proyecto administracion de sistemas julio maldonado.pdf
TRANSCRIPT
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
1/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 1de 77
IMPLEMENTACIN DE SISTEMA DEGESTION DE SEGURIDAD DE LA
INFORMACION-SGSI
ORGANISMO EJECUTIVO DE GUATEMALA
INGENIERA EN SISTEMAS DE INFORMACINEVALUACIN GENERAL PRIVADA, ADMINISTRACIN DE SISTEMAS
ING. ERVIN CANO
JULIO ALFREDO MALDONADO SAENZ 2790-09-6882
GUATEMALA, NOVIEMBRE DE 2014
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
2/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 2de 77
INDICE
Capitulo Tema !"i#a1 Introduccin 4
Antecedentes 5Objetivos 6Alcance y Limitaciones 7Justiicacin 7!escri"cin #ntidades O# $
2 %undamentos &ericos '()ormas I*O '+,etodolog-a ,A.#/I& '0
Proceso ,etodolog-a ,A.#/I& 11
$Pre2Anlisis 3om"arativo de las #ntidades del O# con los controles deI*OI#3 17((11((5
15
/esultado del Pre2Anlisis 3om"arativo +(4 Anlisis y .estin de /iesgos +1
.u-a "ara el Anlisis de /iesgos +13riterios de aloracin ++Proceso de Anlisis de /iesgos +$/esultados del Anlisis de /iesgos 45.estin de /iesgos 47
% Pol-ticas de *eguridad 5(Pol-ticas de *eguridad Organiacional 5'Pol-ticas de *eguridad %-sica y Lgica 56Pol-ticas de ,antenimiento del #8ui"o de 3om"uto 57Pol-ticas de Administracin de O"eraciones en el 3entro de 3om"uto 50Pol-ticas de .eneracin y /estauracin de 3o"ias de *eguridad 65Pol-ticas de 3um"limiento 66Pol-ticas de Pro9ibicin 67
& 3onclusiones 6$/ecomendaciones 60:ibliogra-a 7(
Ane;os 71
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
3/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $de 77
Re'ume#
#l "resente "royecto est enocado en el uso de controles de las normas de seguridad de la
inormacin I*OI#3 17(('1((5< I*OI#3 17((11((5 e I*OI#3 17((51(''< dedicada a es"eciicar
re8uerimientos necesarios "ara gestin de riesgos< establecer< im"lementar< o"erar< monitorear y
mantener un sistema de gestin de la seguridad de la inormacin=
As- tambi>n el A"ego del !ecreto 4721(($?Ley "ara el /econocimiento de las 3omunicaciones y
%irmas #lectrnicas@< 8ue "romueve 8ue integracin al comercio electrnico global re8uiera 8ue
sean ado"tados instrumentos t>cnicos y legales basados en los modelos de legislacin
Internacional 8ue buscan la uniicacin de esta rama del derec9o tan es"ecialiada< y 8ue debe
drsele seguridad jur-dica y t>cnica a las contrataciones< comunicaciones y irmas electrnicas
mediante sealamientos de la e8uivalencia uncional a estas Bltimas con res"ecto a los
documentos en "a"el y irmas manuscritas= Acuerdo .ubernativo '+521((0 ?/eglamento de la Ley
"ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas@ dedicada a regular la ley "ara
el reconocimiento de las comunicaciones y %irmas #lectrnicas< "romueve el comercio electrnicos de
los certiicados digitales de irma2e avanada 8ue son algoritmos electrnicos 8ue emite 3mara
de 3omercio de .uatemala 8ue "ermiten identiicar de manera ine8u-voca a una "ersona en
medios digitales= Adicionalmente caliica tanto su actividad "roesional< como el rol 8uedesem"ea en el momento< 8ue garantia
Identidad y ca"acidad de las "artes 8ue tratan entre s- sin conocerse ?emisor y rece"tor del
mensaje@=
Integridad de la transaccin ?veriicar 8ue la inormacin no ue mani"ulada@=
Irreutabilidad de los com"romisos ad8uiridos ?no re"udio@=
3onidencialidad de los contenidos de los mensajes ?solamente conocidos "or 8uienes
est>n autoriados@=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
5/77
Sistema de Gestin de Seguridad de la Informacin
Pgina %de 77
'=1 Antecedentes
#l Organismo #jecutivo es uno de los organismos del #stado< 8ue ejerce el "oder ejecutivo
de la /e"Bblica de .uatemala= #st com"uesto "or el Presidente< el ice"residente< los ,inisterios
de #stado< las *ecretar-as de la Presidencia y ice"residencia< las gobernaciones de"artamentalesn basado en la Ley "ara el
/econocimiento de las 3omunicaciones y %irmas #lectrnicas en .uatemala= 3on el a"ego de las
distintas )ormas y Leyes antes mencionadas se establecern bases "ara la im"lementacin de un
*.*I ?*istema de .estin de la *eguridad de la Inormacin@ "or lo tanto deber cum"lir las
siguientes ases
Anlisis y .estin de /iesgos
Pol-ticas necesarias "ara la adecuada .estin de la *eguridad
!ocumentacin de "rocesos y registros
Plan de im"lementacin
'=+=1 Objetivos #s"ec-icos
Ayudar a descubrir y "laniicar las medidas o"ortunas "ara mantener los riesgos
bajo control=
3oncienciar a los res"onsables de los sistemas de inormacin y comunicacin
de la e;istencia de riesgos y de la necesidad de evitar al m;imo 8ue estos se
ejecuten=
Asegurar 8ue la inormacin transmitida "or la red LA) sea la misma 8ue reciba el
destinatario al cual se 9a enviado y 8ue no llegue a manos de "ersonas
malintencionadas=
A"oyar a las distintas #ntidades "ara 8ue "ueda cum"lir con lo deinido en el
sistema de gestin de seguridad de la inormacin 8ue se va a desarrollar en
este "royecto=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
7/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 7de 77
'=5 Alcance y Limitaciones
3on el anlisis de riesgo de la seguridad de la red de las distintas Organiaciones de
Organismo #jecutivo de .uatemala< se identiicarn las amenaas< vulnerabilidades y riesgos de la
inormacin sobre la "lataorma tecnolgica de esta organiacin< con el in de .enerar un *istemade .estin de la *eguridad de la Inormacin 8ue se asegure en un ambiente inormtico seguros de 8ue se
9an tomado acciones o establecido controles 8ue "ermitan a la organiacin reducir su
"robabilidad de ocurrencia=
A#!li'i' -e +ie'"o Fso sistemtico de la inormacin "ara identiicar uentes y "ara estimar el
riesgo=
E3alua*i# -el Rie'"o.Proceso de com"arar el riesgo estimado con el criterio de riesgo dado "ara
determinar la im"ortancia del riesgo=
Valua*i# -el Rie'"o.Proceso general de anlisis del riesgo y evaluacin del riesgo=
T+atamie#to -el Rie'"o Proceso de tratamiento de la seleccin e im"lementacin de medidas
"ara modiicar el riesgo=
Ge'ti# -el Rie'"o.Actividades coordinadas "ara dirigir y controlar una organiacin con relacin
al riesgo=
i+ma Ele*t+#i*a. #s de naturalea undamentalmente legal< ya 8ue coniere a la irma un marco
normativo 8ue le otorga valide jur-dica=
i+ma Di"ital. #s un m>todo cri"togrico 8ue asocia la identidad de una "ersona o de un e8ui"o
inormtico al mensaje o documento= #n uncin del ti"o de irma< "uede< adems< asegurar la
integridad del documento o mensaje=
Ce+ti5i*a-o Di"ital #s un ic9ero inormtico generado "or una entidad de servicios de certiicacin
8ue asocia unos datos de identidad a una "ersona -sica< organismo o em"resa conirmando de
esta manera su identidad digital en Internet= #l certiicado digital es vlido "rinci"almente "araautenticar a un usuario o sitio Ceb en internet "or lo 8ue es necesaria la colaboracin de un
tercero 8ue sea de coniana "ara cual8uiera de las "artes 8ue "artici"e en la comunicacin
u#*io#e' 9a'8. La uncin 9as9 es un algoritmo matemtico 8ue "ermite calcular un valor
resumen de los datos a ser irmados digitalmente= %unciona en una sola direccin< es decir< no es
"osible< a "artir del valor resumen< calcular los datos originales= 3uando la entrada es un
documento< el resultado de la uncin es un nBmero 8ue identiica indiscutible al te;to= *i se
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
13/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 1$de 77
adjunta este nBmero al te;to< el destinatario "uede a"licar de nuevo la uncin y com"robar su
resultado con el 8ue 9a recibido= #ste ti"o de o"eraciones no estn "ensadas "ara 8ue las lleve a
cabo el usuario< sino 8ue se utilia sotCare 8ue automatia tanto la uncin de calcular el valor
9as9 como su veriicacin "osterior=
Delito I#5o+m!ti*o. O ciberdelincuencia es toda a8uella accin< t-"ica< antijur-dica y cul"able< 8ue
se da "or v-as inormticas o 8ue tiene como objetivo destruir y daar ordenadores< medios
electrnicos y redes de Internet=
2)$ No+ma' I/O :O+"a#i6a*i# I#te+#a*io#al pa+a la E'ta#-a+i6a*i#;.esuna organiacin no gubernamental 8ue orma un "uente entre los sectores "Bblicos y "rivados y
naci con el objetivo de acilitar la coordinacin internacional y la uniicacin de los estndares
industriales= La I*O 9a reservado la serie I*OI#3 17((( "ara una gama de normas de gestin de la
seguridad de la inormacin de manera similar a lo realiado con las normas de gestin de la
calidad< la serie I*O 0(((=
2)$)1 I/O
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
14/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 14de 77
!einicin de nuevos "rocesos de gestin de seguridad de la inormacin
Identiicacin y clariicacin de los "rocesos de gestin de seguridad de la
inormacin e;istentes
Ftiliar la gestin de las organiaciones "ara determinar el estado de las actividades
de gestin de seguridad de la inormacin Fsar "or los auditores internos y e;ternos de las organiaciones "ara determinar el
grado de cum"limiento de las "ol-ticas< directrices y normas ado"tadas "or una
organiacin
Ftiliar las organiaciones "ara "ro"orcionar inormacin relevante acerca de las
"ol-ticas de seguridad de la inormacin< directivas< normas y "rocedimientos a los
socios comerciales y otras organiaciones con las 8ue interactBan "or raones
o"erativas o comerciales
Im"lementacin de seguridad de la inormacin em"resarial "ro"icio
Ftiliar las organiaciones "ara "ro"orcionar inormacin relevante sobre seguridadde la inormacin a los clientes=
+o*e'o -e A-apta*i#
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
15/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 1%de 77
la#ea+. E'tale*e+"ol-tica< objetivos< "rocesos y "rocedimientos *.*I relevantes "ara manejar el
riesgo y mejorar la seguridad de la inormacin "ara entregar resultados en concordancia con las
"ol-ticas y objetivos generales de la organiacin< "ol-tica y objetivos=
9a*e+ :Impleme#ta+;.Im"lementar y o"erar la "ol-tica controles< "rocesos y "rocedimientos *.*I=
C8e=uea+ :Mo#ito+ea+ el /G/I;.#valuar y medir el desem"eo del "roceso en com"aracin con la
"ol-tica< objetivos y e;"eriencia "racticas *.*I y re"ortar los resultados a la gerencia "ara su
revisin=
A*tua+ :Ma#te#e+ meo+a+ el /G/I;. Toma+ acciones correctivas y "reventivas basadas en los
resultados de la auditoria interna *.*I y la revisin gerencial u otra inormacin relevante continua
del *.*I
2)$)2 I/O < IEC 27002. 200%. establece directrices y "rinci"ios generales "ara iniciar'i*a amie#tal *e reiere a un "er-metro de seguridad -sicaa MAGERIT
Para la realiacin de un Anlisis de /iesgos e;isten varias gu-as inormales< a"ro;imaciones
metdicas< estndares y 9erramientas de so"orte 8ue buscan gestionar y mitigar los riesgos= Las
"rinci"ales metodolog-as de anlisis y gestin de riesgos de uso 9abitual en el mercado de la
seguridad de la inormacin son ,A.#/I&< O3&A#< 3/A,,< I/A,< a continuacin tenemos una
tabla en la cual nos com"ara todas las metodolog-as=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
22/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 22de 77
2)& 9e++amie#ta EAR
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
23/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 2$de 77
I*OI#3 17((11((5 2 3digo de buenas "rcticas "ara la .estin de la *eguridad de
la Inormacin
#)* 2 #s8uema )acional de *eguridad
La utiliacin de esta 9erramienta en este "royecto me ayudara analiar los riesgos de acuerdo
a la conidencialidad< integridad< dis"onibilidad< autenticidad y traabilidad=
&ambi>n dis"one de salvaguardas< normas y "rocedimientos de seguridad "ara el anlisis del
riesgo en el "roceso de tratamiento= Para realiar un anlisis de riesgo adecuado< es necesario
tener conocimiento sobre el entorno Pilar en cuanto a identiicar los activos< de"endenciass I& .overnance
Institute@< tiene una serie de recursos 8ue "ueden servir de modelo de reerencia "ara la gestin
de &I< incluyendo un resumen ejecutivo< un rameCorE< objetivos de control< ma"as de auditor-acnicas de gestin=
3riterio de aloracin segBn el modelo de ,adure 3O:I& ?Objetivos de 3ontrol "ara Inormacin
y &ecnolog-as /elacionadas@
A continuacin se reali un anlisis 8ue tiene como objetivo identiicar las reas d>biles de
las distintas entidades del Organismo #jecutivo de .uatemala< basndonos en los criterios de
valoracin del ,odelo de ,adure 3O:I&
% OLITICA DE /EGURIDAD CUMLIMIENTO GRADO DEMADURE
UNIDADEECUTORA
5=' Pol-tica de seguridad de la inormacin
%)1)1 !ocumento de la "ol-tica de seguridad de la
inormacin=
no cum"le ( ine;istente *#.F/I!A!
%)1)2 /evisin de la "ol-tica de seguridad de la
inormacin=
no cum"le ( ine;istente *#.F/I!A!
& ORGANIACIN DE LA /EGURIDAD DE LA
Valo+ C+ite+io
0 Ine;istente
1 Inicial
2 /e"etible
$ Proceso !einido
4 .estionado #valuable
% O"timiado
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
25/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 2%de 77
INORMACIN
&)1 Organiacin interna
&)1)1 3om"romiso de la direccin con la seguridad de la
inormacin=
no cum"le ( ine;istente *#.F/I!A!
&)1)2 3oordinacin de la seguridad de la inormacin= cum"le 1 re"etible *#.F/I!A!
&)1)$ Asignacin de res"onsabilidades "ara la seguridad
de la inormacin=
no cum"le 1 re"etible *#.F/I!A!
&)1)4 Acuerdos sobre conidencialidad no cum"le + "roceso
deinido
*#.F/I!A!
7 GE/TIN DE ACTIVO/
7)1 /es"onsabilidad "or los activos
7)1)1 inventario de activos cum"le + "roceso
deinido
*#.F/I!A!
7)1)2 "ro"iedad de los activos no cum"le + "roceso
deinido
*#.F/I!A!
7)1)$ uso ace"table de los activos 3um"le 4 gestionadoevaluable
//GG
( /EGURIDAD DE LO/ RECUR/O/ 9UMANO/
()1 Antes de la contratacin
()1)1 roles y res"onsabilidades 3um"le 4 gestionado
evaluable
//GG
()1)2 seleccin < revisar antecedentes cum"le + "roceso
deinido
//GG
()1)$ t>rminos y condiciones laborales )o cum"le ' inicial //GG
()2 !urante la vigencia de contratacin laboral
()2)1 /es"onsabilidad de la direccin 3um"le ' inicial //GG()2)2 educacin < ormacin y concientiacin sobre la
seguridad de la inormacin
no cum"le ( ine;istente //GG
()2)$ "roceso disci"linario no cum"le ( ine;istente //GG
()$ &erminacin o cambio de la contratacin laboral
()$)1 /es"onsabilidad en la terminacin cum"le 5 o"timiado //GG
()$)2 devolucin de los activos cum"le 4 gestionado
evaluable
//GG
()$)$ /etiro de los derec9os de acceso cum"le 4 gestionado
evaluable
//GG
/EGURIDAD I/ICA DEL ENTORNO)1 Mreas *eguras
)1)1 "er-metro de seguridad -sica cum"le 5 o"timiado *#.F/I!A!
%I*I3A
)1)2 controles de acceso -sico cum"le 5 o"timiado *#.F/I!A!
%I*I3A
)1)$ seguridad de oicinas < recintos e instalaciones cum"le 4 gestionado
evaluable
*#.F/I!A!
%I*I3A
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
26/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 2&de 77
)1)4 "roteccin contra amenaas e;ternas y
ambientales
)o cum"le 5 o"timiado *#.F/I!A!
%I*I3A
)1)% trabajo en reas seguras cum"le ' inicial *#.F/I!A!
%I*I3A
)1)& reas de carga des"ac9o y acceso "ublico cum"le 5 o"timiado *#.F/I!A!
%I*I3A
)2 *eguridad de los e8ui"os
)2)1 Fbicacin y "roteccin de los e8ui"os cum"le 4 gestionado
evaluable
*#.F/I!A!
%I*I3A
)2)2 servicios de suministros cum"le 5 o"timiado *#.F/I!A!
%I*I3A
)2)$ seguridad del cableado cum"le 5 o"timiado P/O3 !A&O*
/#!#*
)2)4 mantenimientos de los e8ui"os cum"le 4 gestionado
evaluable
P/O3 !A&O*
/#!#*
)2)% seguridad de los e8ui"os uera de las instalaciones )o cum"le ' inicial *#.F/I!A!%I*I3A
)2)& seguridad en la reutiliacin o eliminacin de los
e8ui"os
cum"le 1 re"etible *#.F/I!A!
%I*I3A
)2)7 retiro de activos cum"le ' inicial *#.F/I!A!
%I*I3A
10 GE/TION DE COMUNICACIONE/ OERACIONE/
10)1 /es"onsabilidades y "rocedimientos de o"eracin
10)1)1 !ocumentacin de los documentos de o"eracin cum"le ' Inicial P/O3 !A&O*a pa+a el A#!li'i' -e Rie'"o
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
33/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $$de 77
4)2)1 E'tale*e+ C+ite+io' -e Valo+a*i#.#stablecer criterios de valoracin= #n esta tarea el l-der y
el comita de seguridad establecen los criterios de valoracin< los cuales van a "ermitir
identiicar la im"ortancia de cada uno de los activos a evaluar=
*e deben establecer los criterios de valoracin "ara
+oaili-a- -e o*u++e#*ia :Ame#a6a' Vul#e+aili-a-e';. 3onsidera la
e;istencia de una amenaa< la cual "uede llegar a e;"lotar una determinada
vulnerabilidad de la organiacin= #n este caso es necesario establecer dos
criterios de valoracin< el "rimero "ara medir la "robabilidad de 8ue ocurra
una amenaa y el segundo "ara medir la "robabilidad de 8ue se e;"lote una
vulnerabilidad=
Ame#a6a :/e"@# la I/O
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
34/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $4de 77
Vul#e+aili-a- /e"@# I/O
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
35/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $%de 77
I#te"+i-a- /e"@# I/O
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
36/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $&de 77
Co#t+ole' -e E?i'te#te'.3onsidera 8ue tan eectivos son los controles 8ue se
estn utiliando= #n este caso es necesario establecer un criterio de
valoracin 8ue "ermita identiicar si e;iste un control y si este cum"le su
uncin correctamente=
R
i
e
'
"
o
I#
Rie'"o I#8e+e#te. Identiica la valoracin del riesgo e;istente en la
organiacin antes de tomar acciones o establecer controles< 8ue "ermitan a
la organiacin reducir su "robabilidad de ocurrencia=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
37/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $7de 77
Rie'"o Re'i-ual. Identiica la valoracin del riesgo e;istente en la
organiacin des"u>s 8ue se 9an tomado acciones o establecidos controles
8ue "ermiten a la organiacin reducir su "robabilidad de ocurrencia=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
38/77
Sistema de Gestin de Seguridad de la Informacin
Pgina $(de 77
+io+i6a*i# -e Rie'"o'. La siguiente matri es una re"resentacin grica
"ara ilustrar la "rioriacin de los riesgos de acuerdo a la "robabilidad de
ocurrencia contra el im"acto= Los 8ue se encuentran en la ona roja son los
ms cr-ticos e involucran el ms alto riesgo< la ona anaranjada im"lica
riesgos medios y re8uieren atencin continua= Las reas amarillas sonriesgos bajos y es recomendable asumirlos=
4)$ +o*e'o A#!li'i' -e Rie'"o OE.Para el anlisis de /iesgos se tom como ejem"lo el ,inisterio
de #ducacin de .uatemala< "ara ellos se identiicaron los riesgos< amenaas< /iesgo In9erenteti*a' E'tale*i-a'
%)2 ol>ti*a -e /e"u+i-a- O+"a#i6a*io#al. &oda "ersona 8ue ingresa como usuario nuevo a
la em"resa "ara manejar e8ui"os de cm"uto y 9acer uso de servicios inormticos debe ace"tarlas condiciones de conidencialidad< de uso adecuado de los bienes inormticos y de la
inormacin< as- como cum"lir y res"etar al "ie de la letra las directrices im"artidas en el ,anual
de Pol-ticas y #stndares de *eguridad Inormtica "ara Fsuarios=
%)2)1 U'ua+io' Nue3o'.&odo el "ersonal nuevo de la organiacin'i*o.
3ual8uier "ersona 8ue tenga acceso a las instalaciones de las
organiaciones del O# deber registrar al momento su entrada< el e8ui"o
de cm"uto< e8ui"o de comunicaciones< medios de almacenamiento y
9erramientas 8ue no sean "ro"iedad de la entidad< en el rea de
rece"cin o "orter-a< el cual "odrn retirar el mismo d-a= #n caso
contrario deber tramitar la autoriacin de salida corres"ondiente=
Las com"utadoras "ersonales< las com"utadoras "orttiles y cual8uieractivo de tecnolog-a de inormacin< "odr ser retirado de las
instalaciones de las Organiaciones Bnicamente con la autoriacin de
salida del rea de inventario< ane;ado el comunicado de autoriacin del
e8ui"o debidamente irmado "or el Jee .eneral de la #ntidad=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
56/77
Sistema de Gestin de Seguridad de la Informacin
Pgina %&de 77
5=+=1 Co#t+ole' -e A**e'o L"i*o. 3ada usuario y uncionario son res"onsables de los
mecanismos de control de acceso 8ue les sean "ro"orcionado< esto es< el login de
usuario y contrasea necesarios "ara acceder a la red interna de inormacin y a la
inraestructura tecnolog-a de la Organiacin< "or lo 8ue se deber mantener de
orma conidencial=
&odos los usuarios de servicios de inormacin son res"onsables "or el
usuario y contrasea 8ue recibe "ara el uso y acceso de los recursos=
&odos los usuarios debern autenticarse "or los mecanismos de
control de acceso "revisto "or el !e"artamento de Inormtica< antes
de "oder usar los e8ui"os de tecnolog-a de inormacin=
Los usuarios y uncionarios son res"onsables de todas las actividadesrealiadas con su identiicador de usuario?I!@= Los usuarios no deben
divulgar ni "ermitir 8ue otros utilicen sus identiicadores de usuarion tengan "ol-ticas de directivas
de gru"o "ara la autoriacin de uso de dis"ositivos de almacenamiento
e;terno< cono Pen !river o ,emorias F*:< !iscos Porttiles< Fnidades de3!!! e;ternos< "ara el manejo y traslado de inormacin o realiacin de
co"ias de seguridad o bacEu"s=
3ada jee de rea o de"endencia debe re"ortar al !e"artamento de
Inormtica el listado de uncionarios a su cargo 8ue manejan estos ti"os de
dis"ositivos< es"eciicando clase< ti"o y uso determinado=
%)7 DaHo -el E=uipo
#l e8ui"o de cm"uto< "eri>rico o accesorio de tecnolog-a de inormacin
8ue sura algBn des"erecto< dao "or maltrato< descuido o negligencia "or
"arte del usuario res"onsable< se le levantara un re"orte de incum"limiento
de "ol-ticas de seguridad=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
59/77
Sistema de Gestin de Seguridad de la Informacin
Pgina %de 77
%)( A-mi#i't+a*i# -e Ope+a*io#e' e# el Ce#t+o -e Computo
%)()1 A-mi#i't+a*i# -e Ope+a*io#e' e# el Ce#t+o -e Cmputo
Los usuarios y uncionarios de la #ntidas del O# 8ue 9agan uso de e8ui"os decm"utos< deben conocer y a"licar las medidas "ara la "revencin de cdigo
malicioso como "oder ser virus< caballos de &roya< gusanos< s"yCare=
#l de"artamento de inormtica encabeado "or el .erente de I&< establece
las "ol-ticas y "rocedimientos administrativos "ara regular< controlar y
describir el acceso de visitantes o uncionarios no autoriados a las
instalaciones de cm"uto restringidas=
3uando un uncionario no autoriado o un visitante re8uieran la necesidadde ingresar a la sala donde se encuentran los servidores< debe solicitar
mediante comunicado interno debidamente irmada y autoriado "or el jee
inmediato de su seccin o de"endencia y "ara un visitante se debe solicitar la
visita con antici"acin la cual debe traer el visto bueno de la .erencia< y
donde se es"ecii8ue ti"o de actividad a realiar< y siem"re contrar con la
"resencia de un uncionario del !e"artamento de inormtica=
#l Jee del !e"artamento de inormtica deber llevar un registro escrito de
todas las visitas autoriadas a los centros de cm"uto restringidos=
&odo e8ui"o inormtico ingresado a los centros de cm"uto restringidos
deber ser registrado en el libro de visitas=
3uando se vaya a realiar un mantenimiento en algunos de los e8ui"os de
cm"uto restringido< se debe dar aviso con antici"acin a los usuarios 8ue se
vayan a ver aectados con el "aro del servicio=
#l Jee del !e"artamento de inormtica deber solicitar a la Alta .erencia
los e8ui"os de "roteccin "ara las instalaciones contra incendio< sistema
el>ctrico de res"aldo ?.eneradores #l>ctricos@< FP*=
Las actividades 8ue realicen los usuarios y uncionarios en la inraestructura
de &ecnolog-a de inormacin y 3omunicaciones &I3Rs de la #ntidades sern
registradas y "odrn ser objeto de auditoria=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
60/77
Sistema de Gestin de Seguridad de la Informacin
Pgina &0de 77
%) A-=ui'i*i# -e 'o5tJa+e.
Los usuarios y uncionarios 8ue re8uieran la instalacin de sotCare 8ue sea
"ro"iedad de la Organiacin< debern justiicar su uso y solicitar su
autoriacin "or !e"artamento de Inormtica con el visto bueno de su Jee
inmediato< indicando el e8ui"o de cm"uto donde se instalar el sotCare y
el "er-odo de tiem"o 8ue ser usado=
*e considera una alta grave el 8ue los usuarios o uncionarios instalen
cual8uier ti"o de "rograma ?sotCare@ en sus com"utadoras< estaciones de
trabajo< servidores< o cual8uier e8ui"o conectado a la red de la Organiacin autoriado "or !e"artamento de Inormtica=
#l !e"artamento de Inormtica< tiene a su cargo la tarea de inormar
"eridicamente a los usuarios< !irectivos< Administrativos< Jees de Fnidadcnicos@ del !e"artamento de Inormtica tiene la
res"onsabilidad de velar "or el buen uso de los e8ui"os de cm"uto y del
cum"limiento de las "ol-ticas de seguridad= A su ve debern orecer
mantenimiento "reventivo a las com"utadoras de la em"resa=
#n el "roceso de reinstalar un "rograma el t>cnico debe borrar
com"letamente la versin instalada "ara luego "roceder a instalar la nueva
versin 8ue desea< esto siem"re y cuando no sea una actualiacin del
mismo=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
61/77
Sistema de Gestin de Seguridad de la Informacin
Pgina &1de 77
5='(Li*e#*iamie#to -e /o5tJa+e
Para el control de licenciamiento de *otCare La organiacin cuenta con un
contrato con vigencia anula< con la 3om"a-a ,I3/O*O%& *=A=< adems como
"ol-tica de seguridad se tienen establecido en el /eglamento< la "ro9ibicinde instalar sotCare y "rogramas no autoriados y sin licencia= #l
!e"artamento de Inormtica deber realiar 8uincenalmente un inventario
-sico de los "rogramas y sotCare instalados en cada uno de los
com"utadores de la institucin=
%)11I-e#ti5i*a*i# -e I#*i-e#te'.
#l usuario o uncionario 8ue detecte o tenga conocimiento de la "osible
ocurrencia de un incidente de seguridad inormtica deber re"ortarlo alMrea de Inormtica lo antes "osible< indicando claramente los datos "or los
cuales lo considera un incidente de seguridad inormtica=
3uando e;ista la sos"ec9a o el conocimiento de 8ue inormacin conidencial
o reservada 9a sido revelada< modiicada< alterada o borrada sin la
autoriacin de las !irectivas Administrativas com"etentes< el usuario o
uncionario inormtico deber notiicar al !e"artamento de Inormtica=
%)12A-mi#i't+a*i# -e la Re-.
Los usuarios de las reas de no deben establecer redes de rea localn autoriados a ello=
%)1&Co#t+ole' *o#t+a 3i+u' o 'o5tJa+e mali*io'o
Para "revenir inecciones "or virus inormtico< los usuarios de la
Organiacin no deben 9acer uso de sotCare 8ue no 9aya sido
"ro"orcionado y validado "or el !e"artamento de Inormtica=
&odos los arc9ivos de com"utadoras 8ue sean "ro"orcionados "or el
"ersonal e;terno o interno considerando al menos "rogramas de sotCaren tener en
cuenta un correcto desem"eo de los "rocesos y una correcta ormacin y concientiacin
del "ersonal 8ue se encuentra dentro de la organiacin< ya 8ue en Bltimas son los
encargados de mani"ular la inormacin vital del negocio y son la "iea undamental "ara
una correcta gestin en el mbito de la seguridad de la inormacin=
La seguridad de la inormacin es un "roceso continuo 8ue debe ser a"oyado y liderado
constantemente "or la alta direccin "ara "oder tener el res"aldo necesario e im"lementar
las medidas adecuadas 8ue "ermitan asegurar la dis"onibilidad< integridad y
conidencialidad de la inormacin=
Por medio de un anlisis de riesgos se logr identiicar las dierentes amenaas inormticas
8ue "ueden aectar a los sistemas de inormacin y a "artir de este anlisis se reali la
gestin de riesgos donde se establecieron las dierentes recomendaciones "ertinentes=
La I*OI#3 17((11((5 es un estndar 8ue brinda una guida de buenas "rcticas en el
as"ecto de seguridad de la inormacin< "ara el desarrollo de este "royecto se tuvo en
cuenta la norma "ara obtener recomendaciones en el mbito de la seguridad de la
inormacin
3on el a"ego del !ecreto 4721(($?Ley "ara el /econocimiento de las 3omunicaciones y
%irmas #lectrnicas en .uatemala y con el Acuerdo .ubernativo '+521((0?/eglamento de
la Ley "ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas< se establecern
certiicados de seguridad dentro de la organiacin "ara la im"lementacin de irma2
electrnica< "ara garantiar la seguridad de la inormacin a trav>s de la Autenticacincnicas de seguridad X *istema de .estin de *eguridad de
la Inormacin
9tt"CCC=iso=orgisocatalogueYdetailcsnumber41'(+
I*O 17((' # I*O 17((1 en 3astellano
9tt"sgsi2iso17(('=blogs"ot=com1((7(0iso217(('2en2castellano=9tml
!ecreto 4721(($ ?Ley "ara el /econocimiento de las 3omunicaciones y %irmas #lectrnicas
en .uatemala
9tt"CCC=redi"d=orglegislacioncommonlegislacionguatemalaAcuerdo
Y4721(($Y%irmasY#lectronicasY.uatemala="d
Acuerdo .ubernativo '+521((0?/eglamento de la Ley "ara el reconocimiento de las
3omunicaciones y %irmas #lectrnicas en .uatemala
9tt"CCC=minin=gob=gtarc9ivosleyestesoreriaAcuerdosN1(.ubernativ
osA3F#/!ON1(.F:#/)A&ION1('+521((0="d
Iniciativa de Ley 4(55?Ley de !elitos Inormticos en .uatemala
9tt"CCC=csirt=gt8node5
%irma #lectrnica en .uatemala
9tt"CCC=irma2e=com=gt
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
72/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 72de 77
ANEO/
IA10 o+mato I-e#ti5i*a-o+ -e A*ti3o'. Para la identiicacin de activos es necesario utiliar el
"resente ormato=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
73/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 7$de 77
IA1% o+mato I-e#ti5i*a-o+ -e Ame#a6a'.Para la identiicacin de amenaas es necesario 9acer
uso del "resente ormato=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
74/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 74de 77
AR20 o+mato -e A#!li'i' -e Rie'"o' Para realiar el Anlisis de /iesgo de la Organiacin es
necesario 9acer uso del "resente ormato=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
75/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 7%de 77
GR2% o+mato Ge'ti# -e Rie'"o'. Para .estionar los /iesgos encontrados a "artir del Anlisis
de /iesgos< es necesario 9acer uso del "resente ormato=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
76/77
Sistema de Gestin de Seguridad de la Informacin
Pgina 7&de 77
/B$0 o+mato -e /e"uimie#to -e Ba*Kup'.Para darle seguimiento a las co"ias de seguridad de la
inormacin dentro de la Organiacin es necesario 9acer uso del siguiente ormato=
-
7/24/2019 Proyecto Administracion de Sistemas Julio Maldonado.pdf
77/77
Sistema de Gestin de Seguridad de la Informacin
GCU$% o+mato -e Ge'ti# -e Cue#ta' -e U'ua+io'.Para la 3reacin< ,odiicacin y #liminacin
de cuentas de usuarios en la Organiacin< es necesario 9acer uso del "resente ormato=