Vous êtes sur la page 1sur 21

Poltica oficial de Seguridad Informtica de ORDENIA Ver 2.

1
Vigente a partir del 18 de Agosto de 2013
Segn Ley/R.P publicada en el BOE n 99 del 25 de abril del 2013

Jos Manuel Castellano Domnguez Departamento de Informtica de Ordenia S.L Paseo Saladar 91, Denia 966197484 ordenia@ordenia.es

Contenido
Exposicin de motivos ---------------------------------------------------------------------------------- 1 Introduccin ---------------------------------------------------------------------------------------------- 2 II. Polticas de seguridad: II.1 Equipo
a) De la instalacin de equipo de cmputo ------------------------------------------------ 3 b) Para el mantenimiento de equipo de cmputo ----------------------------------------- 3 c) De la actualizacin del equipo ----------------------------------------------------------- 4 d) De la reubicacin del equipo de cmputo ---------------------------------------------- 4 II.2 Control de accesos

a) Del acceso a reas crticas ----------------------------------------------------------------- 4 i. Del Acceso restringido por Securitas Direct --------------------------- 5 ii. Modo de acceso a un rea crtica ---------------------------------------- 5
b) Del control de acceso al equipo de cmputo -------------------------------------------- 6 c) Del control de acceso local a la red ------------------------------------------------------- 6 d) De control de acceso remoto ------------------------------------------------------------- 6 e) De acceso a los sistemas administrativos ----------------------------------------------- 7 f) Del WWW ----------------------------------------------------------------------------------- 7 II.3. Utilizacin de recursos de la red-ORDENIA ---------------------------------------------- 8 II.4 Software a) De la adquisicin de software ------------------------------------------------------------ 8 b) De la instalacin de software ------------------------------------------------------------- 9 c) De la actualizacin del software ---------------------------------------------------------- 9 d) De la auditora de software instalado ---------------------------------------------------- 9 e) Del software propiedad de la institucin ------------------------------------------------ 10 f) Sobre el uso de software acadmico ------------------------------------------------------ 10

g) De la propiedad intelectual --------------------------------------------------------------- 10 II.5 Supervisin y evaluacin -------------------------------------------------------------------- 11 II.6 Joyas -------------------------------------------------------------------------------------------- 11

III. Generales ----------------------------------------------------------------------------------------- 12 IV. Sanciones ----------------------------------------------------------------------------------------- 12 A.1. Configuracin Cortafuegos e Enrutadores ------------------------------------------------- 13 A.2. Configuracin Sistemas Operativos -------------------------------------------------------- 13 A.3. Configuracin Navegadores ----------------------------------------------------------------- 14 A.4. Otras Aplicaciones ---------------------------------------------------------------------------- 14 A.5. Configuracin Wifi --------------------------------------------------------------------------- 14 A.6. Configuracin Contraseas ----------- ------------------------------------------------------ 14 A.7. Configuracin Cmaras ---------------------------------------------------------------------- 15 A.8. Gestin de Incidencias ----------------------------------------------------------------------- 15 Cambios Documento Poltica de Seguridad ------------------------------------------------------ 16 Referencias ------------------------------------------------------------------------------------------- 16 Glosario ------------------------------------------------------------------------------------------------ 16

Exposicin de motivos
Ante el esquema de globalizacin que las tecnologas de la informacin han originado principalmente por el uso masivo e universal de Internet y sus tecnologas, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informticos universales conocidos como Hackers, Crakers, etc, o el conjunto de principiantes denominados newbies o wanabe, todo este conjunto forma los transgresores. Conforme las tecnologas se han esparcido, la severidad y frecuencia las han transformado en un continuo riesgo, que obliga a las entidades a crear medidas de emergencia y polticas definitivas para contrarrestar estos ataques y transgresiones, detenindolos y que no consigan sus objetivos en ningn caso. En nuestro pas no existe una sola institucin que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y estn pendientes de ste, tratando de contrarrestar y anular estas amenazas reales. Despus del diagnstico que se ha llevado a cabo durante los ltimos 3 aos, se observ que cerca del 90% de los empleados no siguen los consejos de seguridad que se proporcionan provocando un mayor peligro en nuestros datos y sistemas. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa concientizacin, la falta de visin y las limitantes econmicas han retrasado el plan rector de seguridad que se requiere. El objetivo principal del departamento de informtica es brindar a los usuarios los recursos informticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 das del ao confiable y fiable. As, la cantidad de recursos de cmputo y de telecomunicaciones con que cuenta el Centro son de consideracin y se requiere que se protejan para garantizar su buen funcionamiento. La seguridad de las instituciones en muchos de los pases se ha convertido en cuestin de seguridad nacional, por ello contar con un documento de polticas de seguridad es imprescindible, y debe de plasmar mecanismos confiables y fiables que con base en la poltica institucional proteja los activos del Centro. As pues, ante este panorama surge el siguiente proyecto de polticas rectoras que harn que el departamento de Informtica pueda disponer de los ejes de proyeccin que en materia de seguridad la Institucin requiere.

Resumen

El presente es una propuesta de las polticas de seguridad que en materia de informtica y de comunicaciones digitales del departamento de informtica de Ordenia S.L, ha elaborado, para normar a la institucin en estos quehaceres. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la prctica como son: los inventarios y su control, se mencionan, as como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologas de la informacin; se han contemplado tambin las polticas que reflejan la visin de la actual administracin respecto a la problemtica de seguridad informtica institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantas bsicas del individuo, y no pretende ser una camisa de fuerza, y ms bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institucin.

I. Introduccin
Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como lo son Internet y en particular la relacionada con la Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados [1]. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales [2][3] desarrollen polticas que norman el uso adecuado de estas destrezas tecnolgicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad en informtica de ORDENIA emergen como el instrumento para concienciar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de los fallos y de las debilidades, de tal forma que permiten a la tienda cumplir con su misin que en este caso es la Compra-Venta de joyas de un modo seguro y confidencial. El proponer esta poltica de seguridad requiere un alto compromiso con la institucin, agudeza tcnica para establecer fallos y deficiencias, constancia para renovar y actualizar dicha poltica en funcin del ambiente dinmico que nos rodea.

II. Polticas de seguridad


El departamento de informtica (o ms conocido como Soporte Tcnico) realiza 3 servicios fundamentalmente y actualmente est dirigido por una sola persona. Las tareas son las de Informtica,

Soporte, y Seguridad, estos 3 servicios se encargan de brindar servicio directo al usuario, por el mbito de competencia que tiene cada uno de ellos en materia de informtica, desde el equipamiento, instalacin, alteracin, cambio de lugar, programacin, etc. Por lo que ha sido necesario emitir polticas particulares para la Red-ORDENIA, que es el nombre oficial de un conjunto de recursos y facilidades informticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por el Departamento de informtica. As pues este apartado contiene una clasificacin de estas polticas, y son:

II.1 Del equipo


De la instalacin de equipo de cmputo.

1 Todo el equipo de cmputo (computadoras, estaciones de trabajo, dispositivos mviles, y equipo accesorio), que est o sea conectado a la Red-ORDENIA de cualquiera de las tiendas, o aquel que en forma autnoma se tenga y que sea propiedad de la institucin debe de sujetarse a las normas y procedimientos de instalacin que emite el Departamento de Informtica en su funcin de Seguridad. 2 El departamento de informtica en coordinacin con el departamento de contabilidad deber tener un registro de todos los equipos propiedad de ORDENIA. 3 El equipo de la institucin que sea de propsito especfico y tenga una misin crtica asignada, requiere estar ubicado en un rea que cumpla con los requerimientos de: seguridad fsica, las condiciones ambientales, la alimentacin elctrica, su acceso que el departamento de informtica tiene establecido en su normatividad de este tipo. 4 Los responsables de las reas de apoyo interno de los departamentos debern en conjuncin con el departamento de Informtica dar cabal cumplimiento con las normas de instalacin, y notificaciones correspondientes de actualizacin, reubicacin, reasignacin, y todo aquello que implique movimientos en su ubicacin, de adjudicacin, sistema y misin. 5 La proteccin fsica de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de informtica y departamento de contabilidad).
Del mantenimiento de equipo de cmputo.

1 El departamento de informtica en relacin a su funcin de Seguridad, le corresponde la realizacin del mantenimiento preventivo y correctivo de los equipos, la conservacin de su instalacin, la verificacin de la seguridad fsica, y su acondicionamiento especfico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2 En el caso de los equipos atendidos por terceros al departamento de informtica deber normar al respecto. 3 El personal tcnico de apoyo interno de los departamentos relacionados con el departamento de informtica se apegar a los requerimientos establecidos en las normas y procedimientos que el departamento de Informtica emita. 4 Los responsables de las tiendas otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Informtica y siendo guiados por el departamento.

5 Corresponde al departamento de Informtica dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento bsico, a excepcin de los atendidos por terceros. 6 Por motivos de normatividad expedidos por la SECODAM queda estrictamente prohibido dar mantenimiento a equipo de cmputo que no es propiedad de la institucin.
De la actualizacin del equipo.

1. Todo el equipo de cmputo (computadoras personales, estaciones de trabajo, dipositivos mviles y dems relacionados), y los de telecomunicaciones que sean propiedad de ORDENIA debe procurarse que sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeo.
De la reubicacin del equipo de cmputo.

1. La reubicacin del equipo de cmputo se realizar satisfaciendo las normas y procedimientos que el departamento de Informtica emita para ello. 2. En caso de existir personal tcnico de apoyo, ste notificar de los cambios tanto fsicos como de software de red que realice al departamento de Informtica, y en su caso si cambiar de responsable (el equipo) al departamento de Contabilidad. Notificando tambin los cambios de equipo inventariado (cambio de monitores, de impresoras etc.).
3. El equipo de cmputo a reubicar sea de ORDENIA o bien externo se har nicamente bajo la autorizacin del responsable contando el lugar a donde se har la ubicacin con los medios necesarios para la instalacin del equipo.

II.2 Del control de accesos


Del acceso a reas crticas.

1 El acceso de personal se llevar acabo de acuerdo a las normas y procedimientos que dicta el departamento de Direccion de ORDENIA. Entre estas normas destacar que la entrada a las reas crticas slo est autorizada al personal de ORDENIA y el resto de personas tienen denegado dicho acceso, salvo excepciones que puntualizar el Departamento de Direccin. 2 En concordancia con la poltica de la institucin y debido a la naturaleza de estas reas se llevar un registro permanente del trfico de personal, sin excepcin. 3 El departamento de Direccin deber proveer de la infraestructura de seguridad requerida con base en los requerimientos especficos de cada rea. 4 Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las reas de servicio crtico estar sujeto a las que especifiquen las autoridades superiores de la institucin (por ejemplo la polica o la Guardia Civil o los bomberos). I.
Del acceso restringido por Securitas Direct.

1. En cada una de las tiendas habr instalada un sistema de alarma conectada a la central de Securitas Direct, a su vez debido al BOE 99 con fecha del 25 de abril desde el 18 de agosto habr instalado

una cmara apuntando a la caja fuerte. Estas imgenes sern compartidas con el Departamento de Direccin y el Departamento de Informtica mediante un acceso privado siguiendo las directrices que paute el Departamento de Informtica.

2. La alarma estar configurada para saltar cuando este activada. En caso de detectarse una seal
sospechosa o un cuerpo que desprenda calor deber salta la alarma transcurridos 20 segundos.

3. En caso de horario laboral el usuario deber identificarse con su palabra o frase clave que ser
proporcionada en secreto a los responsables del establecimiento, a su vez tambin se le proporcionar una frase o palabra clave para indicar que existe algn problema.

4. En caso de no ser horario laboral, la central de alarmas deber llamar en orden a las siguientes personas:
Vicen, Elisa, Oscar y Jose para la tienda de Calpe y Elisa, Oscar, Jose y Vicen para el resto de tiendas. En cualquier caso se deber informar al resto de usuarios para comprobar mediante las cmaras si existe algn problema.

5. En caso de no poder ser contactado ninguno, se deber enviar a un guarda o llamar a la polica. 6. En caso de irrupcin, la central de alarmas deber llamar a la polica para que lleguen en la mayor
brevedad posible.

7. Existir en todas las tiendas y de fcil acceso un botn de pnico el cual lanzar una alarma silenciosa,
la cual la central de alarmas deber escuchar pero no decir nada, para que el agresor no se de cuenta. Si la conversacin estuviera fuera de tono o el tcnico de la alarma detectar que hay problemas, deber llamar a la polica. Este botn de pnico no puede ser usado a placer y debe usarse slo para situaciones de gravedad.

8. El tiempo de respuesta del tcnico en las alarmas no puede ser superior a 1 min. Si las respuestas
superarn este minuto el responsable del Departamento de Informtica deber ponerse de acuerdo con Securitas Direct para presentar la reclamacin.

II. 1.

Modo de Acceso a un rea Crtica.

El modo de entrar por primera vez a el rea crtica al da (por la maana y por la tarde) ser desconectando la alarma desde el panel de control de la alarma situado cerca de la tienda. Una vez desconectado, en caso de que sea necesario, se deber desconectar la alarma de la lapa. Todos estos pasos se debern seguir siguiendo las recomendaciones que den desde Securitas Direct.

2.
paso.

Las posteriores veces, se deber avisar al empleado interior que ser el encargado de facilitar o no el

3.

La puerta de acceso a el rea crtica deber encontrarse en todo momento cerrada, en especial cuando hayan clientes dentro de la tienda. Del control de acceso al equipo de cmputo.

1 Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos.

2 Las reas donde se tiene equipo de propsito general cuya misin es crtica estarn sujetas a los requerimientos que el Departamento de Informtica emita. 3 Las reas de cmputo de los departamentos donde se encuentre equipo cuyo propsito rena caractersticas de imprescindible y de misin crtica, debern sujetarse tambin a las normas que establezca el Departamento de Informtica. 4 Los accesos a las reas crticas debern de ser clasificados de acuerdo a las normas que dicte el Departamento de Direccin de comn acuerdo con el Departamento de Informtica. 5 Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, el Departamento de Informtica tiene la facultad de acceder a cualquier equipo de cmputo que no estn bajo su supervisin. Dicho acceso se tratar en el anexo de Accesos Remotos.
Del control de acceso local a la red.

1 El departamento de Informtica es responsable de proporcionar a los usuarios el acceso a los recursos informticos. 2 El departamento de Informtica es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3 Dado el carcter unipersonal del acceso a la Red-ORDENIA, el departamento de Informtica verificar el uso responsable, de acuerdo al Reglamento para el uso de la red. 4 El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, equipo de supercmputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Informtica. 5 Todo el equipo de cmputo que est o sea conectado a la Red-ORDENIA, o aquellas que en forma autnoma se tengan y que sean propiedad de la institucin, debe de sujetarse a los procedimientos de acceso que emite el Departamento de Informtica.
De control de acceso remoto.

1 El Departamento de Informtica es el responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informticos disponibles. 2 Para el caso especial de los recursos de supercmputo a terceros debern ser autorizados por el Departamento de Direccin. 3 El usuario de estos servicios deber sujetarse al Reglamento de uso de la Red-ORDENIA y en concordancia con los lineamientos generales de uso de Internet. 4 El acceso remoto que realicen personas ajenas a la institucin deber cumplir las normas que emite el Departamento de Informtica.
De acceso a los sistemas administrativos.

1 Tendr acceso a los sistemas administrativos solo el personal del Departamento de Contabilidad que es titular de una cuenta de gastos o bien tenga la autorizacin del responsable si se trata de personal de apoyo administrativo o tcnico.

2 El manejo de informacin administrativa que se considere de uso restringido deber ser cifrada con el objeto de garantizar su integridad. 3 Tendr acceso al sistema de informacin todos los usuarios de Red-ORDENIA o externos autorizados por dicha direccin, pero nunca usuarios transitorios. 4 La instalacin y uso de los sistemas de informacin se rigen por el reglamento de uso de la Red-ORDENIA y por las normas y procedimientos establecidos por el departamento de Informtica. 5 Los servidores de bases de datos administrativos son delicados, por lo que se prohben los accesos de cualquiera, excepto para el personal del departamento de Informtica. Los usuarios de la Red-ORDENIA slo podrn acceder a los datos de la manera suministrada bajo las aplicaciones del Departamento de Informtica. 6 El control de acceso a cada sistema de informacin de la Direccin Administrativa ser determinado por la unidad responsable de generar y procesar los datos involucrados.
Del WWW.

1 En concordancia con la legislacin y de comn acuerdo con las polticas generales de informtica, el Departamento de Informtica es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, slo se permiten servidores de pginas autorizados el departamento de Informtica. 2 El departamento de Informtica deber emitir las normas y los requerimientos para la instalacin de servidores de pginas locales, de bases de datos, del uso de la Intranet institucional, as como las especificaciones para que el acceso a estos sea seguro. 3 Los accesos a las pginas de web a travs de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red-ORDENIA. 4 A los responsables de los servidores de Web corresponde la verificacin de respaldo y proteccin adecuada. 5 Toda la programacin involucrada en la tecnologa Web deber estar de acuerdo con las normas y procedimientos que el Departamento de Informtica emita. 6 El material que aparezca en la pgina de Internet de ORDENIA deber ser aprobado por el Departamento de Direccion, respetando la ley de propiedad intelectual (derechos de autor, crditos, permisos y proteccin, como los que se aplican a cualquier material impreso). 7 En concordancia con la libertad de investigacin, se acepta que en la red de ORDENIA conectada a Internet pueda ponerse informacin individual sin autorizacin (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales). 8 Con referencia a la seguridad y proteccin de las pginas, as como al diseo de las mismas deber referirse a las consideraciones de diseo de pginas electrnicas establecidas por el Departamento de Informtica. 9
El Departamento de Informtica tiene la facultad de llevar a cabo la revisin peridica de los

accesos a nuestros servicios de informacin, y conservar informacin del trfico.

II.3 De utilizacin de los recursos de la red


1 Los recursos disponibles a travs de la Red-ORDENIA sern de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro. 2 El Departamento de Informtica es el responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3 De acuerdo con las disposiciones de la SECODAM, corresponde al Departamento de Informtica administrar, mantener y actualizar la infraestructura de la Red-ORDENIA. 4 El Departamento de Informtica debe propiciar el uso de las tecnologas de la informacin con el fin de contribuir con las directrices econmicas y ecolgicas de la institucin. 5 Dado el carcter confidencial que involucra el correo electrnico el Comit de informtica del Centro emite su reglamentacin.

II.4 Del Software


De la adquisicin de software.

1 En concordancia con la poltica de la institucin, el Departamento de Informtica es el organismo oficial del Centro para establecer los mecanismos de procuracin de sistemas informticos. 2 Del presupuesto de los proyectos que se otorga a las diferentes reas de ORDENIA una cantidad deber ser aplicada para la adquisicin de programacin con licencia. 3 De acuerdo con el Programa Nacional de Informtica, la Direccin General en conjunto con el Departamento de Informtica, propiciar la adquisicin de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economas de escala y de acorde al plan de austeridad del gobierno. 4 Corresponder al Departamento de Informtica emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificacin y vigencia. 5 De acuerdo a los objetivos globales del Departamento de Informtica se deber propiciar la adquisicin y asesoramiento en cuanto a software de vanguardia. 6 En cuanto a la paquetera sin costo deber respetarse la propiedad intelectual intrnseca del autor. 7 El Departamento de Informtica promover y propiciar que la adquisicin de software de dominio pblico provenga de sitios oficiales y seguros.

8 El Departamento de Informtica deber promover el uso de sistemas de programacin que redunden en la independencia de la institucin con los proveedores.
De la instalacin de software.

1 Corresponde al Departamento de Informtica emitir las normas y procedimientos para la instalacin y supervisin del software bsico para cualquier tipo de equipo. 2 En los equipos de cmputo, de telecomunicaciones y en dispositivos basados en sistemas de cmputo, nicamente se permitir la instalacin de software con el previo consentimiento del Departamento de Informtica. 3 El Departamento de Informtica es el responsable de brindar asesora y supervisin para la instalacin de software informtico. 4 La instalacin de software que desde el punto de vista del Departamento de Informtica pudiera poner en riesgo los recursos de la institucin no est permitida. 5 Con el propsito de proteger la integridad de los sistemas informticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6 La proteccin lgica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al Departamento de Informtica.
De la actualizacin del software.

1 La adquisicin y actualizacin de software para equipo especializado de cmputo y de telecomunicaciones se llevar a cabo de acuerdo a la calendarizacin que anualmente sea propuesta por el Departamento de Informtica. 2 Corresponde al Departamento de Informtica autorizar cualquier adquisicin y actualizacin del software. 3 Las actualizaciones del software de uso comn o ms generalizado se llevarn a cabo de acuerdo al plan de actualizacin desarrollado por el Departamento de Informtica.
De la auditora de software instalado.

1 El Departamento de Informtica es el responsable de realizar revisiones peridicas para asegurar que slo programacin con licencia est instalada en las computadoras de la institucin. 2 El Departamento de Informtica propiciar la conformacin de un grupo especializado en auditora de sistemas de cmputo y sistemas de informacin. 3 Corresponder al grupo especializado dictar las normas, procedimientos y calendarios de auditora.

Del software propiedad de la institucin.

1 Toda la programtica adquirida por la institucin sea por compra, donacin o cesin es propiedad de la institucin y mantendr los derechos que la ley de propiedad intelectual le confiera. 2
El Departamento de Informtica en coordinacin con el departamento de Control Patrimonial

deber tener un registro de todos los paquetes de programacin propiedad de ORDENIA.

3 Todos los sistemas programticos (programas, bases de datos, sistemas operativos, interfaces) desarrollados con o a travs de los recursos de ORDENIA se mantendrn como propiedad de la institucin respetando la propiedad intelectual del creador del mismo. 4 Es obligacin de todos los usuarios que manejen informacin masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institucin que debe preservarse. 5 Los datos, las bases de datos, la informacin generada por el personal y los recursos informticos de la institucin deben estar resguardados. 6 Corresponder al Departamento de Informtica promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas de programacin. 7 El Departamento de Informtica propiciar la gestin de patentes y derechos de creacin de software propiedad de la institucin. 8 El Departamento de Informtica administrar los diferentes tipos de licencias de software y vigilar su vigencia en concordancia con la poltica informtica.
Sobre el uso de software acadmico.

1 Cualquier software que requiera ser instalado para trabajar sobre la Red-ORDENIA deber ser evaluado por el Departamento de Informtica. 2 Todo el software propiedad de la institucin deber ser usado exclusivamente para asuntos relacionados con las actividades del Centro.
De la propiedad intelectual. 1. Corresponde al Departamento de Informtica procurar que todo el software instalado en la RedORDENIA est de acuerdo a la ley de propiedad intelectual a que d lugar.

II.5 De supervisin y evaluacin


1 Cada una de las funciones del Departamento de Informtica donde est en riesgo la seguridad en la operacin, servicio y funcionalidad del departamento, deber emitir las normas y los procedimientos que correspondan. 2 Las auditoras de cada actividad donde se involucren aspectos de seguridad lgica y fsica debern realizarse peridicamente y deber sujetarse al calendario que establezca el Departamento de Informtica y/o el grupo especializado de seguridad. 3 Para efectos de que la institucin disponga de una red con alto grado de confiabilidad, ser necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologas de la Internet e Intranet disponen. 4
Los sistemas considerados crticos, debern estar bajo monitoreo permanente.

II.6 Joyas
1 Una vez adquirida y escaneada la joya, sta debe guardarse en la caja fuerte hasta que hayan pasado los 15 das. En este periodo slo puede ser reclamada por la autoridad superior competente. 2 En el caso de los empeos, deber guardarse en la caja fuerte hasta que el cliente venga a recogerlo o caduque el empeo, siempre respetando el apartado previo. 3 Todas las joyas que se compren debern estar identificadas con un nmero de compra, tienda y ao. Si esta joya se pone a la venta finalmente estos datos debern transmitirse a la joya de la venta por si hubieran reclamaciones. 4 Toda informacin sobre joyas que pida el Departamento de Direccin o la autoridad superior competente la facilitar el Departamento de Informtica. En caso de estar en la propia tienda que ha realizado la compra el propio dependiente podr facilitar dicha informacin. 5 Toda comunicacin en referente a joyas y facturas con la autoridad competente superior la realizar el Departamento de Informtica, solamente bajo excepciones de visitas de la autoridad al propio establecimiento se podr encargar el propio dependiente del establecimiento. 6 Las joyas podrn ser retiradas por la autoridad competente superior mediante un escrito justificativo de que se retira la joya. Al igual cualquier tipo de solicitud de informacin debe ir mediante un escrito (email, papel, etc). Las peticiones orales aunque se pueden y deben ser escuchadas, no se deben ejecutar ya que nosotros debemos demostrar que la polica nos ha pedido los datos.

III. Generales.
1 Cada uno de los departamentos debern de emitir los planes de contingencia que correspondan a las actividades crticas que realicen. 2 Debido al carcter confidencial de la informacin, el personal del Departamento de Informtica deber de conducirse de acuerdo a los cdigos de tica profesional y normas y procedimientos establecidos.

IV. Sanciones.
1 Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de acuerdo al reglamento emitido por el Departamento de Direccin. 2 Las sanciones pueden ser desde una llamada de atencin o informar al usuario hasta la suspensin del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que sta manifiesta. 3 Corresponder al Comit de Informtica junto con el de Recursos Humanos hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en materia de informtica de la institucin. 4 Todas las acciones en las que se comprometa la seguridad de la Red-ORDENIA y que no estn previstas en esta poltica, debern ser revisadas por el Departamento de Direccin y el Departamento de Informtica para dictar una resolucin sujetndose al estado de derecho.

A.1 Configuracin Cortafuegos e enrutadores.


1. El acceso a los cortafuegos e enrutadores estar sujeta a conexin por el protocolo SSH nicamente debido a que este protocolo permite conexiones encriptadas y seguras. Se deber eliminar del sistema los accesos por Web (HTTP) y Telnet ya que dichos accesos son ms inseguros. Para la conexin por SSH se usar la aplicacin PuTTy que est preparada para dichos quehaceres. 2. En caso de que los cortafuegos y los enrutadores sean el mismo dispositivo (cosa que por el principio de profundidad de defensa no es recomendable), el enrutador coger la configuracin que describiremos a continuacin de los cortafuegos. 3. Los cortafuegos de la empresa no deben permitir ningn trfico entrante salvo el que sea autorizado por el Departamento de Informtica, este trfico es el de las cmaras de la institucin, el trfico web, el trfico del DropBox y el trfico del soporte en remoto del Teamviewer. El resto de trfico entrante deber ser denegado. 4. Los cortafuegos de la empresa no deben permitir ningn trfico saliente salvo el que sea autorizado por el Departamento de informtica, este trfico es el de las cmaras de la institucin, el trfico web, el trfico del DropBox y el trfico del soporte en remoto del Teamviewer. El resto de trfico saliente deber ser denegado. 5. Por las dos normas anteriores el trfico P2P est prohibido en cualquier red de la institucin. 6. En principio se permitir la conexin de nuevos dispositivos adicionales, para ello se permitir que se establezca la IP mediante DHCP pero restringiendo a un mximo de 16 IPs posibles. 7. La configuracin de la red Wifi se contar en el Anexo 5.

A.2 Configuracin Sistema Operativo.


1. El sistema Operativo que ser instalado en todos los ordenadores salvo excepciones ser Windows XP Home Edition, con Service Pack 3. Este puede ser instalado mediante el cd original o mediante una aplicacin UE para darle ya una configuracin por defecto. 2. Las actualizaciones del SO deben pasar un visto bueno por el departamento de Informtica, pero en principio se podrn actualizar todas las actualizaciones salvo las que implican instalar antivirus por parte de Windows, ya que este entra en conflicto con otros antivirus. 3. Todo los equipos deben tener instalados en sus Sistemas Operativos 2 antivirus, 1 para la deteccin de los denominados virus y otro para la deteccin de troyanos y rootkits. La eleccin en este caso es de Avast y Malware Antibytes, dos antivirus completamente gratuitos y con actualizaciones constantes. 4. Si se adquiriera un equipo con Vista, se cambiar automticamente a XP salvo que el sistema tenga suficientes recursos como para poderle instalar un 7. En caso de Licencia, se intentar ir a la licencia ms barata. 5. En cuanto a los drivers del perifrico al desconocerse la gran procedencia de la mayora sern actualizados a partir del servicio que ofrece Ma-config (http://www.ma-config.com).

Se instalarn bsicamente los drivers bsicos y no los suplementos adicionales.

A.3 Configuracin Navegadores.


1. Los navegadores que sern instalados en los equipos sern Mozilla Firefox para un uso
primario e Internet Explorer para un uso secundario. Su configuracin ser por defecto para Firefox y desactivaremos la proteccin de scripts ActiveX para Internet Explorer ya que este ser usado para el escner.

2. Se puede tener adicionalmente Google Chrome pero slo cuando sea necesario. 3. Bajo ningn concepto se instalar otro navegador ya que no son compatibles con la aplicacin de la Intranet.

A.4 Otras Aplicaciones.


1. No se puede actualizar una aplicacin sin previo permiso del Departamento de Informtica. 2. Las aplicaciones que normalmente se actualizarn son: Java, Adobe Reader y Firefox. Estas
generalmente tras un periodo de tiempo relativamente medio se actualizarn en el sistema. Normalmente estas aplicaciones son usadas todos los das por lo que el Departamento de Informtica decidir en 1 da si se pueden instalar o no. 3. Para el resto de aplicaciones no se debe actualizar salvo que lo indique el Departamento de Informtica. En estas actualizaciones no se incluyen las actualizaciones automticas como hace por ejemplo las bases de datos de antivirus. 4. Aplicaciones que solamente sern instaladas y no actualizadas son: K-Lite Codec, Microsoft Office y Bamboo. 5. La instalacin de firmas digitales se har siempre bajo la supervisin del Departamento de Informtica avisndola previamente de la instalacin de la firma y bajo que navegador se realiza. Las firmas caducadas debern ser retiradas del navegador inmediatamente.

A.5 Configuracin Wifi.


1. Nunca se dejar la clave por defecto del Wifi ni su BSSID por defecto, teniendo que ser sustituidos siempre por nombres que no contengan sus letras por defecto. III. La encriptacin que se usar para la codificacin de la contrasea ser WPA2-PSK siendo la mejor actualmente. Bajo ningn concepto se dejar abierta o se usar WEP. IV. La eleccin del canal de transmisin ser dependiendo de la zona que abarque, para ello se har un estudio y se elegir un canal vaco. V. En caso de que la red Wifi no vaya a usarse se tendr que deshabilitar. VI. Las redes Wifi no se van a ocultar a los empleados para que tengan constancia de ello. VII. En caso de que a algn PC no le llegue la seal, deber sustituirse la antena por el cableado correspondiente.

A.6 Configuracin Contraseas.


1. Todas las contraseas del sistema deben ser distintas, es decir no se puede repetir ninguna
contrasea en 2 sitios.

2. Todas las contraseas deben estar formadas por caracteres alfanumricos de minsculas y 3. 4. 5. 6.
maysculas. Por ejemplo rotas es una muy mala contrasea pero 45rotAS10 es una muy buena contrasea. Preferiblemente las contraseas no deben venir de un diccionario, para evitar esto lo mejor es usar acrnimos. La casa 15 de Pepe es de Chocolate -> Lc15dPedC Las contraseas debern ser cambiadas como mximo cada 2 meses. Debido al presupuesto de la institucin, no se usarn Access-tokens. Debido al presupuesto de la institucin, no se usar seguridad biomtrica.

A.7 Configuracin Cmaras.


1. La grabacin de las cmaras debe durar al menos 15 das con una calidad mnima de 420x320.
Posteriormente a ese momento debe borrarse o sobrescribirse obligatoriamente por la ley de proteccin de datos. 2. Las imgenes de las cmaras slo podrn ser solicitadas por Direccin o por la autoridad competente superior (Guardia Civil, polica, etc). Bajo ningn caso por un cliente o personal externo a la empresa salvo los mencionados anteriormente. 3. Al menos 1 de las cmaras debe apuntar a la caja fuerte y otra a la entrada de la tienda. Las otras dos se colocaran de manera que se pueda enfocar bien la cara del cliente. 4. La cmara de Securitas Direct ir siempre enfocada a la caja fuerte.

A.8 De la gestin de Incidencias:


1. La gestin de incidencias es mbito pblico salvo las incidencias que sean relacionadas que afecten solamente a esa tienda. 2. Las incidencias debern solicitarse por correo electrnico. El seguimiento de la incidencia se podr hacer por telfono. 3. Las incidencias segn su gravedad sern clasificadas y atendidas. Hay que tener en cuenta que no todas las incidencias se pueden resolver en el mismo tiempo, por lo que se debe de tener paciencia en su resolucin. 4. No se facilitarn datos de una incidencia a las otras tiendas si la incidencia no es de su competencia. 5. En caso de que la incidencia haya sido provocada por el propio usuario, se deber explicarle para que no lo haga de nuevo. En caso de comportamiento reiterativo se comunicar a direccin.

Cambios Documento Poltica de Seguridad


V 1.0 Versin Inicial V 1.1 Aadido anexos 1 y 2 V 1.2 Aadido anexo 3 V 1.3 Aadido anexo 4 V 1.5 Aadido anexos 5 y 6 V 1.6 Aadido anexo 7 V 1.7 Aadido II.6 Joyas V 1.8 Corregidos fallos de ortografa V 1.9 Modificada portada segn BOE V 2.0 Aadido Control de Acceso Securitas Direct V 2.0.1 Terminado Control de Acceso Securitas Direct y aadido Modo de Acceso rea Crticas. V 2.1 Aadido apartado gestin de incidencias.

Referencias
1 Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI). Universidad de los Andes, Colombia. 2 Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3 Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.

Notas
1 Esta poltica de seguridad deber seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros. 2 El documento que contiene la poltica de seguridad debe ser difundido a todo el personal involucrado en la definicin de estas polticas.

Glosario.
Departamento de Informtica. Es la entidad encargada de ofrecer sistemas de informacin administrativa integral permitiendo en forma oportuna satisfacer necesidades de informacin, como apoyo en el desarrollo de las actividades propias del centro. A su vez tambin se encarga del desarrollo de las aplicaciones o programas como de su seguridad. Por ltimo se encarga de dar Soporte al resto de departamentos de la institucin. Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de programas para acceder a los datos siempre dentro de un modo seguro. Una recopilacin de datos estructurados y organizados de una manera disciplinada para que el acceso a la informacin de inters sea rpido. WWW (World Wide Web).

Es una convergencia de conceptos computacionales para presentar y enlazar informacin que se encuentra dispersa a travs de internet en una forma fcilmente accesible. Sistema avanzado para navegar a travs de internet. Area Crtica. Es el rea fsica donde se encuentra instalado el equipo de cmputo y telecomunicaciones que requiere de cuidados especiales y son indispensables para el funcionamiento continuo de los sistemas de comunicacin del centro. Con rea crtica tambin nos referimos a las zonas donde se encuentran las joyas, caja fuerte y el personal de la tienda trabajando. Equipo de Telecomunicaciones. Todo dispositivo capaz de transmitir y/o recibir seales digitales o analgicas para comunicacin de voz, datos y video, ya sea individualmente o de forma conjunta. Equipo de Cmputo. Dispositivo con la capacidad de aceptar y procesar informacin en base a programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a una red de equipos o computadoras para compartir datos y recursos, entregando resultados mediante despliegues visuales, impresos o audibles. SECODAM -Secretaria de Control y Desarrollo Administrativo. Es un departamento que esta formado por la gente de Direccin y del departamento de Informtica IP -Internet Protocol. Parte de la familia de protocolos TCP/IP, que describe el software que supervisa las direcciones de nodo internet, encamina mensajes salientes y reconoce los mensajes entrantes. Direccin de INTERNET. Identificador nico de 32 bits para una computadora principal TCP/IP en una RED. Tambin llamada un Protocolo Internet o direccion IP. Las direcciones IP estn normalmente impresas en una forma decimal de puntos, tal como 150.123.50.334 Auditora. Llevar a cabo una inspeccin y examen independiente de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la poltica establecida y procedimientos operativos, y para recomendar cualquier cambio que se estime necesario. Control de Acceso. 1 Tcnica usada para definir el uso de programas o limitar la obtencin y almacenamiento de datos a una memoria.

2 Una caracterstica o tcnica en un sistema de comunicaciones para permitir o negar el uso de algunos componentes o algunas de sus funciones.
Access Token: Tcnica de seguridad con las que nos permite mediante un dispositivo externo al equipo de computo lanzarle un challenge para verificar que se dispone del dispositivo externo apropiado. Ejemplo de un Access Token es el Autentificador de la empresa Blizzard para sus juegos. http://eu.blizzard.com/store/details.xml?id=221003132

Biomtrica: Tcnica de seguridad con la que el propio usuario es su propia contrasea. Una huella dactilar o la retina del ojo son las contraseas del sistema (y son difcilmente sustituibles pero no imposible)