MANUAL DE SEGURIDAD LOGICA

Índice

POLITICAS DE SEGURIDAD LÓGICA DE LA EMPRESA………………………………Pag.4

1.- Control de acceso………………………………………………………………………………..

2.- Acceso remoto……………………………………………………………………………………

3.- Resguardo de información sensible de la administración de los servicios………………..

4.- Respaldo de la información……………………………………………………………………..

5.- Seguridad contra malware (virus informáticos, spyware, etc.)……………………………..

6.- Correo electrónico y mensajería instantánea…………………………………………………

7.- Sistemas de información: adquisición, desarrollo, mantenimiento…………………………

8.- Control de registros (logs)………………………………………………………………………

9.- Políticas de seguridad lógica para administración de los recursos de cómputo…………

10.- Administradores de tecnologías de información……………………………………………

11.- Políticas de seguridad lógica para el uso de servicios de red…………………………….

12.- Uso de los servicios de red por los usuarios………………………………………………..

13.- Políticas de seguridad lógica para el uso del antivirus institucional………………………

14.- Políticas antivirus……………………………………………………………………………….

15.- Políticas de seguridad lógica para el uso del antivirus de la empresa…………………...

16.- Controles de acceso lógico……………………………………………………………………

COCLUSION………………………………………………………………………………...Pag.13

ANEXOS…………………………………………………………………………………...…Pag.14

POLITICAS DE SEGURIDAD LOGICA DE LA EMPRESA

1.- CONTROL DE ACCESO

1.1 Registro en el Dominio

Se asigna un usuario y una contraseña (password) a cada usuario que se registra en el dominio, por lo que se ha establecido la siguiente estructura como estándar (la información es provista en el formulario de Alta de Usuario – Manual de Requerimientos):

El nombre de usuario de Dominio, será el nombre del Usuario seguida de la inicial de ambos apellidos, y en cuanto al nombre del equipo seguirá el mismo formato, con la única diferencia que las dos últimas letras deben ser mayúsculas; un ejemplo en el siguiente cuadro:

Nota: El primer password es el que se ha definido como estándar: Password1.

Adicionalmente, al momento de crear el usuario del dominio, se deberán llenar los campos y asignar permisos de acuerdo a su perfil.

1.2 Control de acceso a la red

Solo el personal registrado en el dominio puede tener acceso a los recursos de red disponibles, si una persona externa a la empresa, pero que tiene una relación, requiere de estos servicios, debe solicitar al líder de la unidad con la que trabaja, que haga la solicitud respectiva.

1.3 Control de Acceso a los Sistemas de Información en producción

El líder de cada unidad en coordinación con UTIC, define los usuarios, los roles y permisos que tendrá su personal en los sistemas que requiera.

2.- ACCESO REMOTO

2.1 El acceso remoto a los recursos de la red corporativa debe ser logrado por medio de conexiones encriptadas seguras a través de accesos a Redes Privadas Virtuales (VPN) u otras conexiones seguras. El acceso remoto deberá ser restringido a puntos específicos de origen y a puntos (equipos) específicos destino, dentro de la red de la organización.

2.2 En caso que un usuario solicite acceder remotamente a un Sistema o Recurso que este dentro de la red corporativa de VMB, se otorgará acceso remoto, previa solicitud y autorización escrita por el líder de la unidad y la gerencia de UTIC al personal que por razones de fuerza mayor tenga que ausentarse de la oficina pero requiera continuar con sus tareas y para esto requiere el acceso a los recursos que están dentro de la infraestructura de VMB, la UTIC evaluará la mejor solución.

3.- RESGUARDO DE INFORMACIÓN SENSIBLE DE LA ADMINISTRACIÓN DE LOS SERVICIOS

Como parte de la información vital de la empresa y en prevención de cualquier contingencia:

3.1 Se recolectarán y guardarán en un sobre sellado (en la Subgerencia UTIC) y debidamente firmado, los usuarios y claves que los técnicos de la UTIC utilizan para acceder a los equipos servidores de red (servicios de red, sistemas de información) y que manejan información vital dentro de la empresa. Dicha información también se enviará al custodio que mantendrá en una caja de seguridad que para el efecto ha contratado la empresa.

3.2 Así mismo, se enviará al custodio (banco, etc.) un CD que contenga una copia con todos los ID de los usuarios creados en la empresa, los cuales tendrán por clave, una palabra o grupo de caracteres alfanuméricos definidos de una forma genérica por parte del UTIC. Esto con el fin poder utilizarlos en caso de pérdida de información, olvido de password, etc. Y se realizará una vez al año.

3.3 Se deberá disponer en un medio removible (CD o DVD) con su respectiva copia, donde se almacene los programas fuente de los Sistemas de Información en producción, la última versión, cada vez que se actualice de versión se deberá proceder como se indica, una copia que se enviara al custodio de copias de respaldo (bóveda del banco) y una copia a la Subgerencia de la UTIC.

3.4 Finalmente se dispondrá de copias de respaldo de todas las aplicaciones y sistemas de información utilizadas en la empresa, de acuerdo a un Plan de Respaldos.

4.- RESPALDO DE LA INFORMACIÓN (BACK-UP)

El respaldo de la información es un proceso vital para resguardar la información, los respaldos se llevarán a cabo con la herramienta que se considere más adecuada y bajo procedimientos debidamente establecidos.

4.1 Se debe establecer un procedimiento para la obtención de un Plan de Copias de Respaldo, el cual deberá ser revisado periódicamente.

4.2 Adicionalmente, se enviará una vez por mes una copia del respaldo más reciente a un custodio (tercero) que fue contratado para el propósito o a la bóveda de un banco.

4.3 Se deberá establecer un Procedimiento de prueba de recuperación de respaldos, en el cual se deben

...