1.
Introducción
Permanecer competitivos en este mundo globalizado significa hoy en
día desarrollar nuevos métodos de hacer el trabajo. Tecnología de información y
comunicación son cada vez más factores claves en la transformación de las
organizaciones. La tecnología de información se torna necesaria para proveer
facilidades a la organización para tomar ventaja competitiva en el área de
administrativa y técnicas, y es en este punto donde la seguridad de la
información juega un papel primordial para proteger nuestra información de
posibles vulnerabilidades como: pérdida, alteración y sustracción.
En los
inicios de la era de la información, se fueron presentando ataques a la
seguridad de los sistemas de información (ejemplo. Fraudes electrónicos),
ataques que se han incrementado continuamente hasta nuestros días. IGN no ha sido ajena a los cambios de la
era y ha incrementado el uso de tecnología de información, de la misma manera se
ha incrementado nuestra exposición a los ataques a nuestra información. Claramente es necesario hacer un balance
para determinar el beneficio de almacenar la información vital sin perder el
compromiso en la seguridad alrededor de los aspectos sensibles de la
información.
La clave para salvaguardar la información consiste en:
·
Establecer lineamientos
considerables y buenas prácticas de seguridad a través de la
organización.
·
Niveles de protección efectivas
en torno a los aspectos más sensitivos de información.
·
Promover una estructura estándar
y consistente entre las divisiones que integran la institución.
Este documento
fue elaborado tomando como base los estándares internacionales BS/7799 (British
Standard - A code of practice of information security system).
2.
Objetivos
y alcances de seguridad de la información
El objetivo de la normativa de seguridad de la información es proveer
un entorno informático confiable para dar confidencialidad y el estimulo
necesario para adoptar nuevas formas de hacer el trabajo, al mismo tiempo proteger la información
y asegurar la continuidad operacional de la organización previniendo y
minimizando el impacto ocasionado por incidentes de seguridad. La administración
de seguridad de la información posee las siguientes componentes básicos, los
cuales deben de mantenerse todo el tiempo:
·
Confidencialidad: protegiendo la
información sensitiva y reservada de la revelación ó intercepción sin autorización.
·
Integridad: salvaguardar la precisión e
integridad de la información y del software de computadoras.
·
Disponibilidad: Asegurando que la
información y servicios vitales estén disponibles a los usuarios en cuanto es
requerido.
·
Autenticidad: Asegurar que la información
originada por el remitente es autentica.
Nuestra información se encuentra en
varias formas: almacenadas en computadoras, transmitida a través de la red,
impresa, escrita a mano, comunicadas en presentaciones, reuniones y
conversaciones.
Debemos esforzarnos para proteger la información en todas
sus formas, sin importar que este en papel, presentaciones, bases de datos, CD,
memorias USB ó cualquier otra tipo
de medio utilizado para guardar ó transmitir conocimientos ó ideas.
La
seguridad de la información aplica a todos los empleados, contratistas y todos
aquellos que directa ó indirectamente tienen acceso a información de
IGN.
3.
Roles
y Responsabilidades
3.1.
Encargado
de División de
Informática
Es responsable de:
·
Mantener la infraestructura de
Informática en base a estándares de seguridad.
·
Asegurarse que el staff de
Informática y el resto de la organización estén comprometidos con sus
responsabilidades de Seguridad de Información.
·
Revisar los incidentes de
seguridad de la información y asegurar la aplicación de acciones
apropiadas.
·
Respaldar ó hacer Backup a la
información de Base de datos y otra información almacenada en los
servidores.
·
Revisar y monitorear ataques de
seguridad (virus informáticos)
3.2.
Directores
y Encargados de división
Son responsables de:
·
Asegurar que las Normas de
seguridad, estándares y responsabilidades sean comunicadas al personal de su
respectiva división.
·
Autorización de Acceso a la
información y software de aplicaciones deberá de efectuarse por escrito a la unidad de
Informática, en base a formato establecido (ver Control de Acceso).
·
Notificar al coordinador de la
unidad de Informática cuando algún empleado deja de laborar para el IGN, con el
fin de desactivar sus accesos al sistema y resguardar de esta forma la
información.
3.3.
Usuarios
Son responsables de:
·
Asegurarse que de estar
familiarizado con la Normas de seguridad de información y estándares
relacionadas con su trabajo.
·
Asegurarse de estar enterados de
sus derechos de acceso al sistema.
·
Reportar los incidentes de
seguridad de información inmediatamente a la división e Informática, incluyendo
sospechas de virus informáticos inmediatamente.
·
Elegir una buena contraseña de
acceso al sistema, cambiar periódicamente y mantenerla en secreto.
·
Asegurarse de bloquear la
pantalla al dejar desentendida su computadora por un periodo de tiempo no mayor
a 15 minutos.
·
Solicitar periódicamente el
backup de la información del computador personal a la unidad de
Informática.
·
Revisar con un Antivirus
cualquier información procedente del exterior del instituto.
4.
Normas
de seguridad de Información
4.1.
Control
de Accesos
El control de accesos a los sistemas garantizará que los usuarios tendrán únicamente acceso a los
servicios e información necesaria y requerida por las actividades a desempeñar
en el IGN, de esta forma podemos garantizar la confidencialidad de la
información y la efectividad en el uso de los servicios informáticos, por esta
razón las solicitudes de accesos a
los recursos informáticos se podrá efectuarse de la siguiente manera:
4.1.1
Acceso
Estándar
El acceso básico incluye los siguientes servicios:
ü
usuario y contraseña de dominio
de uso exclusivo.
ü
buzón de correo personal
electrónico interno.
ü
navegación por la intranet
IGN.
ü
acceso restringido a una carpeta
de red con el nombre de la división a la que pertenece.
La solicitud de
creación ó eliminación de este
acceso deberá ser originado por la jefatura de la división al que
pertenece el personal, en el momento que de inicio ó fin la relación laboral con
el personal (Anexo 1), esto aplicará únicamente al personal que por las
actividades del trabajo tengan
acceso a una computadora.
4.1.2
Acceso Personalizado
El acceso avanzado
incluye los siguientes
servicios:
ü Acceso especifico a carpetas
compartidas de red.
ü Acceso a Internet.
ü Acceso a un buzón de correo
electrónico externo (@ign.gob.gt).
ü Acceso a aplicaciones
específicas como: sistema de facturación e inventarios, etc.
La solicitud de
creación ó eliminación de estos accesos deberá ser originado por la dirección ó jefatura de división
respectiva (Anexo 1), en el momento que sea requerido por el
personal.
4.2. Instalación
y uso de Software de computadoras
Con el objetivo
de estandarizar y regularizar el uso del software en los equipos del IGN, todas
las computadoras deberán estar restringidas de la instalación de software no
autorizado, el procedimiento de solicitud se efectuará mediante el formulario
respectivo “Solicitud de Instalación y Uso de Hardware y Software”. (Anexo
2).
El personal de
la división de informática efectuará
periódicamente inventario de software en las carpetas compartidas de la red y en
todas las estaciones de trabajo, con afán de identificar y eliminar cualquier
software no autorizado, recomendamos especial atención al software de juegos y
música.
4.3. Instalación
y uso de equipo informático (hardware)
Con el objetivo
de reducir los riesgos de ataques de software malicioso y/o virus informáticos a
la red informática del IGN y el adecuado control del equipo de computo, se prohíbe la conexión de computadoras
a la red del IGN y el uso de dispositivos de almacenamiento masivo (memorias
USB) en equipos del IGN, que sean
ajenos al instituto y sin la autorización respectiva, el procedimiento de
solicitud se efectuará mediante el formulario “Solicitud de Instalación y Uso de
Hardware y Software”. (Anexo 2), con la respectiva autorizado de la jefatura y/o
Dirección.
La reubicación,
actualización ó instalación de
computadoras e impresoras propiedad del IGN deberá de efectuarse únicamente por
el personal técnico de la división de informática y la correspondiente
notificación por escrito al encargado de Inventarios del Instituto.
4.4.
Educación
y Entrenamiento sobre Seguridad de la información
Para asegurar que el personal este enterado sobre el riesgo, y la
importancia de la vigilancia, IGN deberá asegurarse de:
·
Programa de capacitación
específica sobre seguridad de información a todos los usuarios.
·
Mantener informados a los
usuarios sobre los ataques, virus, etc. y plan de recordatorio de procedimientos
de control y buenas prácticas.
4.5. Uso
del Correo Electrónico (E-mail)
El uso
indebido ó imprudente de los medios electrónicos de comunicación puede tener
implicaciones para el individuo y la organización. E-mail es una parte integral del como
trabajamos hoy en día, por tanto
los usuarios deberán hacer uso correcto de este medio electrónico. Es importante
mencionar que los usuarios con acceso a e-mail externo están haciendo uso del
nombre de IGN (@ign.gob.gt) al enviar un e-mail, por esta razón los usuarios con acceso a
correo electrónico deberán de entender y actuar de conformidad con las
siguientes normas de correo
electrónico.
4.5.1
Acceso
al correo electrónico
Todos los usuarios con acceso a computadora deberán poseer acceso a
un buzón personal de e-mail de uso interno únicamente, el personal que por las actividades propias de su
trabajo requieran tener
comunicación externa, podrán optar a tener una dirección (@ign.gob.gt) mediante la
solicitud de control de Acceso Personalizado, autorizada por la dirección
respectiva.
El acceso a los
buzones de e-mail son de uso personal y no son transferibles, esta norma garantizará que el dueño del
buzón es el único responsable de los mensajes originados del mismo, por ejemplo:
el buzón de Juan Pérez no puede ser utilizado por Pedro Sandoval.
4.5.2
Normas
generales de uso
·
El e-mail es una herramienta de
trabajo por consiguiente será
prohibido hacer uso con otros fines.
·
No es permitido iniciar ó re-enviar
mensajes considerados como cadenas, deberá de eliminarlas de
inmediato.
·
La información que se recibe de
manera personal y confidencial por correo electrónico, no deberá re-enviarse a ninguna otra
persona, sin autorización previa
del remitente.
·
El uso del e-mail será personal y sus claves
confidenciales. Por ningún concepto deberá delatar su contraseña a otra
persona.
·
El remitente será responsable del contenido de los
mensajes que salen de su buzón de e-mail.
·
Únicamente se deberá marcar como urgentes los correos
que realmente lo sean.
·
El usuario será responsable de revisar la
correspondencia del e-mail asignado
al menos una vez al día.
4.6
Uso
del Internet
El Internet es un ambiente público el cual nos provee el acceso a
grandes fuentes de recursos incluyendo la red de banda ancho por sus siglas en
inglés (www), foros grupales (Chats),
accesos remotos (Telnet) y a diversa información en texto almacenada.
Mientras que estos recursos son invaluables para el desenvolvimiento de la
organización, deliberadamente o accidentalmente su mal uso puede exponer a la
institución a riesgos significativos de seguridad. Los usuarios con acceso a
Internet deberán de entender y estar
en conformidad con los siguientes lineamientos sobre el Acceso al Internet. El
acceso al Internet utilizando las facilidades de la IGN será únicamente para propósitos de
trabajo.
4.6.1
Acceso
Los procedimientos para determinar que individuos deberán
accesar al Internet vía las
facilidades de IGN será parte de la
normativa de control de accesos. Empleados y contratistas con acceso a Internet
deberán tomar todas las precauciones
para proteger la integridad de la red.
4.6.2
Uso
de servicios de Internet Personal
El uso de servicios de Internet Personal en equipo de IGN NO está permitido, de igual manera la
instalación de modem y software de proveedores de servicio de internet
(ISP), en caso muy especial este
requiera ser utilizado para propósitos de trabajo del IGN; aplicará la misma norma de acceso a
Internet del IGN para su solicitud.
4.6.3
Normas
Generales de Uso
·
Toda información recibida o
recuperada vía Internet deberá ser validada, de la misma manera cualquier otra
información procedente de fuentes externas antes de ser utilizada para
propósitos de trabajo.
·
No deberá ser enviada vía
Internet la información clasificada como Muy Confidencial al menos que se
utilice un método de codificación (encriptación).
·
Todos los documentos, programas, gráficas, etc. deberán ser
considerados propiedad intelectual y no podrán ser compartidos sin una
autorización de la autoridad correspondiente.
·
Deberán ser revisados por un
antivirus actualizado, todos los archivos de información y programas obtenidos
del Internet, de esta manera prevenir la dispersión de virus y otros programas
maliciosos en la red del IGN como resultado de guardar (bajar) información del
Internet.
·
Ningún comunicado deberá hacerse
a través de Internet que implique ó represente explícita ó
inferentemente a IGN sin aprobación de la autoridad competente.
·
Ningún contenido de texto,
fotografías, sonidos u objetos gráficos que se pueda considerar ofensivos ó
discriminatorio deberá de ser desplegados, almacenados ó transmitidos dentro,
hacia y desde equipos propiedad de la IGN.
4.7
Seguridad
Física
Información crítica ó sensitiva
procesada por las facilidades informáticas (Servidores, equipo de
Telecomunicación, etc.) deberá estar ubicadas en lugares
seguros, protegidos por perímetro seguros,
estos deberán estar protegidos físicamente contra el acceso no
autorizado, daños ó interferencias.
4.8
Control
de Cambios
Los cambios efectuados a las facilidades de sistemas de información e
Infraestructura deberán estar
controladas. Un inadecuado control
de cambios a las facilidades de información y sistemas es usualmente causa de
fallos en el sistema ó de seguridad.
Se deberá contar con una administración y procedimientos formales para
garantizar la satisfacción de todos los cambios de equipo, software ó
procedimientos.
Los Programas operacionales deberán estar sujetos al control
estricto de cambios. Cuando los
programa son cambiados un registro (log) debe de registrar tola la información
relevante al cambio. Cambios a la infraestructura funcional que pueda afectar
las operaciones de la organización también deben de registrarse los cambios
relevantes. (ver formulario de control de cambios)
4.9
Separación
de ambientes de desarrollo y operacional Informático
Separación del desarrollo de software, prueba y facilidades
operacionales son importantes para guardar el aislamiento de las actividades
involucradas. Reglas para la
transferencia de software de un estado de desarrollo a operacional deberá de
definirse y documentarse.
Las actividades de desarrollo y prueba pueden
causar serios problemas, ejemplo: cambios no deseados en los archivos y ambiente
de los sistemas, o fallas en el sistema.
los siguientes controles deberán de considerarse:
·
Sistemas en desarrollos y
operacional en la medida de lo posible deberán de ejecutarse en computadoras
separadas, ó en diferentes dominios ó directorios.
·
Sistemas en desarrollos y en
actividad de prueba deberán de estar
separadas en la medida de lo posible, ejemplo: no utilizar la misma
computadora ó servidor.
·
Editores y cualquier otro
sistema de aplicación no deberán de estar accesibles desde los sistemas
operacionales cuando estos no se requiera.
·
Antes de una transferencia de
software de un estado de desarrollo a operacional, se deberá efectuar Backup
completo del ambiente operacional, esto garantizará que en caso de falla se
podrá regresar al estado original.
4.10 Reporte y Respuesta
a Incidentes de Seguridad de Información
El objetivo de un proceso de reporte y respuesta de incidente de
seguridad es para minimizar el daño a la organización de los incidentes de
seguridad. Los incidentes de
seguridad requieren inmediata acción para contener el daño y restablecer los
servicios de informática lo antes posibles. El conocimiento ganado mediante el
seguimiento de un incidente ayuda a estar mejor preparados en el
futuro.
Incidentes que afectan la seguridad de las computadoras,
comunicaciones ó documentos (archivos) deberán reportarse inmediatamente, y se
clasifican de la siguiente forma:
·
Incidentes de seguridad física,
como robo de equipo, violación de accesos,
llaves ó claves perdidas, deberán ser reportadas al coordinador de
informática.
·
Incidentes relacionados con
Informática (como virus de computadoras, datos corruptos (dañados) ó sospecha de
sustracción de informática no autorizada, deberá de ser reportada al asistente
de informática (Helpdesk).
Glosario
de términos
Backup: Las copias de seguridad son un proceso que se utiliza para salvar
toda la información, es decir, un usuario, quiere guardar toda la información, o
parte de la información, de la que dispone en el PC hasta este momento,
realizará una copia de seguridad de tal manera, que lo almacenará en una
cinta, DVD, o simplemente en otro Disco Duro, para posteriormente si
pierde la información, poder restaurar el sistema.
Base de
Datos: Una base de datos o banco de
datos es un conjunto de datos pertenecientes a un mismo contexto y
almacenados sistemáticamente para su posterior uso.
Chat: El chat (español: charla),
que también se conoce como cibercharla, es un anglicismo que usualmente se
refiere a una comunicación escrita realizada de manera instantánea a través de
Internet
entre dos o más personas, desde y hasta cualquier parte del
mundo.
Encriptación: La
criptografía es el arte o ciencia de cifrar y descifrar información utilizando
técnicas que hagan posible el intercambio de mensajes de manera segura que sólo
puedan ser leídos por las personas a quienes van
dirigidos.
HelpDesk: Es un recurso de información y asistencia para resolver problemas con computadoras y productos
similares, las corporaciones a menudo proveen soporte (helpdesk) a sus
consumidores vía número telefónico totalmente gratuito, website o e-mail.
También hay soporte interno que provee el mismo tipo de ayuda para empleados
internos solamente.
Internet: Es un conjunto descentralizado de redes de
comunicación interconectadas, que utilizan la familia de protocolos TCP/IP, garantizando
que las redes físicas heterogéneas que la
componen funcionen como una red lógica única, de alcance mundial.
[
Virus: En informática, un virus es un programa diseñado para dañar la
información y afectar la operación de una computadora.
Servidores: En informática, un
servidor es una computadora que, formando parte de una red, provee
servicios a otros denominados clientes.
Software: La palabra «software»
se refiere al equipamiento lógico o soporte lógico de un
computador digital, comprende el conjunto de los componentes lógicos necesarios
para hacer posible la realización de una tarea específica, en contraposición a
los componentes físicos del sistema (hardware).
ISP: Abreviatura de termo en inglés
“Internet Service Provider”, la traducción en español corresponde a “proveedor
de servicio de Internet.
5.
Anexo1
6.
Anexo2
