Professional Documents
Culture Documents
I.
INTRODUCCIN
II.
GENERALIDADES
INSTRUCCIONES DE INTERPRETACIN
La informacin presentada como normativa de seguridad, ha sido organizada de maner
a sencilla para que pueda ser interpretada por cualquier persona que ostente un
cargo de empleado o terceros con un contrato de trabajo por servicios en la Corp
oracin Autnoma Regional de los Valles del Sin y del San Jorge - CVS, con conocimien
tos informticos o sin ellos.
Las
polticas
fueron creadas segn el
contexto
de
aplicacin
, organizadas por niveles de seguridad y siguiendo un entorno de desarrollo, sob
Son una forma de comunicacin con el personal, ya que las mismas constituyen un ca
nal formal de actuacin, en relacin con los recursos y servicios informticos de la o
rganizacin. Estas a su vez establecen las reglas y procedimientos que regulan la
forma en que una organizacin previene, protege y maneja los riesgos de diferentes
daos, sin importar el origen de estos.
III.
MARCO LEGAL
IV.
VIGENCIA
V.
VISIN
VI.
MISIN
VII.
VIII.
GLOSARIO DE TERMINOS
1.
1.1. OBJETIVO
Dotar de la informacin necesaria en el ms amplio nivel de detalle a los usuarios,
empleados y gerentes de la Corporacion Autnoma Regional de los Valles del Sin y de
l San Jorge - CVS, de las normas y mecanismos que deben cumplir y utilizar para
proteger el hardware y software de la red institucional de la Corporacion Autnoma
Regional de los Valles del Sin y del San Jorge - CVS, as como la informacin que es
procesada y almacenada en estos.
SEGURIDAD ORGANIZACIONAL
La Direccin de la Corporacin Autnoma Regional de los Valles del Sin y del San Jor
- CVS delegara al proceso GS-GESTIN DE SOPORTE EN SISTEMAS para que de seguimient
o al cumplimiento de la normativa y propicie el entorno necesario para crear un
SGSI, el cual tendr entre sus funciones:
a)
b)
c)
Cumplimiento de polticas.
d)
e)
f)
Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que
d sustento o solucin, a problemas de seguridad dentro de la Corporacin. El mismo or
ientar y guiar a los empleados, la forma o mtodos necesarios para salir avante ante
cualquier eventualidad que se presente.
g)
h)
Poner especial atencin a los usuarios de la red institucional sobre suger
encias o quejas con respecto al funcionamiento de los activos de informacin.
red
Todo usuario de la red institucional de la Corporacion Autnoma Regional de los Va
lles del Sin y del San Jorge - CVS, gozar de absoluta privacidad sobre su informa
cin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea i
nvolucrado en actos ilcitos o contraproducentes para la seguridad de la red insti
tucional, sus servicios o cualquier otra red ajena a la Corporacin.
Los usuarios tendrn el acceso a Internet, siempre y cuando se cumplan los requisi
tos mnimos de seguridad para acceder a este servicio y se acaten las disposicione
s de conectividad de la unidad de informtica.
1.2.2. EXCEPCIONES DE RESPONSABILIDAD
Los usuarios que por disposicin de sus superiores realicen acciones que perjudiqu
en a otros usuarios o la informacin que estos procesan, y si estos no cuentan con
un contrato de confidencialidad y proteccin de la informacin de la Corporacin o su
s allegados.
de trabajo, velar por la salvaguarda de los activos fsicos (hardware y medios magnt
icos, aires acondicionados, mobiliario.), activos de informacin (Bases de Datos,
Archivos, Documentacin de sistemas, Procedimientos Operativos, configuraciones),
activos de software (aplicaciones, software de sistemas, herramientas y programa
s de desarrollo)
CLASIFICACIN DE LA INFORMACIN
Pblica
Interna
c)
Confidencial
La Corporacion Autnoma Regional de los Valles del Sin y del San Jorge
- CVS no se hace responsable por daos causados provenientes de sus empleados a la
informacin o activos de procesamiento, propiedad de la Corporacin, daos efectuados
desde sus instalaciones de red a equipos informticos externos.
1.2.4.1.
CAPACITACIN DE USUARIOS
Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una
capacitacin a personal ajeno o propio de la Corporacin, siempre y cuando se vea im
plicada la utilizacin de los servicios de red o se exponga material de importanci
a considerable para la Corporacin.
1.2.4.2.
1.3.
SEGURIDAD LOGICA
b)
Informe completo dirigido a comit de seguridad, mismo ser realizado por
la persona o el departamento al cual le es solicitado el servicio.
c)
Sanciones aplicables por autoridades de nivel superior, previamente disc
utidas con el comit de seguridad.
1.3.1.1.
acceso, ser
motivo de
revisin
adecundose a las nuevas especificaciones.
modificacin
de
esta
polt
Se crear una cuenta temporal del usuario, en caso de olvido o extravo de informac
in de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cu
El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas
o servicios, so pena de incurrir en una denuncia penal por mal uso de los servi
cios informticos de la corporacin.
Todo uso indebido del servicio de correo electrnico, ser motivo de suspensin tempo
al de su cuenta de correo o segn sea necesario la eliminacin total de la cuenta de
ntro del sistema.
El usuario es responsable de respetar la ley de derechos de autor, no abusando d
e este medio para distribuir de forma ilegal licencias de software o reproducir
informacin sin conocimiento del autor.
1.3.1.3.
El acceso de terceros ser concedido siempre y cuando se cumplan con los requisito
s de seguridad establecidos en el contrato de trabajo o asociacin para el servici
o, el cual deber estar firmado por las entidades involucradas en el mismo.
el servic
Los servicios accedidos por terceros acataran las disposiciones generales de acc
eso a servicios por el personal interno de la Corporacin, adems de los requisitos
expuestos en su contrato/convenio con la Corporacin.
1.3.1.4.
El acceso a la red interna, se permitir siempre y cuando se cumpla con los requis
itos de seguridad necesarios, y ste ser permitido mediante un mecanismo de autenti
cacin.
la
ora, etc.) evitando que estas corran sus servicios con privilegios nocivos para l
a seguridad del sistema.
Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo
cuentas restrictivas, en ningn momento se obviaran situaciones de servicios corri
endo con cuentas administrativas, estos privilegios tendrn que ser eliminados o c
onfigurados correctamente.
1.3.1.6.
Las aplicaciones debern estar correctamente diseadas, con funciones de acceso espe
cificas para cada usuario del entorno operativo de la aplicacin, las prestaciones
de la aplicacin.
o
Procedimientos operativos para validacin de la integridad de los
datos.
o
Procedimientos operativos para validacin e integridad de las
salidas.
Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera deber ser
documentada y cualquier documento o archivo que haya sido necesario para su ejec
ucin deber ser borrado de los dispositivos fsicos, mediante tratamiento electrnico.
1.3.2.3.
Los servidores, al igual que las estaciones de trabajo, tendrn instalado y config
urado correctamente software antivirus actualizable y activada la proteccin en ti
empo real.
1.3.2.4.
MANTENIMIENTO
Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser
manipulados nica y exclusivamente por el personal encargado de hacer los respaldo
s y el personal encargado de su salvaguarda.
gestor de seguridad o
le, una segunda copia
Se llevar
almacenamiento en los
Los servidores, sin importar al dominio o grupo de trabajo al que estos pertenez
can, con problemas de hardware, debern ser reparados localmente, de no cumplirse
lo anterior, debern ser retirados sus medios de almacenamiento.
CONTROLES GENERALES
pulacin de la informacin por terceros o personal que no deba tener acceso a esta i
nformacin.
Toda oficina o rea de trabajo debe poseer entre sus inventarios, herramientas aux
iliares (extintores, alarmas contra incendios, lmpara de emergencia), necesarias
para salvaguardar los recursos tecnolgicos y la informacin.
Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin
elctrica, y proveer del suministro de energa mediante una estacin de alimentacin ini
nterrumpida o UPS para poder proteger la informacin.
SEGURIDAD LEGAL
Licenciamiento de Software:
La Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, se reserva e
derecho de respaldo, a cualquier miembro usuario de la red, o miembro de las rea
s administrativas, ante cualquier asunto legal relacionado a infracciones a las
leyes de copyright o piratera de software.
Tanto el software comercial como el software libre son propiedad intelectual exc
lusiva de sus desarrolladores, la Corporacin respeta la propiedad intelectual y s
e rige por el contrato de licencia de sus autores.
La adquisicin del software libre o comercial deber ser gestionado con las autorida
des competentes y acatando sus disposiciones legales, en ningn momento se obtendr
software de forma fraudulenta.
El
documento de seguridad
ser
elaborado
y
por el
motivo
actualizado
Cualquier violacin a la seguridad por parte del personal que labora, para la Corp
oracin, as como terceros que tengan relacin o alguna especie de contrato con la Cor
poracin se harn acreedores a sanciones aplicables de ley.
1.5.1.3.
Cualquier accin que amerite la ejecucin de una auditoria a los sistemas informtico
deber ser documentada y establecida su aplicabilidad y objetivos de la misma, as
como razones para su ejecucin, personal involucrada en la misma y sistemas implic
ados.
Las herramientas utilizadas para la auditoria debern estar separadas de los siste
mas de produccin y en ningn momento estas se quedaran al alcance de personal ajeno
a la elaboracin de la auditoria.
2.
2.1.
OBJETIVO
SEGURIDAD ORGANIZACIONAL
de
Toda accin debe seguir los canales de gestin necesarios para su ejecucin.
Las gestiones para las excepciones de responsabilidad son acordadas bajo comn acu
erdo de la gerencia y el comit de seguridad.
2.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS
2.2.3.1.
CLASIFICACIN DE LA INFORMACION
Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de segu
ridad medio y nivel de seguridad alto.
2.2.4. SEGURIDAD LIGADA AL PERSONAL Referente a contratos.
Todo empleado ejercer las labores estipuladas en su contrato de trabajo. El emple
ado.
Los usuarios son responsables de las acciones causadas por sus operaciones con e
l equipo de la red institucional.
2.2.4.1.
CAPACITACIN DE USUARIOS
El material de apoyo (manuales, guas, etc.) ser entregado minutos antes de inicia
r la capacitacin, en la sala donde ser efectuada la capacitacin.
Respaldar los archivos de logs o registro de los sistemas en proceso, cada ciert
o tiempo durante el da.
SEGURIDAD LGICA
ACCESO DE
USUARIOS
LA
RED INST
2.3.1.1.
ADMINISTRACIN DEL
ACCESO DE
LOS SERVICIOS INFORMTICOS DE LA CORPORACIN.
USUARIOS
Las necesidades y aprobacin de acceso, de los usuarios a los servicios de la red
institucional, deber ser documentada y actualizada su informacin, en la poltica que
norma su uso.
El par usuario/contrasea temporal, ser eliminada del sistema como tal, por el gest
or de seguridad, en el preciso momento en que sea habilitada una cuenta personal
para el usuario que haya solicitado su uso.
adivinar.
Se recomienda utilizar una frase coma base para la creacin de la contrasea, tomand
o la letra inicial de cada palabra. Por ejemplo: El azar favorece una mente brill
ante
2.3.1.2.
Se desechar, toda documentacin que tenga que ver con informacin relacionada a su c
enta de usuario, minutos despus de habrsele entregado y siempre que haya sido memo
rizada o resguarda su informacin.
orporacin.
Toda falla en el equipo debe ser documentado por el operador de las estacin de tr
abajo.
Normativa del uso
El correo
misor del mensaje
o reproducido por
de correo electrnico.
electrnico es un medio de comunicacin directo y confidencial, entre el e
y el receptor o receptores del mismo, por ende deber ser visto
las personas implicadas en la comunicacin.
Las cuentas de correo que no cumplan con la normativa de seguridad o los fines c
orporativos o de investigacin para lo que fueron creadas, pierden automticamente s
u caracterstica de privacidad.
El administrador de sistemas disear los mecanismos necesarios para
proveer acceso a los servicios de la red institucional.
Personal de Informtica:
Tienen acceso total a las aplicaciones y sus archivos, los usuarios que lo ameri
ten por su cargo dentro de la Corporacin, siempre que sea aprobado por el comit de
seguridad.
Antes de ser puestas en ejecucin, las aplicaciones recibirn
una
auditoria sobre fallos o informacin errnea que puedan procesar.
De ser necesarios, se crearan archivos de ejecucin de comandos por lotes para ver
ificar que se cumpla el grabado completo de la informacin a la que es accedida po
r los usuarios, aplicaciones, sistemas, y para los dispositivos que guardan esto
s archivos.
Los archivos de logs deben ser respaldados en tiempo real, sus nombres deben con
tener la hora y la fecha en la que fueron creados sus originales.
2.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES
2.3.2.1.
RESPONSABILIDADES
OS OPERATIVOS.
DEL
USUARIO SOBRE
LOS PROCEDIMIENT
Los sistemas son configurados para responder de forma automtica, con la presentac
in de un informe que denote las caractersticas propias de un error en el sistema.
2.3.2.2.
Ninguna persona que labore para la Corporacin, est facultada para instalar softwar
e en las estaciones de trabajo, sin antes haberse aprobado su utilizacin.
Sin importar el origen del software y la utilizacin del mismo dentro de la Corpor
acin, ste ser evaluado, haya sido o no aprobada su utilizacin. Ninguna clase de cdigo
ejecutable ser puesto en marcha sin antes haber pasado el control de anlisis sobr
e seguridad del mismo.
Los sistemas o dispositivos que aun estn conectados a la red, pero que no tienen
utilizacin productiva alguna para la Corporacin, se les deber eliminar cualquier ra
stro de informacin que hayan contenido.
2.3.2.3.
como
EN
EL
MANEJO DE
LOS
MEDIOS
La ubicacin de los medios de almacenamiento deber estar alejada del polvo, humedad
, o cualquier contacto con material o qumicos corrosibles. La llave de seguridad
que da acceso a los medios de almacenamiento resguardados bajo supervisin de la g
erencia, ser mantenida bajo estricta seguridad por cualquiera de las dos entidade
s encargadas de mantener la seguridad de los medios.
2.4.
SEGURIDAD FSICA
Se deber proteger las salas que contengan los servidores, o equipos de informacin
crticos, con paredes recubiertas de material aislante o antiincendios.
Se har una revisin peridica de los equipos de respaldo de energa o UPS, constatan
su capacidad y correcto funcionamiento, se registrara cada revisin en una bitcora
de control y funcionamiento de los equipos.
El material debe ser claramente entendible y visible por todos los usuarios.
2.4.2. ACTIVIDADES PROHIBITIVAS
Est prohibido el ingreso de bebida(s) o alimento(s) de cualquier tipo a los
reas de procesamiento de datos, sin el consentimiento expreso
del
administrador del rea o persona encargada.
Se prohbe a los usuarios utilizar equipos informticos, herramientas o servicios pr
ovistos por la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, p
ara un objetivo distinto del que estn destinadas o para beneficiar a personas a
jenas a la Corporacin.
Se prohbe el ingreso de personas en estado de embriagues sin importar el cargo qu
e estas desempeen, a las instalaciones fsicas de procesamiento de datos crticos o n
o, para la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge.
2.5.
SEGURIDAD LEGAL
Las acciones de los empleados de la Corporacin Autnoma Regional de los Valles del
Sin y del San Jorge, referente a la utilizacin de software pirata dentro de las in
stalaciones de la Corporacin, no son propias de la Corporacin.
de
La Corporacin no respalda que sus empleados puedan instalar software no licenciad
o en los equipos de trabajo, los cuales son propiedad exclusiva de la Corporacin
Autnoma Regional de los Valles del Sin y del San Jorge.
Las copias que se hagan del software original sern que se utilicen para
las instalaciones en toda la red institucional.
Ningn empleado de la Corporacin Autnoma Regional de los Valles del Sin y del San
ge, esta facultado a obtener software para la Corporacin, sino es mediante los ca
nales de gestin necesarios.
rea de Informtica:
2.5.1.2.
ACTUALIZACIN
2.5.1.3.
NORMATIVA
DE INFORMACIN
SOBRE
AUDITORIAS
LOS
SISTEMAS
Salvo caso especial, cualquier cambio efectuado al sistema de archivos, ser motiv
o de sancin.
Las auditoras a los sistemas, sern realizadas con equipos mviles (Laptops) conecta
os a la red, en ningn momento el sistema de produccin mantendr instalado software p
ara auditora en su disco duro.
3.
RECOMENDACIONES
y parte de la Corporacin.
seguridad
5.1.
ORGANIGRAMA
5.3.
de la normativa tcnica sobre verificaciones de los equipos que en cada caso sea a
plicable.
Corresponde al administrador, gestionar ante la gerencia una correcta aplicabili
dad de las normas y polticas establecidas para salvaguardar los activos de inform
acin de la Corporacin, as como de establecer los parmetros necesarios para el manten
imiento adecuado del Sistema de Gestin de Seguridad de la Informacin, desarrolland
o una serie de medidas estratgicas que propicien un alto nivel de seguridad en la
infraestructura tecnolgica de la Corporacin Autnoma Regional de los Valles del Sin
y del San Jorge, aceptable para los fines y objetivos institucionales.
Definir los
procedimientos para
aplicar la
Poltica
de
segur
d
informtica.
Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las polt
icas dentro de la misin establecida.
Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios
de seguridad en la Corporacin.
Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz
de guiar y aconsejar a los usuarios de la Corporacin sobre cmo desarrollar proced
imientos para la proteccin de los recursos.
El coordinador de sistemas, debe ser miembro activo del comit de seguridad, y man
tener contacto con los dems ingenieros de otras organizaciones, estar suscrito a
listas de discusin y de avisos de seguridad.
ste a su vez, coordinar con los responsables de los activos de los diferentes depa
rtamentos de la Corporacin, brindando los medios necesarios para asegurar la disp
onibilidad, integridad y confidencialidad de la informacin, previamente clasifica
da por los responsables de los activos.