Sistema de Gestion de Seguridad de La Información CGTIC Corrigiendo Indice
Sistema de Gestion de Seguridad de La Información CGTIC Corrigiendo Indice
Sistema de Gestion de Seguridad de La Información CGTIC Corrigiendo Indice
6 Frecuencia de evaluacin de las polticas................................................................7 Beneficios.............................................................................................................................8 Costos..8 Software Requerido para la administracin de la SGSI.8 Infraestructura......8 SGSI...9 Actores de la primera etapa..9 Servicios prestados por CGTIC.. 10 Activos de informacin..11 Relacin entre reas vs procesos12 Listado de amenazas.13 Manual para el usuario de CGTIC......16 Frecuencia de Evaluacin de las Polticas y procedimientos...16 Polticas y estndares de seguridad del personal.................................16 Usuarios nuevos...............................................................................................................16 Obligaciones de los usuarios...............................................................................17 Entrenamiento en seguridad informtica.......................................................17 Medidas disciplinarias.............................................................................................17 Polticas y estndares de seguridad fsica y ambiental...................17 Resguardo y proteccin de la informacin......................................................17 Controles de acceso fsico.......................................................................................18 Seguridad en reas de trabajo...............................................................................18 Proteccin y ubicacin de los equipos...............................................................18 Mantenimiento de equipo.......................................................................................18 Prdida de equipo.......................................................................................................19 Uso de dispositivos especiales...............................................................................19 Polticas y estndares de seguridad y administracin de operaciones de cmputo...........20 Uso de medios de almacenamiento.....................................................................20 Instalacin de software. ...........................................................................................20 Aspectos externos o edilicios..20 Temperatura.20 Aire.20 Acceso fsico a la oficina del servidor20 Aspectos Internos de Hardware21 Clida de componentes21
1
Renovacin de equipos..21 Discos duros..21 Identificacin del incidente.......................................................................................21 Administracin de la configuracin........................................................................21 Seguridad para la red.....................................................................................22 Uso del correo electrnico...........................................................................................22 Controles contra cdigo malicioso..........................................................................22 Internet............................................................................................................................22 Polticas y estndares de controles de acceso lgico23 Controles de acceso lgico...........................................................................................23 Equipo desatendido........................................................................................................24 Administracin y uso de contrasea.......................................................................24 Control de accesos remotos........................................................................................24 Polticas y estndares de cumplimiento de seguridad informtica 24 Derechos de propiedad intelectual........................................................--...............24 Revisiones del cumplimiento...............................................................................24 Violaciones de seguridad informtica............................................................. 25 Mantenimiento preventivo......................................................................26 Mantenimiento preventivo semestral.............................................................. 26 Mantenimiento preventivo.....................................................................................26 Mantenimiento correctivo........................................................................26 Manejo de service desk...............................................................................26 Correo electrnico.28 Prembulo Informacin acerca del servicio de e-mail Informacin acerca de la cuenta Normatividad Redes inalmbricas29 Telefona30 Propsito Alcance Autoridad Poltica Controles...33 Barracuda firewall33 Refog employee monitoring ...34 Block program.35
2
Autobackup.36 Hauri antivirus.37 Instalacin Acceso fsico a los servidores Grafica de Gantt segunda etapa39 Capacitacin del usuario..40 KPIs...41
Sistema de Gestin de Seguridad de la Informacin CGTIC U. A. de C. La Universidad Autnoma de Coahuila (UAdeC) es una institucin de educacin superior del estado de Coahuila. Fundada en 1957, obtuvo su autonoma en el ao 1973, desde entonces cuenta con un gran nmero de facultades e instituciones de educacin media superior en ese estado. Es la nica universidad en el mundo en elegir rector por un periodo de tres aos mediante el voto directo de maestros y alumnos. La coordinacin de Tecnologas de la informacin de la Universidad Autnoma de Coahuila ofrece servicio a los empleados de la UAdeC, que comprende De: Maestros Trabajadores administrativos Investigadores Docentes Infraestructura de TI de la UadeC
Con un nmero de usuarios mayor a los 3000 usuarios con equipo de cmputo asignado, distribuidos por todo el estado de Coahuila, Soporte de la CGTIC ofrece sus servicios a estos usuarios con soporte en lnea telefnico o presencial segn sea necesario.
Misin
Satisfacer las necesidades de tecnologa de informacin a la comunidad de la UAdeC, contribuyendo al desarrollo tecnolgico, cultural, social, cientfico y econmico de la sociedad, a travs de la innovacin, la eficiencia y calidad de nuestros procesos, con un equipo altamente comprometido y enfocado a la mejora continua.
Visin
4
Somos un equipo lder internacionalmente en tecnologa de informacin, consolidados en la excelencia. Alcance: El sistema de Gestin de la seguridad de la informacin abarca todos los servicios prestados por la CGTIC que son prestados para la Universidad Autnoma de Coahuila en todo el estado.
Objetivo General:
Desarrollar y mantener la infraestructura, organizacin, normatividad y estrategias de accin que aseguren un desarrollo sostenido, equitativo y controlado a fin de que en todos sus aspectos, la funcin de la Informtica en la Universidad Autnoma de Coahuila sea vanguardista y que garantice la productividad de los procesos acadmicos, administrativos, as como promover la calidad de nuestros egresados.
Objetivos Especficos:
Concretar el desarrollo del Sistema Integral de Informacin de la Universidad. Desarrollar el sistema de Seguridad Informtica. Desarrollar la infraestructura de Redes y Telecomunicaciones. Desarrollar servicios computacionales para la comunidad universitaria. Soportar el desarrollo de la Educacin a Distancia. Soportar el crecimiento en infraestructura en donde aplique la tecnologa de cmputo y telecomunicaciones.
Nuestro propsito es ofrecerles Asesoras, Informacin, Mejoras y Soporte en cada uno de los servicios, basados en las mejores prcticas que ponemos a su disposicin por medio de la mesa de servicios.
5
Introduccin La base para que cualquier organizacin pueda operar de una forma confiable en materia de Seguridad Informtica comienza con la definicin de las polticas y estndares. La Seguridad Informtica, es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de la UAdeC en materia de seguridad informtica. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: Seguridad de Personal. Seguridad Fsica y Ambiental. Administracin de Operaciones de Cmputo. Controles de Acceso Lgico. Cumplimiento. 1.- Disposiciones Generales 1.1 mbito de aplicacin y Fines Objetivo: Garantizar que los riesgos de la seguridad de la informacin son conocidos, asumidos, minimizados y gestionados por la organizacin de una forma documentada, sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas. La implementacin de un Sistema de Gestin de Seguridad de la Informacin permitir a la Universidad Autnoma de Coahuila establecer un proceso de mejora continua en el tema a travs del seguimiento de un modelo PDCA (Plan, Do, Check, Act), con unas responsabilidades claras y el compromiso manifiesto por parte del Rector y dems directivas de la universidad. 1.2 Frecuencia de evaluacin de Sistema de Gestin de seguridad de la informacin El sistema de gestin de seguridad de la informacin debe ser monitoreado y se debe establecer un listado de los incidentes de seguridad no identificados y las lecciones aprendidas durante el proceso,
6
Es necesario realizar sesiones del comit de seguridad cada tres meses para discutir y llegar a acuerdos sobre los temas de seguridad, Las reuniones de comit se llevaran a cabo bajo un estricto programa donde cada integrante deber mostrar sus KPIs y enseguida si as las tiene, propuestas para mejora de seguridad. Cada reunin llevara una minuta donde los integrantes anotaran los temas discutidos y los acuerdos a los que se llegaron, finalizando con una firma donde entienden sus responsabilidades y comprenden sus actividades, a las que se llegaron en este acuerdo. Para tener los mejores efectos es necesario que se revisen los incidentes de seguridad graves con lleven a juntas de comit del SGSI, Las sesiones extraordinarias deben ser llevadas a cabo cuando suceda cualquiera de estas incidencias: estar en riesgo una infraestructura crtica, servicio crtico, requerirse un cambio en la estratgica de seguridad de la informacin que impacte a la Institucin, presiones o cambios presupuestales que impacten el desarrollo de los proyectos o los compromisos relativos a la seguridad de la informacin, Riesgo de seguridad en redes o cualquier urgencia de seguridad. Por la urgencia de estas reuniones, es posible realizarlas sin la participacin de todos los integrantes sino solo con los ms interesados en la incidencia, adems que podr ser por medios tecnolgicos. Se deber mantener la misma minuta que en una sesin ordinaria 1.3 Beneficios Las polticas y estndares de seguridad informtica establecidas dentro de este documento son la base para la proteccin de los activos tecnolgicos e informacin generada por la CGTIC de la UAdeC. Costos
Software Requerido para la administracin de la SGSI Manage Service Desk Plus Office 2013 Barracuda REFOG Employee Monitor Blockprogram AutoBACKUP HAURI antivirus
7
Cript Infraestructura Necesaria Renta de espacio en BUNKER para almacenamiento de Respaldos Accesos de seguridad biomtricos para Server Alta disponibilidad en Redes Planta elctrica de emergencia Talleres de mantenimiento seguros para equipos de usuarios
Primer Etapa. Sistema gestin de la seguridad de la informacin En la primer etapa del sistema de gestin de la seguridad de la informacin, se analiz la situacin actual de la universidad y en base al anlisis de riesgos se establecieron los estndares y procedimientos, para la seguridad en la UAdeC. Se identificaron los controles necesarios para poder Aceptar, Mitigar, o transferir los riesgos de seguridad, que puedan llegar a suceder Actores de la primera etapa: Actor: Responsabilidad:
8
Rector de la universidad Gerente de TI Coordinador de RH Coordinador de Calidad Administrador de Bases de datos Administrador de Service Desk Usuarios Finales
Patrocinador Responsable que se cumplan las actividades del SGSI Aseguramiento y control de capacitacin Encargado que la calidad del SGSI y operaciones de la empresa sean de calidad Control de accesos fsicos y virtuales Levantamiento de rdenes, reguardo de archivos fsicos Apoyo en la identificacin de la situacin actual
Servicios prestados por CGTIC Se identificaron los siguientes servicios prestados por CGTIC:
ID 1 Actividades Instalaciones de infraestructura telefnica Altas, bajas, cambios, reubicacin y atencin a fallas de extensiones telefnicas Telefonia Programacin Programacin de extensiones, facilidades, permisos y Troncales telefnicas. Altas, Bajas y Cambios de cuentas Ampliacin a la capacidad de almacenaje Cambios de la interface del usuario Correo Electrnico Cambios de password Envos de correo masivo Administracin de agendas compartidas Telecomunicaciones Altas, bajas, reubicacin, configuracin y atencin a fallas de los equipos de telecomunicacin. Red Inalmbrica Aire I Altas, bajas, reubicacin, configuracin y atencin a fallas de los equipos de la red inalmbrica. Conectividad Redes Instalacin, cambios, reubicacin y atencin a fallas de las conexiones de red. Seguridad Perimetral Altas, bajas y cambios de los permisos en los equipos de acceso a la red. Filtrado de contenido Altas, bajas y cambios a los permisos para el acceso a pginas Web. Acceso al servidor para mantenimiento de aplicaciones Alta, Baja o Cambio de aplicaciones y sitios Web Publicacin de sitios Web Mantenimiento de cuentas para administracin de aplicaciones Respaldo de informacin Co-ubicacin de servidores externos, en el centro de datos. Diseo Web Medios de Difusin Envo de correos masivos Publicacin de Informacin en el Portal Diagnstico y correccin de fallas en equipos de cmputo. Instalacin de caractersticas mnimas. Antivirus Soporte a equipo de cmputo Solicitud de Software Institucional Configuracin de Impresoras. Servicios de Asesora y Entrenamiento Institucional Apoyo para el desarrollo del contenido de cursos en lnea Soporte a la Plataforma Tecnolgica de Administracin de la aplicacin de LMS Educacin Virtual Administracin de la aplicacin de salas virtuales Gestin de la instalacin de hardware y software en los planteles educativos Asesorar para la adquisicin de productos o servicios de informtica. Proporcionar apoyo tcnico en la implementacin de productos o servicios de informtica. Ofrecer apoyo para mejorar los procesos administrativos basados en Informtica. Evaluar Productos o Servicios de informtica. Asesora en el diseo de sitios Web institucionales. Asesora sobre la difusin de informacin y contenido en el portal institucional Asesoras en TI Asesora en la estandarizacin de la identidad del portal institucional Asesora en la operacin del LMS Asesora en la operacin de salas virtuales Asesora especializada en el uso de los siguientes sistemas: SIIA - Sistema Integral de Informacin Administrativa. SIE - Sistema de Informacin Ejecutiva. Cursos formales en el manejo de sistemas institucionales de la UA de C. Cursos en el uso de Equipos de cmputo y aplicaciones. Capacitacin en TI Capacitacin en la operacin del LMS (Plataforma Virtual) Capacitacin en la operacin de Salas Virtuales (Plataforma Virtual) Proyectos de desarrollo de sistemas para el apoyo de los procesos acadmico administrativos de dependencias, escuelas y facultades. Proyectos de TI Desarrollo de proyectos para la implementacin de tecnologas de la informacin soportadas por la CGTIC en dependencias, escuelas y facultades. Ingeniera profesional de redes de datos, voz o video Evaluar a los usuarios autorizados Administracin de Software Institucional Proveer a los usuarios del software Instalar en el equipo de cmputo autorizado por la UADEC levantar requerimientos Gestion de la mesa de servicio Asignar Tecnicos Escalamiento Proceso Tipo Critico Responsable Ing. Eusebio
Critica
Ing Eutiquio
Critica
Ing Saul
Media
Media
Critico
Media
Ing. Eusebio
Baja
Media
10
Critico
11
Critico
12
Critico
10
Activos de informacin:
Las operaciones de CGTIC generan informacin continuamente, es necesario que se asegure que la informacin est disponible para su uso por las personas autorizadas en el momento que la requieren. Para poder asegurar su disponibilidad e integridad se identific los activos que resguardan esta informacin.
ID 1 2
Descripcin Tipo Informacin Responsable Lista de usuarios admvos. Y docentes Sensible RH Lista de usuarios (Alumnos) Sensible Control Escolar
Usos Correo electronico Correo electronico Levantar requerimientos, Autorizacin de red inalambrica, Acceso a Recursos institucionales Red Inalambrica Control de equipos Control de equipos en mantenimiento, asi como equipos entregados Informar servicios Instalacion de redes Registro de inventarios Registro de software instalado Asignar tareas Asignar tareas y registro de servicios realizados Informar tiempo de servicios Filtrado de paginas WEB Mantenimiento preventivo Control de CI de la org Estandarizacin de actividades Telefonia Control de equipos en mantenimiento, asi como equipos entregados
Sensible
SysOP
DBA
Alta
4 5
Lista correo electronico alumnos Registro de equipo de computo Registro de Mantenimiento correctivo Catalogo de Servicios Mapeo de direccionamiento IP Caracteristicas de equipos de computo Registro de uso de software instalado Registro de Tecnicos y habilidades Registro de tareas asignadas SLAs Paginas de internet autorizadas Registro de mantenimiento preventivo Registro de CI Formatos estandarizados Conmutador Registro de Mantenimiento correctivo virtual
Relacion maestro vs correo electronico Relacin de equipo de computo vs usuario autorizado Listado de equipos en mantenimiento, (historico y actual) Servicios que ofrece CGTIC Registro de direcciones IP en la org Caracteristicas de equipos de computo de la organizacin Control de software instalado Lista de tecnicos activos de la UAdeC Registro de tareas asignadas a cada tecnico Tiempo prometido de servicios lista de Paginas de internet autorizadas Registro e mantenimiento equipos de la organizacin Registro de Configuration ITEM de la universidad Formatos utilizados en procesos de TI Relacin de usuarios con conmutador Listado de equipos en mantenimiento, (historico y actual)
Privada Sensible
DBA DBA
Baja Media
6 7 8 9 10 11 12 13 14 15 16 17 18
Sensible Publica Privada sensible Privada Privada Privada Publica Privada Privada Privada Privada Sensible
Service Desk Gerencia de TI Redes Soporte Service Desk Service Desk Service Desk Gerencia de TI SysOP Gerencia de TI Gerencia de TI Gerencia de TI Depto CGTIC
Service Desk DBA DBA DBA Service Desk DBA Service Desk DBA DBA DBA DBA Service Desk DBA
Media Media Alta Alta Alta Media Media Media Alta Media alta Media Media
19
Sensible
Service Desk
DBA
Media
11
Relacin de reas contra procesos Los activos de informacin son gestionados y responsabilidad de distintas reas de TI, para mejorar el control de dichos activos de informacin es necesario relacionar activos de informacin vs los procesos que utilizan o generan dicha informacin, as tomar el control de nuestra informacin y la criticidad de que esta est disponible en todo momento.
Procesos Telefonia Catalogo de empleados Catalogo de alumnos Lista correo electronico Trabajadores Lista correo electronico alumnos Registro de equipo de computo Registro de Mantenimiento correctivo Catalogo de Servicios Mapeo de direccionamiento IP Caracteristicas de Activos de equipos de computo Informacin Registro de uso de software instalado Registro de Tecnicos y habilidades Registro de tareas asignadas SLAs Paginas de internet autorizadas Registro de mantenimiento preventivo Registro de CI Formatos estandarizados Conmutador Correo Electronico x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Redes Publicacin de sitios WEB Medios de Difusin Soporte a Soporte a la Plataforma Asesorias equipos de Tecnolgica de Educacin de TI computo Virtual Capacitacin en TI Proyectos de TI Administracin de software institucional Gestion de la mesa de servicio x x
Relacin de activos de informacin vs infraestructura Se debe identificar cual es la ubicacin fsica de los activos de informacin, es importante que los controles y protocolos de seguridad fsicos y de software aseguren que la informacin, as como la transmisin de los datos sean estables y seguras para esta informacin
12
Infraestructura Help Desk Manager Centro de datos Servidor de Firewall Servidores Arteaga Servidores Campo Redondo Documentacin Servicios CGTIC x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Servidor de antivirus
Catalogo de empleados Catalogo de alumnos Lista correo electronico Trabajadores Lista correo electronico alumnos Registro de equipo de computo Registro de Mantenimiento correctivo Catalogo de Servicios Mapeo de direccionamiento IP Activos de Caracteristicas de equipos Informacin de computo Registro de uso de software instalado Registro de Tecnicos y habilidades Registro de tareas asignadas SLAs Paginas de internet autorizadas Registro de mantenimiento preventivo Registro de CI Formatos estandarizados Conmutador
x x x
x x
Listado de amenazas identificadas La identificacin de listado de amenazas a los que est expuesta la organizacin en sus procesos normales. De ellas se crearan los controles adecuadas para tener un plan de accin para estas amenazas. Numero de Referencia 1 2 3 4 5 6 7 8 9 10 11 12 13 Amenaza Perdida de informacin critica Perdida de informacin critica Perdida de informacin critica Toma de instalaciones Toma de instalaciones Toma de instalaciones Instalacin elctrica no da servicio Instalacin elctrica no da servicio Corte de servicio telefnico Corte servicio telefnico Incendios Incendios Conocimiento no documentado Agente de Amenaza Personal inexperto Robo Dao de Server Comunidad Alumnos Fanticos Religiosos Fallas elctricas Vandalismo Problemas con el proveedor Vandalismo Fallo elctrico Vandalismo Personal malintencionado
13
14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41
Conocimiento no documentado Acceso a BD personal no autorizado Acceso a BD personal no autorizado Paro de trabajadores Paro de trabajadores Robo de informacin fsica Robo de informacin fsica Registros no ntegros Registros no ntegros Virus en server Virus en server Equipo de usuario robado Acceso a listado de empleados o alumnos Modificacin de Informacin publica Modificacin de Informacin publica Modificacin de Informacin privada Modificacin de Informacin privada Modificacin de Informacin sensible Modificacin de Informacin sensible Falta de Monitoreo de actividades del usuario Monitoreo de no autorizado de actividades del usuario Chantaje Chantaje Chantaje Chantaje Chantaje Chantaje Chantaje
Personal inexperto Ex trabajador Hacker Huelga Problemas legales Trabajadores Vandalismo Usuarios Personal inexperto Proveedor Personal malintencionado Vandalismo Hacker Personal Mal intencionado Hacker Personal Mal intencionado Hacker Hacker Personal Mal intencionado Usuarios de CGTIC Hacker Delincuencia organizada Grupo subversivo Personal interno descontento (intencional) Proveedor / Contratista Comunidad Servicios inteligencia / contrainteligencia Ex-empleado
14
42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66
Extorsin Extorsin Extorsin Extorsin Extorsin Extorsin Extorsin Extorsin Extorsin Atentado Atentado Atentado Atentado Atentado Atentado Atentado Robo Robo Robo Robo Robo Robo Robo Fraude Fraude
Delincuencia organizada Grupo subversivo Personal interno descontento (intencional) Proveedor / Contratista Comunidad Grupo terrorista Milicia extranjera Servicios inteligencia / contrainteligencia Ex-empleado Delincuencia organizada Grupo subversivo Personal interno descontento (intencional) * Proveedor / Contratista Comunidad Servicios inteligencia / contrainteligencia Ex-empleado Delincuencia organizada Grupo subversivo Personal interno descontento (intencional) Proveedor / Contratista Comunidad Servicios inteligencia / contrainteligencia Ex-empleado Delincuencia organizada Grupo subversivo
15
67 68 69 70 71 72 73 74 75
Fraude Fraude Fraude Fraude Fraude Interrupcin energa elctrica Interrupcin energa elctrica Suplantacin de identidad Suplantacin de identidad
Personal interno descontento (intencional) Personal interno inexperto (accidental) Proveedor / Contratista Comunidad Ex-empleado Vandalismo Fallos en las conexiones Hacker Ex-empleado
A continuacin se presenta el manual para el usuario donde se acuerda con el usuario sobre los procedimientos, buen uso y polticas de seguridad en tecnologas de la informacin, el cual es obligatorio seguir desde que se es un usuario adscrito como usuario de TI en la universidad
Manual para el usuario de TI de la UAdeC Las polticas y estndares de Seguridad Informtica tienen por objeto establecer medidas tcnicas y de organizacin de las tecnologas de informacin y de los usuarios que interactan haciendo uso de los servicios informticos que proporciona la UAdeC y contribuyendo con la funcin informtica a la mejora y cumplimiento de metas institucionales. Es aplicable a los usuarios de servicios de tecnologas de informacin adscritos como usuarios de TI De igual forma es una herramienta que: Difunde las polticas y estndares de seguridad informtica a todo el personal de la Universidad. Asegurara: Mayor integridad, confidencialidad y confiabilidad de la informacin generada por la CGTIC al personal, los datos y el hardware y software disponibles;
16
Minimiza: los riesgos en el uso de las tecnologas de informacin Frecuencia de Evaluacin de las Polticas y procedimientos Las polticas tendrn una revisin semestral para efectuar, actualizaciones, adecuaciones y/ modificaciones basadas en la experiencia de los usuarios, administradores de TI y todo aquel Interesado adscrito como usuario de TI de la universidad. POLTICAS Y ESTNDARES DE SEGURIDAD DEL PERSONAL Poltica Todo usuario de bienes y servicios informticos al ingresar como personal UAdeC acepta las condiciones de confidencialidad, de uso adecuado de los recursos informticos y de informacin de la Universidad, as como el estricto apego al Sistema de Gestin de la seguridad de la informacin
Usuarios Nuevos Todo el personal nuevo con necesidad de servicios de TI deber ser adscrito como usuario de TI para dar los derechos correspondientes a sus necesidades laborales Equipo de cmputo Derechos de acceso al servidor Correo electrnico institucional ([email protected]) Agregar cuenta de correo al grupo ([email protected] )
Alta de Bitcora de inventario de hardware (Esto en caso de que el equipo vaya estar bajo su resguardo) Firme el sistema de Gestin de la seguridad de la informacin despus de haberlo ledo detenidamente. Capacitacin necesaria para el uso adecuado de infraestructura, software y servicios de TI
17
Estos derechos sern revocados cuando el usuario sea dado de baja de la Universidad. Obligaciones de los usuarios Es responsabilidad de los usuarios de bienes y servicios informticos cumplir las Polticas y Estndares de Seguridad Informtica para Usuarios del presente SGSI. Entrenamiento en seguridad informtica Todo empleado adscrito como usuario de TI deber contar con la induccin sobre las instrucciones bsicas para el uso de servicios de TI Medidas disciplinarias Se consideran violaciones graves el robo, dao, divulgacin de informacin reservada o confidencial de esta dependencia, Sera causa para generar baja definitiva dentro de la universidad y ser sometido a la autoridad correspondiente.
POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL Poltica Los mecanismos de control de acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas de CGTIC de la UAdeC slo a personas autorizadas con gafete correspondiente y registro de entrada y salida para la salvaguarda de los equipos de cmputo y de comunicaciones.
Resguardo y proteccin de la informacin El usuario deber reportar de forma inmediata al rea de Sistemas y Calidad cuando detecte que existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros. El usuario tiene la obligacin de proteger las unidades de almacenamiento que se encuentren bajo su administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial.
18
Es responsabilidad del usuario evitar en todo momento la fuga de la informacin de la Coordinacin General Administrativa que se encuentre almacenada en los equipos de cmputo personal que tenga asignados. El usuario es responsable de la informacin contenida en su equipo de cmputo asignada, CGTIC no se hace responsable de la informacin en ningn momento incluyendo cuando el equipo este en posesin de CGTIC Controles de acceso fsico Cualquier persona que tenga acceso a las instalaciones de la CGTIC, deber registrar al momento de su entrada, el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la UAdeC, en el rea de recepcin, el cual podrn retirar el mismo da. En caso contrario deber tramitar la autorizacin de salida correspondiente. El usuario debe portar su gafete en todo momento dentro de las instalaciones de CGTIC y el equipo de seguridad necesario para realizar sus actividades dentro de las instalaciones, (Si la actividad requiere seguridad especial). Seguridad en reas de trabajo Los centros de cmputo de la Coordinacin General Administrativa son reas restringidas, por lo que slo el personal autorizado por el Sistemas y Calidad puede acceder a l, en un caso extraordinario donde personal externo o un proveedor de servicios requiera el acceso a las instalaciones debe presentar un documento Entrada Externo.docx explicando la causa por su acceso a la instalacin y deber ser firmada por el director de TI. Proteccin y ubicacin de los equipos Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos en ningn momento, El desapego a esta clusula significa un reporte escrito para que se tome la sancin adecuada segn sea el caso. Mesa de servicios ser la encargada de generar el resguardo y recabar la firma del usuario informtico como responsable de los activos informticos que se le asignen y de conservarlos. El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones de la UAdeC. Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al mximo las mismas. Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del CPU.
19
Se debe mantener el equipo informtico en un entorno limpio y sin humedad. El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el personal de CGTIC. Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de Sistemas y Calidad a travs de un plan detallado. El equipo de Mantenimiento debe mantener vigente un seguro contra desastres naturales as como de riesgos identificados a los ambientes generados por el ambiente a todo equipo que contenga activos de informacin Queda prohibido que el usuario abra o desarme los equipos de cmputo. El usuario no tiene permitido instalar ningn tipo de software as como el uso de programas portables en equipos propiedad de la UAdeC Prdida de Equipo El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo. El prstamo de laptops tendr que solicitarse mediante una solicitud de servicio para s u aprobacin por CGTIC y adquisiciones El usuario deber dar aviso inmediato a CGTIC, e Inventarios de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo. CGTIC proceder a inutilizar la laptop, con fines estratgicos para evitar el flujo no autorizado de la informacin Uso de dispositivos especiales El uso de los grabadores de discos compactos es exclusivo para copias de seguridad de software y para respaldos de informacin que por su volumen as lo justifiquen. El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d. Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene la necesidad de contar con uno de ellos, deber ser justificado y autorizado por el rea de Tecnologas de la Informacin. El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de polticas de seguridad.
20
POLTICAS Y ESTNDARES DE SEGURIDAD Y ADMINISTRACIN DE OPERACIONES DE CMPUTO Poltica Los usuarios debern proteger la informacin son los nicos responsables de ella. De igual forma, debern proteger la informacin reservada o confidencial que por necesidades institucionales deba ser almacenada o transmitida, ya sea dentro de la red interna de la UAdeC o hacia redes externas como Internet. Los usuarios que hagan uso de equipo de cmputo, deben conocer y aplicar las medidas para la prevencin de cdigo malicioso como pueden ser virus, caballos de Troya o gusanos de red. Uso de medios de almacenamiento Los usuarios de informtica de la Coordinacin General Administrativa deben conservar los registros o informacin que se encuentra activa y aquella que ha sido clasificada como reservada o confidencial. Las actividades e informacin que realicen los usuarios en la infraestructura de Tecnologa de Informacin y en sus equipos de la UAdeC son registradas y susceptibles de auditora Instalacin de software. Los usuarios que requieran la instalacin de software que no sea propiedad de la UAdeC, debern justificar su uso y solicitar su autorizacin por a CGTIC indicando el equipo de cmputo donde se instalar el software y el perodo de tiempo que permanecer dicha instalacin. Se considera una falta grave el que los usuarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red de la UAdeC, que no est autorizado por CGTIC. Aspectos Externos o Edilicios Los puntos a tener en cuenta son:
Temperatura: Aire acondicionado: o Servidores: En el caso de los servidores, atento a su trabajo continuo, es muy recomendable que cuente con aire acondicionado que le permita trabajar a bajas temperaturas. Se propone como mxima una temperatura de 15 a 20 y una humedad del 50%. o Pcs: Para ellas es importante mantener temperaturas similares a las de los servidores, pero atento a que no siempre es posible, se recomienda buscar lugares que no les estn expuestas al sol y que estn lo ms frescas posibles.
21
Aire limpio: En caso que PC o Servidores deban estn en lugares con mucha polucin, se recomienda cambiar los gabinetes por tecnologa preparada para evitar ingreso de tierra y otros elementos a las fuentes de alimentacin y otras partes de los equipos. Normalmente estos gabinetes especiales son sellados y cuentan con filtros de aire, mltiples extractores y disipadores de temperatura. Acceso fsico a la oficina del Servidor: Es indispensable asegurar la imposibilidad de acceso fsico al servidor de datos. Se recomienda inclusive mantenerlo en un lugar independiente sin acceso de personal. Esto evita posibles robos de informacin por desmantelamiento. Se debe definir un protocolo de acceso al servidor en el que se prevea: o Acceso al personal de limpieza o Acceso al personal de mantenimiento edilicio o Acceso al personal de mantenimiento del servidor
Calidad de componentes: La calidad de componentes es indispensable para asegurar el funcionamiento continuo de los equipos, ms aun de los servidores. Se propone algunas pautas bsicas o Comprar servidores de marca de lneas avanzadas con certificaciones de calidad o Si no es posible acceder a servidores de marca comprar servidores clones (No PC clones) que cuenten con componentes de marca. Ingeniera & Software puede asesorarlo en la compra de su hardware. No dude en enviarnos un detalle de los elementos con que cuenta el servidor, como as tambin imgenes del gabinete, para que podamos asesorarlo adecuadamente. o Compre dispositivos de entrada/salida de calidad: Los monitores, los teclados y los mouse son los elementos que ud y sus empleados trabajan diariamente y el mal funcionamiento de ellos hace que su sistema no funcione o bien que sus datos se pierdan (Teclas que no hacen lo correcto o el monitor deja de funcionar cuando ud debe grabar). Estos elementos son los que sufren mayor desgaste y suelen dificultar las tareas normales cuando se rompen o envejecen. No dude en consultarnos envindonos un detalle de los equipos que estn por adquirir, esto nos permitir darle nuestro punto de vista. Renovacin de equipos: Los equipos de los usuarios solo se renovaran, si estos no cumplen las caractersticas mnimas, que su trabajo lo
22
requiera o que las condiciones del equipo no permitan trabajar al usuario. Discos Rgidos: Los discos rgidos son los dispositivos donde se almacena su informacin. Se caracterizan por ser uno de los elementos con mayor cantidad de componentes mecnicos. Esto redunda en un riesgo de rotura, que si bien no es significativo, se debe tener en cuenta. Por ello recomendamos para los servidores la siguiente configuracin mnima: o Un disco rgido para Sistema Operativo. o Un disco para Base de datos. o Un disco para Archivo LOG. o Un disco para Archivos de Datos: Documentos, Planillas de clculo y otros. o Un Disco de Resguardo.
Identificacin del incidente El usuario que sospeche o tenga conocimiento de la ocurrencia de un incidente de seguridad informtica deber reportarlo a CGTIC lo antes posible, indicando claramente los datos por los cuales lo considera un incidente de seguridad informtica. Cuando exista la sospecha o el conocimiento de que informacin confidencial o reservada ha sido revelada, modificada, alterada o borrada sin la autorizacin de las unidades administrativas competentes, el usuario informtico deber notificar al rea de CGTIC. Los incidentes en los que caen los usuarios deben ser reportados directamente a Service desk de CGTIC. Los empleados de la CGTIC tambin deben reportar incidentes a mesa de servicio Manteniendo el protocolo de reporte de incidentes y solicitudes de servicio Administracin de la configuracin Los usuarios no deben establecer redes de rea local, conexiones remotas a redes internas o externas, intercambio de informacin con otros equipos de cmputo utilizando el protocolo de transferencia de archivos (FTP, SSH), u otro tipo de protocolo para la transferencia de informacin empleando la infraestructura de red de la Coordinacin General Administrativa, sin la autorizacin de CGTIC Seguridad para la red
23
Ser considerado como un ataque a la seguridad informtica y una falta grave, cualquier actividad no autorizada por CGTIC, en la cual los usuarios realicen la exploracin de los recursos informticos en la red, as como de las aplicaciones que sobre dicha red operan, con cualquier fin. Uso del Correo electrnico Los usuarios no deben usar cuentas de correo electrnico asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien ms (mientras esta persona se encuentre ausente) el usuario ausente debe re direccionar el correo a otra cuenta de correo interno, quedando prohibido hacerlo a una direccin de correo electrnico externa a la UAdeC, a menos que cuente con la autorizacin de CGTIC. Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin de propiedad de la Universidad. Los mensajes de correo electrnico deben ser manejados como una comunicacin privada y directa entre emisor y receptor. Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnico siempre y cuando vayan de manera encriptada y destinada exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrnico. Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las comunicaciones electrnicas. Controles contra cdigo malicioso Los usuarios de la CGADM deben verificar que la informacin y los medios de almacenamiento, estn libres de cualquier tipo de cdigo malicioso, para lo cual deben ejecutar el software antivirus autorizado por la UAdeC. Todos los archivos de computadora que sean proporcionados por personal externo o interno considerando al menos programas de software, bases de datos, documentos y hojas de clculo que tengan que ser descomprimidos, el usuario debe verificar que estn libres de virus utilizando el software antivirus autorizado antes de ejecutarse. Ningn usuario, empleado o personal externo, podr bajar o descargar software de sistemas, boletines electrnicos, sistemas de correo electrnico, de mensajera instantnea y redes de comunicaciones externas, sin la debida autorizacin Cualquier usuario que sospeche de alguna infeccin por virus de computadora, deber dejar de usar inmediatamente el equipo y reportar el incidente.
24
Los usuarios no debern alterar o eliminar, las configuraciones de seguridad para detectar y/o prevenir la propagacin de virus que sean implantadas por la UAdeC en: Antivirus, Outlook, Office, Navegadores u otros programas. Queda estrictamente prohibido que el usuario intente retirar cdigo malicioso de su equipo a excepcin de que exista una previa autorizacin por parte de la CGTIC, esto incluye al personal de la CGTIC. Internet El acceso a Internet provisto a los usuarios de la UAdeC es exclusivamente para las actividades relacionadas con las necesidades del puesto y funcin que desempea. Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por CGTIC, en caso de necesitar una conexin a Internet especial, sta tiene que ser notificada y aprobada. Los usuarios de Internet de la UAdeC tienen que reportar todos los incidentes de seguridad informtica a mesa de servicio inmediatamente despus de su identificacin, indicando claramente que se trata de un incidente de seguridad informtica. Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que: Sern sujetos de monitoreo de las actividades que realiza en Internet. Saben que existe la prohibicin al acceso de pginas no autorizadas. Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados. Saben que existe la prohibicin de descarga de software sin autorizacin previa La utilizacin de Internet es para el desempeo de su funcin y puesto y no para propsitos personales.
POLTICAS Y ESTNDARES DE CONTROLES DE ACCESO LGICO Poltica Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario y contrasea necesarios para acceder a la informacin y a la infraestructura tecnolgica de la UAdeC, por lo cual deber mantenerlo de forma confidencial. El permiso de acceso a la informacin que se encuentra en la infraestructura tecnolgica de la UAdeC, debe ser proporcionado por el dueo de la informacin, con base en el principio de la necesidad de saber el cual
25
establece que nicamente se debern otorgar los permisos mnimos necesarios para el desempeo de sus funciones. Controles de acceso lgico Todos los usuarios de servicios de informacin son responsables por el de usuario y contrasea que recibe para el uso y acceso de los recursos. Todos los usuarios debern autenticarse por los mecanismos de control de acceso predefinido antes de poder usar la infraestructura tecnolgica de la UAdeC. Los usuarios no deben proporcionar informacin a personal externo, de los mecanismos de control de acceso a las instalaciones e infraestructura tecnolgica de la UAdeC, a menos que se tenga el visto bueno del dueo de la informacin y de CGTIC y la autorizacin del departamento donde tendr acceso el personal externo. Cada usuario que acceda a la infraestructura tecnolgica de la UAdeC debe contar con un identificador de usuario (UserID) nico y personalizado. Por lo cual no est permitido el uso de un mismo UserID por varios usuarios, el userID es su nmero de empleado. Los usuarios son responsables de todas las actividades realizadas con su identificador de usuario (UserID). Los usuarios tienen prohibido utilizar el UserID de otros usuarios. Administracin de privilegios Cualquier cambio en los roles y responsabilidades de los usuarios debern ser notificados a CGTIC, para el cambio de privilegios, previamente autorizado formalmente en la universidad
26
Equipo en espera Los usuarios debern mantener sus equipos de cmputo con controles de acceso como contraseas y protectores de pantalla universitarios, cuando no se encuentren en su lugar de trabajo. Administracin y uso de contrasea La asignacin de contraseas debe ser realizada de forma individual, por lo que el uso de contraseas compartidas est prohibido. Cuando un usuario olvide, bloquee o extrave su contrasea esto aplica para sus clientes Oracle, Sesin de Windows y funciones del SIIA, debe levantar una solicitud de servicio para que se le proporcione una nueva contrasea. Est prohibido que las contraseas se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos, Est prohibido enviar por correo electrnico la contrasea, incluso a s mismo. Sin importar las circunstancias, las contraseas nunca se deben compartir o revelar. Hacer esto responsabiliza al usuario que prest su contrasea de todas las acciones que se realicen con el mismo. Todo usuario que tenga la sospecha de que su contrasea es conocido por otra persona, deber cambiarlo inmediatamente. Los usuarios no deben almacenar las contraseas en ningn programa o sistema que proporcione esta facilidad, ni permitir que el sistema la recuerde. Control de accesos remotos La administracin remota de equipos conectados a Internet no est permitida, salvo que se cuente con el visto bueno y con el mecanismo de control de acceso seguro autorizado por el dueo de la informacin y CGTIC. POLTICAS Y ESTNDARES DE CUMPLIMIENTO DE SEGURIDAD INFORMTICA Poltica CGTIC tiene como una de sus funciones la de proponer y revisar el cumplimiento de normas y polticas de seguridad, que garanticen acciones preventivas y correctivas para la salvaguarda de equipos e instalaciones de cmputo, as como de bancos de datos de informacin automatizada en general. Derechos de propiedad intelectual Los sistemas desarrollados por personal interno o externo que controle la CGTIC son propiedad intelectual de la CGTIC.
27
Revisiones del cumplimiento CGTIC realizar acciones de verificacin del cumplimiento del Sistema de gestin de seguridad de la informacin Se podrn implantar mecanismos de control que permitan identificar tendencias en el uso de recursos informticos del personal interno o externo, para revisar la actividad de procesos que ejecuta y la estructura de los archivos que se procesan. El mal uso de los recursos informticos que sea detectado ser reportado conforme a lo indicado en la poltica de Seguridad de Personal. Los jefes y responsables de los procesos establecidos deben apoyar las revisiones del cumplimiento de los sistemas con las polticas y estndares de seguridad informtica apropiadas y cualquier otro requerimiento de seguridad. Violaciones de seguridad Informtica Est prohibido el uso de herramientas de hardware o software para violar los controles de seguridad informtica. A menos que se autorice por el rea de Tecnologas de la Informacin. Ningn usuario de la UAdeC debe probar o intentar probar fallas de la Seguridad Informtica o conocidas, a menos que estas pruebas sean controladas y aprobadas por el Coordinacin general de Tecnologas de la Informacin. No se debe intencionalmente escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o intentar introducir cualquier tipo de cdigo (programa) conocidos como virus, gusanos o caballos de Troya, diseado para auto replicarse, daar o afectar el desempeo o acceso a las computadoras, redes o informacin. MANTENIMIENTO PREVENTIVO El mantenimiento preventivo de los equipos se llevara acuerdo a los SLAs establecidos segn su impacto en la organizacin adecundose al proceso correspondiente al tipo de mantenimiento preventivo y apegndose a SGSI para implementar los recursos de seguridad necesarios para trabajar adecuadamente. Mantenimiento preventivo Semestral: Este mantenimiento se realizara de manera semestral siguiendo los siguientes pasos. 1. Notificacin por parte de la CGTIC a los departamentos de la universidad para informar la fecha en la que sern visitados para su mantenimiento preventivo 2. Una vez organizado el calendario de actividades y notificado a los directores de departamento de cada rea se procede a realizar el mantenimiento preventivo.
28
3. El da de la fecha del mantenimiento, se levanta el incidente respectivo al proceso de mantenimiento en la cual la empresa realizara las siguientes acciones de limpieza. Monitor CPU Teclado Mouse
4. Reinstalacin y actualizacin de software institucional 5. Limpieza de registros, cookies e historial 6. Una vez realizado el mantenimiento de cada equipo se procede a su revisin por parte del usuario de que todo funcione correctamente y este dar su firma de conformidad dentro de la bitcora de conformidad. Esta firma se realizara por cada usuario que reciba dicho mantenimiento. 7. Cuando se finaliza todo el mantenimiento se procede al escaneo de la bitcora de firmas para poder subirla al incidente digitalmente y se procede al cierre de la solicitud de servicio. Mantenimiento Preventivo. Este mantenimiento se llevara a cabo cuando se detecten posibles fallas en los equipos ya sea de software y hardware en los cuales se levantara el incidente con la descripcin del cul podra ser el posible problema y una vez corregido el problema se procede al cierre del incidente una vez solucionando el mismo. 1. Se notifica algn posible problema, o posible error dentro de algn equipo. 2. Se levanta el incidente dentro del sistema Manage Engine Service Desk. 3. Se procede a verificar el posible problema o la amenaza que pueda provocar un problema en el futuro. 4. Se procede hacer el anlisis de la situacin para solventar el posible problema y as evitar futuras complicaciones. 5. Una vez s que all resuelto la posible amenaza se procede a realizar el cierre del incidente. Nota: Cuando nos referimos a amenazas futuras, hacemos referencia a lentitud en los equipos, falta de memoria, falta de espacio en disco duro etc., Esto
29
significa que la amenaza no est afectando el funcionamiento completamente del equipo, pero puede que en algn momento lo haga. MANTENIMIENTO CORRECTIVO Este mantenimiento se realiza cuando all fallas de software y/o hardware dentro de los equipos de la coordinacin de la universidad y se procede a su reparacin, siguiendo los siguientes pasos. 1. Se reporta al Service Desk, acerca de alguna solicitud de servicio 2. Se levanta la solicitud dentro del sistema Manage Engine Service Desk. 3. Se procede a verificar el problema dentro del equipo 4. Se procede al diagnstico y reparacin del equipo (En caso de que el equipo necesite alguna pieza que se all daado esta se gestionara con el rea de adquisiciones) 5. Se procede a la reparacin del equipo. 6. Se prueba la funcionabilidad del equipo por el rea de soporte. 7. Se prueba la funcionabilidad del equipo por parte del usuario 8. Una vez probado el equipo y si el usuario est satisfecho con el servicio se procede al cierre de la solicitud. MANEJO DE Service Desk El Software conocido como Manage Engine Service Desk, tiene la capacidad de manejar tickets suscitados, y su implementacin tiene la finalidad de llevar el registro de problemas o fallas dentro de la misma coordinacin y a la vez poder generar reportes e indicadores de los mismos.
30
Vista de la ventana para incidentes. Puntos a seguir para el registro de incidente: 1. Tipo de Solicitud. Incidente Solicitud de Servicio Cambio 2. Estado de la solicitud. Cerrado Abierto En espera Resuelto 3. Modo de solicitud. E-mail Llamada Telefnica Personal Va Web
4. Nombre del usuario solicitante. En este punto se agrega el nombre con la falla o el problema. 5. Tcnico. Es el responsable de resolver el problema en cuestin. 6. Prioridad. Alta Baja Media Normal Sin tiempo de respuesta 7. Categora. Tipos de problemas que se atienden dentro de la CGTIC Correo (Exchange, Outlook) General
31
Hardware(Problemas fsicos dentro de cualquier equipo) Impresin (Problemas para imprimir en cualquier impresora) Otros (Problemas que no entran en ninguna de estas categoras que se especifican dentro de los incidentes) Red (Problemas red dentro de piso 4) Software (Problemas de programas instalados en los equipos) Solicitud (Cualquier solicitud que no es un problema.) Telefona (Problemas dentro de telefona local o celular) 8. Asunto. Es una descripcin muy pequea del problema 9. Descripcin. Es la descripcin detallada del problema El usuario levanta un requerimiento, al service desk en cualquiera de sus maneras, E-mail, llamada telefnica, personal o Web. Informando sobre la situacin de su requerimiento y este lo clasifica e informa sobre su solicitud. Evalua el impacto y urgencia y manda un ID de su requerimiento, informando cuanto tiempo tiene CGTIC para resolver su problema. Se trabaja segn el procedimiento de su requerimiento. Se espera la aceptacin del cliente y cerrar el requerimiento.
32
Correo Electrnico Prembulo El servicio de Correo Electrnico Universitario es proporcionado por la Coordinacin General de Tecnologa de Informacin y Comunicaciones de la Universidad Autnoma de Coahuila (CGTIC-UAdeC). Este servicio se proporciona a: acadmicos, investigadores, administrativos y alumnos, evaluando los recursos disponibles para la adquisicin de una cuenta de correo electrnico, bajo lineamientos y condiciones que en este documento de expresan. Informacin acerca del servicio de Correo Electrnico Es responsabilidad de la persona titular de una cuenta de correo: Este servicio se proporciona a: acadmicos, investigadores, administrativos y alumnos, evaluando los recursos disponibles para la adquisicin de una cuenta de correo electrnico, bajo lineamientos y condiciones que en este documento de expresan. Informacin acerca de la cuenta de Correo Electrnico. Es responsabilidad de la persona titular de una cuenta de correo: Mantener la confidencialidad. Utilizarla correctamente.
33
Implementar mecanismos de seguridad para mantener la integridad de su Informacin. No transferir la cuenta por ningn motivo. Cerrar totalmente su sesin de lectura y envo de correos para evitar el uso de su identidad. Cambiar peridicamente su clave de acceso utilizando de preferencia combinaciones letras maysculas y minsculas, signos de puntuacin, nmeros y caracteres especiales. Si detecta actividades irregulares favor de reportarlas a [email protected]. Administrar la capacidad de su cuenta de correo, la cual est compuesta de 2 GBytes para su buzn y 10 MBytes para envo y recepcin de archivos adjuntos. Pertenecer a una lista de correos en la cual enviaremos avisos de distinta ndole, siempre relacionados con nuestra casa de estudios. El servicio de correo electrnico no tiene ningn costo para acadmicos, investigadores, administrativos y alumnos de la U.A. de C. Normatividad. No transmitir Informacin cuyo contenido afecte la privacidad y moral de terceros. No transmitir Informacin cuyo contenido se ofensivo. Evitar transmitir Informacin que afecte derechos de autor, marcas o patentes. Evitar suplantar y falsificar la identidad de otra persona. No enviar mensaje no solicitados o autorizados, con promociones, cadenas o solicitudes. No enviar archivos adjuntos por correo con virus, programas o cdigos maliciosos. La Informacin transmitida es responsabilidad nica y exclusivamente del titular de la cuenta de correo electrnico institucional. Si recibe Informacin cuyo contenido sea ofensivo o malicioso en ningn caso es responsabilidad de la CGTIC-UAdeC. Es total responsabilidad del usuario respaldar la informacin que a su juicio sea vital. La CGTIC-UAdeC se reserva el derecho de proporcionar o revelar el contenido de algn mensaje si lo considera necesario para cumplir con procesos legales o para responder a quejas de terceras personas. El usuario deslinda a la CGTIC-UAdeC de cualquier actividad que perjudique a usuarios de nuestra institucin o cualquier entidad. a los equipos. Por razones administrativas. Por causas de fuerza mayor.
Telefona Propsito: Esta poltica tiene como propsito normar el uso de la Red Telefnica Universitaria en la
34
UAdeC, asegurando su uso apropiado de acuerdo a los fines acadmicos y administrativos de la misma. Alcance: Esta poltica aplica para todas las escuelas, facultades, institutos y dependencias de la UAdeC, as como a todos los trabajadores, maestros, investigadores, alumnos, contratistas, personal temporal e invitados, quienes hagan uso de la servicios provistos por la CGTIC Autoridad: De acuerdo a la Poltica de Gobernabilidad de Tecnologas de Informacin y Comunicaciones , el Coordinador de la CGTIC tiene la autoridad para establecer polticas, procedimientos, estndares, reglamentos y comunicados referentes al uso y adquisicin de tecnologas de la informacin Poltica: Todas las escuelas, facultades, institutos y dependencias de la UAdeC debern de adoptar e implementar esta poltica como parte de su normatividad interna, avalada por el Director de la escuela, facultad, instituto o dependencia y por los consejos directivos segn sea el caso. Limitantes de llamadas personales: Las llamadas personales utilizando telfono de la universidad con telfonos de escritorio, inalmbricos o faxes debern cumplir con los siguientes requerimientos como mnimo. Las llamadas personales realizadas o recibidas debern ser preferentemente en situaciones de emergencia. Las cantidad, frecuencia y tiempo de las llamadas personales deben de ser mantenidas al mnimo necesario Las llamadas personales de larga distancia realizadas desde la lnea telefnica de la UAdeC sern cobradas al empleado que la realiz va descuento de nmina y de acuerdo a los procedimientos de la Tesorera General y Oficiala Mayor Estn prohibidas las llamadas personales para operar un negocio propio, as mismo los empleados no debern dar su nmero telefnico o extensin para dichos motivos. Llamadas prohibidas: Los siguientes tipos de llamadas quedan estrictamente prohibidas.
35
Llamadas por cobrar a la UAdeC. Llamadas a nmeros de paga (01-900). Llamadas para colectas de dinero con cualquier propsito, a excepcin de las autorizadas por la Rectora de la UAdeC. Llamadas de larga distancia y a nmeros de telfonos mviles: Este tipo de llamadas se permiten bajo un permiso el cual debe ser solicitado a la CGTIC mediante un oficio, Dichas peticiones sern turnadas a la Tesorera General para su autorizacin. En caso de ser autorizada la peticin, se otorgar una clave personal, por lo que el usuario con dicho Permiso deber apegarse al reglamento de firma electrnica. Adquisicin de telfonos fijos y/o inalmbricos para uso con la lnea de la UAdeC : Todas las escuelas, facultades, institutos y dependencias de la UAdeC que tengan y hagan uso de la lnea telefnica, al momento de adquirir aparatos telefnicos que sern conectados a dicha red Debern notificar al departamento CGTIC. Instalacin y/o ampliacin del servicio de lnea telefnica: Para cualquier crecimiento de la lnea, el responsable de la dependencia, escuela, facultad o instituto deber solicitarlo mediante oficio dirigido a la CGTIC. Dicha solicitud ser evaluada y en caso de ser factible, se entregar un presupuesto del costo de la ampliacin o instalacin, el cual ser cubierto por la dependencia, escuela, facultad o instituto que lo solicita. Instalacin o uso de telfonos no autorizados: Queda estrictamente prohibido Instalar, conectar fsicamente o de manera inalmbrica cualquier tipo de telfono sin la previa autorizacin de la CGTIC. Sistema de Respuesta de Voz Interactivo: Toda peticin para programar algn servicio de la UAdeC a travs del IVR deber ser solicitada mediante oficio a la CGTIC para su evaluacin, de ser factible la solicitud, se entregar un presupuesto del costo de la programacin, el cual ser cubierto por la dependencia, escuela, facultad o instituto que lo solicita. Sanciones: La violacin de esta poltica podr resultar en medidas disciplinarias o faltas
36
contractuales que pueden causar la rescisin de contratos en caso de ser trabajador, proveedor o contratista de la UAdeC. As mismo podrn ser sujetos a las acciones civiles o Penales como resultado del mal uso o uso inapropiado de la lnea telefnica. Cumplimiento: Todas las dependencias, escuelas, facultades e institutos debern asegurarse que tanto empleados, maestros, alumnos e investigadores conozcan y cumplan esta poltica. 11.4.10. Registros: La CGTIC a travs del Coordinador Interno de Calidad deber mantener el registro y control de esta poltica. 12Redes Inalambricas 1. Propsito: Normar el buen uso del acceso inalmbrico a la red de internet de la Universidad Autnoma de Coahuila. 2. Alcance: Esta poltica est dirigida a todos los usuarios de la UAdeC con actividades propias de la Universidad que cuenten con un dispositivo para conexin a Internet mediante tecnologa inalmbrica. 3. Autoridad: De acuerdo a la Poltica de Gobernabilidad de Tecnologas de Informacin y Comunicaciones, el Coordinador de la CGTIC tiene la autoridad para establecer polticas, procedimientos, estndares, reglamentos y comunicados referentes al uso y adquisicin de tecnologas de la informacin La UAdeC a travs de sus autoridades tiene el derecho de presentar alguna queja ante la oficina del Abogado General y de ser necesario emprender acciones legales ante las instancias judiciales correspondientes, en caso de detectar y comprobar el mal uso del AIRE-i por algn miembro de la comunidad Universitaria o bien persona ajena a la misma, que en su momento se encontrara haciendo uso indebido del AIRE-i. 4. Poltica.
37
El AIRE-i est disponible mediante autentificacin con correo electrnico Institucional para todos los USUARIOS con actividades propias de la Universidad. El servicio de AIRE-i es slo para navegar a sitios disponibles en Internet al exterior e interior de la UAdeC La CGTIC tiene el derecho de desconectar cualquier dispositivo que se encuentre utilizando el AIRE-i por las siguientes razones: El dispositivo est generando trfico inusual sobre AIRE-i. El usuario est haciendo uso indebido y/o malicioso de AIRE-i. Es responsabilidad del usuario la configuracin, mantenimiento y proteccin de su dispositivo para la conexin a AIRE-i. El alcance y responsabilidad de AIRE-i es el proveer la funcionalidad del enlace de comunicaciones inalmbricas a Internet. Es recomendable que todo dispositivo que se conecte a AIRE-i cuente con: Antivirus actualizado, ltimas actualizaciones de seguridad para el sistema operativo y firewall personal habilitado. La UAdeC no se hace responsable por ningn dao que pueda recibir un dispositivo conectado AIRE-i . El servicio de AIRE-i est sujeto a: La disponibilidad de conexiones, la disponibilidad del enlace a Internet por parte del proveedor y al ancho de banda contratado por la UAdeC. Cualquier otra situacin no contemplada en este documento ser resuelta por la CGTIC en su momento y usando los medios pertinentes. Es responsabilidad del usuario la configuracin, mantenimiento y proteccin de su dispositivo para la conexin a AIRE-i. El alcance y responsabilidad de AIRE-i es el proveer la funcionalidad del enlace de comunicaciones inalmbricas a Internet. Es recomendable que todo dispositivo que se conecte a AIRE-i cuente con: Antivirus actualizado, ltimas actualizaciones de seguridad para el sistema operativo y firewall personal habilitado. La UAdeC no se hace responsable por ningn dao que pueda recibir un dispositivo conectado AIRE-i . El servicio de AIRE-i est sujeto a: La disponibilidad de conexiones, la disponibilidad del enlace a Internet por parte del proveedor y al ancho de banda contratado por la UAdeC. Cualquier otra situacin no contemplada en este documento ser resuelta por la CGTIC en su momento y usando los medios pertinentes. Controles:
38
Esta seccin del sistema de gestin de seguridad de la informacin contiene informacin para uso exclusivo del personal autorizado de la CGTIC, y la informacin postrada en esta seccin debe ser tratada con carcter de confidencial, Si recibe esta informacin y no tiene autorizacin por parte de la CGTIC, favor de destruirlo inmediatamente y notificarlo de inmediato a CGTIC. Controles: CGTIC presenta los procedimientos para que su personal mantenga una manera estndar de manejar los software, hardware, sistemas de seguridad, procedimientos y seguros fsicos, cualquier otro procedimiento relacionado con seguridad de la informacin. 13.1 Barracuda Firewall: Barracuda firewall es una solucin integrada de software y hardware diseada para proteger nuestro servidor de correo electrnico de correos no deseados, filtrado de informacin, pishing, ataques de spyware. Se aprovechan 12 capas de defensa para impartir las capacidades de defensa en ambientes corporativos.
Se anexa tutorial para uso de clientes dirigido a los usuarios. Anexo 1 Se anexa tutorial de instalacin de Barracuda Firewall para los tcnicos REFOG Employee Monitor Anexo 2
39
El programa Refog Employee Monitoring es una herramienta muy eficaz para abordar el problema de productividad baja de los empleados al proteger su compaa de vulneraciones de seguridad y empleados poco concienzudos El programa Refog Employee Monitoring registra y monitorea la actividad de sus empleados y le proporciona acceso local y remoto a los registros de los empleados y pantallas de ordenadores en tiempo real. Nuestra solucin es un programa que se instala en un par de minutos y no requiere ms equipo que un
40
simple ordenador. No hay que tener habilidades especiales de comando ni tampoco ser experto en vigilancia para configurar correctamente y manejar el programa Refog Employee Monitoring. Aumente la productividad de empleados Vigilancia distante en tiempo real Guarda capturas de pantalla y pulsaciones de teclas Se anexa tutorial para uso e instalacin para los tcnicos para Refog Employee Monitor El tcnico debe utilizar esta herramienta estrictamente para situaciones laborales, El uso inadecuado de esta herramienta se considera delito informatico. El usuario ser notificado del acceso a su ordenador inmediatamente despus del uso de su equipo. Las capturas de pantalla conseguidas por este software son para uso exclusivo de los procesos de calidad y CGTIC, La informacin se lleva al servidor mas cercano para su resguardo. BlockProgram BlockProgram es una nueva generacin de filtro con la funcin de control de pginas WEB. La caracterstica distintiva de este filtro es su capacidad para bloquear blasfemias, malas palabras y expresiones (que suman ms de 9500) en los sitios web, navegadores de Internet y programas, dejando intacto el contenido principal. Por otra parte, el BlockProgram filtro de contenido no utiliza una base de datos de URL prohibidas y pginas web de los bloques y material pornogrfico por el reconocimiento de palabras clave (nmeros ms entonces 3500), bloqueando as el 99,999% de dichos sitios Web y las pginas. En vista del hecho de que los sitios de millones de nuevos "para adultos" y Anonimizadores (web-proxy) surgen en Internet cada mes, las palabras clave bloqueo es una ventaja evidente sobre los filtros de internet. BlockProgram no interfiera con el trabajo no permite que el contenido no deseado aparezca en el ordenador . El objetivo principal es BlockProgram contenido no deseado bloqueado. Ventajas:
41
Fcil y simple de instalar y personalizar; Conjunto simple y eficaz para el control parental; El programa de ejecucin automtica en el momento de la carga de Windows; Trabajo perfectamente encubierto para todos los usuarios en el equipo; Palabras clave diccionarios creado por lingistas profesionales durante fundamento del proyecto. En la actualidad, los diccionarios son ocupados por los usuarios del programa. Volumen total vocabularios en la actualidad hace ms de 14.000 palabras y frases de distintos idiomas; Un algoritmo nico para reconocer y bloquear blasfemias. En la actualidad el jurar diccionario contiene ms de 8600 palabras palabras y expresiones; BlockProgram no se puede evitar con anonymizers y proxy https (bloqueo por palabra clave); No es necesario conectar con el servidor para el trabajo; No hay necesidad de recordar contraseas porque hay caractersticas de seguridad de Windows; Carga mnima de la CPU; Opiniones reales y recomendaciones de los usuarios; Listo para nuevas redes y nuevas tecnologas (IPv6 IPsec).
AUTOBACKUP
AutoBackup es un software de respaldo automtico de datos computacionales que resuelve completamente el problema de respaldos de documentos, emails y bases de datos en forma diaria y "en caliente":
Que no requiere que usted interrumpa su trabajo. El software AutoBackup prcticamente no ocupa recursos de su computador en su tarea diaria. Que no obliga a dedicar tiempo a la tarea de hacer backup. AutoBackup corre como un servicio de ejecucin automtica. Que resguarda su informacin diariamente
42
Que guarda slo sus datos importantes. Su verstil configuracin permite evitar el respaldo de informacin sin valor como msica MP3, videos y juegos.
Respaldo Externo: El sistema puede ser configurado para respaldar contra nuestros servidores, en cuyo caso se mantienen tres copias de cada archivo respaldado en servidores fsicamente separados. Respaldo Interno de Redes: AutoBackup permite respaldar todas las estaciones de trabajo a un servidor comn o PC contra PC. Incluso es posible respaldar a un servidor remoto utilizando su protocolo TCP/IP. Respaldo de PC nica: Realiza automticamente respaldos en su propia PC y deja listo los archivos para ser grabados en CD, Zip Drive u otro dispositivo externo
toma los datos que usted haya indicado, documentos, Emails, bases de datos etc.; monitorea diariamente, buscando datos nuevos o modificados; encripta estos archivos, codificndolos con llaves de encriptacin inviolables. Las claves le pertenecen a usted, y quedan slo en su poder. luego, comprime la informacin reduciendo su volumen en bytes, inclusivo cuando las bases originales de emails (PST o DBX) pesan gigabyts. Esta operacin aumenta la rapidez del envo y le ahorra a usted costos de almacenamiento enva sus datos encriptados y comprimidos a un servidor remoto aprovechando su conexin Internet
HAURI Antivirus Las soluciones Antivirus de Hauri poseen caractersticas nicas que lo diferencian de sus competidores. Su motor ViRobot, es el nico capaz de reparar archivos infectados por virus de alto riesgo (KLEZ, ElKern, Nimda, FunLove, etc).
43
ViRobot Professional posee tres motores de deteccin en vez de uno. Los motores trabajan independientemente y concurrentemente para rastrear el sistema en busca de actividades maliciosas. Dada a esta nica caracterstica del software, podemos entregar escaneos ms rpidos y precisos que nuestros competidores. ViRobot Professional = ViRobot Engine (Simple Viruses) + MacRobot Engine (Macro Viruses) + JavaRobot Engine (Java & ActiveX viruses) Gracias a esta tecnologa, ViRobot no necesita herramientas de desinfeccin adicionales y de terceros en caso de una infeccin a gran escala dentro de la organizacin. Su consola de administracin centralizada entrega las herramientas necesarias para mantener las actualizaciones al da, realizndolas mnimo tres veces a la semana, en forma automtica e incremental, optimizando el ancho de banda de la organizacin y minimizando el trfico en la red. Adems, posee herramientas para realizar reportes como: Ranking de Mquinas infectadas Ranking de virus en la organizacin Ranking de Usuarios ms infectados (por grupo, dominio o en gral.) Reporte de actualizaciones uniformes Inventario de Hardware de las PC Inventario de Software de las PC
INSTALACIN 1. Requerimientos para instalar la SOLUCION de SEGURIDAD para la INFRAESTRUCTURA de CMPUTO de la U.A. de C., en clientes-estaciones de trabajo. Para instalar esta versin de Solucin de Seguridad de HAURI, los clientesestaciones de trabajo deben tener plataforma Windows 95/98/2000PRO/XP/Windows VISTA. La instalacin en lnea requiere Microsoft Internet Explorer (v. 6.0 o mayor). 2. Notas y Recomendaciones De acuerdo a las Polticas de seguridad de la Universidad, se realiza la instalacin de solucin de seguridad a los equipos administrativos y acadmicos que se encuentran conectados a la red Institucional, siendo responsabilidad de los usuarios mantener en operacin dicha solucin y de la Coordinacin General de Tecnologas de Informacin y comunicaciones la actualizacin de las definiciones que permiten mantener actualizado dicho antivirus. Para obtener un mejor rendimiento y seguridad, los equipos debern estar exentos de aplicaciones gratuitas, no registradas y de comunicacin textual (icq,mirc,messenger entre otros). Si usted tiene alguna duda o
44
aclaracin, o desea reportar fallas de la pgina web, escriba a: [email protected] 3. Comenzar la instalacin. De acuerdo a su Unidad seleccione la instalacin en lnea: Instalacin disponible en das hbiles (L-V) Unidad Saltillo | Saltillo Unidad Norte | Monclova - Piedras Negras - Acua - Nueva Rosita - Allende Unidad Torren | Torren | San Pedro Despus presione el botn "instalar" "install" que se muestra en su unidad correspondiente. La instalacin remueve el anterior programa de antivirus, configura automticamente los parmetros y toma pocos minutos. 4. Al trmino de la instalacin. En su equipo de cmputo, aparecern 2 iconos que corresponden al antivirus y la herramienta de gestin de seguridad. De manera automticamente el producto estar actualizado. Acceso fsico a los Servidores El acceso fsico a los servidores debe ser notificado con un mnimo de 1 da de anticipacin a excepto que sea una urgencia. Para tener acceso a los centros de datos se debe tener autorizacin firmada por Gerencia de TI, en caso de ausencia firma del administrador de la base de datos. Se firmara de hora de entrada y salida del acceso fsico a servidores portando en todo momento su identificacin oficial, y el equipo de seguridad para que no corra ningn riesgo el tcnico ni tampoco el equipo que estn manipulando. Despus de identificar los controles necesarios llegamos a la 2da etapa del SGSI, implementacin para esto se crea un programa de implementacin, capacitacin del usuario, Planes del monitoreo, mejora continua.
45
15. Capacitacin de usuarios y procedimientos de TI Se realizara una capacitacin con los usuarios adscritos de TI en sectores. Unidad Saltillo: 1/8/13 al 10/8/13 Unidad Torren: 12/8/13 al 18/8/13 Unidad Carbonfera 20/8/13 al 24/8/13 Otros Sectores: 26/8/13 al 30/8/13 KPI: Los KPIs deben ayudar a definir y medir el progreso hacia los objetivos del SGSI. Tienen que mostrar si la empresa est consiguiendo sus propsitos en el sistema. Los KPI utilizados son los siguientes: Mantenimientos correctivos mensuales Intento de ataques informticos generaron dao
46
Intento de ataques informticos se identificaron y bloquearon oportunamente Incidentes vs Solicitud de servicio Alertas de uso inadecuado de correo electrnico Satisfaccin del cliente Quejas del cliente de fallos de seguridad Suspensin de servicio telefnico (Down Time) Suspensin de servicio e-mail (Down Time) Suspensin de servicio internet (Down Time) Monitores y control Aceptacin del usuario al antivirus institucional Ranking de Mquinas infectadas Ranking de virus en la organizacin Ranking de Usuarios ms infectados (por grupo, dominio o en gral.) Reporte de actualizaciones uniformes
47