MANUAL DE SEGURIDAD

INFORMATICA EN-CORE

CAPITULO 1

GENERALIDADES:

OBJETIVOS Y ALCANCE

ARTÍCULO 1: En-core es una empresa de investigación tecnológica con sede principal en la ciudad de Medellín, el objetivo principal del manual de seguridad de la información es gestionar la integridad, disponibilidad y confidencialidad de los datos aplicando los estándares necesarios para permitir alcanzar los logros de la organización evitando inconvenientes en el manejo de datos. ARTÍCULO 2: La seguridad de la información es el conjunto de medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías de información. ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de manejo de datos conforme a la legislación colombiana y las recomendaciones internacionales en el manejo de la seguridad de la información.

ARTÍCULO 4: La información, documentos u otros datos que se procese, intercambie, reproduzca y conserve a través de los medios técnicos de computación es propiedad intelectual de En-Core. Por lo tanto se considerará llevar a medidas judiciales el robo o salida de información sin permiso alguno de las personas a cargo de los productos de información e investigación.

CAPITULO II

POLÍTICAS Y PLANES DE SEGURIDAD INFORMÁTICA Y DE CONTINGENCIA

SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN Y PLAN DE CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN EN-CORE.

ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y sistemas establecerá las regulaciones que rijan sobre la seguridad de la información que sea procesada, intercambiada, reproducida o almacenada a través de las tecnologías de información, determinando los tipos de información y recursos para su protección. También se creará los mecanismos de control para garantizar el cumplimiento de las regulaciones previstas en este manual.

ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de red y usuarios con el fin de mantener actualizada las políticas de la seguridad de la información en EN-CORE en casos como:

Cambios en físicos o de organización.

Cambios o nuevos flujo de la información.

Cambio o nuevos recursos de tecnologías de información disponibles.

Nuevos usuarios.

Nuevas herramientas para velar por la seguridad e integridad de la red. ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de procedimientos y garantizar los conocimientos mediantes lecciones aprendida donde se reflejan las políticas, estructura de gestión y el sistema de medidas, para la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los análisis de riesgos y vulnerabilidad realizados.

ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán objeto de aprobación y control por parte de los directivos de EN-CORE. ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante posibles amenazas a la seguridad de la información que impidan cumplir con la disponibilidad, integridad y confidencialidad. ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en caso de desastres, la evacuación, preservación y traslado, de los medios y soportes destinados al procesamiento, intercambio y conservación de información clasificada o sensible (Ver anexo: Análisis de riesgo). ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de aprobación y control por parte de las distintas instancias de EN-CORE.

SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN, EXCLUSIVAS Y GESTIÓN DOCUMENTAL

ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese, intercambie, reproduzca y conserve información vital con cualquier recurso tecnológico. En las áreas de producción se aplicarán contaran con las siguientes características:

Serán áreas cerradas donde se manejen equipos con protección de sobre carga de tensión, riesgo de inundaciones o derrame de líquidos.

En caso ventanas que se comuniquen con el exterior se debe velar por una posición adecuada que evite que la información y recursos fiscos sean dañados por acción de vientos o humedad.

ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en correspondencia con el nivel de acceso a la información clasificada que se les haya otorgado a las personas. En el caso del personal de servicios, mantenimiento de equipos u otro que eventualmente precise permanecer en el área, lo hará siempre en presencia de las personas responsables y con la identificación visible. En caso de visitantes deberán registrarse en la entrada de EN-CORE para permitir registrar su entrada o salida dentro de la empresa.

ARTÍCULO 14: El control e seguridad física incluye también la protección de puntos de datos mediante asociación de direcciones MAC al puerto. Sin embargo se podrá permitir el acceso de otros dispositivos mediante la solicitud al departamento de tecnología y sistemas de EN-CORE, la política de acceso físico a la red sea inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your Own Device). ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de almacenamiento y procesamiento de la información están ubicados, esta área incluye el cuarto de datos donde encuentren los servidores, y otros elementos de la red. Las características de las áreas serán las siguientes:

Protección a descargar eléctricas o sobre voltajes así como el manejo de energía mediante UPS para evitar el riesgo de pérdida de información ante apagones o problemas de la red eléctrica.

Suelo falso para evitar problemas de estática en los elementos.

Control físico de acceso mediante la seguridad de puertas de ingreso.

Control de la temperatura de los elementos mediante acondicionamiento de refrigeración.

ARTÍCULO 16: La entrada o permanencia de las personas en las áreas exclusivas debe ser controlada, requiriéndose la autorización expresa de la persona facultada para ello. En el caso del personal de servicio, mantenimiento de equipos u otro que eventualmente precise permanecer en el área lo hará siempre en presencia de las personas responsables. ARTÍCULO 17: Todos los documentos físicos que contengan información clasificada serán controlados y conservados en la oficina de control de la información clasificada o en el área responsabilizada, según lo establecido para su protección y conservación. En lo posible se requerirá la gestión documental para la digitalización de documentos y la conservación de soportes vitales que requieran soporte físico según la ley.

SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES

ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de implementación a nivel de software y hardware y estarán en correspondencia directa con las políticas y modelos de seguridad que para la información se determinados por los directivos de EN-CORE. ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u otros dispositivos) en que se procese, intercambie, reproduzca y conserve información clasificada o sensible, se les implementarán mecanismos para identificar y autenticar los usuarios. ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de control (software de gestión de usuarios) que permitan contar con una traza o registro de los principales eventos que se ejecuten y puedan ser de interés para la detección o esclarecimiento ante violaciones de la Seguridad Informática. ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de tecnología y sistemas serán instaladas o utilizadas en cada dispositivo destinado al procesamiento de información clasificada o sensible, reunirán los requisitos siguientes:

Registro de control de aplicación, licencias y funcionalidad.

Cuadro de niveles manejo de la información que permita la aplicación del control, acorde a los niveles de acceso otorgado a los sujetos informáticos;

Capacidad de registrar todas las operaciones principales, realizadas en el tratamiento de bases de datos que contengan información clasificada o sensible.

ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o alteraciones no autorizadas, a los mecanismos de seguridad técnica que se apliquen, tanto a nivel de sistema operativo como de aplicaciones. ARTÍCULO 23: La copias de respaldo de la información se realizaran diariamente luego cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de pérdida, destrucción o modificación males intencionados o fortuitos, de acuerdo a la clasificación o importancia de la información que protegen.

ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que permita la trazabilidad dentro de la empresa así como los aplicativos requeridos por cada usuario.

SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS

ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al procesamiento de información clasificada se realizará una vez borrada físicamente la información. La nueva instalación del equipo se restaura según la hoja de vida del recurso tecnológico y los permisos del usuario a los procesos. ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de herramientas de Seguridad Informática que no cuenten con la aprobación del personal encargado en EN-CORE. El escaneo y manejo de red solo debe ser manejado por el personal asignado e incluso la persona dedicada dicha tarea, cualquier software que se use en la organización puede generar una gran ventana de vulnerabilidad y riesgo. Las únicas herramientas autorizadas para supervisar los servicios de red serán las designadas por el PSI autorizado. Se utilizan exclusivamente SATAN y NETLOG. La gestión de la integridad se realizara únicamente con el software COP, por lo tanto no se permiten otro tipo de software para el manejo de la integridad de la red

SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD INFORMATICA. ARTÍCULO 27: EN-CORE designará a una persona con la experiencia y confiabilidad suficiente para ser Responsable de la Seguridad Informática. Cuando las características propias de la entidad y el volumen y dispersión de las tecnologías de información instaladas, así lo aconsejen, se podrá designar más de un responsable para la atención de la Seguridad Informática en las diferentes áreas de trabajo. ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en cada entidad las siguientes:

Ser responsable de la aplicación y mantenimiento de los planes de seguridad informática y de contingencia.

Comunicar a la dirección de EN-CORE cuando en ella no se posean los productos de seguridad informática actualizados y certificados, de acuerdo a las normas recogidas en el presente Reglamento, y a las condiciones de trabajo del área.

Apoyar el trabajo del área de tecnología y sistemas y la área administrativa, en cuanto al estudio y aplicación del sistema de seguridad a los sistemas informáticos, con el fin de determinar las causas y condiciones que propician violaciones en el uso y conservación de estos sistemas y en la información que se procese en ellos;

Proponer y controlar la capacitación del personal vinculado a esta actividad, con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el Plan de Seguridad Informática (Ver anexo: gestión de usuarios).

ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la existencia de un Administrador de red que tendrá entre sus funciones básicas:

Vigilar la aplicación de mecanismos que implementen las políticas de seguridad definidas en la red;

Velar porque la misma sea utilizada para los fines que fue creada;

Activar los mecanismos técnicos y organizativos de respuesta ante los distintos tipos de acciones nocivas que se identifiquen.

SECCIÓN 6: TRABAJO EN REDES ARTÍCULO 30: Se prohíbe la conexión de dispositivos a elementos de la red en el área exclusiva, solo puede ser utilizado por el personal a cargo de dicha área. ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad de los cuales están provistas las redes de datos; así como de aquellos que permitan filtrar o depurar la información que se intercambie, de acuerdo a los intereses predeterminados por cada una de ellas.

CAPITULO III

PRESTACIÓN DE SERVICIOS DE SEGURIDAD INFORMATICA A TERCEROS.

ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad Informática a terceros aquellas entidades que cuenten con el correspondiente contrato vigente con EN-CORE según la naturaleza de la empresa de ofrecer servicios tecnológicos de investigación.

ANEXO: ANÁLISIS DE RIESGO

NOMBRE RIESGO (R) IMPORTANCIA

(W)

RIESGO EVALUADO

(RXW) DETALLE

BASE DE DATOS 10 10 100

Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa.

SERVIDOR WEB 8 10 80 Es un Equipo costoso por el tema de los servicios que están montados.

SWICTH 3 5 15

El swicth es un equipo activo que se puede cambiar, resetear y volver a configurar.

PC 7 3 21

Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente.

IMPRESORA 2 1 2

Recurso para la elaboración de trabajos lo cual si se daña se cambia con facilidad.

VER ANEXO: GESTIÓN DE USUARIOS

NOMBRE SERVICIO GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS

Base de Datos Empleados y

Administración Local Solo Lectura

Base de Datos Clientes, Producto y

Presupuesto Local Solo Lectura

Acceso a Internet Usuario Local Solo Lectura

Servidor Pagina Web Técnicos de

Mantenimiento Local Lectura y Escritura.

Acceso a Servidor, Router y Switch

Administradores de red

Local y Remoto Lectura y Escritura

Acceso a Equipos Técnicos de Sistemas Local Todos