Upload
shirley-lopez-alvarado
View
144
Download
1
Embed Size (px)
Citation preview
PLAN DE
SEGURIDAD
INFORMATICA DEL
INSTITUTO
GUATEMALTECO DE
SEGURIDAD SOCIAL
Como estar libre y exento de todo peligro, dao riesgo, que se pueda dar al
sistema de informacin dentro de las entidades pblicas a travs de la
seguridad informtica y el diseo de normas, procedimientos, mtodos y
tcnicas destinadas a conseguir un sistema de informacin seguro y
confiable.
UNIVERSIDAD MARIANO GLVEZ DE GUATEMALA
Centro Universitario de Huehuetenango
Maestra en Gestin de Recursos Humanos
Curso: Sistemas de Informacin Gerencial
M.A. Ing. Estuardo Turner.
Proyecto Final
Plan de seguridad Informtica y Plan de Contingencias
DINORA ELIZABETH SOLIS LOPEZ 3328-05-7973
SHIRLEY GUISELA LOPEZ ALVARADO 3328-05-7968
Huehuetenango, 10 de mayo de 2014
INDICE
INTRODUCCION
1
I.
Instituto Guatemalteco de Seguridad Social 2
A.
Organigrama del IGSS
2
B.
Misin
2
C.
Visin
2
D.
Polticas y procedimientos
3
E.
Informacin Informtica del IGSS
4
F.
Plan de Seguridad Informtica en el IGSS 5
1
Marco de referencia
5
a. Sistemas de Informacin (SI)
5
b. seguridad informtica
5
2
Objetivo General
6
2.1. objetivos Especficos
6
3
Alcance
6
4
Polticas de Seguridad Informtica
6
5
Identificacin de Amenazas y riesgos
9
5.1. Anlisis de la Infraestructura del IGSS
9
G.
Plan de Contingencia
10
1
Anlisis de Riesgos
10
2
Sanciones
12
3
Manual de funciones del rea de informtica 12
H.
Plan de Respuestas a Incidentes
13
1
Propsito
13
2
Objetivos de la Respuesta a Incidentes
13
3
Definicin de Incidentes de Seguridad
14
4
Planificacin de Incidentes de seguridad Informtica 14
5
Ciclo de vida a la Respuesta a Incidentes
15
5.1. Preparacin para incidentes
15
II
CONCLUSIONES
16
III
BIBLIOGRAFIA
17
1
INTRODUCCION
En la actualidad un Plan de seguridad informtica debe estar a la vanguardia de los procesos de
cambio, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. El cual
debe ir enfocado a salvaguardar la integridad, confidencialidad, disponibilidad, autenticacin, no
repudio y control de acceso al sistema de informacin, como medida de seguridad lgica y fsica,
contra las amenazas, riesgos, vulnerabilidades y ataques que se den en contra de este, garantizando que
la informacin este protegida, y pueda obtenerse de forma segura, continua, confiable y a tiempo,
constituyendo una ventaja competitiva.
Las organizaciones tanto pblicas como privadas se enfrentan a una serie de riesgos que amenazan la
integridad de las mismas, lo que ha generado que se diseen diferentes planes de accin para combatir
estas amenazas implementando una serie de polticas de seguridad informtica a travs de anlisis de
riesgos en los sistemas de informtica, que van a acompaados de otros planes como lo es el de
contingencia e incidentes crticos, los cuales pueden ayudar a contrarrestar y minimizar los daos
provocados por el mal uso del equipo de informacin dentro de la entidad.
En este sentido, las polticas de seguridad informtica son una herramienta organizacional para
concientizar, adiestrar y capacitar a los colaboradores de la organizacin sobre la importancia, medidas
de seguridad y comprensin de la informacin y servicios crticos que permiten a la empresa crecer y
mantenerse.
Ante este medio que nos rodea, el proponer o identificar una poltica de seguridad requiere un alto
compromiso, ingenio tcnico para establecer fallas y debilidades, y constancia para renovar y actualizar
la informacin, en funcin del dinmico ambiente que rodea las compaas he instituciones modernas
para proporcionar un mejor servicio a nuestros usuarios.
Para lo cual el siguiente plan de seguridad informtica, se dise con informacin recabada de varios
autores expertos en el tema, especficamente para el Instituto Guatemalteco de Seguridad Social de
Huehuetenango, se presenta como una propuesta de aplicacin y apoyo al rea de informtica, tomando
en cuenta la calidad de informacin que se administra en estas bases de datos, proponiendo mejoras en
el plan de contingencias para el funcionamiento integral del mismo y atencin a los afiliados y
derechohabientes.
2
I. INSTITUTO GUATEMALTECO DE SEGURIDAD SOCIAL
A. Organigrama del IGSS
B. Misin
Proteger a nuestra poblacin asegurada contra la prdida o deterioro de la salud y del sustento econmico, debido a las contingencias establecidas en la ley.
C. Visin
Ser la institucin de seguro social caracterizada por cubrir a la poblacin que por mandato legal le corresponde, as como por su solidez financiera, la excelente calidad de sus prestaciones, la
eficiencia y transparencia de gestin.
3
D. Polticas y procedimientos (solicitudes, contraseas, instalaciones, seguridad)
1. Modernizacin y Adecuacin al Signo de los Tiempos
El Instituto es una institucin dinmica y debe, en todos los casos, adaptarse a los cambios. La
clave de esta adecuacin y modernizacin est en la previsin, es decir, en el adelantarse a las
exigencias del entorno y de las circunstancias internas a fin de que cuando llegue el momento, ya se
est preparado. A contrario sensu, se debe superar el hecho de reaccionar tardamente a los
cambios.
2. Racionalizacin del Manejo de Recursos
El Instituto debe ser minucioso en el control de desperdicios y goteos; pero simultneamente agresivo en la inversin productiva de sus recursos. Debe saber distinguir eficazmente el gasto puro, de la inversin e implementar la optimizacin de la calidad del gasto.
3. Contabilidad de Gestin
El Instituto debe, sin violentar las normas legales destinadas a regular las formalidades
presupuestarias y contables, mantener una contabilidad de gestin, es decir, desagregando las
cuentas contables a fin de tener presente en tiempo real la informacin necesaria para la toma de
decisiones.
4. Transparencia de Gestin
Todas las unidades operativas de la institucin deben proceder administrativamente de manera
transparente, incluyendo a la Gerencia que orgnicamente incluye a las Subgerencias- y, la Junta Directiva. Esto significa, como se mencion antes, la divulgacin de la informacin relevante y su
accesibilidad para estar sujetos al control social, el escrutinio pblico y particularmente, tener
motivaciones ntegras en el proceso de toma de decisiones. Adems, se debe de hacer uso y
fortalecer los controles institucionales, as como implementar aquellos que resulten necesarios.
5. Justicia Distributiva
Aplicacin cabal de dar a cada uno lo que le corresponde. En este sentido, la gestin tcnica y administrativa de los recursos humanos (permisos, premios, sanciones y un largo etctera), as
como la asignacin de recursos fsicos y presupuestarios y otro largo etctera, debe hacerse con
base en la eficiencia pero atemperadamente con base en la Justicia. Esta poltica adquiere particular
importancia cuando se enfoca desde el punto de vista de la retribucin por productividad.
6. Trabajo en Equipo
El Instituto debe lograr que sus funcionarios generen un sentido de pertenencia y
corresponsabilidad en los esfuerzos y en los logros institucionales, de cooperacin en el desarrollo
4
de los proyectos y en vestir la camiseta del IGSS con orgullo y conciencia de la labor conjunta, teniendo presente que, como sistema, el todo es mayor que la suma de Sus partes.
7. Vocacin de Servicio
Al igual que con la propuesta anterior, cabe indicar que la labor desarrollada por todos y cada uno
de los miembros del Instituto, sin importar posicin o jerarqua, es una labor de poltica social
destinada a la proteccin de quien lo necesita y por Ley lo merece. En este sentido, la
Labor realizada mediante la atencin a la salud o el pago de pensiones, tiene una trascendencia para
las personas que necesitan de su proteccin que va ms all de lo comn y predecible: se les
protege contra la enfermedad y la muerte prematura, as como contra el hambre y la pobreza.
E. Informacin informtica del Instituto Guatemalteco de seguridad Social:
1. Con que tecnologa cuenta en el Instituto Guatemalteco de Seguridad Social? Equipos de cmputo Servidores Comunicaciones Impresoras Base de datos Software Antivirus Redes y otros.
2. Cuenta con un sistema? (En que est hecho); Base de datos que usa?
Si cuenta con varios sistemas, llamados AS-400 (Consumo de certificados), RUAP
(certificados electrnicos), SII-SIGSS (atencin medica), COEX (recetas mdicas), MEDI-
IGSS (atencin de mdicos).
Estas bases de datos estn hechas en: SQL Server
3. Todos sus procesos estn sistematizados? Si, todas las actividades e informacin requerida se encuentra en la base de datos de las
diferentes unidades, as tambin se actualiza toda actividad realizada.
4. Tienen antivirus? Si cuenta con uno:
Eset Endpoint Antivirus Nod32 v5
5. Qu medidas de seguridad conoce en su sistema? Todos los usuarios tienen una clave asignada a cada mes se debe renovar la contrasea.
Solo tiene acceso a la base datos.
No se tiene acceso al internet
5
F. Plan de seguridad Informtica
1. Marco de Referencia
a. Sistema de informacin (SI): Conjunto de elementos organizados (recursos, equipo humano, informacin y actividades), relacionados y coordinados entre s, encargados de
facilitar el funcionamiento global de una empresa o de cualquier otra actividad humana
para conseguir sus objetivos.
a). Recursos: pueden ser fsicos, como ordenadores, componentes, perifricos y
conexiones, recursos no informativos; y lgicos, como sistemas operativos y
aplicaciones informativos.
b) Equipo Humano: compuesto por las personas que trabajan para la organizacin.
c) Informacin: conjunto de datos organizados que tienen un significado. La informacin puede estar contenida en cualquier tipo de soporte.
d) Actividades: que se realizan en las organizacin, relacionadas o no con la informtica.
e) Sistemas Informticos: constituido por un conjunto de elementos fsicos (hardware, dispositivos, perifricos y conexiones), lgicos (sistemas
operativos, aplicaciones y protocolos) y con frecuencia se incluyen tambin
los elementos humanos (personal experto que maneja el software y el
hardware). Aguilera (2010; pg. 8).
Hardware: equipo fsico utilizado para realizar las actividades de entrada, procesamiento y salida de un sistema de informacin.
Software: consiste en instrucciones detalladas, programadas por anticipado que controlan y coordinan los componentes del hardware
de cmputo de un sistema de informacin.
b. Seguridad informtica: disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y
confiable.
a) Tipos de seguridad: i. Activa: conjunto de defensas o medidas realizadas con el objetivo de
evitar o reducir los riesgos que amenazan el sistema. Ejemplo: proteger la
informacin mediante nombre de usuario, contraseas; evitar la entrada
de virus a travs de un antivirus, impedir mediante encriptacin, la
lectura no autorizada de mensajes.
ii. Pasiva: formada por las medidas que se implantan, para que una vez producido el incidente de seguridad, minimizar su recuperacin de
sistema. Ejemplo: el Backup, copia de datos.
6
2. Objetivo General:
Proteger la estructura computacional y todo lo relacionado con esta, en el Instituto
Guatemalteco de Seguridad Social
2.1. Objetivos especficos:
Establecer normas y polticas de seguridad que le brinden al Instituto guatemalteco de Seguridad Social de Huehuetenango, el resguardo y proteccin de su sistema
informtico, computacional y todo lo referente a este.
Implementar medias de seguridad que garantice la proteccin y manejo de informacin dentro de la institucin.
Garantizar mecanismos de seguridad que proporcionen servicios de seguridad para prevenir y reducir la vulnerabilidad ante los riesgos y amenazas en el sistema de
informtica.
Garantizar la confidencialidad, integridad, disponibilidad, privacidad de la informacin.
3. Alcance:
El alcance de este plan de seguridad informtica, realizado al Instituto Guatemalteco de
Seguridad Social, en la Unidad Integral de Adscripcin del Departamento de
Huehuetenango y los servicios pblicos que presta a sus afiliados y derechohabientes, va
enfocado a los aspectos ms relevantes del mbito fsico y lgico, tomando como base el
anlisis previamente realizado.
4. Polticas de Seguridad informtica:
Los mecanismos de seguridad preventivos son todos aquellas acciones que van de encaminadas
a prevenir cualquier amenaza a la confidencialidad, integridad, no repudio y disponibilidad de los
elementos crticos de sistema. Por la propia definicin de estas caractersticas, tambin se debe
proporcionar mecanismos de autenticacin y de control de acceso que garanticen la identificacin,
autenticacin y gestin de perfiles aplicables a los recursos para determinar que usuario y bajo qu
condiciones pueden o no acceder al recurso solicitado para la accin indicada.
El personal de recin ingreso al Instituto Guatemalteco de Seguridad social (IGSS) de Huehuetenango, sea contratado temporal o por tiempo indefinido, deber ser notificado al
Director General, para que instruya al tcnico en informtica y se le asignen los derechos
correspondientes a equipo de cmputo, creacin de usuario para la red, o en caso de retiro
del empleado, anular y cancelar los derechos otorgados como usuario de informtica.
El personal u otra persona que deba ingresar a un sitio o rea restringida de la Institucin, debe tener autorizacin previa del departamento de informtica, de esta forma protegeremos
la informacin y los bienes informticos.
7
Toda persona que ingresa a laborar a la institucin y es autorizado para el uso de alguno de los equipos de cmputo y hacer uso de servicios informticos debe aceptar las condiciones
de confidencialidad, de uso adecuado de los bienes informticos y de la informacin, as
como cumplir y respetar al pie de la letra las directrices impartidas en el Manual de Polticas
y Estndares de Seguridad Informtica.
Es responsabilidad del usurario de bienes de la empresa y servicios informticos cumplir con las polticas y normas de seguridad informtica del presente plan de seguridad
informtica.
El equipo asignado al personal operativo ser para uso exclusivo de las funciones inherentes a su puesto, para prestar sus servicios.
El usuario o funcionario tiene la obligacin de proteger las unidades de almacenamiento que se encuentren bajo su responsabilidad, aun cuando no se utilicen y contengan informacin
confidencial importante, o al menos que traslade los bienes a la tarjeta de responsabilidad de
bienes de la persona que los tiene en uso.
Es responsabilidad del usuario o funcionario evitar en todo momento fuga de informacin de la entidad que se encuentre almacenada en los equipos de cmputo personal que tengan
asignados.
El sistema RUAP (certificados de trabajo electrnicos) del Instituto Guatemalteco de seguridad social, tendr acceso restringido, nicamente personal autorizado tendr
permitido el acceso, debiendo ingresar su usuario y contrasea.
El personal operativo tiene la responsabilidad de salvaguardar la integracin fsica y lgica de los equipos de comunicaciones y servidores.
El personal tcnico deber llenar la bitcora de los sucesos acontecidos da con da especificando cualquier anomala, servicio u otra situacin quedando registro en la misma.
El personal operativo no tiene permitido el ingreso de alimentos o bebidas al rea de trabajo, esto con el fin de evitar accidentes y daos al equipo de cmputo y comunicaciones.
El personal operativo del Instituto Guatemalteco de Seguridad Social, deber reportar de manera inmediata al rea de informtica cuando se detecte riesgo alguno real o potencial
sobre el equipo de cmputo o de comunicaciones, tales como cadas de agua, choques
elctricos, cadas o golpes, peligro de incendio.
El personal operativo tiene prohibido, dejar que personas ajenas a la dependencia manipule el equipo y sistemas de informacin.
El personal operativo deber atender las solicitudes realizadas por afiliados o derechohabientes, alimentando el sistema con las acciones realizadas.
El personal operativo deber entregar los medicamentos solicitados en el rea designada para este fin y previo revisado el Cardex y firma de recibido del afiliado solicitante,
debiendo ingresar dicha entrega en el sistema correspondiente, para actualizar los
inventarios y existencias.
El personal tcnico deber verificar el correcto funcionamiento de los servidores y servicios as como del equipo de comunicaciones peridicamente.
El personal tcnico deber realizar copias de seguridad (Backup) de los diferentes sistemas, diariamente.
El personal tcnico deber actualizar el antivirus de forma mensual en todos los equipos de cmputo asignados al personal.
El personal tcnico deber verificar el correcto funcionamiento de los equipos de cmputo, servidores y comunicaciones, debiendo informar a su jefe inmediato cualquier anomala y
registrarla en la bitcora.
8
Se debe evitar colocar objetos encima del equipo de cmputo o tapar las salidas de ventilacin del monitor o CPU.
El equipo informtico debe permanecer en un lugar limpio, libre de humedad. Queda terminantemente prohibido que el funcionario o personal distinto al personal de
mantenimiento y reparacin de equipos destape un equipo de cmputo, siendo tal accin
calificada como grave y castigada con sancin.
nicamente el personal de mantenimiento de equipos de cmputo podr llevar a cabo los servicios y reparaciones al equipo informtico del Instituto.
El personal tcnico deber verificar el sistema de enfriamiento de los servidores, para evitar recalentamientos, deterioro del equipo y que el sistema se caiga en horas hbiles de trabajo.
Para realizar asignacin de equipos el personal tcnico deber tomar el cuento el nombramiento al cargo del personal, asignndoles este a travs de nmero inventario a su
tarjeta de responsabilidad de bienes individual.
El funcionario deber dar aviso inmediato al rea de informtica y a la oficina de inventarios la perdida, robo o extravi de equipos de cmputo, perifricos o accesorios bajo
su responsabilidad.
El personal operativo de las diferentes reas del Instituto guatemalteco de seguridad social, solo podr consultar informacin referente a su rea de trabajo, de lo contrario el sistema
enviara un mensaje al administrador para informar sobre tal accin.
El personal operativo que maneje los sistemas de informacin del Instituto Guatemalteco de Seguridad Social, debe tener un usuario y contrasea, para tener acceso a este.
Ninguna persona del personal operativo puede trabajar en el sistema, a travs del usuario de otra persona.
Se consideran violaciones graves el robo, dao, divulgacin de informacin privada o confidencial de esta institucin, o de que se le declare culpable de un delito informtico.
El personal de nuevo ingreso a la institucin deber contar con la induccin sobre las polticas y normas de seguridad informtica, hacindoles ver las obligaciones y las
sanciones en que pueden incurrir en caso de incumplimiento.
El rea de informtica velara porque todos los usuarios del sistema de informacin estn registrados en su base de datos para la autorizacin de uso de dispositivos de
almacenamiento externo, como drives o memorias USB, discos porttiles, unidades de CD y
DVD externos, para el manejo y traslado de informacin o realizacin de copias de
seguridad o Backup, no est permitido realizarse sin autorizacin.
El tcnico en informtica de cada dependencia deber reportar a la central de informtica del instituto el listado de personas asignadas a su dependencia que manejen estos tipos de
dispositivos, especificando clase, tipo y uso determinado.
El equipo de cmputo, perifrico o accesorio de tecnologa de informacin que tenga algn desperfecto, dao por maltrato, descuido o negligencia por parte del usuario o responsable,
se le levantara un reporte de incumplimiento de polticas de seguridad informtica.
Cuando se vaya a realizar mantenimiento en algunos de los equipos de las oficinas con paso restringido, se debe dar aviso con anticipacin al personal encargado de las oficinas para
evitar malos entendidos y traumatismos.
El tcnico en informtica deber solicitar a la administracin los equipos de proteccin para las instalaciones contra incendios, inundaciones, sistema elctrico de respaldo, UPS.
Las actividades que realicen lo empleados en la infraestructura tecnolgica de cualquiera de las oficinas del instituto, deben ser registradas y podrn ser objeto de auditoria.
9
Todos los accesos a internet tienen que ser realizados a travs de los canales de acceso provistos por la institucin en caso de necesitar una conexin a internet alterna o especial,
esta debe ser notificada y aprobada por el departamento de seguridad informtica del
instituto.
Cualquier asunto fuera de las siguientes polticas se deber informar al jefe inmediato, para que determine qu acciones tomar.
5. Identificacin de amenazas y riegos:
El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos
informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que
puede producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de
la Seguridad Informtica, los Elementos de Informacin. Debido a que la Seguridad Informtica
tiene como propsitos garantizar la confidencialidad, integridad, disponibilidad y autenticidad
de los datos e informaciones, las amenazas y los consecuentes daos que puede causar un
evento exitoso, tambin hay que ver en relacin con la confidencialidad, integridad,
disponibilidad y autenticidad de los datos e informaciones.
5.1. Anlisis de la Infraestructura del Instituto Guatemalteco de Seguridad social:
a. Cules son los elementos (recursos, equipo humano, informacin, actividades que componen el sistema)?
Equipo
Programa
Datos
Procedimientos
Gente
Comunicacin
b. Cules son los peligros que afectan al sistema?
Los daos pueden ser fortuitos o fraudulentos.
Fortuitos: cometidos accidentalmente por los usuarios, accidentes,
cortes de fluido elctrico, averas del sistema, catstrofes naturales.
Fraudulentos: software malicioso, daos realizados a propsito por
un miembro del personal con acceso al sistema, robo o accidentes
provocados.
Criminalidad (comn. Poltica): Allanamiento, sabotaje, robo, hurto, fraude,
espionaje y virus.
10
Suceso de origen fsico: Incendios, inundacin, sismo, polvo, sobre carga elctrica,
falta de corriente.
Negligencia y decisiones institucionales: Falta de reglas, falta de capacitacin,
no cifrar datos crticos, mal manejo de contraseas.
G. Plan de contingencias:
Se puede definir como un conjunto de procedimientos que permiten recuperar el estado normal
de funcionamiento de toda la infraestructura informtica y de esta forma poder prestar un servicio
de calidad en la institucin. El plan de contingencia implica realizar anlisis de los posibles riesgos
a los cuales se puede estar expuesto, tanto el equipo informtico, como toda la informacin
contenida en los diversos medios de almacenamiento.
Para cumplir con un excelente plan de contingencias este debe contemplar las siguientes
actividades:
Plan de reduccin de riesgos
Plan de recuperacin de desastres
Actividades previas al desastre
Establecimiento del Plan de Accin.
Actividades durante el desastre
Plan de emergencias.
Al ocurrir un desastre que afecte la seguridad informtica de la institucin se deben realizar las
siguientes actividades:
Evaluacin de daos
Ejecucin de actividades
Evaluacin de resultados
Tipos de fallas a considerar en el plan de contingencias
Instalaciones elctricas
Bases de datos y aplicativos
Problemas con el servidor
Estaciones de trabajo y perifricos
Redes e internet
El instituto Guatemalteco de Seguridad Social define las siguientes etapas y actividades para la
realizacin de su plan de contingencias.
1. Anlisis de Riesgos.
Con el propsito de salvaguardar toda su infraestructura tecnolgica e informtica de la
institucin, debe contemplar los siguientes aspectos en su labor diaria por parte de su personal.
11
Hacer copia diaria de los archivos que son vitales para la institucin.
Control de acceso a las instalaciones de la institucin no autorizadas para cualquier
persona.
Realizar el mantenimiento preventivo de forma regular.
Prohibir el ingreso de comidas y bebidas en las instalaciones informticas.
Mantener estos espacios libres de humo de tabaco (prohibido fumar).
Realizar limpieza constante, evitando la acumulacin de polvo.
Mantener actualizado el programa de antivirus.
Permitir solo el acceso a las instalaciones informticas en horarios programados o con la
presencia de un supervisor, adems deber configurar las computadoras para que
dispongan de bloqueo en el teclado.
Proteccin fsica de los diferentes equipos del sistema informtico, cualquier equipo en
general y con especial atencin los servidores y hardware de red, deben situarse en
lugares protegidos para que solo el personal autorizado tenga acceso a ellos.
Contar con servidores con alto grado de seguridad como cerradura electrnica que se
pueda accesar por medio de huella digital, tarjeta y tambin puede ser por el mecanismo
biomtrico apoyado siempre por cmaras de seguridad.
Tener guardias de seguridad las 24 hrs, del da para dicho recinto.
Realizarle configuraciones tcnicas al equipo que no permitan que el usuario de este
pueda instalar ningn programa dentro de la red institucional, para evitar el ingreso de
hacker al sistema.
Otras medidas de prevencin podran ser:
Implementar la autenticacin con privilegios mnimos y control de acceso. Es decir,
no se debe dar a los usuarios acceso a recursos que no utilizan.
Implemente control de aplicaciones de listas blancas. Esto busca impedir que los
nuevos programas maliciosos se propaguen en toda la red.
Implemente fuertes polticas de contraseas, con 12 caracteres o contraseas ms
complejas para las cuentas de usuario estndar. Las de las cuentas administrativas
deberan ser, incluso, ms largas. Utilice la autenticacin de dos factores si las
contraseas largas son un problema o no son lo suficientemente seguras.
Asegrese que los antivirus puedan comprobar si hay actualizaciones cada 24 horas o
menos, y que escanean por herramientas de hacking.
Eduque a los usuarios finales acerca de los riesgos ms grandes, tales como Adobe
Acrobat y explotaciones de Java, avisos de falsos antivirus, sitios de phishing, etc.
Instalar una planta elctrica de alta calidad y soporte, que genere energa a todo
edificio del Instituto Guatemalteco de Seguridad Social de Huehuetenango, con el fin
de evitar que cuando se den cortes de energa elctrica, se pierda la informacin y se
contine con el servicio a los afiliados.
12
Colocar sealizacin a las salidas de emergencia, por cualquier incendio o desastre
natural, tomando en cuenta la cantidad de afiliados que se atienden diariamente.
Se deben colocar cmaras de seguridad en lugares claves donde se maneje
informacin confidencial y privada.
Contratar una lnea de internet adicional, para cualquier emergencia o falla en la lnea
utilizada.
Realizar Backup peridicamente en el da, para evitar que la informacin se pierda, al
momento de un dao fortuito ya sea por un corte de energa elctrica u otro motivo.
Verificar que el antivirus utilizado, sea el mejor en el mercado, garantizado y
comprobado.
2. Sanciones
Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de acuerdo al reglamento emitido por la Direccin administrativa del Instituto Guatemalteco de Seguridad
Social.
Las sanciones pueden ser desde una llamada de atencin verbal, escrita o hasta la suspensin del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que sta
manifiesta.
Todas las acciones en las que se comprometa la seguridad de la Red del sistema de informacin del IGSS que no estn previstas en esta poltica, debern ser revisadas por la Direccin
Administrativa para dictar una resolucin.
En cuanto a los daos a la infraestructura tecnolgica, Interceptacin ilegtima de sistema informtico o red de telecomunicacin, Suplantacin de sitios Web para capturar datos
personales, Acceso abusivo a un sistema informtico y de ms delitos informticos se aplicara
lo determinado en el reglamento de Sanciones de la Administracin General.
3. Manual de funciones del rea de informtica
El tcnico en informtica de la institucin tiene como principal responsabilidad la
administracin y coordinacin diaria del proceso de Seguridad Informtica de la
institucin.
Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar
y aconsejar a los usuarios de la institucin sobre cmo desarrollar procedimientos para
la proteccin de los recursos.
Una tarea clave para el tcnico en informtica, es guiar al cuerpo directivo y a la
administracin de la dependencia, ante incidentes de seguridad mediante un Plan de
Respuesta a Incidentes, con el fin de atender rpidamente este tipo de eventualidades.
Es responsable de proponer y coordinar la realizacin de un anlisis de riesgos formal en
seguridad de la informacin que abarque toda la institucin.
Es deber del rea de Seguridad Informtica, el desarrollo de procedimientos de
seguridad detallados que fortalezcan la poltica de seguridad informtica institucional.
13
Es responsabilidad del tcnico en informtica, promover la creacin y actualizacin de
las polticas de seguridad informtica, debido al comportamiento cambiante de la
tecnologa que trae consigo nuevos riesgos y amenazas.
Debe atender y responder inmediatamente las notificaciones de sospecha de un incidente
de seguridad o de incidentes reales.
Es responsabilidad del rea de informtica, coordinar la realizacin peridica de
auditoras a las prcticas de seguridad informtica.
Es responsable de mantenerse al da de las actualizaciones y nuevas vulnerabilidades
encontradas en el software de la empresa.
H. Plan de respuesta a Incidentes
Es de suma importancia para el Instituto Guatemalteco de Seguridad Social, definir los procedimientos
y planes de accin para el caso de una posible falla, siniestro o desastre que afecten la infraestructura
tecnolgica de la institucin, sus instalaciones e incluso el personal que labora en ella.
Cuando ocurra una contingencia, bien sea porque se haya materializado un riesgo, es esencial que se
conozca al detalle el motivo que la origin y el dao producido, lo que permitir recuperar y poner en
marcha, en el menor tiempo posible el proceso perdido.
Este plan de respuesta a incidentes define las pautas de lo que se debe de realizar en caso de incidente
de seguridad en algunas de las unidades de Adscripcin, las fases de respuesta a incidentes en un
momento dado.
Este documento muestra como minimizar los daos, evaluar el incidente, qu hacer cuando se presente
un incidente y como responder a ello.
1. Propsito
Este plan se implementa con el objetivo de tener una gua para saber que hacer al momento de
presentarse un desastre o suceso en el Instituto Guatemalteco de Seguridad Social de Huehuetenango.
2. Objetivos de la Respuesta a Incidentes
Asegurarse de que el incidente si se ha producido en la entidad.
Mitigar el impacto del incidente.
Prevenir futuros ataques o incidentes.
Mejorar la seguridad y respuesta a incidentes de la empresa
Mantenerse informado de la gestin de la situacin y la respuesta a la entidad.
14
3. Definicin del Incidente de Seguridad
Un problema puede causar ciertos tipos de incidentes de seguridad informtica tales como:
Perdida de informacin confidencial de la institucin afectando la confidencialidad, integridad y
disponibilidad de la misma.
Si la informacin de la institucin no cuenta con aplicaciones, software o servicios de seguridad
nuestra informacin podra ser modificada por alguien no autorizado de la entidad.
Robo de activos fsicos informticos tales como computadoras, dispositivos de almacenamiento,
impresoras, y dems equipo informtico propio de la institucin.
Daos a los activos fsicos informticos incluyendo computadoras, dispositivos de
almacenamiento, impresoras, y dems equipo informtico propio de la empresa y otros.
Denegacin de servicios dentro de la misma institucin.
Uso indebido de los servicios, informacin o activos de la entidad por parte de los empleados de
la institucin.
Infeccin de los sistemas por software no autorizado.
Intento de acceso no autorizado a los Sistema de informacin de la institucin.
Cambios no autorizados a la organizacin de hardware, software, o la configuracin de los
mismos.
Respuesta a las alarmas de deteccin de intrusos.
4. Planificacin de Incidentes de seguridad informtica
En caso de tener uno o varios incidentes de seguridad informtica en la institucin, en algunas
de sus oficinas con equipo informtico de cualquier categora, se llevara a cabo las siguientes
actividades.
Definir y aclarar la lista de respuestas a incidentes y sus responsabilidades.
Establecer los procedimientos detallados de las medidas a tomar durante el incidente de
seguridad informtica.
a. Detallar las acciones basadas en el tipo de incidente tales como virus, intrusiones de
hackers, robo de datos, sistema de destruccin.
b. Evaluar los procedimientos adecuados para identificar los aspectos crticos que han
ocurrido en la entidad.
c. Examinar si el incidente est en curso o se ha presentado de una manera rpida y critica.
d. Si es posible recuperar informacin importante de la entidad que haya sido perjudicada
por cualquier tipo de incidente de seguridad informtica
15
5. Ciclo de Vida a la Respuesta a Incidentes
3.5.1. Preparacin para incidentes
Polticas y Procedimientos
a. establecer las polticas de Seguridad.
b. Seguir los procedimientos de Respuesta a Incidentes.
c. Seguir los procedimientos de Recuperacin y Backup.
Implementar polticas con herramientas de seguridad que incluyen firewalls, sistemas de
deteccin de intrusos, a travs de herramientas de seguridad informtica y otros elementos
necesarios para la seguridad informtica
Colocar avisos de advertencia contra el uso no autorizado en los puntos de acceso del sistema.
Establecer directrices de respuesta considerando y discutiendo posibles escenarios.
Capacitacin de los usuarios sobre la seguridad y entrenar a personal de la institucin sobre el
manejo de situaciones de seguridad y el reconocimiento de intrusiones e incidentes de
seguridad informtica.
Debe haber un directorio de contactos, con los nombres, unidades y telfonos a los cuales
comunicarse en caso de emergencia.
16
II. CONCLUSIONES
Dentro de las principales conclusiones y recomendaciones ms importantes tenemos:
El crear un plan de seguridad Informtica en el Instituto Guatemalteco de Seguridad Social de
Huehuetenango, con componentes que produzca resultados efectivos, utilizando una
metodologa comprobada que disee el programa de seguridad con base en las necesidades de la
institucin para salvaguardar la integridad, confidencialidad y disponibilidad de la informacin.
Para desarrollar con xito un plan efectivo de seguridad informtica en las organizaciones o
instituciones, se debe crear y determinar las polticas, normas y procedimientos adecuados, se
debe realizar un anlisis de riesgos que facilite la determinacin de las mismas.
En general las organizaciones requieren generalmente de un plan de seguridad informtica para
cumplir con los requerimientos de seguridad, las empresas gubernamentales, estn sujetas a las
reglamentaciones y polticas, por lo que estas deben proteger la informacin que utilizan.
Una poltica de seguridad de la informacin generalmente exige que todos protejan la
informacin y as la institucin cumplir con sus responsabilidades reglamentarias, jurdicas y
fiduciarias.
Las polticas, riesgos, contingencias se deben hacer cumplir, midiendo el cumplimiento de lo
establecido y no se deben violar, pero esto se determinan las sanciones y consecuencias en caso
de incumplimiento, respaldado con documentos.
17
III. BIBLIOGRAFIA
Purificacin Aguilera (2010). Seguridad Informtica. Editex.
Lourdon, K. y Laurdon J. (2008). SISTEMAS DE INFORMACIN GERENCIAL
ADMINISTRACIN DE LAS EMPRESAS DIGITALES. Dcima Edicin. Mxico.
Prez, J. y Bada Enrique (2012). Privacidad y seguridad en la red. La regulacin y los
mercados. Editorial Espaa.
