MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA
Instituto de Altos Estudios Nacionales
1
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
INFORMACIÓN GENERAL:
Control de Cambios:
Fecha de Versión elaboración
Elabora cambios revisiones
Naturaleza del o cambio
4 de agosto de 1.0 2008
Gabriel Cevallos
Primera Edición
5 de agosto de 1.1 2008
Ximena Garbay
Revisión
16 de mayo de 1.2 2011
Soraya Carrasco
Actualizaciones
Indicadores de revisión:
1.x:
1: Edición del documento, documento original. X: Número de revisión efectuada en el documento
Dirigido a: El presente documento está dirigido a todo el personal del IAEN.
Instituto de Altos Estudios Nacionales
2
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
CONTENIDO: Antecedentes
4
Marco Jurídico Administrativo
4
Justificación
5
Objetivo general
6
Objetivos Específicos
6
Alcance
6
Sanciones
7
Beneficios
7
Vigencia
7
Manual de Políticas de Seguridad Informática para el IAEN
7
Generalidades
7
Políticas y Normas de Seguridad Personal
8
Políticas y Normas de Seguridad Física y Ambiental
8
Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11 Políticas y Normas de Controles de Acceso Lógico
15
Políticas y Normas de Cumplimiento de Seguridad Informática
17
Glosario de términos
18
Instituto de Altos Estudios Nacionales
3
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
ANTECEDENTES El IAEN como Universidad de Postgrado se encuentra en una continua innovación académica y tecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte del fortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que es permanentemente actualizada con propósitos de brindar calidad de servicios a las nuevas exigencias que persigue la misión del IAEN. La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjunto de normas y políticas de uso y seguridad informática de los equipos y aplicaciones a implementarse.
MARCO JURÍDICO ADMINISTRATIVO En el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría General del Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo para el manejo y administración de bienes del Sector Público; el mismo que señala: Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes de propiedad de los organismos y entidades del sector público..… y para los bienes de terceros que por cualquier causa estén en el sector público bajo custodia o manejo”. Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, no habrá persona alguna que por razón de su cargo, función o jerarquía esté exenta del cumplimiento de las disposiciones del presente reglamento…” Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de los bienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de sus funciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada institución emitirá las disposiciones administrativas correspondientes…” Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector público sólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichos bienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particulares y/o extrañas al servicio público.” La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en su sección V, Disposiciones especiales sobre ciertas obras, escribe: Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales. Dicha protección se otorga independientemente de que hayan sido incorporados en un ordenador y cualquiera sea la forma en que estén expresados…..”. En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley de Propiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:
Instituto de Altos Estudios Nacionales
4
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Art. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cinco mil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuicios ocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique, utilice con fines comerciales, oferte en venta, venda, importe o exporte: ...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marca notoria o de alto renombre, registrada en el país o en el exterior; Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial 507 del 19 de enero del 2005 se declara: Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a la información pública y este reglamento, se aplican a todos los organismos entidades e instituciones del sector público y privado que tengan participación del Estado…”. Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento, llevarán un listado ordenado de todos los archivos e información considerada reservada…” Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando: b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”
JUSTIFICACIÓN La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón es un paso primordial el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación del IAEN. El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la información que fluye a través del sistema de comunicaciones del IAEN agrupando todas las normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de seguridad considerados en recomendaciones internacionales. El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a la manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los procesos informáticos y elevará el nivel de seguridad de los mismos.
OBJETIVO GENERAL Divulgar un manual de políticas de seguridad informática para el conocimiento y cumplimiento del mismo entre todo el personal del IAEN sobre los recursos informáticos asignados o utilizados.
Instituto de Altos Estudios Nacionales
5
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
OBJETIVOS ESPECÍFICOS Elaborar un manual de políticas de seguridad informática para el personal del IAEN adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza de la información que se maneja en el mismo. Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil aplicación de las mismas por parte del personal del IAEN. Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo que se traduce en un enfoque más objetivo de la situación de la institución.
ALCANCE El presente manual describe todas las normas, políticas y estándares que se aplicarán de manera obligatoria de parte del personal del IAEN respecto a seguridad informática para precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para el presente manual se ha considerado sugerencias y recomendaciones del estándar británico británicas BS7799. BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a la necesidad de proteger la exactitud de la información, así como los métodos utilizados para procesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitada por las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a la garantía de que aquellos que han sido autorizadas a hacer uso de la información tienen acceso a ella y todos los asociados activos cuando sea necesario. El manual incluye cinco capítulos, a saber: -
SEGURIDAD PERSONAL
-
SEGURIDAD FÍSICA Y AMBIENTAL
-
SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO
-
CONTROL DE ACCESO LÓGICO
-
CUMPLIMIENTO
Cada capítulo incluye la política relacionada, así como el conjunto de normas respectivas consideradas en cada caso.
Instituto de Altos Estudios Nacionales
6
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
SANCIONES Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio de las autoridades del IAEN.
BENEFICIOS El cumplimiento del presente manual de seguridad informática hará posible un mejor mantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como un manejo más confiable de toda la información del instituto.
VIGENCIA El presente manual entrará en vigencia, previa aprobación de las autoridades del IAEN correspondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todo cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros causados por las exigencias del instituto hará necesario efectuar una revisión y actualizaciones del presente documento, estas actualizaciones y revisiones están previstas dentro del control de cambios adjunto al presente documento.
MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN GENERALIDADES INSTRUCCIONES DE INTERPRETACIÓN El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo e independientemente de su nivel de conocimientos informáticos. La aplicación de las normas expuestas en el presente documento se han ideado de forma que su cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con las funciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar sus esfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo y utilización de recursos informáticos se cumplan a cabalidad. POLÍTICAS Y NORMAS DE SEGURIDAD Políticas.- Las políticas de seguridad informática establecen la visión y actitud general a establecerse dentro del personal de la organización con respecto a los recursos y servicios tecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarse dentro de la organización para su cumplimiento; en otras palabras las políticas establecen que se entiende por seguridad dentro de una determinada organización.
Instituto de Altos Estudios Nacionales
7
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Normas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscan cumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen la concepción de seguridad dentro de la organización, las normas estableces las acciones relacionadas con ese concepto.
POLÍTICAS Y NORMAS DE SEGURIDAD PERSONAL POLÍTICA Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnológicos de la infraestructura de comunicación del Instituto, independientemente de su jerarquía dentro de la institución, debe firmar un convenio en el que acepte: condiciones de confidencialidad y manejo de información digital generada en sus funciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a las normas y políticas del presente manual. OBLIGACIONES DE LOS USUARIOS Es responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir las políticas y normas del Manual de Políticas de Seguridad Informática para el IAEN. ENTRENAMIENTO Y CAPACITACIÓN Parte de los objetivos del manual es presentarse de fácil entendimiento para todo el personal cualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sin embargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referente al Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidad de Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentro de los puntos principales de la inducción se tratará a modo general las obligaciones del usuario así como las sanciones relacionadas en caso de incumplimiento. SANCIONES En caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimiento de las normas y políticas descritas en el presente manual, deberá emitir el reporte o informe correspondiente a la Unidad Administrativa para que se ejecuten las medidas correspondientes. Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de la infraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam.
POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTAL POLÍTICA Los mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAEN den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e
Instituto de Altos Estudios Nacionales
8
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
información del IAEN, dentro de estas áreas restringidas se consideran en especialmente las oficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajo abiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a los equipos computacionales y la información almacenada en los mismos. MANEJO DE LA INFORMACIÓN Todos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales que presente el área física en que desempeñan sus funciones para los equipos de cómputo o de comunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc. Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintas magnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas del usuario son responsabilidad del mismo, junto con la información contenida en los mismos, aún cuando no se utilicen. La información almacenada en los ordenadores asignados a los funcionarios del IAEN son responsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equipos es obligación del usuario. CONTROL DE INGRESO DE EQUIPOS Cualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de su ingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles o celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control sobre el tráfico de los equipos computacionales y de computación que entran y salen del Instituto. En el caso de los cursantes se podrá declarar con anterioridad los equipos computacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva. Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación e información podrán salir de las instalaciones del IAEN previa autorización de la autoridad respectiva. SEGURIDAD DEL CENTRO DE DATOS El centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizado por la Dirección de Desarrollo Tecnológico tiene acceso al mismo. TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOS La reubicación o movimiento de equipos de computación y comunicación, la instalación y desinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento de sistema operativo o de programas de herramientas ofimáticas son atributos del personal de la Dirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previa autorización de la Dirección Administrativa y con apoyo de la misma.
Instituto de Altos Estudios Nacionales
9
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Todo usuario es responsable de los equipos tecnológicos computacionales y de comunicación asignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equipos será de uso exclusivo de las funciones del IAEN. En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para el manejo de herramientas informáticas relacionadas con su labor de forma que se reduzca el riesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso o desconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas. Toda la información obtenida y desarrollada en base a las funciones de los usuarios se guardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse de manera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación o respaldo de archivos. La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación y comunicación está prohibida. La colocación de cualquier objeto sobre los equipos computacionales o la ubicación de obstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y parte lateral de los CPU y monitores de los computadores) están prohibidas. La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños en los equipos por estos agentes. Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y el cable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no sean pisados, aplastados o pinchados por personas u objetos. Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración, remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección de Desarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para prever las medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estos movimientos y reubicaciones deben estar autorizados por la Dirección Administrativa. Está prohibido que los usuarios abran o desarmen los equipos de computación y de comunicación asignados por el IAEN. MANTENIMIENTO DE EQUIPOS Los servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de la Dirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, es responsabilidad del usuario solicitar información e identificación de la persona o personas designadas antes de permitir el acceso al equipo asignado. En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuarios deberán hacer respaldos de la información que consideren crítica o relevante para sus
Instituto de Altos Estudios Nacionales
10
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
funciones; de esta manera se asegura que la pérdida involuntaria de información que podría suceder como efecto de la reparación pueda subsanarse. PÉRDIDA DE EQUIPO El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de robo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estos casos. Los equipos de computación portátiles asignados tienen carácter intransferible y son de responsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estos equipos. La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados) debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de Desarrollo Tecnológico y al órgano de Control de Bienes del IAEN. PERIFÉRICOS Y DISPOSITIVOS ESPECIALES Los usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD o ambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentos originales y copias de software autorizadas al IAEN vía contrato. El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) de cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo resguardo esté el equipo computacional. DAÑO DEL EQUIPO El daño por negligencia, maltrato o descuido del usuario en los equipos de computación y comunicación asignados será cubierto por el responsable previa verificación de la descompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función del daño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo.
POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO POLÍTICA Los funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocupar mecanismos tecnológicos para la protección y privacidad de la información que manejan y generan. La protección de la información también compete a la prevención de código maliciosos al computador asignado, ya sea este virus, gusano, caballo de troya u otros.
Instituto de Altos Estudios Nacionales
11
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
USO DE MEDIOS DE ALMACENAMIENTO No se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepción de documentos internos se hará vía correo electrónico para que quede constancia del envío y de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones interno del Instituto. Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones del IAEN son susceptibles de auditoría y revisión. INSTALACIÓN DE SOFTWARE Todos los usuarios que debido a sus actividades requieran el uso de software propietario, deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de Desarrollo Tecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando en que equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa en cuestión y el período de tiempo estimado de uso. La instalación de cualquier tipo de programa en computadores, servidores o cualquier otro equipo conectado a la red del IAEN sin la autorización de la Dirección de Desarrollo Tecnológico está prohibida. IDENTIFICACIÓN DEL INCIDENTE En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de seguridad informática deberá reportarlo de inmediato a la Dirección de Desarrollo Tecnológico, justificando con claridad porque lo ocurrido se considera como incidente de seguridad informática. De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sin autorización del usuario se deberá también notificar el incidente al Director de la Unidad respectiva. Cualquier incidente relacionado con la utilización de equipos computacionales y de comunicación deben reportarse a la Dirección de Desarrollo Tecnológico. ADMINISTRACIÓN DE LA CONFIGURACIÓN Está prohibido el alterar la configuración del equipo asignado por cualquier motivo, el establecer redes de área local, conexiones remotas internas o externas, el intercambio de información a través del protocolo FTP o cualquier otro protocolo de transferencia de datos tampoco está permitido sin la autorización previa de la Dirección de Desarrollo Tecnológico SEGURIDAD PARA LA RED El uso del equipo computacional asignado para exploración de los recursos compartidos de la infraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo de
Instituto de Altos Estudios Nacionales
12
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
hallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico se considera un ataque a la seguridad de la red. USO DEL CORREO ELECTRÓNICO El correo electrónico institucional es personal e intransferible, cada usuario mantiene su propia cuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir mensajes de correo. El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones institucionales está prohibido a menos que exista autorización de la Dirección de Desarrollo Tecnológico. Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a los buzones institucionales se consideran propiedad del IAEN. Los mensajes enviados por correo electrónico se consideran como una comunicación privada y directa entre el emisor y el receptor. El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntos enviados a través del correo institucional, al existir sospecha de envío de información que comprometa la seguridad de la red, o cualquier otra acción no autorizada. El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funciones que le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correo electrónico está prohibido. Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico. Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las comunicaciones por correo electrónico. El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabras ofensivas o altisonantes que afecten la honra y estima de terceros. CONTROLES CONTRA CÓDIGO MALICIOSO Para evitar la inducción de código malicioso dentro de los equipos computacionales, el personal hará uso sólo del software o programas de ordenador instalados y validados por la Dirección de Desarrollo Tecnológico del IAEN. Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda información contenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USB esté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado en cada equipo computacional por la Dirección de Desarrollo Tecnológico.
Instituto de Altos Estudios Nacionales
13
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Debe verificarse la presencia o no de código malicioso en todos los archivos adjuntos comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose el programa antivirus autorizado antes de ejecutarse la descompresión. El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones en cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse, dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o componentes del equipo computacional como memorias o periféricos será sancionado por la autoridad competente como ataque contra la seguridad informática del IAEN. Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano o cualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar el particular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivas de re-establecimiento del equipo y eliminación del código malicioso. Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitar periódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus. Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus instaladas en cada equipo computacional para prevenir la propagación de código malicioso. Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentar erradicarlos por sí mismo. USO DEL INTERNET El acceso a Internet provisto para el personal del IAEN a través de equipos computacionales es exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y función que desempeña. Todos los accesos de Internet deben ser provistos a través de los canales previstos para el efecto, de necesitarse una conexión a Internet especial de características diferenciadas esta debe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico. Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informática deben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con los justificativos respectivos sobre las sospechas para la verificación del incidente. Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que: -
Las actividades realizadas en Internet serán sujeto de monitoreo.
-
Conocen la prohibición al acceso de páginas no autorizadas
-
Conocen la prohibición de descarga de software y archivos de música o video sin la autorización de la Dirección de Desarrollo Tecnológico.
Instituto de Altos Estudios Nacionales
14
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
-
La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no para propósitos personales.
POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICO POLÍTICA Cada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es su identificador de usuario y password necesarios para acceder a la información e infraestructura de comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de los mismos. El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorga en base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios para el desempeño del cargo o rol. CONTROLES DE ACCESO LÓGICO Todos los usuarios de equipos computacionales son responsables de la confidencialidad del identificador de usuario y el password de su equipo, así como de aplicaciones especiales que requieran el mismo control de acceso lógico. Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antes de tener acceso a los recursos de la Infraestructura tecnológica del IAEN. No está permitido a los usuarios el proporcionar información a personal externo sobre los mecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo el caso de autorización expresa del generador de la información y la Dirección de Desarrollo Tecnológico. El identificador de usuario dentro de la red es único y personalizado, no está permitido el uso del mismo identificador de usuario por varios miembros del personal. El usuario es responsable de todas las actividades realizadas con su identificador de usuario, por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está prohibido usar el identificador de usuario de otros. ADMINISTRACIÓN DE PRIVILEGIOS Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso a diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a la Dirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridad que ordena el cambio.
Instituto de Altos Estudios Nacionales
15
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
EQUIPO DESANTENDIDO El usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal o equipo computacional precautelando la seguridad de la información a través del mecanismo de control de acceso lógico. ADMINISTRACIÓN Y USO DE PASSWORDS Es obligación del usuario cambiar la clave por defecto asignada por la Dirección de Desarrollo Tecnológico. Los passwords son individuales, está prohibido que varios usuarios compartan un password. Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección de Desarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevo password, y el momento de recibirlo deberá personalizar uno nuevo. Está prohibido mantener ayudas escritas o impresas referentes al password en lugares donde personas no autorizadas pueden descubrirlos. La revelación del password o contraseña a terceros responsabiliza al usuario que prestó su password de todas las acciones que se realicen con el mismo. Los usuarios deberán observar las siguientes guías para la construcción de su contraseña: -
La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7) caracteres y máximo 12 (doce).
-
Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.
La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra persona debe cambiarse inmediatamente. Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de Desarrollo Tecnológico serán notificados posteriormente al solicitante y al superior inmediato de manera que se pueda detectar cualquier cambio no solicitado. CONTROL DE ACCESOS REMOTOS El uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, se considera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN. La administración remota de equipos conectados a Internet no está permitida, salvo que se cuente con la autorización y un mecanismo de control de acceso seguro autorizado por el dueño de la información y la Dirección de Desarrollo Tecnológico.
Instituto de Altos Estudios Nacionales
16
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
POLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA POLÍTICA La Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de las políticas y normas de seguridad informática que permitan realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnológica del Instituto. DERECHOS DE PROPIEDAD INTELECTUAL Las leyes de propiedad intelectual prohíben la reproducción de programas de ordenador o software sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto. Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Dirección de Desarrollo Tecnológico son propiedad del IAEN. REVISIONES DE CUMPLIMIENTO La Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento de manual de políticas de seguridad informática, lo que incluye mecanismos de revisión de tendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados. El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológico será reportado conforme a lo indicado en la política de Seguridad de Personal. VIOLACIONES DE SEGURIDAD INFORMÁTICA Se prohíbe el uso de herramientas de hardware o software que alteren o eviten los controles de seguridad informática, a menos que exista autorización expresa de la Dirección de Desarrollo Tecnológico. Está prohibido realizar pruebas a los controles efectuados por la Dirección de Desarrollo Tecnológico, ninguna persona puede probar o intentar comprometer los controles internos a menos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea un órgano interno de control. La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección de Desarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquier usuario no autorizado. La propagación de código malicioso de forma intencional para probar el desempeño de la red de parte de usuarios no autorizados está prohibido totalmente.
Instituto de Altos Estudios Nacionales
17
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
GLOSARIO DE TÉRMINOS CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco, que a través de medios ópticos puede guardar información. Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computador y direcciones de buzón virtuales a través de una red privada o Internet y software diseñado para el efecto. CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicas de cada proceso, en la práctica se usa también para denominar a todo el equipamiento que contiene al procesador. Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” y posteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desuso por la entrada de unidades de almacenamiento con más capacidad y confiabilidad. DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica en forma de disco de alta densidad que permite manejar formatos de audio y video de alta calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que soporta más de 4 veces la capacidad de este. FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite la transferencia de archivos en la mayoría de redes actuales, FTP es soportado por varios sistemas operativos, incluidas todas las versiones actuales del Windows. Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo, suele usar las operaciones automáticas de archivos propios del sistema operativo del computador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicación ocupa ancho de banda y enlentece los procesos. Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en la infraestructura de una red para acceder a la información de la misma. MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byte agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno (1) o cero (0). RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .rar. Software.- Se denomina software a todo programa, que instalado en un computador permite el aceceso al usuario a la manipulación de información o uso de periféricos como impresoras, videocámaras u otros. Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correo electrónico, el envío de spam en la red de Internet es uno de los mayores causantes de saturación de la red.
Instituto de Altos Estudios Nacionales
18
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Troyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador para recabar información que permita el acceso de usuarios externos al computador local con los consiguientes problemas de seguridad informática. USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4 terminales para recepción, transmisión, y energización del equipo; los puertos USB se encuentran presentes en todas las computadoras actuales y permiten la conexión de unidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todo tipo de periféricos. UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en cualquier época como por ejemplo la canasta familiar. Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información del computador que lo aloja. ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .zip.
Instituto de Altos Estudios Nacionales
19