del da los 365 das del ao.
Recibir mantenimiento preventivo mnimo dos veces al ao.
Recibir mantenimiento semestral que incluya depuracin de logs.
Recibir mantenimiento anual que incluya la revisin de su configuracin.
Ser monitoreados por los ATI.
5. La informacin de los servidores deber ser respaldada de acuerdo con los siguientes
criterios, como mnimo:
Diariamente, informacin crtica.
Semanalmente, los documentos web.
Mensualmente, configuracin del servidor.
6. Los servicios hacia Internet slo podrn proveerse a travs de los servidores autorizados por
los ATI.
Correo Electrnico
Los ATI se encargarn de asignar las cuentas a los usuarios para el uso de correo
electrnico en los servidores que administra.
Para efecto de asignarle su cuenta de correo al usuario, el rea de Recursos Humanos
deber llenar una solicitud en formato establecido para tal fin y entregarlo al rea de
Tecnologa, con su firma y la del Gerente del rea.
La cuenta ser activada en el momento en que el usuario ingrese por primera vez a su
correo y ser obligatorio el cambio de la contrasea de acceso inicialmente asignada.
La longitud mnima de las contraseas ser igual o superior a 14 caracteres, que deber
contener como mnimo un signo, una mayscula y un nmero.
La reasignacin de cuenta de correo se har mediante la solicitud por escrito del jefe
inmediato.
Bases de Datos
Usuarios
Identificacin de Usuarios y contraseas
Todos los usuarios con acceso a un sistema de informacin o a la Red, dispondrn de una
nica autorizacin de acceso compuesta de identificador de usuario y contrasea.
Ningn usuario recibir un identificador de acceso a la Red, Recursos Informticos o
Aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente.
El usuario deber definir su contrasea de acuerdo al procedimiento establecido para tal
efecto y ser responsable de la confidencialidad de la misma.
Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recurso que precisen
para el desarrollo de sus funciones, conforme a los criterios establecidos por La Gerencia.
La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y estarn
constituidas por combinacin de caracteres alfabticos, numricos y especiales.
Los identificadores para usuarios temporales se configurarn para un corto perodo de
tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.
El usuario deber renovar su contrasea y colaborar en lo que sea necesario, a solicitud de
los ATI, con el fin de contribuir a la seguridad de los servidores en los siguientes casos:
Cuando sta sea una contrasea dbil o de fcil acceso.
Cuando crea que ha sido violada la contrasea de alguna manera.
El usuario deber notificar a los ATI en los siguientes casos:
Si observa cualquier comportamiento anormal (mensajes extraos, lentitud en el
servicio o alguna situacin inusual) en el servidor.
Si tiene problemas en el acceso a los servicios proporcionados por el servidor.
Si un usuario viola las polticas de uso de los servidores, los ATI podrn cancelar totalmente su
cuenta de acceso a los servidores, notificando a La Gerencia correspondiente.
Responsabilidades Personales
Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado.
Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea a otra
persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque dispongan de
la autorizacin del propietario.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y
contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su contrasea e
informar a su jefe inmediato y ste reportar al responsable de la administracin de la red.
El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres
constituida por una combinacin de caracteres alfabticos, numricos y especiales.
La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible. Por tanto,
se debe evitar utilizar en las contraseas fechas significativas, das de la semana, meses del
ao, nombres de personas, telfonos.
En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la contrasea
provisional asignada la primera vez que realiza un acceso vlido al sistema.
En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su
contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el
acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una
nueva clave.
Proteger, en la medida de sus posibilidades, los datos de carcter personal a los que tienen
acceso, contra revelaciones no autorizadas o accidentales, modificacin, destruccin o mal uso,
cualquiera que sea el soporte en que se encuentren contenidos los datos.
Guardar por tiempo indefinido la mxima reserva y no se debe emitir al exterior datos de
carcter personal contenidos en cualquier tipo de soporte.
Utilizar el menor nmero de listados que contengan datos de carcter personal y mantener los
mismos en lugar seguro y fuera del alcance de terceros.
Cuando entre en posesin de datos de carcter personal, se entiende que dicha posesin es
estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente
despus de la finalizacin de las tareas que han originado el uso temporal de los mismos.
Los usuarios slo podrn crear ficheros que contengan datos de carcter personal para un uso
temporal y siempre necesario para el desempeo de su trabajo. Estos ficheros temporales
nunca sern ubicados en unidades locales de disco del equipo de trabajo y deben ser
destruidos cuando hayan dejado de ser tiles para la finalidad para la que se crearon.
Toda solicitud para utilizar un medio de almacenamiento de informacin compartido, deber
contar con la autorizacin del jefe inmediato del usuario y del titular del rea duea de la
informacin.
Firewall
La solucin de seguridad perimetral debe ser controlada con un Firewall por Hardware (fsico)
que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de
datos entre los puertos, ya sean clientes o servidores.
Este equipo deber estar cubierto con un sistema de alta disponibilidad que permita la
continuidad de los servicios en caso de fallo.
Los ATI establecern las reglas en el Firewall necesarias bloquear, permitir o ignorar el flujo de
datos entrante y saliente de la Red.
El firewall debe bloquear las conexiones extraas y no dejarlas pasar para que no causen
problemas.
El firewall debe controlar los ataques de Denegacin de Servicio y controlar tambin el nmero
de conexiones que se estn produciendo, y en cuanto detectan que se establecen ms de las
normales desde un mismo punto bloquearlas y mantener el servicio a salvo.
Controlar las aplicaciones que acceden a Internet para impedir que programas a los que no
hemos permitido explcitamente acceso a Internet, puedan enviar informacin interna al exterior
(tipo troyanos).
Conectividad a Internet
La autorizacin de acceso a Internet se concede exclusivamente para actividades de trabajo.
Todos los colaboradores de La empresa tienen las mismas responsabilidades en cuanto al uso
de Internet.
En caso de eventos, cursos, talleres, conferencias, etc., se podrn habilitar equipos con acceso
a la red inalmbrica de manera temporal por el tiempo necesario previa solicitud de los
interesados con una anticipacin de por lo menos un da hbil.
En el caso de estos eventos las restricciones para acceder podrn ser anuladas
temporalmente previa solicitud expresa por parte de la parte interesada y con anticipacin de
por lo menos un da hbil.