Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla Programa Esteller Turen Santa Rosala
Colonia, Mayo de 2014 Repblica Bolivariana de Venezuela Ministerio Popular para la Educacin Superior Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla Programa Esteller Turen Santa Rosala
Participante:
Ronald Riera 15.868.739
Colonia, Mayo de 2014 Propsito: El presente documento tiene como finalidad dar a conocer las polticas y estndares de Seguridad Informtica que debern cumplir los usuarios de la Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla que manipulen e intervengan en el uso de la Aplicacin Web Aula Virtual, para proteger adecuadamente la informacin de eventuales riesgos.
Introduccin: La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad Informtica comienza con la definicin de polticas y estndares adecuados. La informacin es un activo para las organizaciones y en consecuencia requiere una proteccin adecuada y debido al actual ambiente creciente est expuesto un mayor rango de amenazas sin contar con las debilidades inherentes de la misma. Todas las empresas, independientemente de su tamao, organizacin y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de polticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, prdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a travs de sistemas informticos como en otro tipo de soportes, como el papel.
La Seguridad Informtica es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades del Departamento de Extensin e Investigacin de la universidad.
Este documento se encuentra estructurado en dos polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: Seguridad Fsica y Ambiental Seguridad Lgica de la Informacin Estas Polticas en seguridad informtica se encuentran alineadas con el Estndar Britnico ISO/IEC: 17799. Objetivos: Establecer y difundir las Polticas y Estndares de Seguridad Informtica a todo el personal del Departamento de Extensin e Investigacin, para que sea de su conocimiento y cumplimiento en los recursos informticos asignados. Alcance: El documento define las Polticas y Estndares de Seguridad que debern cumplir de manera obligatoria todos los usuarios para el buen uso del equipo de cmputo, aplicaciones y servicios informticos en la Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla que manipulen e intervengan en el uso de la Aplicacin Web Aula Virtual. Beneficios: La Polticas y Estndares de Seguridad Informtica establecidos dentro de este documento son la base fundamental para la proteccin de los activos tecnolgicos e informacin de la Aplicacin Web Aula Virtual en el departamento de Extensin e Investigacin brindando un nivel de confianza aceptable para los usuarios de dicha aplicacin, cumpliendo as con los requerimientos necesarios para el tratamiento de riesgos estipulados en la implementacin del software.
1. POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL
Poltica: Los puntos aqu establecidos deben dar el acceso fsico a reas e instalaciones restringidas de la Universidad solo al personal calificado y autorizado para la proteccin de los equipos de computacin y de comunicaciones.
1.1 Resguardo y Proteccin de la Informacin:
1.1.1 El usuario tiene la responsabilidad de reportar a la Coordinacin, cuando detecte riesgos reales o potenciales para los equipos de computacin y comunicacin, consumacin de incendios u otros. 1.1.2 El usuario tiene la obligacin de proteger los CD-ROM, DVDs, memorias USB, tarjetas de memoria, discos externos, computadoras y dispositivos porttiles que se encuentren bajo su administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial. 1.1.3 Es responsabilidad del usuario evitar en todo momento la fuga de la informacin del Departamento que se encuentre almacenada en los equipos de cmputo personal que tenga asignados. 1.1.4 El usuario tiene como responsabilidad informar a la Coordinacin mediante un comunicado la aplicacin de un control de plagas y ratas para salvaguardar los distintas redes de cableado tanto elctricas como de comunicacin.
1.2 Controles de Acceso Fsico: 1.2.1 La persona que labora en el departamento de Extincin e Investigacin debern registrar las entradas y salidas del mismo. 1.2.2 El usuario deber registrar las entradas y salidas de los equipos de computacin, equipo de comunicaciones, medios de almacenamientos y cualquiera dispositivo que no sea propiedad de la universidad en el Departamento de Vigilancia.
1.3 Seguridad en reas de Trabajo: El Departamento de Extensin e Investigacin es un rea restringida, por ende solo el personal autorizado por la Coordinacin tendr acceso a dichas instalaciones.
1.4 Proteccin y Ubicacin de los equipos: 1.4.1 Los usuarios no deben mover o reubicar los equipos de computacin o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin de la Coordinacin, debindose solicitar a la misma en caso de requerir este servicio. 1.4.2 El departamento de Extensin e Investigacin deber, solicitar mantenimiento fsico preventivo del equipo de computacin a la Coordinacin. 1.4.3 El equipo de computacin otorgado al departamento, ser de uso exclusivo para las funciones asignadas al usuario encargado de dicho departamento. 1.4.4 El usuario tiene como responsabilidad almacenar su informacin en el directorio de trabajo que se le asigne, ya que los otros estn destinados para archivos de programas y sistema operativo. 1.4.5 Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos. 1.4.6 Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del gabinete. 1.4.7 Se debe mantener el equipo informtico en un entorno limpio y sin humedad. 1.4.8 Se debe mantener el equipo en un lugar seguro donde no exista riesgo de derrumbes de techos y paredes. 1.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros objetos encima o contra ellos. 1.4.10 El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros objetos encima o contra ellos. Esto aplica al cableado de red y elctrico los cuales deben mantener una distancia promedio entre ellos. 1.4.11 Queda prohibido que el usuario abra o desarme los equipos de cmputo, porque con ello perdera la garanta que proporciona el proveedor de dicho equipo.
1.5 Mantenimiento de Equipos: 1.5.1 nicamente el personal autorizado de la Coordinacin podr llevar a cabo los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal designado antes de permitir el acceso a sus equipos. 1.5.2 El usuario est en la obligacin de solicitar a la Coordinacin el adiestramiento necesario para el manejo de las herramientas de informtica que se utilicen en su equipo, con el fin de evitar daos por mal uso y para aprovechar el mximo rendimiento del equipo. 1.5.3 Los usuarios debern asegurarse de respaldar la informacin que considere relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo previendo as la prdida involuntaria de informacin, derivada de proceso de reparacin, solicitando la asesora del personal de la Coordinacin.
1.6 Prdida o transferencia de equipo de equipos: 1.6.1 El usuario que tenga bajo su resguardo algn equipo de cmputo ser responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo. 1.6.2 El usuario deber dar aviso de inmediato a la Coordinacin de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo. 1.6.3 Es muy importante que en la sala donde se encuentra el servidor haya una proteccin efectiva que imposibilite tanto el robo del equipo o de alguno de sus componentes como la posibilidad de algn atentado que provoque la destruccin de todo, o de alguna parte importante, del servidor. 1.6.4 La sala deber estar protegida con un sistema antirrobo, las puertas que conducen a la sala debern permanecer cerradas y se deber identificar a cualquier persona que tenga acceso al servidor. 1.6.5 La informacin y el software han de estar guardados en otras habitaciones cerradas y los disquetes se han de encontrar cerrados con llave en los cajones de los archivos o de las mesas. 1.6.6 Deber existir sistema de cmaras para grabar intrusos tanto de da como durante la noche as evitar violaciones de seguridad fsica dentro del rea donde se encuentra el Server.
1.7 Dao del equipo: El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deber cubrir el valor de la reparacin o reposicin del equipo o accesorio afectado. Para tal caso la determinar la causa de dicha descompostura.
1.8 La proteccin contra la electricidad esttica y el calor. 1.8.1 Se han de tomar algunas precauciones para proteger al servidor de las cargas estticas, ya que el rendimiento de este afecta a toda la red. 1.8.2 Entre las precauciones que se han de tomar esta la de tratar regularmente las alfombras y moquetas con productos antiestticos, utilizar fundas protectoras para ambas e instalar el servidor sobre una superficie conectada a una toma de tierra. 1.8.3 No utilizar plsticos ni material sinttico, ya que generan electricidad esttica. 1.8.4 El calor y el fri excesivos son riesgos potenciales para el buen funcionamiento del servidor. Se ha de mantener la temperatura de la habitacin del servidor entre 18 y 26 C, y asegurar una buena aeracin.
1.9 La proteccin contra los ruidos elctricos, los altibajos de tensin y los cortes de corriente.
1.9.1 Los ruidos elctricos son causados por las inconsistencias del suministro de la corriente del ordenador. Para proteger al servidor contra los ruidos elctricos, puede recurrirse a la instalacin de una lnea dedicada de suministro elctrico. 1.9.2 No hay que conectar otros dispositivos a este suministro de corriente, porque pueden generar ruidos que anulen las ventajas de la proteccin ofrecida por la fuente de corriente dedicada. La conexin a la fuente de energa se ha de hacer con cable estndar de tres hilos, con el hilo de masa conectado a tierra. 1.9.3 Debe prevenirse contra los altibajos de tensin y contra el corte de la corriente. Para esto lo mejor es completar la instalacin con un sistema de alimentacin ininterrumpida o SAI. El SAI permite al servidor continuar activo durante cierto tiempo ante un eventual corte de la corriente. 1.9.4 Puede tambin tomarse la precaucin de instalar un SAI en cada una de las estaciones que trabajen con aplicaciones crticas, para protegerse de los daos producidos por la prdida de datos durante un corte de energa. 1.9.5 Adems, cada dispositivo de la red podra tener un filtro de energa elctrica como proteccin de las sobre tensiones.
1.10 Proteccin contra suciedad 1.10.1 Aqu interviene tanto la suciedad de la sala donde se encuentra el servidor como la suciedad que pueden generar los propios usuarios. 1.10.2 Hay que mantener la sala en un estado de perfecta limpieza para evitar que el polvo pueda concentrarse dentro del servidor y altere su correcto funcionamiento. 1.10.3 Referente a los usuarios y administradores se ha de tener en cuenta que cualquier vertido de lquidos o de restos de alimentos sobre la pantalla y/o el teclado del servidor pueden producir distintos daos potenciales en el servidor. 1.10.4 Tambin, se ha de tener precaucin con la ceniza de los cigarros tanto dentro del teclado como en la pantalla y la CPU porque puede producir daos importantes.
1.11 Seguridad contra incendios y agua
1.11.1 De qu sirve tener bien protegido el servidor si no se cuenta con una buena proteccin contra incendios. En la sala donde se encuentre instalado el servidor debe haber detectores de humo de alta sensibilidad y un sistema contra incendios a base del gas inergn a presin 1.11.2 Tambin deber estar protegido el servidor contra peligros de inundaciones y goteras que podran provocar cortocircuitos.
2. PRINCIPIOS DE LA SEGURIDAD LGICA:
Poltica: Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contrasea (password) necesarios para acceder a la informacin del Aula Virtual, por lo cual deber mantenerlo de forma confidencial.
2.1 Controles de acceso lgico: 2.1.1 Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y archivos. 2.2.2 Asegurar que los usuarios puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 2.2.3 Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el procedimiento correcto analizando peridicamente los mismos.
2.2 Tcnicas de Control De Acceso: Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de aplicacin, en las DB, en un paquete especfico de seguridad o en cualquier otra aplicacin. Constituyen una importante ayuda para proteger al S.O de la red, al sistema de aplicacin y dems software de la utilizacin o modificaciones no autorizadas. Para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardad la informacin confidencial de accesos no autorizados. As mismo es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso.
2.3 Identificacin Y Autenticacin: 2.3.1 Los usuarios debern identificarse con el usuario y contrasea proporcionados al momento de registrarse en el Aula Virtual. 2.3.2 Los usuarios tienen prohibido usar el identificador de usuario y contrasea de otros, aunque ellos les insistan en usarlo. 2.3.3 Los usuarios tienen prohibido compartir su identificador de usuario y contrasea, ya que todo lo que ocurra con ese identificador y contrasea ser responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le fueron usurpados esos controles. 2.3.4 Todos los usuarios de servicios de informacin son responsables por su identificador de usuario y contrasea que recibe para el uso y acceso de los recursos.
2.4 Administracin y uso de contraseas:
2.4.1 La asignacin de la contrasea para acceso a la red y la contrasea para acceso a sistemas, debe ser realizada de forma individual, por lo que queda prohibido el uso de contraseas compartidas est prohibido. 2.4.2 Cuando un usuario olvide, bloquee o extrave su contrasea, deber reportarlo por escrito a la Coordinacin, indicando si es de acceso a la red o a mdulos de sistemas desarrollados por la Coordinacin, para que se le proporcione una nueva contrasea o bien puede solicitarla a travs del Portal Web en el link Perd mi Clave?. 2.4.3 Est prohibido que los identificadores de usuarios y contraseas se encuentren de forma visible en cualquier medio impreso o escrito en el rea de trabajo del usuario, de manera de que se permita a personas no autorizadas su conocimiento. 2.4.4 Todos los usuarios debern observar los siguientes lineamientos para la construccin de sus contraseas: No deben contener nmeros consecutivos; Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10).Estos caracteres deben ser alfanumricos, o sea, nmeros y letras; Deben ser difciles de adivinar, esto implica que las contraseas no deben relacionarse con el trabajo o la vida personal del usuario; y Deben ser diferentes a las contraseas que se hayan usado previamente. 2.4.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, tendr la obligacin de cambiarlo inmediatamente.
3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO
Poltica:
Los usuarios debern utilizar los mecanismos institucionales para proteger la informacin que reside y utiliza la infraestructura del Aula Virtual. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna del Departamento de Extensin e Investigacin o hacia redes externas como internet.
3.1 Uso de medios de almacenamiento
3.1.1 Los usuarios debern respaldar de manera peridica la informacin sensible y crtica que se encuentre en sus computadoras personales o estaciones de trabajo. 3.2 ROLES El acceso a la informacin tambin puede controlarse a travs de la funcin perfil o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran programador, lder del proyecto, administrador del sistema etc. En este caso los derechos de acceso y poltica de seguridad asociada pueden agruparse de acuerdo con el rol de los usuarios.
GLOSARIO DE TERMINOS
TERMINO SIGNIFICADO (A) Acceso Es el privilegio de una persona para utilizar un objeto o infraestructura. Acceso Fsico Es la actividad de ingresar a un rea. Acceso Logico Es la habilidad de comunicarse y conectarse a un activo tecnolgico para utilizarlo. (B) Base de Datos Coleccin almacenada de datos relacionados, requeridos por las organizaciones e individuos para que cumplan con los requerimientos de proceso de informacin y recuperacin de datos. (C) Confidencialidad Se refiere a la obligacin de los servidores judiciales a no divulgar, copiar, coleccionar, propagar, ejecutar, introducir cualquier tipo de cdigo (programa) conocidos como virus, malware, spyware, o similares diseado para auto replicarse, daar, afectar el desempeo, acceso a las computadoras, redes e informacin del Poder Judicial del Estado. Informacin a personal no autorizado para su conocimiento. Contrasea Secuencia de caracteres utilizados para determinar que un usuario especfico requiere acceso a una computadora personal, sistema, aplicacin o red en particular. Control de Acceso Es un mecanismo de seguridad diseado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo. (E) Estndar Los estndares son actividades, acciones, reglas o regulaciones obligatorias diseadas para proveer a las polticas de la estructura y direccin que requieren para ser efectivas y significativas. (H) Hardware Se refiere a las caractersticas tcnicas y fsicas de las computadoras. Herramientas de seguridad Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnolgica de una Comisin. (I) Identificador de Usuario Nombre de usuario (tambin referido como UserID) nico asignado a un servidor judicial para el acceso a equipos y sistemas desarrollados, permitiendo su identificacin en los registros. Incidente de Seguridad Cualquier evento que represente un riesgo para la adecuada conservacin de confidencialidad, integridad o disponibilidad de la informacin utilizada en el desempeo de nuestra funcin. Internet Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes (world wide web) en donde cualquier usuario consulta informacin de otra computadora conectada a esta red e incluso sin tener permisos. (P) Password Vase Contrasea. (R) Respaldo Archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o prdida, si los originales se destruyen o quedan fuera de servicio.
Riesgo Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la seguridad de ste. Usualmente el riesgo se mide por el impacto que tiene. (S) Servidor Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboracin en la arquitectura cliente-servidor. Sitio Web El sitio web es un lugar virtual en el ambiente de internet, el cual proporciona informacin diversa para el inters del pblico, donde los usuarios deben proporcionar la direccin de dicho lugar para llegar a l. Software Programas y documentacin de respaldo que permite y facilita el uso de la computadora. El software controla la operacin del hardware. (U) UserID Vase Identificador de Usuario. Usuario Este trmino es utilizado para distinguir a cualquier persona que utiliza algn sistema, computadora personal o dispositivo (hardware).
Inteligencia artificial: Lo que usted necesita saber sobre el aprendizaje automático, robótica, aprendizaje profundo, Internet de las cosas, redes neuronales, y nuestro futuro
Excel para principiantes: Aprenda a utilizar Excel 2016, incluyendo una introducción a fórmulas, funciones, gráficos, cuadros, macros, modelado, informes, estadísticas, Excel Power Query y más
44 Apps Inteligentes para Ejercitar su Cerebro: Apps Gratuitas, Juegos, y Herramientas para iPhone, iPad, Google Play, Kindle Fire, Navegadores de Internet, Windows Phone, & Apple Watch