Plan de Seguridad Informática

Plan de Seguridad Informática Concepto: Plan de Seguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado que constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad, recoge claramente las políticas de seguridad y las responsabilidades.

El Plan de Seguridad Informática constituye el documento fundamental para el control y la seguridad en la explotación de las tecnologías informáticas donde las medidas que se establecen son de obligatorio cumplimiento para todo el personal que haga uso de las tecnologías informáticas instaladas en la institución.

Objetivos

• Proteger la Información, los sistemas informáticos y la tecnología asociada.
• Definir, implantar y controlar las políticas encaminadas a prevenir, detectar, y solucionar situaciones que ponga a riesgos la integridad y disponibilidad de la información con que se trabaja.

Plan de Seguridad Informática en Cuba

• Es diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.

Etapas que distinguen el proceso de diseño de un Sistema de Seguridad Informática en Cuba

• Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye: caracterización del sistema informático, identificación de las amenazas y estimación de los riesgos y la evaluación del estado actual de la seguridad.
• Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa, las políticas de seguridad y las medidas y procedimientos a implementar.
• Evaluar el sistema de seguridad diseñado.

Instrumentos legales que se han puesto en vigor desde 1990 en Cuba

• Resolución 3 de 1992 del INSAC, Reglamento de Protección de Datos
• Resolución 6 de 1996 del MININT, Reglamento sobre la Seguridad Informática.
• Resolución 204 de 1996 del SIME, Reglamento sobre la Protección y Seguridad Técnica de los Sistemas Informáticos (Derogada).
• Decreto Ley 199 de 1999, Sobre la Seguridad y Protección de la Información Oficial.
• Metodología del Plan de Seguridad Informática del 2000.
• Metodología del Diseño Sistema de Seguridad Informática del 2001.
• Acta MINFAR – MININT – MIC del 2004.
• Acuerdo 6058 del 2007 del CECM, Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologías de la Información y la Comunicación.
• Resolución 127 del 2007 del MIC, Reglamento de Seguridad para las Tecnologías de la Información.

Controles de seguridad implementados

• Medios Humanos:Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo.

• Medios Técnicos de Seguridad:Se describirán los que se han utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos, teniendo en cuenta:

• Sistemas Operativos y nivel de seguridad instalado.
• Tipo de redes utilizadas y topología de las mismas.
• Conexiones a redes externas a la entidad.
• Servidores de uso interno y externo.
• Configuración de los servicios.
• Barreras de protección y su arquitectura.
• Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
• Filtrado de paquetes.
• Herramientas de administración y monitoreo.
• Habilitación de trazas y subsistemas de auditoría.
• Establecimiento de alarmas del sistema.
• Sistemas de protección criptográfica.
• Dispositivos de identificación y autenticación de usuarios.
• Protección contra programas no deseados.
• Software especial de seguridad.
• Medios técnicos de detección de intrusos.
• Cerraduras de disqueteras.
• Dispositivos de protección contra robo de equipos y componentes.
• Sistemas de aterramiento.
• Protección electromagnética.
• Fuentes de respaldo de energía eléctrica.
• Medios contra incendios.
• Medios de climatización etc.

• Medidas y Procedimientos de Seguridad Informática:En esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal, en correspondencia con las políticas generales para toda la entidad y con la ayuda, en los casos que lo requieran, de los medios técnicos, adecuando las mismas a las necesidades de protección de cada una de ellas de acuerdo con el peso del riesgo estimado para cada bien informático objeto de protección.

Tipo de medidas y procedimientos establecidos

• Medidas de seguridad implementadas a nivel de sistemas operativos, aplicación o ambos, para restringir y controlar el acceso a las bases de datos.
• Medidas para garantizar la integridad del software y la configuración de los medios técnicos.
• Empleo de medios criptográficos para la protección de ficheros y datos.
• Medidas y procedimientos establecidos para la protección contra virus y otros programas dañinos que puedan afectar los sistemas en explotación, así como para evitar su generalización, especificando los programas antivirus utilizados y su régimen de instalación y actualización.

Aspectos que en el se recogen

• E n el se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos de acuerdo con los especialistas de los servicios de seguridad lógica para empresas, ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos, se desarrolla sobre la base de los recursos informáticos en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir.

Importancia

• Permite entender donde puedes tener vulnerabilidades en tus sistemas informáticos, para una vez detectadas, tomar las medidas necesarias para prevenir esos problemas, si está bien diseñado es capaz de ayudar a proteger los datos y los sistemas críticos de tu negocio, asegurándote además que se ajuste a la legislación vigente y a la Ley de Protección de Datos.

Pasos para su elaboración

• Identificación:Implica averiguar el conjunto de los activos de la organización, incluido el personal, el hardware, software, sistemas y datos que componen tu sistema informático, pueden incluir programas informáticos, servidores y servicios externos como alojamiento web.

• Evaluación de riesgos:Permite establecer qué es lo que podría poner en peligro los activos anteriores, por ejemplo,los virus informáticos, hackers, daños físicos o errores de los empleados, considerando el tipo y el alcance del daño que podría ser causado en cada caso.

• Prioriza tu protección IT:Una vez que hayas evaluado el daño potencial de cada amenaza y la probabilidad de que se produzca, puedes decidir qué amenazas son las más importante e interesantes para empezar a proteger. Por ejemplo, podrías determinar que la protección de tu servidor es más importante que la protección de los equipos individuales.

• Toma las precauciones adecuadas:Decide cuáles son los pasos que debes tomar para protegerte contra los riesgos que has identificado en toda la parte anterior del plan, asegura que tu negocio va a seguir siendo capaz de operar si algo va mal.

Acciones a realizar después de su elaboración

• Comunica el plan a todo el personal.
• Hacer que algunos empleados concretos sean responsables de áreas específicas.
• Asegúrate de que tengan tiempo y recursos para hacer los cambios recomendados a sus sistemas de IT.
• Crea políticas de IT y forma a la gente.
• Modifique las políticas de IT para que estén en línea con el plan de seguridad.
• Establece un calendario para poner en marcha las medidas del plan.

Plan de seguridad informática para una empresa

• Identificar los bienes y patrimonio a resguardar.
• Detectar los riesgos y vulnerabilidades.
• Establecer prioridades de seguridad informática.
• Aplicar el plan de seguridad informática.

Aspectos necesarios para la seguridad de una empresa

• La seguridad física
• La seguridad lógica

Resolución que establece el Plan de Seguridad Informática

• La Resolución 127-07 Establece el Reglamento de Seguridad para las Tecnologías de la Información.

Documentos a tener en cuenta para Redes Informáticassegún Resolución 127 – 07

• Documentar las funciones y responsabilidades de los jefes, en materia de seguridad, para incluir en la responsabilidad laboral en el expediente laboral.
• Documentar las obligaciones del Responsable de Seguridad Informática, para incluir después de firmado, en su expediente laboral.
• Documentar la responsabilidad del trabajador hacia la Seguridad Informática, sus deberes y derechos, como constancia de su conocimiento y compromiso de su cumplimiento para incluir después de firmado, en su expediente laboral.
• Documentar las obligaciones que tiene el Administrador de Red en la entidad y archivar después de firmado por el mismo en el expediente laboral.
• Documentar el control de sistemas y aplicaciones informáticas, tecnologías y servicios a cada trabajador.
• Documentar las distribuciones aprobadas por la empresa para la migración al software libre.
• Documentar la Política de Cuotas de Navegación, si se requiere.
• Documentar todas las solicitudes y autorizaciones en materia de seguridad informática, por parte de los jefes (todo lo que se puede hacer tiene que ser de conocimiento y estar autorizado por el jefe máximo de la entidad).

Procedimientos Resolución 127 – 07)

• Procedimiento para la autorización y control sobre el movimiento de los bienes

informáticos(tecnologías y aplicaciones), incluir los casos de mantenimiento fuera de la entidad y la utilización entras entidades, con la correspondiente seguridad.

• Procedimiento para garantizar el borrado seguro de la información.
• Procedimiento para la asignación - cancelación de usuarios y derechos de

Usuarios.

• Procedimiento para garantizar la información de respaldo y su recuperación,

así como la protección física y ambiental.

• Procedimiento para la verificación de la seguridad de las redes, con el fin de

detectar posibles vulnerabilidades.

• Procedimiento para la instalación de software antivirus.
• Procedimiento para la gestión de incidentes y violaciones de

Seguridad Informática.

• Otros que por su importancia coadyuven a la Seguridad Informática.

Políticas de Seguridad Informática para los usuarios

• Los usuarios que hagan uso de las tecnologías informáticas son responsables de la protección de la información que utilicen o creen en el transcurso del desarrollo de sus labores, lo cual incluye: protección de acceso a los locales y a sus microcomputadoras, así como cumplir con lo establecido respecto al tratamiento de la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría y demás regulaciones.
• Los usuarios tendrán acceso sólo a los recursos que necesitan en el cumplimiento de su labor diaria, implementándose mediante la definición del equipamiento, aplicaciones a utilizar mediante los privilegios y derechos de acceso a los activos de información que se le otorgue.
• Los jefes de áreas deben garantizar que la seguridad informática sea tratada como un problema institución al normal al ser afrontado y resuelto, siendo los máximos responsables de promover la seguridad informática en su área.
• Se emplearán las tecnologías informáticas y los servicios asociados con fines estrictamente de trabajo.
• Se realizarán salvas que permitan identificar y autenticar a los usuarios en correspondencia con el empleo a que están destinadas la información que en ellas se procese, intercambie y reproduzca.
• Todo software traído a la entidad se le aplicará un período de cuarentena que permitan asegurar su funcionamiento seguro.
• El Responsable de Seguridad Informática supervisará todo chequeo que se realice en aras de proteger la integridad de la información de que se dispone.
• Es obligatorio la desinfección de los dispositivos externos antes de su uso en las tecnologías informáticas.
• Se mantendrá actualizada la libreta de control de usuario. En el uso de las tecnologías informáticas de acuerdo a lo que se establece en el Reglamento de Seguridad para las Tecnologías de la Información emitido por el MIC.
• Los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas las protegerán contra posibles hurtos, así como del robo de la información que contengan.
• El movimiento del equipamiento informático debe ser aprobado por el responsable de la seguridad informática, siguiendo los lineamientos establecidos por el sistema de medios básicos contable.
• Sólo podrá operar el servicio de correo electrónico el personal autorizado por la Decana.
• Los compañeros que no posean cuentas de correo y necesiten enviar y/o recibir mensajería electrónica deberán contar con la autorización de la Decana.
• En caso de recibirse ficheros anexos a los mensajes se tendrá en cuenta la revisión antivirus y el proceso de cuarentena de ser necesario.
• Sólo se accederá a los servicios de Internet desde las microcomputadoras autorizadas para ese fin.
• Aun cuando sea posible la conexión a un sitio de correo libre como Yahoo o Hotmail, los usuarios autorizados al uso de INTERNET se abstendrán de hacerlo, así como la difusión a través de las redes públicas de servicios de conversación en tiempo real (chat) por parte del personal de la entidad. Solo será autorizado en algunos casos por la dirección de la entidad en correspondencia a sus intereses y de las normas particulares establecidas para estos servicios y serán objetos de comprobación.
• Utilizar el correo electrónico e Internet según lo establecido en las normas vigentes (Código de Ética).Sistema de Seguridad Informática.
• Habilitar y llevar los registros que se indican en el sistema de medidas y aplicar los procedimientos que se incluyen como parte de este Plan de Seguridad Informática.
• Velar porque se apliquen los productos de protección de producción nacional u otros autorizados oficialmente para su uso en el país, debidamente actualizados.
• No transgredir ninguna de las medidas de seguridad establecidas.
• Cumplir las reglas establecidas para el empleo de las contraseñas.
• No introducir ni utilizar en las tecnologías ningún producto ni modificar la configuración de las mismas, sin la correspondiente autorización del responsable de seguridad informática. Apertura y Cierre de los locales El control de acceso y cierre de los locales está establecido que todas las áreas con tecnologías de información al terminar la jornada laboral queden cerradas y debidamente selladas, aquellas donde se maneje información clasificada los trabajadores de estas áreas deberán extremar las medidas de seguridad. Al operar el equipamiento informático y en aras de su preservación se tendrá en cuenta:
• Apagarlos completamente antes de conectarlos o desconectarlos de la red eléctrica.
• Deberán quedar apagados al concluir la jornada laboral, salvo que por necesidades de explotación continua del sistema o de comunicaciones tengan que seguir funcionando.
• En caso de ocurrencia de tormentas eléctricas severas se apagarán y desconectarán todas las tecnologías informáticas y de comunicaciones, salvo aquellas que por necesidad imperiosa haya que dejar funcionando, en cuyo caso se crearán las condiciones necesarias para su protección.
• Se procederá a desconectar los equipos de la red eléctrica en caso de reparación o instalación eléctrica en la institución.
• En caso de fenómenos atmosféricos deberá desconectarse los equipos de la red eléctrica y de conexión.
• Mantener la limpieza de las Microcomputadoras y sus accesorios; no limpiar con paños húmedos. Control de Acceso a las Tecnologías Informáticas.
• El Jefe de cada área determinará la manera en que utilizará el personal a él subordinado, las tecnologías informáticas, de forma tal que se logre un uso racional de las mismas.
• Los trabajadores que necesiten el uso de las tecnologías informáticas y que por razones objetivas no lo puedan hacer desde sus áreas correspondientes, deberán contar con la autorización de los Jefes de áreas y registrarse en la libreta de control de usuario del área en el que lo efectué.
• Para que una persona externa tenga acceso a las tecnologías informáticas y de comunicaciones será necesario la autorización previa de la decana y/o el responsable de seguridad informática y no se hará sin la presencia de un trabajador del área que se trate.
• Se establece identificación de usuarios en todas las microcomputadoras, así como para establecer la conexión a los servicios del correo electrónico e Internet.
• Cada área habilitará el uso del protector de pantalla con contraseña y el bloqueo de cuentas lo que evitará que la información sea vista en momentos de inactividad y la entrada de intrusos.
• Para el trabajo con los servicios de Correo electrónico e Internet, se tendrá en cuenta que no se realice la conexión automática a partir de las aplicaciones empleadas para su gestión.
• Se establecerá identificación de usuarios en las microcomputadoras de cada área en correspondencia al personal que haga uso de las tecnologías informáticas y comunicación.
• Adición de algún equipo a la red, así como la instalación de cualquier tipo de software y de programas en las microcomputadoras sin la autorización del Responsable de Seguridad Informática, garantizando su compatibilización con las medidas de seguridad establecidas por MIC.
• La presencia de carpetas personales que contengan: programas de instalación, videos, películas, seriales y documentos que no estén en correspondencia con la actividad fundamental de la entidad así como música por más de 1GB de capacidad.
• La colocación de páginas o Sitios Web desde entidades estatales en servidores extranjeros que ofrezcan estos sitios de manera gratuita.
• Vincular cuentas de correo electrónico de un servidor en el exterior del país con el fin de redireccionar y acceder a los mensajes a través del mismo.
• Cualquier persona natural y jurídica a explotar o monitorear las redes públicas de trasmisión de datos en busca de vulnerabilidades o información sobre los usuarios legales de las mismas.
• Introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para: comprobar, monitorear o transgredir la seguridad, así como información contraria al interés social, la moral y las buenas costumbres.

Requisitos de las contraseñas

• Tendrán un período de vigencia con cuotas mínimas de 1 día y máximas de 90 días de duración, no obstante se permitirá cambiarlas fuera de estos términos de tiempo máximos y mínimos cuando las condiciones así lo exijan y lo cual será avalado por el Responsable de Seguridad Informática.
• Estas poseerán de permitirlo el equipo y/o sistema operativo, de 6 a 8 caracteres alfanuméricos como mínimo, no obvios, con al menos 1 de ellos de caracteres especiales y no se permitirá la duplicidad de las mismas.
• La contraseña cambiada con la periodicidad adecuada no se podrá repetir antes de que haya transcurrido un año como mínimo, desde que hubiera dejado de utilizarse.
• No utilizar contraseñas que sean palabras del diccionario (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
• No usar contraseñas completamente numéricas con algún significado (teléfono, C.I., fecha de nacimiento, Chapa del automóvil, etc.).
• No se compartirán entre usuarios que no sean del área.
• No contendrán patrones repetitivos.
• No contendrán secuencias de caracteres cercanos en el teclado.
• Deben ser fáciles de recordar para no verse obligado a escribirlas.
• Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
• No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
• No teclear la contraseña si hay alguien mirando, es una norma táctica de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
• No enviar la contraseña por correo electrónico ni mencionarla en una conversación, si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es..."
• En todos los casos los cambios de contraseñas deben informarse al Responsable de Seguridad Informática, para ello, el usuario debe escribir la contraseña en un papel que se guardará en un sobre identificado con el nombre del área. Prohibiciones.
• Cualquier problema que sea detectado por los jefes de áreas y usuarios que hagan uso de las tecnologías informáticas y comunicaciones en materia de seguridad informática deberán informar al responsable de seguridad informática de la institución, quien tratará de subsanar lo ocurrido e informará a la decana.

Indicaciones

• A partir del Sistema de Seguridad Informática diseñado, cada entidad elaborará su Plan de Seguridad Informática, en correspondencia con las metodologías establecidas.
• Los jefes de las entidades responden por la actualización de los Planes de Seguridad Informática, ante la aparición de nuevas vulnerabilidades, cambios de tecnologías o de personal, así como por la efectividad del sistema montado, en correspondencia con los incidentes de seguridad registrados.

Visite también

• CamScanner

Referencias

• https://instituciones.sld.cu/faenflidiadoce/files/2014/04/Plan-de-Seguridad-Inform%C3%A1tica-1.pdf
• https://www.segall.es/index.php?option=com_content&view=article&id=60&Itemid=593
• https://www.google.com.cu/search?safe=strict&q=plan+de+seguridad+informatica
• https://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/

https://www.bebee.com/producer/@fran-brizzolis/que-es-un-plan-de-seguridad-informa

• https://www.google.com.cu/search?safe=strict&source=hp&ei=cfz4XPviJ9LV5gLYkKaYAg