MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
MANUAL DE POLÍTICAS SEGURIDAD DE LA INFORMACIÓN FUNDACIÓN EDITORIAL EL PERRO Y LA RANA
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
TABLA DE CONTENIDO Contenido Introducción Historia del Documento Objetivo General Objetivos Específicos Alcance Justificación Políticas de Seguridad de la Información Política de Seguridad de Información para los Usuarios Políticas de Seguridad Física Políticas de Seguridad para la Administración de Operaciones de Infraestructura IT. Políticas de Controles de Acceso Lógico Políticas de Cumplimiento de Seguridad Informática Definiciones Básicas
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
Pág. 3 4 5 5 6 6 7 9 10 14 15 17 - 26
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Introducción El Manual Políticas de Seguridad de la Información de Fundación Editorial La Rana, es un documento que permite especificar de manera simple; las directrices de las líneas ejecutivas, en cuanto al uso y confidencialidad de la información manejada por el personal que interactúa con los sistemas y herramientas tecnológicas de la organización. Se especifica claramente las responsabilidades, clasificación o perfiles de usuarios, riesgos, niveles de toma de decisiones, trazas de auditoría, entre otros. Se debe entender por seguridad de la información no sólo el aspecto lógico sino también el física, pues la infraestructura IT debe contar con espacios adecuados, de acuerdo a la normativa nacional e internacional que rige la materia como lo son: ISO 9000, 10.000 y 14.000. Se debe destacar en la legislación nacional la Ley Orgánica Contra Ilícitos Tecnológicos que incluso abraca las directrices en cuanto a seguridad de los archivos históricos a nivel de BD con los que debe contar, las organizaciones que utilizan los sistemas como medio de almacenamiento de la información institucional.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Historia del Documento Control de Cambios Fecha de elaboración 30/05/2010
Fecha autorización 19/05/2010
Versión
Elaboró
1.0
Nabetse Viloria
Naturaleza del cambio CREACIÓN
Revisado por Área / Dirección Ingeniero Ingeniero
Persona Alfredo Agreda Rafael Matos Copia para
Área / Dirección Estudiantes de Ingeniería
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
Persona Equipo de Trabajo
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Objetivo General
El presente documento tiene como finalidad especificar las políticas de seguridad de información, derivadas de las directrices dictaminadas por el personal ejecutivo de Fundación Editorial La Rana, las cuales permitirán a la organización garantizar la confidencialidad y control de la información y correcta utilización de las herramientas tecnológicas utilizadas por el personal, en sus diferentes niveles de toma de decisión.
Objetivos Específicos
Consolidar en forma ordenada, secuencial y detallada, las políticas relacionadas a las operaciones que se efectúan en el Área de Informática. Establecer formalmente los métodos y técnicas de trabajo que deben seguirse para asesorar y prestar soporte técnico a todas las áreas de Fundación La Rana en materia de automatización, sistematización y procesamiento de datos, permitiendo una mayor agilización y simplificación en la implantación, mantenimiento seguimiento y control de los sistemas de información de la institución. Precisar responsabilidades operativas de los usuarios y personal de sistemas que interactúan con la información necesaria, para realizar las operaciones diarias de la Fundación Editorial La Rana. Facilitar las labores de auditoría, control interno, control de gestión y el monitoreo de resultados del área, mejorando así la eficacia y eficiencia de los productos/servicios finales del área.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Alcance El presente documento abarca las políticas de seguridad de la información de Fundación Editorial El Perro y La Rana pasando por la organización, planificación, seguimiento y control de la seguridad física y lógica que garantiza la confidencialidad de la información y el resguardo óptimo de la misma. Justificación
El área de Tecnología de acuerdo a las directrices emanadas del personal ejecutivo de Fundación Editorial El Perro y La Rana se encuentra facultada para el diseño, desarrollo e implantación de las políticas de seguridad de la información física y lógica, con la el objeto de garantizar, el manejo eficiente y la confidencialidad de la información registrada, actualizada y desincorporada de los sistemas organizativos.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Políticas de Seguridad de la Información
1. Las políticas de seguridad de la información de Fundación Editorial El Perro y La Rana están basadas en la legislación venezolana, específicamente la Ley Especial Contra Los Delitos Informáticos.
2. La confidencialidad y uso de la información de Fundación Editorial El Perro y La Rana está basado en la Ley Sobre el Derecho de Autor vigente en Venezuela a partir del año 1.993. Política de Seguridad de Información para los Usuarios
1. Los usuarios los sistemas de información de Fundación Editorial El Perro y La Rana deben aceptar los convenios de seguridad y confidencialidad de la información; así como su uso adecuado cumpliendo estrictamente con las directrices descritas den el presente documento.
2. Las políticas de seguridad deben ser cumplidas, sin excepción por la totalidad de los usuarios pertenecientes a las diferentes áreas y niveles de tomas de decisión que conforman Fundación Editorial La Rana. 3. Los perfiles de usuarios definidos en la red y los sistemas de la Fundación Editorial El Perro y La Rana son los siguientes: Administrador. Personal Ejecutivo. DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Gerentes. Jefes de Departamento / Coordinador. Analistas. Asistentes / Secretarias /Recepcionistas 4. Los usuarios de los sistemas de información deben comprometerse y acordar con Fundación Editorial La Rana, a través de formato escrito garantizar la seguridad y confidencialidad de la información contenida en sus sistemas y la red tecnológica en general.
5. Los usuarios de los sistemas de información deben ser entrenados constantemente en el uso de las herramientas tecnológicas y datos contenidos en la Base de Datos de Fundación Editorial La Rana.
6. Las trazas de auditoría deben ser capaces de identificar el incumplimiento en el manejo de los sistemas de información y herramientas tecnológicas.
7. Se considera una falta grave y causal de desincorporación o destitución de los funcionarios las violaciones graves, robo, daño o divulgación de información confidencial perteneciente a Fundación Editorial La Rana.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Políticas de Seguridad Física
1. El acceso a las áreas donde se encuentre la infraestructura IT, donde se resguarda la información de Fundación Editorial El Perro y La Rana debe contar con un control de acceso físico para el personal.
2. El acceso de terceros a las áreas de trabajo de la Fundación Editorial El Perro y La Rana debe ser mediante control de acceso y en compañía de funcionarios de la organización.
3. El personal de Fundación Editorial La Rana, al detectar cualquier tipo de riesgo potenciales o reales, para la información / equipos de computo y comunicaciones debe reportarlo de inmediato al área de tecnología. 4. El personal de Fundación Editorial El Perro y La Rana tiene la obligación de proteger los dispositivos de almacenamiento local y extraíbles contentivos de la información que corren en los sistemas de la empresa. 5. Los equipos IT personales de los usuarios deben ser registrados en control de acceso al momento de su entrada / Salida. 6. El centro de cómputo es un área restringida para el personal distinto a la Gerencia de Tecnología. 7. Los movimientos de equipos de cómputo o telecomunicaciones sólo es realizado por la Gerencia de infraestructura IT. DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
8. El área de Clasificación de Activos Fijos y Gerencia de Infraestructura IT, debe categorizar y controlar la existencia de equipos. 9. Las estaciones de trabajo no pueden ser utilizadas, como lugar de consumo para cualquier tipo de alimentos y bebidas. 10. El resguardo o respaldo de la información, perteneciente a las procesos diarios ejecutados por el usuario deben realizarse de inmediato y manteniendo un Back Office. 11. El mantenimiento de equipos IT, únicamente es potestad de la Gerencia de Infraestructura de Fundación Editorial La Rana. 12. Los dispositivos de almacenamiento extraíble deben ser utilizados de acuerdo a las políticas de seguridad física, pues allí se respalda información perteneciente a Fundación Editorial La Rana. 13. El Equipo de cómputo o cualquier recurso de tecnología de información que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, deberá cubrir el valor de la reparación o reposición del equipo o accesorio afectado. Para tal caso la Gerencia de Infraestructura IT a Usuarios determinará la causa de dicha descompostura.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Políticas de Seguridad para la Administración de Operaciones de Infraestructura IT
1. El personal de Fundación Editorial El Perro y La Rana debe utilizar las herramientas e infraestructura IT para garantizar la protección de información confidencial que motivado a requerimientos mandatorios deban ser trasmitidos a través de la red interna, VPN y/o FTP.
2. La administración, seguimiento y control de la información contenida en carpetas compartidas que reposen en los servidores debe encontrarse en custodia del gerente del área usuaria. 3. La Gerencia de Administración de BD debe realizar el respaldo diario de la información crítica, que garantiza la continuidad del negocio y operaciones de Fundación Editorial La Rana. 4. Los respaldos de la información contenida en los sistemas de Fundación Editorial El Perro y La Rana deben cumplir con las políticas de archivo que rigen el sector editorial tal como Ley de Archivo Nacional vigente a partir de 1945 y la normativa IT vigente en nuestro país. 5. La instalación de software y/o herramientas tecnológicas debe ser sustentada y ajustada a la legalidad y a las licencias adquiridas por la fundación a menos que sean aplicaciones pertenecientes al software libre. 6. Los usuarios de las áreas de la
Fundación Editorial El Perro y La Rana no deben
establecer redes de área local, conexiones remotas a redes internas o externas, intercambio de información con otros equipos de cómputo utilizando el protocolo de DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
transferencia de archivos (FTP), sólo debe ser ejecutado por el área de Seguridad de Información. 7. Las claves de acceso a la red de cada estación de trabajo es única e intransferible, por lo cual los sistemas, correo, accesos a Internet, entre otras sólo pueden ser utilizadas por el usuario asignado a la cuenta de red. 8. La Gerencia de Seguridad de la Información se reserva el derecho de acceder a los correos electrónicos en los cuales se detecte uso inadecuado de la herramienta en cuanto a contenido y fuga de información. 9. Los usuarios no deben tener acceso a la descarga de archivos distintos a los autorizados por la Gerencia de Seguridad de la Información. 10. Los antivirus deben ser corridos en la red institucional tres veces al día, en las horas de menos demanda de información. 11. Los usuarios no deberán alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagación de virus que sean implantadas por la FEPR en: Antivirus, Outlook, office, Navegadores u otros programas.
12. El acceso a Internet será limitado a páginas corporativas, entes reguladores y correos personales previa autorización del Gerente / Jefe de Área. 13. Los usuarios del servicio de navegación en Internet, al aceptar el servicio están aceptando que: DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Serán sujetos de monitoreo de las actividades que realiza en Internet. Saben que existe la prohibición al acceso de páginas no autorizadas. Saben que existe la prohibición de transmisión de archivos reservados o confidenciales no autorizados. Saben que existe la prohibición de descarga de software sin la autorización de la Gerencia de Seguridad de la Información. La utilización de Internet es para el desempeño de su función y puesto en la Fundación Editorial El Perro y La Rana no para propósitos personales.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Políticas de Controles de Acceso Lógico
1. El usuario es el custodio de su usuario y contraseña, asignados para acceder a la red de Fundación Editorial El Perro y La Rana, la misma es de carácter intransferible.
2. La permisología de acuerdo a los niveles de usuario establecidos en el Capítulo I Política de Estándares de Seguridad de Información para los Usuarios, debe ser gestionada por la máxima autoridad del área a la cual pertenece el personal.
3. Los usuarios VPN sólo aplican para las líneas gerenciales altas, por lo cual la administración de las mismas queda a potestad del área usuaria previa negociación con el área tecnológica.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Políticas de Cumplimiento de Seguridad Informática 1. La Gerencia de Seguridad de la Información debe diseñar, desarrollar, proponer y revisar el cumplimiento de normas y políticas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos e instalaciones de cómputo, así como la custodia y resguardo de la base de datos de la Fundación.
2. Debido a la regulación existente en nuestro país en cuanto al resguarda de información y derechos de autor ningún software o información debe ser respaldada o utilizada sin previa autorización del autor o la compra de los derechos para usufructuar la herramienta. 3. La Gerencia de Tecnología podrá implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informáticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informáticos que se detecte será reportado de acuerdo a las políticas de seguridad de los usuarios. 4. Las pruebas de fallas detectadas en la implementación de las políticas de seguridad de la información serán realizadas solo por el personal de Tecnología, las personas distintas a estas áreas que realicen este tipo de actividad serán sancionadas de acuerdo a lo establecido en el presente documento y las leyes que rigen la materia. 5. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar introducir cualquier tipo de código (programa) conocidos como virus,
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
gusanos ó caballos de Troya, diseñado para auto replicarse, dañar o afectar el desempeño o acceso a las computadoras, redes o información
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
Definiciones Básicas
ANTIVIRUS: es un programa creado para prevenir o evitar la activación de los virus informáticos, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema. ACCESO: Tipo específico de interacción entre un sujeto y un objeto que resulta en el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un objeto. ACCESO FÍSICO: es la actividad de ingresar a un área. ACCESO LÓGICO: es la habilidad de comunicarse y conectarse a un activo tecnológico para utilizarlo, o bien usar su información. ACCESO REMOTO: conexión de dos dispositivos de cómputo ubicados en diferentes lugares físicos por medio de líneas de comunicación ya sean telefónicas o por medio de redes de área amplia que permiten el acceso de aplicaciones e información de la red. Este tipo de acceso normalmente viene acompañado de un sistema robusto de autenticación APLICACIÓN: acción que se realiza a través de un programa de manera directa con el usuario. Navegadores, Chat, correo electrónico, etc. son algunos ejemplos de aplicaciones en el medio de Internet. ANTIVIRUS: programa que busca y eventualmente elimina los virus informáticos que pueden haber infectado un disco rígido o disquete.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
ATAQUE: actividades encaminadas a quebrantar las protecciones establecidas de un activo específico, con la finalidad de obtener acceso a ese activo y lograr afectarlo. ARCHIVO: una colección identificada de registros relacionados. AUTORIZACIÓN: es el proceso de asignar a los usuarios permisos para realizar actividades de acuerdo a su perfil o puesto. BASE DE DATOS: Conjunto de registros relacionados entre sí por una clave primaria y clave foránea. CABLEADO ESTRUCTURADO: Infraestructura de cable única y completa, destinada a transportar a lo largo y ancho de un edificio. CICLO DE VIDA CLASICO PARA EL DESARROLLO DE SISTEMAS: El método de ciclo de vida para el desarrollo de sistemas es el conjunto de actividades que los analistas, diseñadores y usuarios realizan para desarrollar e implantar un sistema de información. El método del ciclo de vida para el desarrollo de sistemas consta de 6 fases: 1). Investigación Preliminar. 2). Determinación de los requerimientos del sistema. 3). Diseño del sistema. 4). Desarrollo de la Política. 5). Prueba de la Política. 6).Eliminación de la Política. CONECTORES RJ-45: La RJ-45 es una interfaz física comúnmente usada para conectar redes de cableado estructurado, (categorías 4, 5, 5e y 6). DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
CORREO ELECTRÓNICO: Es una herramienta que permite al usuario mantener comunicación formal y escrita a través de una herramienta tecnológica. CD: medio de almacenamiento de información. CÓDIGO MALICIOSO: Hardware, software o firmware que es intencionalmente introducido en un sistema con un fin malicioso o no autorizado. Un caballo de Troya es ejemplo de un código malicioso. COMPRIMIR (ZIP): Reducir el tamaño de los archivos sin que éstos pierdan nada de su información. Zip es el nombre de la extensión que contiene un archivo comprimido. COMPUTADORA: Es un conjunto de dispositivos electrónicos que forman una máquina electrónica capaz de procesar información siguiendo instrucciones almacenadas en programas. CONFIDENCIALIDAD: Se refiere a que la información no sea divulgada a personal no autorizado para su conocimiento. CONTROL DE ACCESO: Es un mecanismo de seguridad diseñado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo tecnológico. COPYRIGHT: Derecho que tiene un autor, incluido el autor de un programa informático, sobre todas y cada una de sus obras y que le permite decidir en qué condiciones han de ser éstas reproducidas y distribuidas. Aunque este derecho es legalmente irrenunciable puede ser ejercido de forma tan restrictiva o tan generosa como el autor decida. DIAGNÓSTICO: Calificación del estado de un equipo informático.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
DISPOSITIVO DE ALMACENAMIENTO MASIVO: Es un hardware que permite el almacenamiento de grandes cantidades de información a grandes velocidades de procesamiento. DESCARGAR:
Acción
de
transferir
información
computarizada
de
una
computadora a otra. DESCOMPRIMIR (UNZIP): Acción que se lleva a cabo después de haber comprimido un archivo para regresarlo a su estado original. DISCOS FLEXIBLES (DISKETTES): Medios de almacenamiento magnéticos de información de 1.44 Mb llamados comúnmente discos de 3 ½. DISCOS ÓPTICOS: Los discos ópticos son medios de almacenamiento de información que presentan una capa interna protegida, donde se guardan los bits mediante el uso de un rayo láser, éste al ser reflejado, permite detectar variaciones microscópicas de propiedades “óptico-reflectivas” ocurridas como consecuencia de la grabación realizada en la escritura. Un sistema óptico con lentes encamina el haz luminoso, y lo enfoca como un punto en la capa del disco que almacena los datos. DISPONIBILIDAD: Se refiere a que la información esté disponible en el momento que se requiera. DOMINIO: Sistema de denominación de host en Internet. Conjunto de caracteres que identifica y diferencian los diferentes sitios Web. EQUIPOS INFORMÁTICOS: Componentes físicos relacionados con tecnología de información (PC, Switch, Impresoras, entre otros). EQUIPOS DE TELECOMUNICACIONES: Componentes físicos relacionados con la comunicación de los equipos informáticos de una red en una empresa. DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
ESTACIONES DE TRABAJO: Computadora personal de propiedad de una empresa asignada a un trabajador para su desempeño en la empresa. ENCRIPCIÓN: proceso matemático donde los datos de un mensaje, por seguridad, son codificados para protegerlos de accesos no deseados. El término encripción como tal, no existe en el lenguaje español, el término correcto es cifrado de datos. FALTA ADMINISTRATIVA: es la consecuencia que resulta del incumplimiento de la normatividad. FREEWARE (SOFTWARE LIBRE): Programas que se pueden bajar desde Internet sin cargo. FTP: protocolo de transferencia de Archivos. Es un protocolo estándar de comunicación, que proporciona un camino simple para extraer y colocar archivos compartidos entre computadoras sobre un ambiente de red. HARDWARE: se refiere a las características técnicas y físicas de las computadoras. HELP DESK / CAU: soporte técnico brindado a los usuarios telefónicamente, su función es proveer conocimientos especializados de los sistemas de producción para identificar y asistir en el ámbito / desarrollo de sistemas y en la resolución de problemas. HERRAMIENTAS DE SEGURIDAD: son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnológica de una Comisión. LOS ESTÁNDARES: son actividades, acciones, reglas o regulaciones obligatorias diseñadas para proveer a las políticas de la estructura y dirección que requieren para ser efectivas y significativas. DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
INTERFAZ: Visualización grafica de una aplicación. INTERNET: es la red de redes. IMPACTO: magnitud del daño ocasionado a un activo en caso de que se materialice una amenaza INCIDENTE DE SEGURIDAD: cualquier evento que represente un riesgo para la adecuada conservación de la confidencialidad, integridad o disponibilidad de la información utilizada en el desempeño de nuestra función INTEGRIDAD: se refiere a la pérdida o deficiencia en la autorización, totalidad o exactitud de la información de la organización. Es un principio de seguridad que asegura que la información y los sistemas de información no sean modificados de forma intencional o accidental. INTRUSIÓN: es la acción de introducirse. MALTRATO, DESCUIDO O NEGLIGENCIA: son todas aquellas acciones que de manera voluntaria o involuntaria el usuario ejecuta y como consecuencia daña los recursos tecnológicos propiedad de Fundación Editorial La Rana. MECANISMOS DE SEGURIDAD O DE CONTROL: es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada. MEDIOS MAGNÉTICOS (MEDIOS DE ALMACENAMIENTO): son todos aquellos medios en donde se pueden almacenar cualquier tipo de información (diskettes, CDs, Cintas, Cartuchos, etc.). MECANISMOS DE SEGURIDAD O DE CONTROL: es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
que se utiliza para disminuir la probabilidad de que una vulnerabilidad exista, sea explotada, o bien ayude a reducir el impacto en caso de que sea explotada. METODOLOGÍA: es un conjunto de procedimientos ordenados y documentados que son diseñados para alcanzar un objetivo en particular y comúnmente son divididos en fases o etapas de trabajo previamente definidas. MÓDEM: es un aparato electrónico que se adapta una Terminal o computadora y se conecta a una red de comunicaciones (red telefónica). Los módems convierten los pulsos digitales de una computadora en frecuencias dentro de la gama de audio del sistema telefónico. Cuando actúa en calidad de receptor, un módem decodifica las frecuencias entrantes. “NECESIDAD DE SABER”, PRINCIPIO O BASE: es un principio o base de seguridad que declara que los usuarios deben tener exclusivamente acceso a la información, instalaciones o recursos tecnológicos de información entre otros que necesitan para realizar o completar su trabajo cumpliendo con sus roles y responsabilidades dentro de la Comisión. Nodo: Punto principal en el cual se les da acceso a una red a las terminales o computadoras. NORMATIVIDAD: conjunto de lineamientos que deberán seguirse de manera obligatoria para cumplir un fin dentro de una organización Página Web: ver sitio Web. Parche (patch): un parche (algunas veces llamado Fix) son piezas de programación que representan una solución rápida al software o sistema, para incrementar la seguridad o incrementar la funcionalidad del mismo.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
PERIFÉRICOS: Se entenderá por periférico al conjunto de dispositivos que permitan realizar operaciones de entrada/salida (E/S) complementarias al proceso de datos que realiza una computadora o estación de trabajo. CONTRASEÑA: secuencia de caracteres utilizados para determinar que un usuario específico requiere acceso a una computadora personal, sistema, aplicación o red en particular. Típicamente está compuesto de 6-10 caracteres alfanuméricos. QUEMADORA: un grabador de CD/DVD, escritor de CD/DVD o quemador de CD/DVD es un dispositivo de disco usado para producir copias de discos legibles. Un grabador de DVD produce discos de DVD que se pueden leer en reproductores de vídeo o dispositivos de DVD-ROM. Los "grabadores" necesitan de un programa especializado para poder reproducir los discos. Respaldo: archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o pérdida, si los originales se destruyen o quedan fuera de servicio. Riesgo: es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la seguridad de éste. Usualmente el riesgo se mide por el impacto que tiene y su probabilidad de ocurrencia. ROUTER: En castellano enrutador es un dispositivo de hardware para interconexión de red de computadoras que opera en la capa tres (nivel de red). Este dispositivo permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
SERVIDOR: Equipo informático cuyo propósito es proveer datos / servicios de modo que otros equipos informáticos puedan utilizar esos datos/ servicios. SISTEMA OPERATIVO: Un sistema operativo es un programa de sistema, es decir, un conjunto de programas de computadora destinado a permitir una administración eficaz de sus recursos. Comienza a trabajar cuando se enciende el computador, y gestiona el hardware de la máquina desde los niveles más básicos, permitiendo también la interacción con el usuario. SWITCH: En castellano conmutador, es un dispositivo electrónico de interconexión de redes de computadoras que opera en la capa (nivel de enlace de datos) del modelo OSI (Open Systems Interconnection). Un conmutador interconecta dos o más segmentos de red, funcionando de manera similar a los puentes (bridges), pasando datos de un segmento a otro, de acuerdo con la dirección MAC de destino de los datagramas en la red. SOFTWARE: es programas y documentación de respaldo que permite y facilita el uso de la computadora. El software controla la operación del hardware. SOFTWARE ANTIVIRUS: aplicaciones que detectan, evitan y posiblemente eliminan todos los virus conocidos, de los archivos ubicados en el disco duro y en la memoria de las computadoras. TARJETA INTELIGENTE: es una tarjeta de plástico del tamaño de una tarjeta de crédito, que incorpora un microchip, en el cual se puede cargar datos como números telefónicos anteriormente llamados, pagos realizados a través de medios electrónicos y otro tipo de aplicaciones, las cuales pueden ser actualizadas para usos adicionales.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN
MANUAL POLÍTICAS SEGURIDAD DE LA INFORMACIÓN
VERSIÓN
FECHA
1.0
Mayo de 2010 INFORMÁTICA
User-ID (identificación de usuario): se denomina al nombre de usuario con el cual accedemos a una página o sistema en el que previamente nos hemos registrado. Este nombre puede estar compuesto de letras, números o signos. Usuario: este término es utilizado para distinguir a cualquier persona que utiliza algún sistema, computadora personal, o dispositivo (hardware). Virus: programas o códigos maliciosos diseñados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir archivos o diskettes de computadoras. Vulnerabilidad: es una debilidad de seguridad o hueco de seguridad, el cual indica que el activo es susceptible a recibir un daño a través de un ataque, ya sea intencionado o accidental.
DOCUMENTADO POR:
ING. DE SISTEMAS
ELABORADO POR: Nabetse Viloria. Mary Fonseca. Joe Rivas. Carlos Oliveros. Irma Toro. Ana Ezenbaum.
REVISADO POR:
APROBACIÓN UPOMS FECHA
ING. ALFREDO AGREDA
Mayo de 2010
CALIFICACIÓN