2. Tecnologas de la Informacin.

2.1 Proyectos de Ejecucin.

2014
No Aplica
- La Unidad de Informtica solo
realizo Acciones de Consultora y
Asesoramientos.

2015
1. Mejoramiento Sala de
Servidores:
- Mejorar sistema de Aire
Acondicionado (Disminuir
temperatura actual 27C a
16C).
- Controlar Fugas de Aire de la
Sala
- Reestructuracin Cableado
Estructurado.
- Organizacin Cableado
Elctrico.
2. Reestructuracin Cableado
Estructurado (Red de Datos)
CORMUCENA. Segmentadas por
Unidad.
3. Implementar Controlador de
Dominio (Controlar Accesos a la
Red).
4. Reconfigurar Enlaces de datos
entre los Establecimientos
Educacionales y Cormucena.
5. Implementar sistema de
control de inventario.

2.2 Plan de Compras Autorizado.

2014
No Aplica
- La Unidad de Informtica solo
realizo Acciones de Consultora y
Asesoramientos.

2015
No Aplica

2.3 Inventarios de Bienes TI y Softwares. (Anexo1 Impreso)

a) Establecimientos Educacionales:
b) Centros de Salud
c) Administracin Central
d) Software
2.4 Procedimiento de Seguridad de la Informacin.
Justificacin
La Informacin y los equipos informticos son recursos importantes y
vitales para nuestra corporacin. Sin ellos todo proceso sera ms
lento y complejo mantener un orden, Por esta razn es nuestro deber
de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben
tomar las acciones apropiadas para asegurar que la informacin y los
sistemas informticos estn apropiadamente protegidos de muchas
clases de amenazas y riesgos tantos informticos como sociales
(fraudes, sabotajes, extorsin, violacin de la privacidad, intrusos,
hackers, interrupcin de servicios y accidentes).
La informacin perteneciente a la corporacin debe protegerse de
acuerdo a su valor e importancia. Debe emplearse medidas de
seguridad sin importar como la informacin se guarda (papel o
electrnicamente) y como se procesa o transmite (Computadores,
Servidores, Emails). Tal proteccin incluye restricciones de acceso a
los usuarios de acuerdo a su descripcin de labores y cargo.
Cuando ocurra un incidente grave que refleje alguna debilidad en los
sistemas informticos, se debern tomas las acciones correctivas
rpidamente para as reducir los riesgos. Cada cierto tiempo la unidad
de informtica deber revisar las polticas de seguridad.
Cada ao se preparara un informe que indique el estado actual de la
corporacin en cuanto a la seguridad informtica y los progresos que
se han logrado.
A todo el personal se le debe proporcionar adiestramiento,
informacin y advertencias para que ellos puedan proteger y manejar
apropiadamente los recursos informticos que se le facilite. Hacer
hincapi en que la seguridad informtica es una actividad tan vital,
como lo son recursos humanos y finanzas. La finalidad de las polticas
de seguridad que se describen ms adelante es proporcionar
instrucciones especificativas sobre cmo mantener ms seguros tanto
los computadores, como la informacin guardada en ellos. La
violacin de dichas polticas puede ser calificada como faltas graves
de disciplina dependiendo de la importancia de la poltica.
Responsabilidades
Los responsables de la seguridad informtica es la unidad de
informtica y es responsable de implantar y velar por el cumplimiento
de las polticas, normas, pautas y procedimientos de seguridad.
Tambin es responsable de evaluar, adquirir e implantar productos de
seguridad informtica, y realizar las dems actividades necesarias

para garantizar un ambiente informtico seguro. Adems debe

ocuparse de proporcionar apoyo tcnico y administrativo en todos los
asuntos relacionados con la seguridad, y en particular en los casos de
infeccin de virus, penetracin de hackers, fraudes y otros
inconvenientes.
El encargado de la unidad de informtica, es responsable de
establecer los controles de accesos apropiados para cada usuario,
supervisar el uso de los recursos informticos y llevar a cabo las
tareas de seguridad relativas a los sistemas que administra. El
encargado de la unidad de informtica tambin es responsable de
informar al director de planificacin y gestin, y a quien corresponda
sobre actividades sospechosas o eventos inslitos.
Los Usuarios son responsables de cumplir con todas las polticas
relativas a la seguridad informtica y en particular:
- Conocer y aplicar las polticas y procedimientos apropiados en
relacin al manejo de la informacin y de los sistemas
informticos.
- No divulgar informacin confidencial a personas no autorizadas.
- No utilizar los recursos informticos (Hardware, Software o
datos) para otras actividades que no estn directamente
relacionados con sus labores.
- Proteger meticulosamente su contrasea y evitar que sea vista
por otros en forma inadvertida.
- Seleccionar contraseas robustas que no tengan relacin obvia
con el usuario, sus familiares, etc.
- Reportar inmediatamente al encargado de la unidad de
informtica cualquier evento que pueda comprometer la
seguridad de los recursos informticos, como por ejemplo
contagios de virus, modificacin o prdidas de datos y otras
actividades poco usuales.
Polticas de Seguridad para las estaciones de trabajos:
- Los equipos solo deben usarse en un ambiente seguro. Se
considera que un ambiente es seguro cuando se han
implantado las medidas de control apropiadas para proteger el
software, el hardware y los datos. Esas medidas deben estar
acorde a la importancia de los datos y la naturaleza de riesgos
previsibles.
- Los equipos solo deben usarse para actividades de trabajo y no
para otros fines, tales como juegos y pasatiempos.
- Se debe respetarse y no modificar la configuracin del hardware
y software establecida por la unidad de Informtica.
- Se debe proteger los equipos de riesgos medioambientales, por
ejemplo; polvo, incendios y agua.
- En la sala de servidores se debe usar fuentes de poder
interrumpibles (UPS).
- Cualquier falla en los equipos como en la red, se debe reportar
de inmediato ya que podra causar problemas serios como la
perdida de la informacin o indisponibilidad de los servicios.

Se debe proteger los equipos los equipos de robos, destruccin

y mal uso.
Los equipos deben marcarse para su identificacin y control de
inventario. Los registros de inventarios deben mantenerse
actualizados.
No pueden moverse los equipos o reubicarlos sin permiso. Para
llevar equipamiento fuera de la administracin central debe ser
por medio de una autorizacin escrita.
La prdida o robo de cualquier componente del hardware o
Software debe ser reportada inmediatamente.
Para prevenir el acceso no autorizado, los usuarios deben usar
un sistema de contraseas robustos y adems deben configurar
el protector de pantalla para que se active a cabo de cierto
tiempo de inactividad y que solicite contrasea al reanudar la
actividad. Adems el usuario debe activar el protector de
pantalla manualmente cada vez que se ausente de su puesto
de trabajo.
Si un Computador tiene acceso a datos confidenciales, debe
poseer un mecanismo de control de acceso especial.
Debe implementarse un sistema de autorizacin y control de
acceso con el fin de restringir la posibilidad de los usuarios leer,
escribir, modificar, crear o borrar datos importantes. Estos
privilegios deben definirse de una manera consistente con las
funciones que desempea cada usuario.
No est permitido configurar equipos personales con los
sistemas corporativos y en caso de ser necesario se requiere la
autorizacin correspondiente.
Para prevenir la intrusin de hackers a travs de puertas
traseras, no est permitido el uso de mdems en lo equipos que
tengan tambin una conexin a la red local (LAN), a menos que
sea debidamente autorizado. Todas las comunicaciones de
datos deben efectuarse a travs de la LAN Corporativa.
A menos que se indique lo contrario, los usuarios deben asumir
que todo el software est protegido por derechos de autor y
requiere licencias de uso. Por tal razn es ilegal y esta
terminalmente prohibido hacer copias o usar algn software
para usos personales.
No se pueden extraerse datos fuera de la corporacin sin la
aprobacin previa de quien corresponda.
Se debe instalar y activar una herramienta de antivirus, la cual
debe mantenerse actualizada. Si se detecta la presencia de un
virus u otro agente potencialmente peligroso, se debe notificar
inmediatamente al encargado de la unidad de informtica y
poner al pc en cuarentena hasta que el problema sea resuelto.
Solo se pueden bajar archivos de redes externas de acuerdo a
los procedimientos establecidos. Debe utilizarse un programa
antivirus para examinar todo software que venga de afuera o
inclusive de otra unidad de la corporacin.
No debe utilizarse software bajado internet y en general
software que provengan de una fuente no confiable, a menos

que haya sido comprobado en forma rigurosa y que est

aprobado su uso por la unidad de informtica.
Para ayudar a restaurar los programas originales no daados o
infectados, deben hacerse copias de todo software nuevo antes
de su uso, y deben guardarse tales copias en un lugar seguro.
No debe utilizarse medios de almacenamientos externos en
cualquier computador a menos que se haya previamente
verificado que estn libres de virus u otros agentes dainos.
Peridicamente se debe hacer respaldos de los datos guardados
en Computadores como Servidores. Los programas y datos
vitales se debe alojar en lugares alejados al edificio corporativo.
Lo usuarios son responsables de proteger los programas y datos
contra perdida o dao. Para sistemas multiusuarios y sistemas
de comunicaciones, el encargado de la unidad es responsable
de hacer copias de respaldo peridicamente. Se debe definir
qu informacin debe respaldarse, as como la frecuencia del
respaldo (diario, semanal o mensual) y el mtodo de respaldo
(incremental, diferencial o total).
La informacin clasificada como confidencial o de uso
restringido, debe guardarse y transmitirse en forma cifrada,
utilizando herramientas de encriptacin robustas y que hayan
sido aprobadas por las jefaturas pertinentes.
No debe borrase la informacin original no cifrada hasta que se
haya comprobado que se puede recuperar desde los archivos
encriptados mediante el proceso de descifrado.
El acceso a las claves utilizadas para el cifrado y descifrado
debe limitarse estrictamente a las personas autorizadas y en
ningn caso deben revelarse a personal externo a la
corporacin.
Siempre que sea posible, deba eliminar informacin confidencial
de los computadores y unidades externas que sean reparadas
por garantas. Si esto no es posible, se debe asegurar que la
reparacin sea realizada en las dependencias de la corporacin
y bajo la supervisin del encargado de la unidad.

Polticas de seguridad para las comunicaciones:

-

Propiedad de la informacin; Con el fin de mejorar la

productividad la corporacin utiliza las comunicaciones de
forma electrnica, en particular telfonos, correo electrnico,
etc. Los sistemas de comunicacin y los mensajes generados y
procesados por tales sistemas, incluyendo las copias de
respaldo, se deben considerar como propiedad de la
corporacin y propiedad de los usuarios.
Uso de los sistemas de comunicacin; Los sistemas de
comunicacin generalmente solo deben utilizarse para
actividades de trabajo. El uso personal den forma ocasional es
permisible siempre y cuando consuma una cantidad mnima de
tiempo y recursos, y adems no interfiera con las labores del
usuario, ni con las actividades de la corporacin.

Se prohbe el uso de los sistemas de comunicacin para

actividades comerciales privadas o para propsitos de
entretencin y diversin.
La navegacin en internet para fines personales no debe
hacerse a expensas del tiempo y los recursos facilitados. En tal
sentido deben usarse las horas no laborales.

Confidencialidad y privacidad:
-

Los recursos, servicios y conectividad disponibles via internet

abren nuevas oportunidades, pero tambin nuevos riesgos. En
particular, no debe enviarse a travs de internet mensajes con
informacin confidencial a menos que estn cifrada. Para tal fin
debe utilizarse Outlook, Outlook Express u otros productos
previamente aprobados por la unidad de informtica.
Los funcionarios no deben interceptar las comunicaciones o
divulgar su contenido. Tampoco deben ayudar a otros para que
lo hagan. La corporacin se compromete a respetar los
derechos de sus empleados, incluyendo su privacidad. Tambin
se hace responsable del buen funcionamiento y del buen uso de
sus redes de comunicaciones y para lograr esto,
ocasionalmente es necesario interceptar ciertas
comunicaciones.
Es poltica de la corporacin no monitorear regularmente las
comunicaciones. Sin embargo, el uso y el contenido de las
comunicaciones pueden ocasionalmente ser supervisado en
caso de ser necesario para actividades de mantenimiento,
seguridad o auditoria. Puede ocurrir que el personal tcnico vea
el contenido de un mensaje de un funcionario individual durante
el curso de resolucin de un problema.

Borrado de mensajes:
-

Los mensajes que ya no se necesitan deben ser eliminados

peridicamente de su rea de almacenamiento. Con esto se
reducen el riesgos de que otros puedan acceder a esa
informacin y adems se libera espacio en disco.

Propsito:
-

El propsito de esta poltica es establecer las directrices, los

procedimientos y los requisitos para asegurar la proteccin
apropiada de la informacin al estar conectada a redes de
datos.

Aspectos Generales:
-

Es poltica prohibir la divulgacin, duplicacin, modificacin,

destruccin, prdida, mal uso, robo y acceso no autorizado de

informacin propia. Adems, es su poltica proteger la

informacin que pertenece a otras empresas o personas y que
le haya sido confiada.
Modificaciones:
-

Todos los cambios en los servidores y equipos de red,

incluyendo la instalacin de un nuevo software, el cambio de
direcciones IP, la reconfiguracin de routers y switchs, deben
ser documentados y debidamente aprobadas, excepto si se
trata de una situacin de emergencia. Todo esto es para evitar
problemas por cambios apresurados y que puedan causar
interrupcin de las comunicaciones, cada de la red, denegacin
de servicio o acceso inadvertido a informacin confidencial.

Cuentas de los usuarios:

-

Cuando un usuario recibe una nueva cuenta, debe firmar un

documento donde declara conocer las polticas y
procedimientos de seguridad, y aceptar sus responsabilidades
con relacin al uso de esa cuenta.
La solicitud de una nueva cuenta o el cambio de privilegios
debe ser hecha por escrito y debe ser debidamente aprobada.
No debe concederse una cuenta a personas que no sean
funcionarios de la corporacin a menos que estn debidamente
autorizados, en cuyo caso la cuenta debe expirar
automticamente al cabo de un lapso de 30 das.
Privilegios especiales, tal como la posibilidad de modificar o
borrar los archivos de otros usuarios, solo deben otorgarse a
aquellos directamente responsable de la administracin o de la
seguridad de los datos y sistemas.
Se prohbe el uso de cuentas annimas o de invitado (guest) y
los usuarios deben entrar al sistema mediante cuentas que
indiquen claramente su identidad. Esto tambin implica que el
administrador no deben entrar inicialmente como root, sino
primero empleando su propio ID y luego obtener el acceso
como root.
Toda cuenta queda automticamente suspendida despus de un
cierto periodo de inactividad el periodo recomendado es de 30
das.
Los privilegios del sistema concedidos a los usuarios deben ser
ratificados cada ao. El encargado de la unidad de informtica
debe revocar rpidamente la cuenta o privilegios de un usuario
cuando reciba una orden de un superior, y en particular cuando
un funcionario cesa de sus funciones.
Cuando un funcionario es despedido o renuncia, debe
desactivarse su cuenta antes de que deje el cargo.

Contraseas y el control de acceso:

El usuario no debe guardar su contrasea en una forma legible

en archivos en disco, y tampoco debe escribirla en papel y
dejarla en sitios donde pueda ser encontrada. Si hay razn para
creer que una contrasea ha sido comprometida, debe
cambiarla inmediatamente. No deben usarse contraseas que
son idnticas o substancialmente similares a contraseas
previamente empleadas. Siempre que sea posible, debe
impedirse que los usuarios vuelvan a usar contraseas
anteriores.
Nunca debe compartirse la contrasea o revelarla a otros. El
hacerlo expone al usuario a las consecuencias por las acciones
que los otros hagan con esa contrasea.
Est prohibido el uso de contraseas de grupo para facilitar el
acceso a archivos, aplicaciones, base de datos, computadores y
otros recursos del sistema. Esto se aplica en particular a la
contrasea del administrador.
La contrasea inicial emitida a un nuevo usuario solo debe ser
vlida para la primera sesin. En ese momento, el usuario debe
escoger otra contrasea.
Las contraseas predefinidas que traen los equipos nuevos
tales como routers, switchs, etc., deben cambiarse
inmediatamente al ponerse en servicio el equipo.
Para prevenir ataques, cuando el software de sistema lo
permita, debe limitarse a 3 el nmero consecutivo de intentos
infructuosos de introducir la contrasea, luego de lo cual la
cuenta involucrada queda suspendida y se alerta al encargado
de la unidad de informtica.
Para el acceso remoto a los recursos informticos, la
combinacin del ID de usuario y un contrasea fija no
proporciona suficiente seguridad, por lo que se recomienda el
uso de un sistema de autentificacin ms robusto.
Si no has habido ninguna actividad en un computador o
estacin de trabajo durante cierto periodo de tiempo, el sistema
debe automticamente borrar la pantalla y suspender la sesin.
El periodo recomendado de tiempo es de 15 minutos. El reestablecimiento de la sesin requiere que el usuario se
autentifique mediante su contrasea (o utilice otro mecanismo).
Si el sistema de control de acceso no est funcionado
propiamente, debe rechazar el acceso de los usuarios hasta que
el problema se haya solucionado.
Los usuarios no deben intentar violar los sistemas de seguridad
y de control de acceso de ya que sern catalogadas como faltas
graves.

Cada poltica o norma expuesta es pensada con el fin de mejorar el

trato de la informacin as mismo como controlar posibles amenazas,
perdidas de datos.