Repblica Bolivariana de Venezuela

Ministerio Popular para la Educacin Superior

Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla
Programa Esteller Turen Santa Rosala





















Colonia, Mayo de 2014
Repblica Bolivariana de Venezuela
Ministerio Popular para la Educacin Superior
Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla
Programa Esteller Turen Santa Rosala











Participante:

Ronald Riera 15.868.739







Colonia, Mayo de 2014
Propsito: El presente documento tiene como finalidad dar a conocer las
polticas y estndares de Seguridad Informtica que debern cumplir los usuarios
de la Universidad Politcnica Territorial de Portuguesa Juan de Jess Montilla
que manipulen e intervengan en el uso de la Aplicacin Web Aula Virtual, para
proteger adecuadamente la informacin de eventuales riesgos.

Introduccin: La base para que cualquier organizacin pueda operar de una
forma confiable en materia de Seguridad Informtica comienza con la definicin de
polticas y estndares adecuados. La informacin es un activo para las
organizaciones y en consecuencia requiere una proteccin adecuada y debido al
actual ambiente creciente est expuesto un mayor rango de amenazas sin contar
con las debilidades inherentes de la misma. Todas las empresas,
independientemente de su tamao, organizacin y volumen de negocio, son
conscientes de la importancia de tener implantadas una serie de polticas de
Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que
se produzcan incidencias, fallos, actuaciones malintencionadas por parte de
terceros, prdidas accidentales o desastres que afecten a los datos e
informaciones que son almacenados y tratados, ya sea a travs de sistemas
informticos como en otro tipo de soportes, como el papel.

La Seguridad Informtica es una funcin en la que se deben evaluar y administrar
los riesgos, basndose en polticas y estndares que cubran las necesidades del
Departamento de Extensin e Investigacin de la universidad.

Este documento se encuentra estructurado en dos polticas generales de
seguridad para usuarios de informtica, con sus respectivos estndares que
consideran los siguientes puntos:
Seguridad Fsica y Ambiental
Seguridad Lgica de la Informacin
Estas Polticas en seguridad informtica se encuentran alineadas con el Estndar
Britnico ISO/IEC: 17799.
Objetivos: Establecer y difundir las Polticas y Estndares de Seguridad
Informtica a todo el personal del Departamento de Extensin e Investigacin,
para que sea de su conocimiento y cumplimiento en los recursos informticos
asignados.
Alcance: El documento define las Polticas y Estndares de Seguridad que
debern cumplir de manera obligatoria todos los usuarios para el buen uso del
equipo de cmputo, aplicaciones y servicios informticos en la Universidad
Politcnica Territorial de Portuguesa Juan de Jess Montilla que manipulen e
intervengan en el uso de la Aplicacin Web Aula Virtual.
Beneficios: La Polticas y Estndares de Seguridad Informtica establecidos
dentro de este documento son la base fundamental para la proteccin de los
activos tecnolgicos e informacin de la Aplicacin Web Aula Virtual en el
departamento de Extensin e Investigacin brindando un nivel de confianza
aceptable para los usuarios de dicha aplicacin, cumpliendo as con los
requerimientos necesarios para el tratamiento de riesgos estipulados en la
implementacin del software.









1. POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL

Poltica:
Los puntos aqu establecidos deben dar el acceso fsico a reas e instalaciones
restringidas de la Universidad solo al personal calificado y autorizado para la
proteccin de los equipos de computacin y de comunicaciones.

1.1 Resguardo y Proteccin de la Informacin:

1.1.1 El usuario tiene la responsabilidad de reportar a la Coordinacin, cuando
detecte riesgos reales o potenciales para los equipos de computacin y
comunicacin, consumacin de incendios u otros.
1.1.2 El usuario tiene la obligacin de proteger los CD-ROM, DVDs, memorias
USB, tarjetas de memoria, discos externos, computadoras y dispositivos porttiles
que se encuentren bajo su administracin, aun cuando no se utilicen y contengan
informacin reservada o confidencial.
1.1.3 Es responsabilidad del usuario evitar en todo momento la fuga de la
informacin del Departamento que se encuentre almacenada en los equipos de
cmputo personal que tenga asignados.
1.1.4 El usuario tiene como responsabilidad informar a la Coordinacin mediante
un comunicado la aplicacin de un control de plagas y ratas para salvaguardar los
distintas redes de cableado tanto elctricas como de comunicacin.



1.2 Controles de Acceso Fsico:
1.2.1 La persona que labora en el departamento de Extincin e Investigacin
debern registrar las entradas y salidas del mismo.
1.2.2 El usuario deber registrar las entradas y salidas de los equipos de
computacin, equipo de comunicaciones, medios de almacenamientos y
cualquiera dispositivo que no sea propiedad de la universidad en el Departamento
de Vigilancia.

1.3 Seguridad en reas de Trabajo:
El Departamento de Extensin e Investigacin es un rea restringida, por ende
solo el personal autorizado por la Coordinacin tendr acceso a dichas
instalaciones.

1.4 Proteccin y Ubicacin de los equipos:
1.4.1 Los usuarios no deben mover o reubicar los equipos de computacin o de
telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los
mismos sin la autorizacin de la Coordinacin, debindose solicitar a la misma en
caso de requerir este servicio.
1.4.2 El departamento de Extensin e Investigacin deber, solicitar
mantenimiento fsico preventivo del equipo de computacin a la Coordinacin.
1.4.3 El equipo de computacin otorgado al departamento, ser de uso exclusivo
para las funciones asignadas al usuario encargado de dicho departamento.
1.4.4 El usuario tiene como responsabilidad almacenar su informacin en el
directorio de trabajo que se le asigne, ya que los otros estn destinados para
archivos de programas y sistema operativo.
1.4.5 Mientras se opera el equipo de cmputo, no se debern consumir alimentos
o ingerir lquidos.
1.4.6 Se debe evitar colocar objetos encima del equipo o cubrir los orificios de
ventilacin del monitor o del gabinete.
1.4.7 Se debe mantener el equipo informtico en un entorno limpio y sin humedad.
1.4.8 Se debe mantener el equipo en un lugar seguro donde no exista riesgo de
derrumbes de techos y paredes.
1.4.9 El usuario debe asegurarse que los cables de conexin no sean pisados o
aplastados al colocar otros objetos encima o contra ellos.
1.4.10 El usuario debe asegurarse que los cables de conexin no sean pisados o
aplastados al colocar otros objetos encima o contra ellos. Esto aplica al cableado
de red y elctrico los cuales deben mantener una distancia promedio entre ellos.
1.4.11 Queda prohibido que el usuario abra o desarme los equipos de cmputo,
porque con ello perdera la garanta que proporciona el proveedor de dicho equipo.

1.5 Mantenimiento de Equipos:
1.5.1 nicamente el personal autorizado de la Coordinacin podr llevar a cabo
los servicios y reparaciones al equipo informtico, por lo que los usuarios debern
solicitar la identificacin del personal designado antes de permitir el acceso a sus
equipos.
1.5.2 El usuario est en la obligacin de solicitar a la Coordinacin el
adiestramiento necesario para el manejo de las herramientas de informtica que
se utilicen en su equipo, con el fin de evitar daos por mal uso y para aprovechar
el mximo rendimiento del equipo.
1.5.3 Los usuarios debern asegurarse de respaldar la informacin que considere
relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin
sensible que se encuentre en el equipo previendo as la prdida involuntaria de
informacin, derivada de proceso de reparacin, solicitando la asesora del
personal de la Coordinacin.

1.6 Prdida o transferencia de equipo de equipos:
1.6.1 El usuario que tenga bajo su resguardo algn equipo de cmputo ser
responsable de su uso y custodia; en consecuencia, responder por dicho bien de
acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del
mismo.
1.6.2 El usuario deber dar aviso de inmediato a la Coordinacin de la
desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su
resguardo.
1.6.3 Es muy importante que en la sala donde se encuentra el servidor haya una
proteccin efectiva que imposibilite tanto el robo del equipo o de alguno de sus
componentes como la posibilidad de algn atentado que provoque la destruccin
de todo, o de alguna parte importante, del servidor.
1.6.4 La sala deber estar protegida con un sistema antirrobo, las puertas que
conducen a la sala debern permanecer cerradas y se deber identificar a
cualquier persona que tenga acceso al servidor.
1.6.5 La informacin y el software han de estar guardados en otras habitaciones
cerradas y los disquetes se han de encontrar cerrados con llave en los cajones de
los archivos o de las mesas.
1.6.6 Deber existir sistema de cmaras para grabar intrusos tanto de da como
durante la noche as evitar violaciones de seguridad fsica dentro del rea donde
se encuentra el Server.

1.7 Dao del equipo:
El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra
alguna descompostura por maltrato, descuido o negligencia por parte del usuario,
deber cubrir el valor de la reparacin o reposicin del equipo o accesorio
afectado. Para tal caso la determinar la causa de dicha descompostura.

1.8 La proteccin contra la electricidad esttica y el calor.
1.8.1 Se han de tomar algunas precauciones para proteger al servidor de las
cargas estticas, ya que el rendimiento de este afecta a toda la red.
1.8.2 Entre las precauciones que se han de tomar esta la de tratar regularmente
las alfombras y moquetas con productos antiestticos, utilizar fundas protectoras
para ambas e instalar el servidor sobre una superficie conectada a una toma de
tierra.
1.8.3 No utilizar plsticos ni material sinttico, ya que generan electricidad esttica.
1.8.4 El calor y el fri excesivos son riesgos potenciales para el buen
funcionamiento del servidor. Se ha de mantener la temperatura de la habitacin
del servidor entre 18 y 26 C, y asegurar una buena aeracin.

1.9 La proteccin contra los ruidos elctricos, los altibajos de tensin y los
cortes de corriente.

1.9.1 Los ruidos elctricos son causados por las inconsistencias del suministro de
la corriente del ordenador. Para proteger al servidor contra los ruidos elctricos,
puede recurrirse a la instalacin de una lnea dedicada de suministro elctrico.
1.9.2 No hay que conectar otros dispositivos a este suministro de corriente,
porque pueden generar ruidos que anulen las ventajas de la proteccin ofrecida
por la fuente de corriente dedicada. La conexin a la fuente de energa se ha de
hacer con cable estndar de tres hilos, con el hilo de masa conectado a tierra.
1.9.3 Debe prevenirse contra los altibajos de tensin y contra el corte de la
corriente. Para esto lo mejor es completar la instalacin con un sistema de
alimentacin ininterrumpida o SAI. El SAI permite al servidor continuar activo
durante cierto tiempo ante un eventual corte de la corriente.
1.9.4 Puede tambin tomarse la precaucin de instalar un SAI en cada una de las
estaciones que trabajen con aplicaciones crticas, para protegerse de los daos
producidos por la prdida de datos durante un corte de energa.
1.9.5 Adems, cada dispositivo de la red podra tener un filtro de energa
elctrica como proteccin de las sobre tensiones.

1.10 Proteccin contra suciedad
1.10.1 Aqu interviene tanto la suciedad de la sala donde se encuentra el servidor
como la suciedad que pueden generar los propios usuarios.
1.10.2 Hay que mantener la sala en un estado de perfecta limpieza para evitar
que el polvo pueda concentrarse dentro del servidor y altere su correcto
funcionamiento.
1.10.3 Referente a los usuarios y administradores se ha de tener en cuenta que
cualquier vertido de lquidos o de restos de alimentos sobre la pantalla y/o el
teclado del servidor pueden producir distintos daos potenciales en el servidor.
1.10.4 Tambin, se ha de tener precaucin con la ceniza de los cigarros tanto
dentro del teclado como en la pantalla y la CPU porque puede producir daos
importantes.

1.11 Seguridad contra incendios y agua

1.11.1 De qu sirve tener bien protegido el servidor si no se cuenta con una buena
proteccin contra incendios. En la sala donde se encuentre instalado el servidor
debe haber detectores de humo de alta sensibilidad y un sistema contra incendios
a base del gas inergn a presin
1.11.2 Tambin deber estar protegido el servidor contra peligros de inundaciones
y goteras que podran provocar cortocircuitos.

2. PRINCIPIOS DE LA SEGURIDAD LGICA:

Poltica:
Cada usuario es responsable del mecanismo de control de acceso que le sea
proporcionado; esto es, de su identificador de usuario (userID) y contrasea
(password) necesarios para acceder a la informacin del Aula Virtual, por lo cual
deber mantenerlo de forma confidencial.

2.1 Controles de acceso lgico:
2.1.1 Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y
archivos.
2.2.2 Asegurar que los usuarios puedan trabajar sin una supervisin minuciosa y
no puedan modificar los programas ni los archivos que no correspondan.
2.2.3 Asegurar que se estn utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto analizando peridicamente los mismos.

2.2 Tcnicas de Control De Acceso:
Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de
aplicacin, en las DB, en un paquete especfico de seguridad o en cualquier otra
aplicacin. Constituyen una importante ayuda para proteger al S.O de la red, al
sistema de aplicacin y dems software de la utilizacin o modificaciones no
autorizadas. Para mantener la integridad de la informacin (restringiendo la
cantidad de usuarios y procesos con acceso permitido) y para resguardad la
informacin confidencial de accesos no autorizados. As mismo es conveniente
tener en cuenta otras consideraciones referidas a la seguridad lgica como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si
corresponde un permiso de acceso.

2.3 Identificacin Y Autenticacin:
2.3.1 Los usuarios debern identificarse con el usuario y contrasea
proporcionados al momento de registrarse en el Aula Virtual.
2.3.2 Los usuarios tienen prohibido usar el identificador de usuario y contrasea
de otros, aunque ellos les insistan en usarlo.
2.3.3 Los usuarios tienen prohibido compartir su identificador de usuario y
contrasea, ya que todo lo que ocurra con ese identificador y contrasea ser
responsabilidad exclusiva del usuario al que pertenezcan, salvo prueba de que le
fueron usurpados esos controles.
2.3.4 Todos los usuarios de servicios de informacin son responsables por su
identificador de usuario y contrasea que recibe para el uso y acceso de los
recursos.

2.4 Administracin y uso de contraseas:

2.4.1 La asignacin de la contrasea para acceso a la red y la contrasea para
acceso a sistemas, debe ser realizada de forma individual, por lo que queda
prohibido el uso de contraseas compartidas est prohibido.
2.4.2 Cuando un usuario olvide, bloquee o extrave su contrasea, deber
reportarlo por escrito a la Coordinacin, indicando si es de acceso a la red o a
mdulos de sistemas desarrollados por la Coordinacin, para que se le
proporcione una nueva contrasea o bien puede solicitarla a travs del Portal Web
en el link Perd mi Clave?.
2.4.3 Est prohibido que los identificadores de usuarios y contraseas se
encuentren de forma visible en cualquier medio impreso o escrito en el rea de
trabajo del usuario, de manera de que se permita a personas no autorizadas su
conocimiento.
2.4.4 Todos los usuarios debern observar los siguientes lineamientos para la
construccin de sus contraseas:
No deben contener nmeros consecutivos;
Deben estar compuestos de al menos seis (6) caracteres y mximo diez
(10).Estos caracteres deben ser alfanumricos, o sea, nmeros y letras;
Deben ser difciles de adivinar, esto implica que las contraseas no deben
relacionarse con el trabajo o la vida personal del usuario; y
Deben ser diferentes a las contraseas que se hayan usado previamente.
2.4.5 Todo usuario que tenga la sospecha de que su contrasea es conocido por
otra persona, tendr la obligacin de cambiarlo inmediatamente.

3. POLTICAS, ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE
OPERACIONES DE CMPUTO


Poltica:

Los usuarios debern utilizar los mecanismos institucionales para proteger la
informacin que reside y utiliza la infraestructura del Aula Virtual. De igual forma,
debern proteger la informacin reservada o confidencial que por necesidades
institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna
del Departamento de Extensin e Investigacin o hacia redes externas como
internet.

3.1 Uso de medios de almacenamiento

3.1.1 Los usuarios debern respaldar de manera peridica la informacin sensible
y crtica que se encuentre en sus computadoras personales o estaciones de
trabajo.
3.2 ROLES
El acceso a la informacin tambin puede controlarse a travs de la funcin perfil
o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran
programador, lder del proyecto, administrador del sistema etc.
En este caso los derechos de acceso y poltica de seguridad asociada pueden
agruparse de acuerdo con el rol de los usuarios.


GLOSARIO DE TERMINOS

TERMINO SIGNIFICADO
(A)
Acceso Es el privilegio de una persona para utilizar un objeto o
infraestructura.
Acceso Fsico Es la actividad de ingresar a un rea.
Acceso Logico Es la habilidad de comunicarse y conectarse a un activo
tecnolgico para utilizarlo.
(B)
Base de Datos Coleccin almacenada de datos relacionados, requeridos
por las organizaciones e individuos para que cumplan con
los requerimientos de proceso de informacin y
recuperacin de datos.
(C)
Confidencialidad Se refiere a la obligacin de los servidores judiciales a no
divulgar, copiar, coleccionar, propagar, ejecutar, introducir
cualquier tipo de cdigo (programa) conocidos como virus,
malware, spyware, o similares diseado para auto
replicarse, daar, afectar el desempeo, acceso a las
computadoras, redes e informacin del Poder Judicial del
Estado. Informacin a personal no autorizado para su
conocimiento.
Contrasea Secuencia de caracteres utilizados para determinar que un
usuario especfico requiere acceso a una computadora
personal, sistema, aplicacin o red en particular.
Control de Acceso Es un mecanismo de seguridad diseado para prevenir,
salvaguardar y detectar acceso no autorizado y permitir
acceso autorizado a un activo.
(E)
Estndar Los estndares son actividades, acciones, reglas o
regulaciones obligatorias diseadas para proveer a las
polticas de la estructura y direccin que requieren para ser
efectivas y significativas.
(H)
Hardware Se refiere a las caractersticas tcnicas y fsicas de las
computadoras.
Herramientas de
seguridad
Son mecanismos de seguridad automatizados que sirven
para proteger o salvaguardar a la infraestructura
tecnolgica de una Comisin.
(I)
Identificador de
Usuario
Nombre de usuario (tambin referido como UserID) nico
asignado a un servidor judicial para el acceso a equipos y
sistemas desarrollados, permitiendo su identificacin en los
registros.
Incidente de
Seguridad
Cualquier evento que represente un riesgo para la
adecuada conservacin de confidencialidad, integridad o
disponibilidad de la informacin utilizada en el desempeo
de nuestra funcin.
Internet Es un sistema a nivel mundial de computadoras
conectadas a una misma red, conocida como la red de
redes (world wide web) en donde cualquier usuario
consulta informacin de otra computadora conectada a esta
red e incluso sin tener permisos.
(P)
Password Vase Contrasea.
(R)
Respaldo Archivos, equipo, datos y procedimientos disponibles para
el uso en caso de una falla o prdida, si los originales se
destruyen o quedan fuera de servicio.

Riesgo Es el potencial de que una amenaza tome ventaja de una
debilidad de seguridad (vulnerabilidad) asociadas con un
activo, comprometiendo la seguridad de ste. Usualmente
el riesgo se mide por el impacto que tiene.
(S)
Servidor Computadora que responde peticiones o comandos de una
computadora cliente. El cliente y el servidor trabajan
conjuntamente para llevar a cabo funciones de aplicaciones
distribuidas.
El servidor es el elemento que cumple con la colaboracin
en la arquitectura cliente-servidor.
Sitio Web El sitio web es un lugar virtual en el ambiente de internet, el
cual proporciona informacin diversa para el inters del
pblico, donde los usuarios deben proporcionar la direccin
de dicho lugar para llegar a l.
Software Programas y documentacin de respaldo que permite y
facilita el uso de la computadora. El software controla la
operacin del hardware.
(U)
UserID Vase Identificador de Usuario.
Usuario Este trmino es utilizado para distinguir a cualquier persona
que utiliza algn sistema, computadora personal o
dispositivo (hardware).