Decalogo de Buenas Practicas SGSI

UNIVERSIDAD NACIONAL DE INGENIERA CENTRO DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES (CTIC-UNI)

UNIDAD DE DESARROLLO DE SISTEMAS UNI CIENCIA Y TECNOLOGIA AL SERVICIO DEL PAIS

Declogo de Buenas Prcticas de Seguridad de Activos de Informacin Introduccin

La informacin que es elaborada y generada por los procesos de la Universidad Nacional de Ingeniera es un activo, que como otros bienes de nuestra institucin, tiene gran valor y necesita ser protegida en forma apropiada. El Sistema de Gestin de Seguridad de la Informacin protege dicha informacin de una amplia gama de amenazas, con el fin de asegurar la continuidad de los procesos institucionales y la entrega de productos y servicios a usuarios / clientes / beneficiarios, minimizando el dao a la institucin y maximizando la eficiencia y las oportunidades de la mejora de la gestin organizacional, es por esto que cmo un avance, presentamos el presente Declogo de Buenas Prcticas de Seguridad de Activos de la Informacin para que sea puesto en prctica desde cualquier puesto que nos encontremos.

1. Cuando reciba correos electrnicos que le soliciten informacin personal, bancaria, nombres de

usuario o contraseas, abstngase de responder o verifique la fuente, podra ser vctima de fraude electrnico.

2. Escritorio limpio durante la jornada laboral.- Recuerde No publicar o dejar a la vista,

documentos o datos sensibles, como por ejemplo: contraseas, nmeros de cuenta, etc. o elementos de almacenamiento de informacin (CDs, DVds., Memorias porttiles, Discos Porttiles, etc), asegrese que se encuentren adecuadamente protegidos en los cajones bajo llave, en todo momento que no los est utilizando.

o Al tener informacin confidencial o sensible que deba ser desechada, asegrese de destruirla, antes de enviarla a la basura; as mismo, no recicle hojas con informacin sensible.

o Cuando imprima documentos con informacin confidencial, tenga presente recoger sus impresiones en el menor tiempo posible.

o Al terminar la jornada laboral, debe tomarse el tiempo necesario antes de abandonar la

oficina para recoger y asegurar el material sensitivo; as como, de ser posible cerrar bajo llave armarios, cajones y oficinas. Abstngase de visitar sitios web restringidos por la institucin de manera explcita o implcita, o sitios que afecten su productividad.

3. Bloqueo de la Estacin de Trabajo Debe mantener su estacin de trabajo bajo control y evitar

el acceso no autorizado, por lo tanto, debe bloquear la sesin al retirarse de su computador, as sea por corto tiempo.

4. Proteccin contra software nocivo.

o No debe utilizar software obtenido externamente desde Internet o de una persona u organizacin diferente a los distribuidores confiables o conocidos, a menos que el software haya sido aprobado por el CTIC-UNI, as se evitar la entrada de virus a su equipo de trabajo. No debe utilizar los sistemas de la Universidad para la transmisin de cualquier correo masivo no solicitado.

o La proteccin de los sistemas de informacin a su cargo, tambin es su

responsabilidad, por lo que debe asegurar fsicamente las computadoras porttiles con cables de seguridad en todo momento para evitar robos.

o Cualquier usuario que sospeche de una infeccin por un virus debe apagar inmediatamente el computador involucrado, desconectarlo de cualquier red, llamar al grupo de Soporte de la Oficina de Informtica de la Dependencia/Facultad y no hacer ningn intento de eliminar el virus

o Solamente el grupo de soporte tcnico de la dependencia/facultad debe enfrentar una infeccin por virus de computador, la cual deber ser informada al CTIC-UNI. Los usuarios no deben intentar eliminar el virus, a menos que sigan instrucciones precisas de los Soportes Tcnicos de la Dependencia/Facultad.



o Antes de ser descomprimido, todo software transferido desde sistemas externos a la

Universidad Nacional de Ingeniera, debe ser analizado con el sistema antivirus institucional aprobado, despus de que el usuario haya terminado su sesin y se haya terminado con todas sus conexiones de red.

o Siempre que algn software o archivos hayan sido recibidos de una entidad externa,

este material debe ser probado para buscar software no autorizado en una mquina

aislada de desarrollo (no produccin), antes de ser utilizado en los sistemas de

informacin de la Universidad Nacional de Ingeniera.

o Debe certificarse que todo el software, archivos o ejecutables, se encuentran libres de

virus antes de ser enviados a una entidad externa.

o Cualquier archivo encriptado suministrado por instituciones externas a la Universidad

Nacional de Ingeniera, debe ser desencriptado antes de ser sometido al anlisis con el

sistema antivirus institucional.

o Cualquier sistema de almacenamiento como disquetes, CD-ROMs, cartuchos pticos, cintas, etc., provistos por instituciones externas no deben ser utilizados en los sistemas de la Universidad Nacional de Ingeniera, a menos que stos medios hayan sido analizados con sistema antivirus institucional por personal autorizado y hayan recibido una etiqueta que certifique que no se encontraron virus.

o Antes que cualquier archivo sea restaurado en un sistema de la Universidad Nacional

de Ingeniera, desde un medio de almacenamiento de respaldo, ste debe ser analizado

con un sistema antivirus institucional actualizado.

o Los usuarios no deben intencionalmente escribir, generar, compilar, copiar, almacenar, propagar, ejecutar o intentar introducir cualquier cdigo de computador diseado para auto replicarse, deteriorar o que obstaculice el desempeo de cualquier sistema de la Universidad Nacional de Ingeniera o de cualquier institucin externa a ella.

5. Proteccin durante la navegacin en internet.

Formular controles que permitan minimizar el riesgo generado por el acceso a Internet y a redes pblicas, el intercambio de medios de almacenamiento porttiles, el intercambio de informacin con instituciones externas, etc., los cuales exponen los sistemas de la Universidad Nacional de Ingeniera a la propagacin interna y externa de software con cdigo malicioso o nocivo, el cual puede comprometer directamente la integridad, la disponibilidad y la confidencialidad de la informacin procesada por cada uno de los componentes de la red.

o La Universidad Nacional de Ingeniera con el objetivo nico de facilitar la realizacin del trabajo contratado brinda acceso a Internet para navegacin a sus funcionarios, personal administrativo, profesores, alumnos y contratistas autorizados, los cuales se acogen a las polticas y formas de actuacin dictadas en la UNI.

o La UNI adelantar campaas dirigidas a todos los usuarios de la navegacin para

garantizar que las personas estn informadas sobre los peligros de descargar archivos

de Internet (el software espa, los troyanos y los hackers), acceder a sitios desconocidos

o de baja confianza y aceptar los mensajes sobre instalacin de software que brinde el

navegador.

o La institucin buscar garantizar de manera tcnica que se controla el acceso a sitios

que puedan afectar la productividad de la institucin, la seguridad de su informacin o

su personal.

o Los usuarios debern Abstenerse de visitar sitios restringidos por la institucin en

cualquiera de sus formas, o sitios que afecten la productividad de la institucin.

Especialmente se debern evitar el acceso desde la institucin a sitios relacionados con

la pornografa y fundamentalmente si este involucra a menores de edad. As mismo,

est prohibida la descarga y uso de software malicioso o documentos que brinden

informacin sobre como atentar contra la seguridad de la informacin corporativa

o Los funcionarios debern abstenerse de brindar cualquier tipo de informacin de la

institucin en sitios no autorizados o que no cuenten con mecanismos de seguridad que

garanticen la confidencialidad de la informacin en trnsito.



o Los funcionarios de La UNI no deben comprar bienes o servicios a travs de Internet a

nombre de La Universidad Nacional de Ingeniera, a menos que exista una aprobacin

previa.

o Los usuarios, deben evitar descargar y/o emplear archivos de imagen, sonido o

similares que puedan estar protegidos por derechos de autor de terceros sin la previa

autorizacin de los mismos.

o Los usuarios no deben descargar software de Internet bajo ninguna circunstancia. o Los usuarios no deben instalar software en sus estaciones de trabajo, en los servidores

de la red, o en otras mquinas, incluso si este software es libre o no licenciado; toda

instalacin de software debe hacerla un tcnico luego de la debida verificacin y la

autorizacin previa del Decano de la Facultad/Directivo de la Dependencia y el CTIC-

UNI.

o El software residente en sitios mirror de Internet no debe ser descargado a ningn

sistema de La UNI a menos que sea recibido directamente de una fuente confiable y

conocida y que se hayan empleado herramientas como verificacin de firmas digitales.

o Los servidores disponibles en Internet no deben ser utilizados para almacenar

informacin de las actividades del La UNI.

o Los usuarios estn conscientes de que toda la informacin (incluida la de navegacin)

que transite en la institucin por ser para el trabajo es propiedad de la misma y por ende

puede ser monitoreada con objetivos de administracin, seguridad o auditora por

personal autorizado por la institucin.

o Los usuarios de los sistemas de navegacin son conscientes de que estos, solamente

deben ser utilizados para propsitos lcitos y en cumplimiento de las funciones

especficas de su cargo, ya que toda actividad de navegacin puede ser registrada por

La UNI, quien podr revelar cualquier acceso cuando una autoridad judicial as lo

requiera.

o El personal de La UNI no debe utilizar el sistema de navegacin de la UNI para

participar en grupos de discusin en Internet, Listas de Correo, chats o cualquier otro

foro pblico, a menos que su participacin haya sido expresamente autorizada

formalmente por la universidad.

o El servicio de chat podr ser usado nicamente para propsitos laborales.

o Los usuarios de Internet, podrn emplear este recurso para su propia capacitacin previa autorizacin de su jefe directo.

o Si el usuario hace uso de estos servicios de todas maneras asume que puede ser monitoreada toda la informacin que de este uso se derive como si fuese de la institucin misma.

6. Manejo y Seguridad de Medios

Este rubro pretende prevenir la revelacin de documentacin relacionada con los sistemas de la UNI a terceros que puedan utilizarla en contra de la institucin.

o Toda la documentacin que describe los sistemas de informacin o los procedimientos

de sistemas de la UNI, debe ser revisada y aprobada por El CTIC-UNI, antes de ser

liberada a terceras partes.

o Toda la documentacin relacionada con los sistemas de la UNI, es considerada confidencial y no debe ser conservada por los funcionarios que dejen de laborar en la institucin.

7. Seguridad del comercio electrnico.

Esta poltica pretende prevenir la revelacin de informacin privada, el fraude en contra o en nombre de la UNI la privacidad de la informacin de cuentas y la seguridad de las transacciones realizadas a travs de Internet o redes externas.

o Todos los contratos originados a travs mensajes de ofertas y aceptaciones

electrnicas deben ser formalizados y confirmados por medio de documentos en papel,

dentro de las siguientes dos semanas a partir de su aceptacin.



o Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas

de crdito, debe ser encriptada mientras est almacenada en computadores accesibles

desde Internet o desde redes externas.

o Toda informacin acerca de pagos, como nmeros de cuentas corrientes y de tarjetas de crdito, debe permanecer encriptada cuando no sea utilizada para propsitos de la institucin y cuando sea transmitida o almacenada en medios de respaldo y transporte.

8. Seguridad del correo electrnico

Asegurar la privacidad de los mensajes de correo electrnico, el buen uso del sistema y el compromiso inherente de la UNI al suministrar este servicio a su personal.

o La informacin secreta y no encriptada no debe ser trasmitida por correo electrnico, a

menos que una persona con autoridad directiva, de acuerdo a su cargo autorice

especficamente cada ocurrencia.

o El personal de la UNI no puede emplear direcciones de correo electrnico diferentes a

las cuentas oficiales para atender asuntos de la institucin.

o Todos los mensajes de correo electrnico que utilizan los sistemas de la UNI, deben

contener el nombre y apellidos del remitente, su cargo, direccin y nmero telefnico.

o Todas las comunicaciones de publicidad de la UNI realizadas por correo electrnico,

dirigidas a clientes o usuarios encontrados en la base de datos de contactos de la UNI,

deben incluir instrucciones de cmo los destinatarios pueden ser removidos

rpidamente de la base de datos de contactos y detener comunicaciones, correos o

mensajes posteriores.

o Los usuarios no deben reenviar correo electrnico a direcciones externas a la UNI, a

menos que exista autorizacin previa de quien origina el mensaje o que la informacin

sea pblica por naturaleza.

o Un mensaje de correo electrnico debe ser retenido y conservado para futuras

referencias solamente si contiene informacin relevante para la finalizacin de una

transaccin, si contiene informacin de referencia potencialmente importante o si tiene

valor como evidencia de una decisin administrativa de la UNI.

o Todos los mensajes de correo electrnico que contengan informacin concerniente, pero no limitada a, nmeros de tarjetas de crdito, claves de acceso, informacin de investigacin y desarrollo e informacin sensible de entidades externas, debe ser encriptados antes de ser transmitidos.

o El personal de la Universidad Nacional de Ingeniera NO puede monitorear los sistemas

de correo electrnico para asegurar el cumplimiento de polticas, a menos que haya

autorizacin judicial o de autoridad competente.

o La UNI debe notificar a todos los usuarios que los sistemas de correo electrnico

solamente deben ser utilizados para propsitos de la institucin, todos los mensajes

enviados por correo electrnico constituyen registros de la UNI, quien se reserva el

derecho de acceder y revelar cualquier mensaje para cualquier propsito sin previo

aviso y los administradores pueden revisar el correo electrnico del personal para

determinar si han roto la seguridad, han violado la poltica de la Universidad Nacional de

Ingeniera o han realizado actividades no autorizadas

o Los usuarios no pueden crear, enviar, o retrasmitir mensajes de correo electrnico que

puedan constituir acoso o que puedan contribuir a un ambiente de trabajo hostil.

o El personal de la UNI no puede enviar o distribuir cualquier mensaje a travs de los

sistemas de la UNI, el cual pueda ser considerado difamatorio, acosador o

explcitamente sexual o que pueda ofender a alguien con base en su raza, gnero,

nacionalidad, orientacin sexual, religin, poltica o discapacidad.

o El personal no debe utilizar los sistemas de la UNI para la transmisin de cualquier

correo masivo no solicitado.

o En todos los mensajes de correo electrnico salientes, debe agregarse un pi de pgina que indique que el mensaje puede contener informacin confidencial, que es para el uso de los destinatarios nombrados, que ha sido registrado para propsitos de archivo, que puede ser analizado por otras reas de la UNI y que no constituye necesariamente una oficial representacin de la UNI.



o El personal de la UNI no debe emplear versiones digitalizadas de sus firmas

manuscritas en los mensajes de correo electrnico.

o El personal no debe abrir archivos adjuntos a los correos electrnicos, a menos que

hayan sido analizados por el software antivirus institucional.

o El personal de la UNI no debe utilizar las cuentas de correo oficiales para participar en grupos de discusin en Internet, Listas de Correo o cualquier otro foro pblico, a menos que su participacin haya sido expresamente autorizada por la Direccin de su Dependencia/Facultad y del CTIC-UNI.

o Si un trabajador es dado de baja en la UNI, se deber informar al CTIC-UNI, para que bloquee su cuenta de correo electrnico y los accesos a los sistemas informticos con los cuales trabajaba.

9. Logging o Registro Histrico de Actividades

Contar con registros de los movimientos que se realizan dentro de los sistemas de la Universidad Nacional de Ingeniera, buscando evitar conductas inapropiadas y minimizar riesgos de seguridad en el uso de estos sistemas.

Logs de aplicaciones sensibles

o Todas las aplicaciones de produccin que manejen informacin sensible de la UNI, deben generar logs que muestren cada modificacin, incorporacin y borrado de la informacin. Esto incluye modificaciones a los sistemas de produccin y modificaciones a los sistemas fuente.

o Los sistemas que manejen informacin valiosa, sensible o crtica deben adems

contener y activar forzosamente el log sobre todos los eventos o procesos relacionados

con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contrasea,

intentos de uso de privilegios no autorizados, entre otros.

o Los logs de procesos relevantes deben de proveer informacin suficiente para soportar

auditoras y contribuir a la eficiencia y cumplimiento de medidas de seguridad. Es

importante que la Oficina de Informtica y el CTIC acuerde con el Propietario de la

Informacin cualquier caracterstica especial que estos logs deban incluir, de acuerdo a

requerimientos internos o con autoridades externas.

o Todos los comandos emitidos por los operadores de sistemas deben ser rastreables o

identificables para especificar su uso individual.

o El perodo que debe activarse y depurarse un log es por lo menos cada mes. Durante

este perodo, el administrador del sistema y/o dueo de la informacin, se debe

asegurar que ste no sea modificado, y cerciorarse de que no sea ledo por personal no

autorizado. Estos aspectos son importantes para la correccin de errores, auditoras o

brechas de seguridad.

o Soporte Tcnico de las Depedencias/Facultades y el CTIC o una persona asignada por

ellas (que no tenga el rol de administrador de sistemas) debe revisar, por lo menos cada

tres meses, uno o ms registros relevantes a las actividades de los usuarios

responsables administradores de la informacin (administradores de servidores y

aplicaciones) para asegurarse que estn manejando con responsabilidad sus acciones

con respecto a los sistemas de cmputo.

o Para evitar conductas inapropiadas, crear un sentido de responsabilidad del usuario, y permitir una administracin adecuada de los sistemas, todas las actividades de los usuarios que afecten produccin deben ser trazables desde el log.

o Las aplicaciones y otros manejadores de Bases de Datos, deben tener logs para las

actividades de los usuarios y estadsticas relacionadas a estas actividades que les

permitan identificar y detectar alarmas de posibles problemas o mal uso, y que reflejen

eventos misionales de la institucin sospechosos.

o Todos los sistemas de la UNI, incluyendo todas las PCs conectadas a una red, siempre deben tener un mismo horario y calendario adecuado, utilizando sincrona con los servidores, cuando sea posible. Esto para facilitar actividades de rastreo mediante los logs de los sistemas. Manejo de Logs

o Los mecanismos para detectar y registrar eventos de seguridad significativos, deben ser

resistentes a los ataques. Estos ataques incluyen intentos de desactivacin,



modificacin, o borrado del software de log. Esto incluye tomar las medidas necesarias

para que, an cuando el log sea apagado o modificado, esta suspensin o modificacin

queden registradas en el mismo.

o Los logs de todos los sistemas y aplicaciones deben ser conservados de forma tal, que

no puedan ser revisados o visualizados por personas no autorizadas. Los funcionarios

autorizados deben contar con una autorizacin de Oficina de Informtica y el CTIC, el

Comit de Seguridad de la Informacin, o el dueo de la informacin en cuestin para

realizar tal acceso.

10. Manejo de Informacin y cuentas personales.

De la cuenta de correo electrnico

o El nombre de la cuenta de correo electrnico institucional para cada usuario estar

formado por la letra inicial del nombre de usuario seguido inmediatamente del apellido

paterno, ligado con el smbolo de @ al nombre de dominio de la institucin (establecido

por la Directiva N 010-2002-INEI/DTNP normas Tcnicas para la asignacin de

Nombres de Dominio de las Entidades de la Administracin Pblica). En caso de

existir dos construcciones similares, el Administrador de Correo electrnico en

coordinacin con las personas involucradas, acordarn el nombre de la cuenta.

Manejo apropiado de la contrasea

Uso de contraseas

o Debido al alto nivel de seguridad con el que se debe contar en la Institucin, las claves

de acceso al servidor WEB, a los sistemas informticos de la institucin y a la cuenta

de correo electrnico proporcionada por la Institucin es responsabilidad del usuario

mantener la estricta confidencialidad de las mismas.

o Cuando el usuario deje de usar su computadora deber cerrar el software de correo

electrnico, para evitar que otra persona use su cuenta de correo electrnico.

o Cambiar la contrasea peridicamente (cada 2 3 meses).

o Nunca guarde sus contraseas en lugares visibles, en ningn tipo de papel, agenda,

etc, preferible gurdalas en la memoria

o Las contraseas se deben mantener confidenciales en todo momento.

o No compartir las contraseas, con otros usuarios.

o Cambia tu contrasea si piensas que alguien ms la conoce y si ha tratado de dar mal

uso de ella.

o Selecciona contraseas que no sean fciles de adivinar.

o Nunca grabes tu contrasea en una tecla de funcin o en un comando de caracteres

pre-definido.

o Cambia tus contraseas regularmente.

o No utilizar la opcin de almacenar contraseas en Internet.

o No utilizar contrasea con nmeros telefnicos, nombre de familia etc.

o No utilizar contrasea con variables (soporte1, soporte2, soporte3 etc.)

Crear una contrasea:

o Contraseas fuertes contienen nmeros y letras mezcladas. Ver tabla adjunta. o Utilizar contrasea que tengan por lo menos 8 caracteres, entre letras, nmeros y

caracteres especiales.

Categora de caracteres Ejemplos

Letras maysculas A, B, C

Letras minsculas a, b, c

Nmeros 0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Smbolos del teclado (todos los caracteres del teclado que no se definen como letras o nmeros) y espacios

` ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ?



De las Actualizaciones de los Softwares

o El personal de soporte Tcnico de las Dependencias/Facultades estarn siempre monitoreando los software instalados a ver si hay alguna actualizacin disponible, pues muchas veces el encontrarse desactualizado, trae como consecuencia dejar las puertas abiertas para los ataques cibernticos.

o Los Aplicativos informticos desarrollados para la institucin, deben de pasar por un riguroso control de calidad. Manejo apropiado de control de Virus

o Los usuarios deben revisar el antivirus institucional se encuentra actualizado y no ha sido bloqueado.

o La Entidad deber definir un producto estndar licenciado en el entorno de sus estaciones de trabajo, resguardando el correcto funcionamiento de los equipos cmputo.

o El sistema de actualizaciones y deteccin diaria deber estar automatizado a nivel central.

o Se debe comunicar de cualquier infeccin por virus que no fue eliminada por el antivirus, al rea de soporte.

o Los usuarios no podrn desinstalar o cambiar el producto de antivirus existente en su equipo.

o Los dispositivos extrables, antes de ser usados deben ser escaneados con el antivirus.

Documents

Decalogo de Buenas Practicas SGSI