Académique Documents
Professionnel Documents
Culture Documents
CLASIFICACION DE LA INFORMACION
PROPIEDAD DE LA INFORMACION
BACKUP DE LA INFORMACION
➢ Debe existir una definición formal de las políticas y procedimientos de generación, retención
y rotación de copias de respaldo.
➢ Con el objetivo de garantizar la continuidad del negocio, se determina de carácter
obligatorio, la ejecución de políticas y procedimientos relacionados con copias de respaldo
para la información definida por XXXXXXXX .
➢ Debe existir un procedimiento que determine actividades, periodicidad, responsable y
mecanismos de almacenamiento de las copias de respaldo de todos los Sistemas de
Información de XXXXXXXX .
➢ La responsabilidad de verificar la realización de copias de respaldo de los servidores es del
área de Seguridad Informática.
➢ El almacenamiento de las copias de respaldo es responsabilidad del área de Infraestructura.
➢ La ejecución de las copias de respaldo es responsabilidad del área de Infraestructura.
ALMACENAMIENTO DE LA INFORMACION
RESPONSABILIDAD DE USUARIOS
➢ Los usuarios deben adoptar en forma permanente medidas preventivas tendientes a evitar
la presencia de virus informáticos en los computadores de XXXXXXXX , para ello deben
estar entrenados en el uso del software antivirus definido por XXXXXXXX .
➢ Todos los usuarios deben estar alerta sobre el riesgo de virus informáticos a través de
Internet, por correo electrónico, desde otro computador de la red o por medio de un
dispositivo removible.
➢ En los casos en que se autorice la instalación de software catalogado como de libre
distribución, éste debe ser revisado y certificado por el área de Infraestructura de la
Gerencia de Sistemas, como libre de virus antes de ser instalado en los computadores de
XXXXXXXX .
➢ Toda comunicación recibida a través de la red, debe ser revisada por el software antivirus
antes de ser abierta y almacenada en el equipo.
➢ Cualquier archivo recibido a través de la red debe ser siempre revisado con el antivirus
seleccionado por XXXXXXXX .
➢ El área de Infraestructura de la Gerencia de Sistemas serán los únicos funcionarios
autorizados para descargar software desde Internet, siguiendo los lineamientos definidos en
las políticas y normas de Seguridad de la Información.
➢ La instalación de cualquier tipo de software solamente podrá ser hecha por área de
Infraestructura o por quienes ellos deleguen.
➢ El software antivirus debe estar instalado en los servidores y computadores personales de
XXXXXXXX y debe ser actualizado y distribuido de manera automática desde los
servidores de red.
➢ Los diferentes servidores y computadores tendrán instalado el antivirus seleccionado por
XXXXXXXX , el cual debe estar configurado de tal forma que se active cuando se
encienden los computadores.
➢ Deben existir procedimientos y mecanismos para garantizar que la herramienta para
detección y eliminación de virus se encuentre permanentemente actualizada.
➢ Los cambios de configuración del antivirus, son responsabilidad exclusiva del personal del
área de Infraestructura de la Gerencia de sistemas y ningún usuario, por ningún motivo,
debe intentar modificar dicha configuración.
➢ Los funcionarios de XXXXXXXX deberán informar a XXXXXXX - Ext XXX o al área de
Seguridad Informática, cualquier virus detectado en sus computadores personales.
➢ Los usuarios deben conocer los procedimientos de detección y eliminación de virus
informáticos.
➢ El software de detección de virus seleccionado por XXXXXXXX debe ser instalado en todos
los servidores, estaciones de trabajo, incluyendo computadores portátiles de XXXXXXXX .
➢ Todos los registros de detección de virus serán examinados por el área de Infraestructura
con el objetivo de evitar reincidencias.
➢ Cualquier equipo que haya sido detectado con virus, debe ser desconectado
inmediatamente de la red y solo será puesto en servicio de nuevo hasta que el área de
Infraestructura verifique que todos los virus han sido eliminados.
Control de configuración
➢ La configuración de las opciones del sistema operativo en los computadores personales y/o
Portátiles es responsabilidad exclusiva de la Gerencia de Sistemas.
➢ Ningún funcionario, bajo ninguna circunstancia, puede modificar la configuración del sistema
operativo de los computadores personales y/o Portátiles de XXXXXXXX .
➢ Ningún funcionario, bajo ninguna circunstancia, puede eliminar o modificar el sistema
operativo instalado en los computadores personales y/o Portátiles de XXXXXXXX .
➢ Ningún funcionario, bajo ninguna circunstancia, puede instalar un nuevo sistema operativo
en los computadores personales y/o Portátiles de XXXXXXXX
Cambios al Hardware
➢ Se debe mantener desactivada la red inalámbrica en caso de que no esté siendo utilizada.
➢ El uso de redes AD-HOC está restringido excepto cuando sea estrictamente necesario y
estas deben contar con mecanismos de autenticación y tráfico seguro como WEP, WPA. ó
WPA2
Incumplimiento
➢ Todos los equipos de propiedad de terceros que sean autorizados por la gerencia de
sistemas para ser ingresados a la red de datos de XXXXXXXX deben:
ADMINISTRACION DE CUENTAS
➢ Todas las personas que presten sus servicios a XXXXXXXX ya sea de forma directa o
como contratistas, deberán tener una cuenta personal para cada uno de los componentes
de la plataforma tecnológica a los que requieran acceso.
➢ Todas las cuentas con permisos de ingreso, modificación o eliminación de información
deben ser de carácter único, personal e intransferible.
➢ El responsable de velar y monitorear que los usuarios tengan únicamente los accesos que
necesitan para el cumplimiento de sus funciones es el área de Seguridad Informática.
➢ Se deben inhabilitar temporalmente las cuentas de usuario de funcionarios que se
encuentren de
➢ vacaciones y/o licencias, o a petición del respectivo Responsable de la Información, el Jefe
Inmediato o de la Gerencia de Recursos Humanos.
➢ Se debe inactivar la cuenta de usuario en el Directorio Activo, en los siguientes casos:
• Si el funcionario ya no labora para XXXXXXXX .
• Si así lo establece el área de Seguridad Informática como resultado de alguna de sus
revisiones periódicas.
• Cuando se establece una sanción al usuario por mal uso de los componentes
tecnológicos
EXEPCIONES DE LA NORMA
➢ Solo se harán excepciones a esta norma cuando sea necesario mantener un registro de
histórico de un usuario en particular, para lo cual se debe contar con la autorización de la
Gerencia de Sistemas
REGISTRO DE EVENTOS
➢ Deben existir mecanismos que permitan que todas las actividades ejecutadas sobre los
servidores queden reflejadas en los registros de auditoría del sistema.
➢ Deben existir procedimientos que determinen el uso de los registros de auditoría generados
por los diferentes sistemas de información para monitorear el acceso autorizado a bases de
datos de producción o directorios con información crítica.
➢ Debe existir un procedimiento que regule la revisión periódica de los logs, con el fin de
detectar los posibles intentos de violación a la seguridad o mal uso de los componentes de
la plataforma tecnológica como el acceso a internet.
➢ Los accesos otorgados temporalmente para ejecución de trabajos de emergencia deben ser
de acceso restringido y deben ser revisados periódicamente.
➢ El área de Seguridad Informática en conjunto con los Responsables de la Información
determinará quienes son los usuarios para realizar la auditoría.
➢ La activación de los registros de auditoría a nivel de componentes tecnológicos diferentes
de los sistemas aplicativos será realizada por el Administrador de sistemas y/o Responsable
del Componente Tecnológico, de acuerdo con los requerimientos de los Responsables de la
información.
CONFIGURACION DE PARAMETROS
NOMBRES DE USUARIO
USUARIOS PRIVILEGIADOS
USUARIOS GENERICOS
CLAVES DE ACCESO
SEGURIDAD FISICA
➢ Deben existir planos actualizados de las áreas de almacenamiento y/o procesamiento de la
información.
➢ Deben existir planos de evacuación de las áreas de almacenamiento y/o procesamiento de
la información.
➢ La Gerencia de Sistemas debe contar con contratos vigentes de mantenimiento preventivo y
correctivo de los componentes de la plataforma tecnológica.
CONTROL DE MEDIOS
ACCESO A INTERNET
➢ El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas
➢ a los funcionarios de XXXXXXXX .
➢ Se debe hacer uso racional del servicio de Internet.
➢ El uso de Internet es considerado indebido cuando:
• Atenta contra la integridad, veracidad y confidencialidad de la información de la UAEAC
• Atenta contra la integridad de los componentes de la plataforma tecnológica.
• Reduce la productividad de los funcionarios.
• Pone en riesgo la disponibilidad de los recursos informáticos de XXXXXXXX .
➢ No se permite la descarga de software de Internet.
➢ La Gerencia de Sistemas debe usar herramientas para restringir el acceso a los sitios de
Internet no autorizados por XXXXXXXX .
➢ Se realizarán revisiones periódicas del uso de Internet por parte de funcionarios y/o
contratistas que XXXXXXXX delegue para tal fin.
➢ Se prohíbe el acceso y consulta de páginas pornográficas, de contenido erótico u obsceno.
➢ Los funcionarios deberán limitar su acceso a páginas de entretenimiento, distracción o
correos en portales públicos. XXXXXXXX podrá aplicar restricciones o sanciones en casos
que se encuentren excesos.
➢ Para inscripciones y transacciones comerciales en Internet se debe entender que esta clase
de actuaciones no compromete en forma alguna los recursos económicos de XXXXXXXX ni
implica responsabilidad por parte de esta. En todo caso, si se llegare a presentar se
entiende que compromete exclusivamente al funcionario y XXXXXXXX podrá tomar las
acciones del caso.
➢ El acceso a Internet está autorizado para todos los funcionarios de XXXXXXXX en el
horario establecido por la Gerencia de Sistemas y debe ser utilizado como herramienta de
apoyo para facilitar el cumplimiento de las funciones asignadas. Se establecerán los grupos
de acceso a Internet necesarios para el control de la navegación:
SEPARACION DE AMBIENTES
PRUEBAS A PROGRAMAS
➢ Todo transporte de objetos entre ambientes debe ser autorizado por el Administrador de
Seguridad Informática para cada Sistema de Información. En el caso de transportes de
objetos a ambiente de producción es necesaria la aprobación previa del Líder Funcional y/o
Responsable de la Información.
➢ Todos los transportes de objetos entre ambientes deben realizarse siguiendo los
procedimientos establecidos para dicho fin.
➢ El responsable de transportar objetos entre ambientes de desarrollo y/o pruebas es el
Administrador de Bases de Datos
➢ Todo transporte de objetos entre ambientes debe quedar debidamente documentado
indicando fecha, responsable, objeto u objetos transportados, entre otros.
➢ Deben existir controles que aseguren que el código fuente de programas en producción
representa exactamente el código que ha sido aprobado en el ambiente de pruebas y que
se ha solicitado transportar.
MIGRACION DE DATOS
CONTINGENCIAS INFORMATICAS