DEFINICÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA LA ALCALDIA DE SAN ANTONIO DEL SENA
PRESENTADO POR: LUIS ROSAS ORELLANO ANGIE RODRIGUEZ GARCIA EDER CAMARGO TEHERAN ALEXIS DE JESUS MOROS CAMPUZANO RICARDO JAVIER TORRES TORRES
PRESENTADO A: ING. YURI LORENA FIERRO BOCANEGRA
SERVICIO NACIONAL DE APRENDIZAJE SENA ESPECIALIZACIÓN EN GESTION Y SEGURIDAD EN BASES DE DATOS MODALIDAD VIRTUAL 2017
Tabla de contenido
INTRODUCCIÓN ................................................. ...................................................................................................... ................................................................. ............ 4 OBJETIVOS ................................................. ....................................................................................................... .......................................................................... .................... 5 OBJETIVO GENERAL ........................................................ ...................................................................................................... .............................................. 5 OBJETIVOS ESPECÍFICOS ............................................................................................. 5 POLÍTICA DE RESPALDO DE DATOS ............................................................................. ......................................................... .................... 6 Propósito ............................................................................................................................ 6 Alcance ............................................................................................................................... 6 Política Pol ítica ...................................................... ............................................................................................................ .......................................................................... .................... 7 POLÍTICA PARA LA CREACIÓN Y DESTRUCCIÓN DE DOCUMENTOS................... 8 Propósito ................................................................................................ ............................. 8 Alcance ............................................................................................................................... 8 Política ................................................................................................................................ .......................................................................................... ...................................... 8 POLÍTICA DE INTERNET Y USO DE LA DMZ ...................................................... ................................................................ .......... 9 Propósito ................................................................................................ ............................. 9 Alcance ............................................................................................................................... 9 Política ................................................................................................................................ .......................................................................................... ...................................... 9 Responsables ............................................. ................................................................................................. ........................................................................ .................... 10 POLÍTICA DE RECUPERACIÓN DE DESASTRES ........................................................ 11 Propósito ................................................................................................ ........................... 11 Alcance ............................................................................................................................. 11 Política .............................................................................................................................. .......................................................................................... .................................... 11 POLÍTICA DE PRIVACIDAD DE LOS DATOS ....................................................... ............................................................... ........ 12 Propósito ................................................................................................ ........................... 12 Alcance ............................................................................................................................. 12 Política .............................................................................................................................. .......................................................................................... .................................... 12 POLÍTICA DE ENCRIPTACIÓN ENCRIPTAC IÓN DE LOS DATOS .......................................................... 14 Propósito ................................................................................................ ........................... 14 Alcance ............................................................................................................................. 14 Política .............................................................................................................................. .......................................................................................... .................................... 14 2
Responsables ..................................................................................................................... 15 POLÍTICA DE DISPOSITIVOS MÓVILES ....................................................................... 15 Propósito ................................................................................................ ........................... 15 Alcance ............................................................................................................................. 15 Política .............................................................................................................................. 15 Responsables ..................................................................................................................... 16 POLÍTICA DE SEGURIDAD DE REDES ......................................................................... 16 Propósito ................................................................................................ ........................... 16 Alcance ............................................................................................................................. 16 Política .............................................................................................................................. 16 POLÍTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIÓN Y CONTRASEÑAS ................................................................................................................. 17 Propósito ................................................................................................ ........................... 17 Alcance ............................................................................................................................. 17 POLÍTICA DE ACCESO REMOTO A LA RED ................................................................ 18 Propósito ................................................................................................ ........................... 18 Alcance ............................................................................................................................. 18 Política .............................................................................................................................. 19 POLÍTICA DE SOFTWARE COMO UN SERVICIO ........................................................ 19 Propósito ................................................................................................ ........................... 19 Alcance ............................................................................................................................. 20 Política .............................................................................................................................. 20 Responsables ..................................................................................................................... 20 POLÍTICA DE SEGURIDAD DE REDES INALAMBRICAS .......................................... 21 Propósito ................................................................................................ ........................... 21 Alcance ............................................................................................................................. 21 Política .............................................................................................................................. 21 Responsables ..................................................................................................................... 22 GLOSARIO .......................................................................................................................... 23 BIBLIOGRAFÍA Y WEBGRAFIA ..................................................................................... 24
3
INTRODUCCIÓN Las políticas definidas en el presente documento son difundidas en cada una de las Secretarías, donde cada una con su equipo de trabajo ha de estudiarlas de forma detenida y aprobaran los puntos definidos. Las políticas de seguridad permiten que en las organizaciones se definan las formas de realizar los procesos y los lineamientos que apoyan la Labor de protección de los datos y su disponibilidad al interior de la Alcaldía, de esta forma cada definición está dirigido a todos los funcionarios y en algunos casos a clientes externos.
4
OBJETIVOS
OBJE TIVO GENE RAL Este trabajo se elabora con el fin de proporcionar un reconocimiento formal para tomar conciencia, aceptar y cumplir con las políticas de Seguridad de la Información en la Alcaldía de San Antonio del Sena y va dirigida a los Funcionarios Directos, Temporales y Visitantes.
OBJE TIVOS ESPECÍ FI COS
Definir normas que sean comprensibles por todos los funcionarios y que traiga como consecuencia una concienciación del valor de la información y la importancia de la protección de los datos de la Alcaldía de San Antonio del Sena. Con la socialización de esta política se busca evitar daños importantes y generalizados a los archivos de aplicaciones de los usuarios, el componente de hardware y software con el propósito de evitar la infección de ordenadores y sistemas informáticos. Proveer requisitos para la realización de copias de seguridad del Sistema Informático periódicamente, con el fin de asegurar que las aplicaciones críticas, los datos y los archivos se conserven y se protejan de ser perdidos y destruidos.
5
POLÍTICA DE RESPALDO DE DATOS Debido a los procesos críticos en la Alcaldía de San Antonio del Sena, procesos que van desde la preparación de proyectos de acuerdos, resoluciones, decretos y contratos en la Secretaria General, Coordinación y Auditoria del control de precios al consumidor, rifas, juegos y espectáculos a cargo de la Secretaria de Gobierno, El Recaudo de los dineros provenientes del impuesto, la custodia de los títulos valores, garantías a favor del municipio y la rendición de cuentas de todo el flujo financiero en la Secretaria de Hacienda, Y la elaboración de proyectos en conjunto con Contratistas y Entidades expertas en la ejecución de obras civiles bajo la responsabilidad de La Secretaria de Planeación de Obras Públicas; la Implementación y actualización de la operación del Sistema Integral de Información de Salud en cabeza de la Secretaria de Salud, entre otros corresponden a los procesos de mayor demanda de transacciones y seguridad de la información sensible que debe ser salvaguardada por medio de una política clara para todo el personal de la Alcaldía. Los datos en cualquier organización pueden ser destruidos o dañados por el mal funcionamiento del sistema, medios accidentales o con total intencionalidad. Siguiendo el principio que la Disponibilidad de la Información es vital para las operaciones de los negocios, se implementan lineamientos para recuperar fácilmente la información en caso de ser necesario.
Propósito Definir los requisitos básicos para la realización de copias de seguridad del sistema periódicamente, para asegurar que las aplicaciones y los datos se conserven y se protejan contra la pérdida y destrucción de forma adecuada.
Alcance Esta política se aplica a todos los empleados, contratistas, consultores, empleados temporales y otros trabajadores de La Alcaldía de San Antonio del Sena. Cuando existan políticas dentro de una Secretaría, esta política proporcionará la instrucción mínima requerida. Las políticas de las unidades de negocio deben ser complementarias a esta política y no deben anular los requisitos establecidos en esta política. Cualquier conflicto entre la Política General y política de la Unidad de Negocios (Secretarías) debe resolverse a favor de la política de General para asegurar la protección de la confidencialidad, integridad y disponibilidad de la información.
6
Política 1. Todos los datos de la aplicación / usuario deben haber documentado los horarios de frecuencia específica, rotación y retención basados en la criticidad, los requerimientos del negocio y los requisitos legales los datos y de las aplicaciones. 2. La criticidad de datos / aplicaciones debe ser determinado, como mínimo, por el propietario de la aplicación o los datos, con el aporte de un asesor legal, para garantizar los requisitos mínimos legales de retención. 3. Todos los sistemas almacenamiento de aplicaciones y datos deben ser respaldados con al menos una copia de seguridad “full3 offsite2”, por mes, reteniendo cada
copia de seguridad mensual durante 1 año. 4. Todas las copias de seguridad de datos de las aplicaciones deben estar coordinadas con los horarios de procesamiento de la aplicación. 5. La retención de los datos debe cumplir con las siguientes normas mínimas: Cada cuanto se hará Diario Semanal Mensual Anual
(On-site) en las Secretarias (Área Física) 1 Semana 2 Semanas Ninguno Ninguno
(Off-site) Fuera de las Oficinas 2 Semanas 3 Semanas 1 Año 4 Años
6. El proceso para realizar la copia de seguridad debe ser monitoreado diariamente y el estado documentado. Problemas o fracasos en el mismo deben ser escalados inmediatamente al personal y gestión de apoyo responsables. 7. Todos los sistemas de almacenamiento de aplicaciones y datos deben ser revisados anualmente para verificar que las prioridades y procedimientos de la copia de seguridad y recuperación se hayan completado.
7
POLÍTICA PARA LA CREACIÓN Y DESTRUCCIÓN DE DOCUMENTOS
Propósito
Proporcionar una política estándar para la creación y destrucción de documentos que instruya a los funcionarios sobre los protocolos para crear, guardar y la destruir los documentos. Cumplir con las obligaciones legales, regulatorias, o de cumplimiento. Un enfoque sistemático de destrucción evitará consecuencias desfavorables por los tribunales de litigio.
Alcance Esta política se aplica a todos los funcionarios, contratistas, consultores, temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus Secretarias. Cuando ya existan políticas de creación y destrucción de documentos que las Unidades de Negocio, esta política proporcionará la instrucción mínima requerida de dirección. Esta política, y las políticas de las unidades de negocio, deben ser complementarias y cualquier conflicto entre ellas debe resolverse a favor de proporcionar las garantías necesarias para la protección, integridad y disponibilidad de la confidencialidad de la información.
Política Para la Creación de documentos
Las mejores prácticas recomendadas son: 1. 2. 3. 4.
Limitar a una copia maestra cada documento / presentación Limitar el envío de correos electrónicos "CC" y "CCO" y reenvío al azar Limitar el uso de archivos adjuntos. Adoptar de un sistema de manejo de documentos sistemático que elimine el problema de guardado y eliminación múltiple (con una solución de confianza para realizar copias de seguridad que permita a los empleados confiar en que la versión guardada es la "maestra" y se puede restaurar rápidamente).
Para la Destrucción de Documentos / Medios 1. Triture los documentos de papel y medios de comunicación donde se almacenan los documentos (CD, DVD, disquete, etc.). 8
2. Limpieza segura de almacenamiento en disco. 3. En el caso de que una estación de trabajo llegue al fin de su vida útil, sea transferido o dañado, el disco de estaciones de trabajo debe ser limpiado de los datos bajo parámetros de seguridad. Una práctica generalmente aceptada para la limpieza segura de un disco es sobrescribir con ceros una vez, luego unos y luego datos diferentes al azar. La desmagnetización es también una práctica aceptada para la limpieza de los datos de una unidad de disco o de un disco magnético. Una norma de referencia es el Departamento de Comercio de Estados Unidos, el Instituto Nacional de Normas y Tecnología, NIST 800-88. 4. Supresión y sobreescritura de archivos de documentos. 5. La destrucción física de unidades de disco duro, discos y otros medios de comunicación es una práctica aceptable.
POLÍTICA DE INTERNET Y USO DE LA DMZ
Propósito El propósito de esta política es definir las normas que deben cumplir los todos los equipos de propiedad y / o operados por la Alcaldía de San Antonio del Sena ubicados fuera de los cortafuegos del Internet corporativo de La Alcaldía. Estos estándares están diseñados para minimizar el potencial de exposición de las Secretarías ante la pérdida de datos sensibles o confidenciales, propiedad intelectual, daño a la imagen pública, etc., que pueden derivarse de un uso no autorizado de los recursos.
Alcance Todos los equipos o dispositivos desplegados en una zona desmilitarizada (DMZ), propiedad y / o operados por funcionarios de la Alcaldía de San Antonio (incluyendo hosts, routers, switches, etc.) y / o registrados en cualquier dominio del Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) propiedad de la Alcaldía, deberá seguir esta política.
Política 1. Hardware, sistemas operativos, servicios y aplicaciones deben tener una revisión de seguridad como parte de la fase de revisión previa al despliegue. Además, esta revisión debe repetirse de forma anual.
9
2. El análisis de vulnerabilidades se debe realizar cada tres meses. Cualquier vulnerabilidad crítica de seguridad debe ser corregida dentro de los 3 meses de identificación. 3. La configuración del sistema operativo debe hacerse de acuerdo con las normas de seguridad de instalación y configuración de hosting y de router. 4. Los servicios y aplicaciones que no están acorde a los requerimientos de la Alcaldía de San Antonio del Sena deben ser desactivados. 5. Las relaciones de confianza entre los sistemas sólo pueden ser introducidas de acuerdo con los requerimientos del negocio, deben ser documentadas, y deben ser aprobados. 6. Los servicios inseguros o protocolos deben ser reemplazados por sus equivalentes más seguras siempre que existan. 7. Los sistemas que necesiten ser para accedidos desde la Internet pública deben ser colocados en un segmento de DMZ, el cual es dirigido usando direcciones IP registradas públicamente. Administración / desktop / shell remoto se deben realizar con más seguridad, canales autenticados seguros (por ejemplo, las conexiones de red cifrados usando SSH o IPSEC) o acceso a la consola independiente de las redes DMZ. Cuando una metodología para las conexiones de canal seguras no está disponible, las contraseñas de un solo uso deben ser utilizados para todos los niveles de acceso. 8. Cualquier información clasificada confidencial o superior no se debe almacenar en los dispositivos ubicados en la zona de distensión (DMZ siglas en inglés). Los datos solo pueden existir en forma necesaria cuando estén en tránsito hacia su ubicación de almacenamiento final.
Responsables Todas las personas definidas en el marco de esta política cumplirán plenamente esta política. Los infractores estarán sujetos a medidas disciplinarias que pueden resultar en la terminación de su empleo. Todas las acciones se ajustarán a las leyes laborales aplicables.
10
POLÍTICA DE RECUPERACIÓN DE DESASTRES
Propósito Definir los requisitos mínimos para llevar a cabo la recuperación de desastres para asegurar que las aplicaciones y los datos más importantes de la empresa sean preservados y protegidos contra la pérdida y destrucción de datos de forma adecuada.
Alcance Esta política se aplica a todos los empleados, contratistas, consultores, empleados temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y todas sus Unidades de Negocio. Cuando haya políticas que ya existan dentro de una unidad de negocio, esta política proporciona la instrucción mínima requerida de dirección. Las políticas de las Secretarías deben ser complementarias a esta política y no anular los requisitos establecidos en esta política.
Política 1. Todas las aplicaciones de los planes de recuperación de desastres deben incluir lo siguiente:
a) b) c) d) e) f)
Nombre del propietario de la aplicación e información de contacto Propietario técnico e información del contacto _ Los objetivos de tiempo de recuperación Los objetivos de punto de recuperación Frecuencia de sincronización de un archivo o imagen _ Si corresponde, el tipo de protección (replicación basada en archivo o en bloque) Los requisitos de disco duro Lista de equipo completo que incluye: Procedencia y modelo del servidor Capacidad y uso del disco duro Ajustes de configuración (dirección IP, etc.) Tipo de servidor (web, app, db, etc) Arquitectura (física o virtual, 32 o 64 bits, etc) Lista de software, incluidas las versiones Manual de instrucciones para la recuperación (Reconstruir desde cero). Instrucciones de recuperación del sistema de recuperación de desastres aplicable. 11
Priorización de todos los servidores del sistema. Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc. El propietario de las aplicaciones y el gerente de TI de la Alcaldía de San Antonio del Sena son conjuntamente responsables de identificar las aplicaciones que deben protegerse y comunicarse con el coordinador de recuperación de desastres apropiado. Cualquier sistema de recuperación de desastres que se propuesto debe cumplir con los siguientes estándares globales para la recuperación de desastres, con el fin de considerarse para su uso:
a) Debe ser un sistema autónomo. No puede compartir el almacenamiento de datos con otros sistemas de producción, de desarrollo o de prueba b) Debe apoyar la tecnología utilizada en los sistemas de producción c) No debe estar en la misma ubicación que los sistemas protegidos d) Debe ser capaz de proteger los datos durante la transferencia o sincronización (es decir, la encriptación) e) El hardware debe ser suficiente como para apoyar a los sistemas que se están protegidos (disco duro, memoria RAM, procesador, etc.) f) Credenciales de acceso independientes de los sistemas cubiertos.
Todos los planes de recuperación de desastres deben ser almacenados digitalmente y encriptados en un centro de almacenamiento "fuera de sitio", lo cual quiere decir que la Alcaldía de San Antonio del Sena debe contar con servicios externos para el Almacenamiento en la Nube como lo son Empresas Especializadas para el Almacenamiento en la nube como Terremark, Google, Amazon etc.
POLÍTICA DE PRIVACIDAD DE LOS DATOS
Propósito Definir la política de la Alcaldía de San Antonio del Sena para el uso aceptable de los recursos y la privacidad de datos de TI.
Alcance Esta política aplica para todas las Secretarías y dependencias de estas.
Política 12
Todos los sistemas de TI son activos de la Compañía. Estos sistemas incluyen equipos de cómputo, software, medios de almacenamiento, y cuentas de red que proporcionan correo electrónico, correo de voz, Internet, y servicios FTP. Estos sistemas deben ser utilizados para fines comerciales en el servicio a la Alcaldía y a los clientes (usuarios externos) en el curso de operaciones comerciales normales. Los empleados son responsables por ejercer el buen juicio en cuanto a la razonabilidad de uso personal. Se anima a cada agencia a tener una política detallada que proporcione orientación adicional para la utilización aceptable de los recursos de tecnología para sus empleados. Todos los medios de comunicación de software propiedad de la empresa deben ser almacenados en un lugar seguro con acceso limitado. El software propiedad de la empresa no debe estar instalado en un ordenador personal en el hogar de los empleados. Los equipos informáticos comprados fuera de los métodos aprobados de la corporación, se consideran hardware de "uso personal". Este hardware no será apoyado o mantenido por la empresa. Además, el hardware adquirido de esta manera no se debe unir a las redes de la empresa, y los datos de la empresa no deben ser transferidos a este dispositivo.
A continuación, se identifican los usos inaceptables de los recursos de TI de la Alcaldía.
Los sistemas de la red, correo electrónico o correo de voz de la compañía no se pueden utilizar para solicitar o promover cualquier negocio comercial personal, causas políticas, o cualquier otro fin que se determina ilegal por la Compañía. Un individuo no puede leer ni acceder a mensajes que no se dirigen a ellos sin la aprobación del autor del mensaje. La duplicación no autorizada de material con derechos de autor, incluyendo, pero no limitado a, la digitalización y distribución de fotografías de revistas, libros u otras fuentes con derechos de autor, o música con derechos de autor. El correo electrónico no puede ser reenviado automáticamente. El uso no autorizado, o reenvío, de la información del mensaje. La introducción de programas maliciosos en la red, o efectuar otras interrupciones de la comunicación en red. 13
Violación de la seguridad o eludir la autenticación de usuario o la seguridad de cualquier host, red o cuenta.
POLÍTICA DE ENCRIPTACIÓN DE LOS DATOS
Propósito El propósito de esta política es afirmar que los sistemas de la Alcaldía de San Antonio del Sena sólo utilizarán sistemas de encriptación que hayan recibido revisión pública sustancial y sean consideradas como seguros.
Alcance Esta política se aplica a todos los empleados, contratistas, consultores, temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus unidades de negocio (Secretarías).
Política Solamente los algoritmos que hayan resistido el escrutinio y pruebas por la comunidad criptográfica se pueden utilizar como base para la tecnología de encriptado dentro de los sistemas de información de la Compañía. Los algoritmos estándares que son aceptables en el momento de la escritura de esta política son:
o o o o
o o o o
Criptosistemas simétricos de claves: Triple DES (3DES) AES (siglas en inglés) Encriptado Avanzado Estándar RC2, RC4, RC5 y (Encriptado de Rivest) IDEA (siglas en inglés) Algoritmo de encriptado de datos internacional Criptosistemas asimétricas de claves: Diffie-Hellman El Gamal Curva Elíptica RSA (Rivest-Shamir-Adleman)
Firma Digital Estándar:
o
RSA 14
o
DSA – DSA
Algoritmo de control seguro
o o
SHA-1 - Secure Hash Algorithm MD5 - Message Digest Los sistemas simétricos de clave deben utilizar longitudes de clave de al menos 128 bits.
Responsables Todas las personas definidas en el marco de esta política cumplirán plenamente con la política. Los infractores estarán sujetos a medidas disciplinarias que pueden resultar en la terminación de su empleo. Todas las acciones se ajustarán a las leyes laborales aplicables.
POLÍTICA DE DISPOSITIVOS MÓVILES
Propósito Busca definir reglas para la utilización de dispositivos móviles dentro de las Instalaciones de la Alcaldía de San Antonio del Sena.
Alcance Esta política se aplica a todos los empleados, contratistas, consultores, temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus unidades de negocio (Secretarías), a quienes se les asigne un dispositivo móvil propiedad de la empresa. Todos los dispositivos móviles propiedad de la empresa están cubiertos por esta política incluyendo teléfonos celulares, PDAs, teléfonos inteligentes y tabletas.
Política Todos los dispositivos móviles proporcionados por la Alcaldía de San Antonio del Sena se van a utilizar principalmente para asuntos oficiales del Grupo y de una manera segura y rentable siendo consistentes con las políticas de la Alcaldía de San Antonio del Sena existentes. Los dispositivos móviles que accedan a aplicaciones de Alcaldía de San Antonio del Sena, requerirán de configuración de un sistema de gestión de dispositivos móviles (MDM). 15
Responsables Los empleados de la Alcaldía de San Antonio del Sena a los que se les asigne un dispositivo móvil son responsables de: • Asegurarse de que el dispositivo móvil se utilice principalmente para los negocios de las
Secretarías. • Dispositivo de manipulación y “jailbreaking” están prohibidos. • Asegurar la atención adecuada y segura del uso del dispositivo móvil, incluyendo la
seguridad del dispositivo en todo momento. • Notificar a un supervisor inmediatamente si un dispositivo móv il ha sido perdido, robado
o dañado.
POLÍTICA DE SEGURIDAD DE REDES
Propósito Esta política proporciona orientación y un marco para los administradores y los gerentes de red para diseñar y tomar decisiones operativas relativas al acceso a la infraestructura de red de datos de la compañía.
Alcance Esta política va dirigida a todos los funcionarios directos e indirectos, contratistas de la Alcaldía de San Antonio delo Sena.
Política Esta política define 5 niveles de confianza. El nivel más bajo se designa "Nivel 0" y es considerado como "no fiable". El nivel más alto es el "Nivel 4" y se considera que es "de confianza". Los niveles intermedios "Parcialmente-confianza". A continuación, la tabla que clasifica las redes y su nivel de confianza: Nivel 0
Confianza Ninguno
Nombre Internet
Usuarios Todos 16
Sistemas Público
1 2 3 4
Parcial Parcial Parcial Total
Público Extranet Intranet Interno
Todos Funcionarios Funcionarios Funcionarios
Público Interno Interno/Confidencial Interno/Confidencial
Las redes de diferentes niveles de confianza no se pueden conectar directamente entre sí. Los dispositivos de filtrado de paquetes (es decir, firewall) se deben utilizar para controlar la interconexión de estas redes. La política por defecto en los filtros de paquetes será de negar todo el tráfico entre redes. Las desviaciones de la política de "negación predeterminada" para las conexiones entre dispositivos a través de las redes de los diferentes niveles, incluidas las conexiones físicas y virtuales, requieren aprobaciones de excepción por la alta gerencia y personal de seguridad de la información. Las reglas de control de acceso para estas conexiones deben especificar la red y direcciones de aplicación / servicio de los sistemas que se conecten. Los equipos regionales de la red administrarán y mantendrán la distribución y asignación de direcciones de red de acuerdo con el esquema de asignación de direccionamiento IP global. Las direcciones empleadas fuera de las redes asignadas y aprobadas no serán permitidas en la red de la Compañía.
POLÍTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIÓN Y CONTRASEÑAS
Propósito Tiene como propósito esta política diseñar mecanismos para la creación y protección de contraseñas.
Alcance Aplica para todas las secretarias de la Alcaldía de San Antonio del Sena. Política
17
El uso de contraseñas seguras es un aspecto importante de la seguridad informática. Las siguientes políticas de contraseñas deben ser seguidas por todos los funcionarios de las Secretarias en la Alcaldía de San Antonio de San Antonio del Sena: • Las contraseñas deben tener al menos 8 caracteres de longitud a menos que existan
limitaciones en el sistema operativo o dispositivo utilizado. • Las contraseñas de usuario no deben contener el nombre del usuario o Identificación. • Cuentas genéricas y contraseñas de grupo no se permiten; esto para que la responsabilidad
individual se pueda mantener en todo momento. • Las cuentas del sistema para los servicios o aplicaciones según sea necesario deben ser
seguras. • El tiempo mínimo antes de cambiar la contraseña es de un mínimo de 7 días. • El número de intentos incorrectos permitidos antes de la con traseña se suspenda es 4. • Deshabilitar el ajuste de suspender la contraseña en los dispositivos móviles. Al décimo
intento el dispositivo móvil se limpia.
POLÍTICA DE ACCESO REMOTO A LA RED
Propósito Esta política establece los requisitos para la conexión a la red del grupo de entidades (empresas, proveedores, usuarios) de sistemas o hosts que no son parte de la red de datos de la compañía. Esta actividad se conoce generalmente como acceso remoto. La posibilidad de acceder a los sistemas de datos de la compañía desde cualquier lugar en el mundo aumenta en gran medida la productividad de los usuarios móviles. En algunos casos, esto es el único medio disponible para hacer una conexión de red.
Alcance Esta política se aplica a todos los funcionarios, contratistas, consultores, los temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus Secretarias (unidades de negocio).
18
Política
El acceso remoto a todos los sistemas de datos de la Alcaldía de San Antonio del Sena, sólo se permite en las actividades de administración aprobadas. El acceso remoto a todos los sistemas de datos de la Alcaldía de San Antonio del Sena, deben adherirse a estrictos controles de contraseña y protección. Se requiere autenticación de usuario para obtener acceso a las redes corporativas y el sistema. Cada usuario que está autorizado a utilizar el acceso remoto tendrá una cuenta de inicio de sesión único. Queda prohibido el intercambio de cuentas de acceso. Equipos o sistemas que se utilizan para las conexiones de acceso remoto no deben también estar conectados a otras redes durante la sesión de acceso remoto, con la excepción de las redes personales que están bajo el control completo del usuario. En circunstancias en las que esto ocurre, el sistema remoto debe estar asegurado por un cortafuegos (Firewall). Todos los equipos que se utilizan para las conexiones de acceso remoto deben cumplir con las normas de la empresa para la detección de virus.
POLÍTICA DE SOFTWARE COMO UN SERVICIO
Propósito Esta política proporciona la autoridad para revisar y aprobar de cualquier uso o propuesta de uso de capacidades de " Software como un Servicio " (SaaS1: por sus siglas en inglés). También proporciona un conjunto mínimo de requisitos y riesgos que deben ser abordados en esas revisiones. Cuando se contratan servicios de terceros para contar con Acceso a CRM (Customer Relationships Management), ERP (Enterprise Resource Planning) o cualquier otro aplicativo que no esté físicamente en las Instalaciones de la Alcaldía, sino en servidores de terceros en otras partes del mundo, esto implica que información del negocio, estará en el poder de este tercero y se deben tomar medidas para evitar divulgación de información sensible.
19
Alcance Aplica para cualquier Secretaria (unidad de negocio) que utiliza software de terceros para procesar su trabajo.
Política En el área de IT, se debe verificar que los proveedores de soluciones tecnológicas tipo SAAS cumplan con los siguientes lineamientos:
Cumplimiento de la normativa aplicable. Acceso y confiabilidad de la red. Disposiciones del contrato y la fijación de precios. Seguridad de los datos y la ubicación física de los datos. Integración con los servicios existentes o planeados al interior de la Alcaldía, aplicaciones y capacidades de la empresa. Administración y gobierno de acceso a datos. Cumplimiento del contrato del cliente en el uso de estos servicios, según corresponda. Cumplimiento de las políticas de la Alcaldía de San Antonio del Sena. Fiabilidad del servicio, compromiso SLA, mantenimiento de la integridad de los datos y propiedad y control de datos. Revisión de las capacidades de seguridad, certificaciones y prácticas del proveedor. Revisión de las prácticas y procesos de desarrollo de aplicaciones de los proveedores. Uso de procesos y herramientas de desarrollo de aplicaciones seguras. Capacidades de los proveedores para realizar copias de seguridad y recuperación de desastres.
Responsables Todas las personas definidas en el marco de esta política se cumplirán plenamente con la política. Los infractores estarán sujetos a medidas disciplinarias que pueden resultar en la terminación de su empleo. Todas las acciones se ajustarán a las leyes laborales aplicables. El Jefe de Información de la Alcaldía de San Antonio del Sena es responsable del mantenimiento y la distribución de esta política y de proporcionar orientación a la Administración Ejecutiva sobre los requisitos de conformidad de esta política. La Administración Ejecutiva es responsable de la ejecución y cumplimiento de esta política dentro de sus respectivas Unidades de Negocio.
20
POLÍTICA DE SEGURIDAD DE REDES INALAMBRICAS
Propósito La conexión de nodos por medio de ondas electromagnéticas que permiten que las personas estén conectadas al Router sin necesidad de un cable UTP, es más conocido como las Redes Inalámbricas y dentro de la Alcaldía se requiere que este tipo de red sea monitoreado y que cuente con software especializado que verifique la entrada y salida de paquetes, debido a que en reuniones o acceso a clientes o usuarios será necesario dar un acceso restringido para consultar datos como impuestos, planes y demás procesos importantes para brindar un excelente servicio al público.
Alcance Aplica para todos los funcionarios, clientes o proveedores que, debido a su trabajo, requieren utilizar la red inalámbrica para presentaciones o consultas de vital importancia que no comprometerán la seguridad de la red LAN interna.
Política El control de la Red Lan Interna y la Red Wlan es diferente, debido a que los procesos del día a día deben necesariamente por medio de la Red Lan, pero aquellos procesos que no sean tan robustos, consultas, reportes y procesos livianos deben controlarse por medio de la Red Wifi Lan, así que las políticas aquí descritas no se mezclan en los dos tipos de redes, solo aplica para la Red Inalámbrica.
o
o
o o
Las redes inalámbricas deben emplear el uso de al menos uno de los siguientes mecanismos de autenticación. Implementar protocolo de autenticación extensible (EAP) y IEEE 802.1X para proporcionar control de acceso autenticado en el punto de acceso inalámbrico (AP). Donde se implementen huéspedes inalámbricos se requiere autenticación de usuario y autorización de acceso. Las redes inalámbricas deben emplear el uso de los siguientes mecanismos de encriptación. AES - Estándar de encriptación avanzado WPA2-empresarial con EAP-TTLS - Wi-Fi protegido 21
o
acceso2 La encriptación es obligatoria para cualquier acceso a la red WLAN corporativa. Redes de huéspedes inalámbricos no pueden tener acceso a la red de la Alcaldía de San Antonio del Sena. Los Puntos de Acceso (AP) deben estar asegurados físicamente para evitar el robo. Sólo se puede usar dispositivos inalámbricos, puntos de acceso, y las redes aprobados por la administración. El uso y la instalación de los dispositivos inalámbricos o sistemas no autorizados están prohibido. La instalación o el uso de estos dispositivos "clandestinos" están sujetos a una acción disciplinaria. Las redes WLAN son susceptibles a ataques de negación de servicios; los dispositivos que requieren alta disponibilidad no deben confiar en redes WLAN como el único método de conexión. Todo el acceso a redes WLAN debe estar registrado y regularmente auditado para determinar que se cumplan todos los requisitos de la política y que los usuarios no autorizados sean detectados.
Responsables Todas las personas (Funcionarios, Contratistas, Proveedores o Clientes) que por sus operaciones deben estar conectados a la Red inalámbrica, deben cumplir esta política.
22
GLOSARIO Cifrado o encriptado: Una transformación criptográfica que opera sobre caracteres o bits. Criptosistema: Un conjunto de transformaciones desde el espacio de un mensaje hasta el espacio de texto cifrado. Clave: Información o una secuencia que controla el cifrado y descifrado de mensajes. PGP (por sus siglas en inglés) (Privacidad bastante buena): Un sistema público de cifrado de claves. Criptografía Pública (asimétrica) de claves: Un tipo de cifrado que utiliza dos claves, una clave pública y una privada. Sólo el remitente conoce la clave privada, mientras que la clave pública está disponible para cualquier persona. Criptografía de clave secreta (clave simétrica): Un tipo de cifrado en el que el emisor y el receptor comparten la misma clave secreta.
23
BIBLIOGRAFÍA Y WEBGRAFIA https://senaintro.blackboard.com/bbcswebdav/pid-93567601-dt-content-rid127941869_4/institution/semillas/217219_1_VIRTUAL/OAAPs/OAAP6/recursos/guia_pa ra_elaborar_politicas_v1_0.pdf
24