1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Universitaria
Instituto Universitario de Tecnología del Oeste “Mariscal Sucre”
PNF en Informática – Sección 7022
INTERCONEXIÓN DE DATOS DEL MINISTERIO DEL PODER
POPULAR PARA LA CULTURA CON LA FUNDACIÓN EDITORIAL EL
PERRO Y LA RANA Y LA BIBLIOTECA NACIONAL
(Manual de Seguridad)
Profesor: Integrantes:
Ing. Alfredo Ágreda T.S.U. Berbesi Angélica C.I. 17076253
T.S.U.González Maicoll C.I. 17490426
T.S.U. Muñoz Jesús C.I. 18530316
Caracas, Diciembre de 2012
2. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
CONTENIDO
OBJETIVO............................................................................................................................................4
ALCANSES.......................................................................................................................................4
Instalaciones Eléctricas:..................................................................................................................5
Luces de Emergencia:.....................................................................................................................5
Acceso a los datos:.........................................................................................................................6
Cámaras de Seguridad:...................................................................................................................6
Seguridad contra incendios:...........................................................................................................6
ESTACIONES DE TRABAJO...................................................................................................................7
Protección Eléctrica:.......................................................................................................................7
Control y Actualización del Hardware Existente:............................................................................7
SEGURIDAD LÓGICA DE LA INFORMACIÓN.........................................................................................7
GESTIÓN DE RESPALDOS....................................................................................................................9
Procedimientos de respaldos a Nivel de Usuario...........................................................................9
Procedimientos de respaldos a Nivel de Base de Datos:..............................................................10
ADMINISTRACIÓN DE SEGURIDAD DE LA RED..................................................................................11
Servidores: ...................................................................................................................................11
Estaciones de Trabajo: .................................................................................................................11
CORREO ELECTRÓNICO.....................................................................................................................12
3. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
Manual de Seguridad Informática Página 3
4. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
OBJETIVO
El manual referente a las políticas de seguridad informática que se puede
visualizar a continuación comprende aspectos relacionados con la protección de la
organización a nivel tecnológico y contiene una serie de recomendaciones que se
deben tomar en cuenta en organizaciones públicas y privadas para evitar riesgos
informáticos que se puedan presentar.
ALCANSES
El manual de seguridad informática se enfoca principalmente en tres puntos
importantes como lo son: La seguridad de la información, los usuarios y la
administración de la red
Manual de Seguridad Informática Página 4
5. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
SEGURIDAD FÍSICA DE LA INFORMACIÓN
Instalaciones Eléctricas:
En la organización exactamente en el departamento de Informática, la energía
debe provenir de un circuito eléctrico independiente y tomado de un tablero
principal de la torre donde se encuentran ubicados, ya que es en esta área donde
se encuentra el cuarto de servidores y se deben prever las fallas eléctricas.
De igual forma la organización debe poseer UPS o bancos de baterías de gran
capacidad que permitan la continuidad del negocio aun cuando la falla eléctrica se
presente, con la finalidad de mantener integra la información y la atención a la
comunidad no se vea paralizada.
Por las razones antes mencionadas se debe realizar un balance de los equipos
con el fin de evitar sobrecargar y prevenir cualquier riesgo al respecto.
Luces de Emergencia:
Cada área de la organización debe tener luz de emergencia en total
funcionalidad, alimentadas con baterías, las cuales deben ser activadas en caso
de ocurrir alguna falla eléctrica.
Manual de Seguridad Informática Página 5
6. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
Acceso a los datos:
El acceso al área de servidores debe ser controlado a través del sistema de
tarjetas magnéticas, donde sólo personas autorizadas del departamento de
informática, exactamente el administrador de servidores pueda ingresar a la
misma, o en su defecto a través del sistema que captura las huellas dactilares del
funcionario autorizado.
Cámaras de Seguridad:
La existencia y funcionalidad de las cámaras de seguridad en las áreas internas
de la organización, con la finalidad de que la persona de seguridad que se
encuentre de guardia en su jornada diurna o nocturna pueda tener una mejor
visualización en la organización.
Seguridad contra incendios:
Deben existir los sistemas de detección de humos e incendios en la
organización, asimismo este debe activar una alarma a todo el personal de la
organización en caso de presentarse alguna eventualidad que requiera la
evacuación del área. Así como también se debe contar mínimo con un extintor por
área en la institución.
Manual de Seguridad Informática Página 6
7. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
ESTACIONES DE TRABAJO
Protección Eléctrica:
Es recomendable que cada equipo: Pc, impresora, escáner, entre otro.., debe
poseer su circuito eléctrico independiente en cada oficina con el fin de distribuir la
carga eléctrica y evitar flos eléctricos a nivel general. Por lo ya mencionado es
obligatorio el uso de regletas o reguladores de energía eléctrica.
Control y Actualización del Hardware Existente:
Se deben mantener actualizados con un periodo de tiempo estimado de doce
(12) meses y en excelentes condiciones cada componente de la estación de
trabajo, de igual forma la inspección continua de los mismos permite a la
organización obtener información sobre las condiciones de los activos, ya que su
apariencia nos puede dar una visión del uso y mantenimiento que se les da a los
mismos.
SEGURIDAD LÓGICA DE LA INFORMACIÓN
Esta consiste en la aplicación de procedimientos que restrinjan el acceso a los
datos y que sólo esté permitido para personal autorizado, para ello se establece lo
siguiente:
Controles de Acceso:
Cada seis (6) meses se deben realizar procesos de auditorías en lo que se
refiere a usuarios activos e inactivos así como de los respectivos perfiles
asignados para ellos. Con el fin de resguardar la información a personas que
Manual de Seguridad Informática Página 7
8. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
dejen de realizar labores en la institución o personas que realicen otro tipo de
funciones dentro de la misma.
Servidores Locales:
Es importante que exista una persona encargada de la Administración de los
servidores que garantice la administración correcta de los niveles de acceso para
los diferentes tipos de usuarios de la organización.
Control de Acceso a los Sistemas de Información y Estación de Trabajo:
Es importante que exista en la organización una persona encargada del perfil
que debe poseer cada funcionario en el SIGESP
Antes de realizar algún cambio de equipo se debe hacer respaldo completo de
la data en él contenida, con la finalidad de evitar pérdida de información de la data
que se maneja.
Manual de Seguridad Informática Página 8
9. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
GESTIÓN DE RESPALDOS
Procedimientos de respaldos a Nivel de Usuario
A continuación se indica el procedimiento a seguir para la generación de
respaldos, de lo cual será responsable de ejecutar el coordinador de soporte como
los usuarios.
Cada usuario deberá realizar copias de seguridad sobre la información que
genera, en su estación de trabajo exactamente en la carpeta creada con el
nombre documentos_SIGESP
Para el personal de tipo: gerente o directores, el respaldo se hará de manera
remota por el Coordinador de Soporte, en horario no laboral de manera que no
afecte la continuidad del negocio.
El área de tecnología de cada comunidad debe almacenar estos respaldos en
Discos Duros externos, no disponibles para los usuarios externos a esta unidad.
Igualmente se debe hacer entrega de dichos respaldos al ente principal como lo es
el Ministerio.
Se debe asignar a una persona para que realice funciones de planificación,
ejecución y administración de los respaldos, de igual forma para establecer planes
de recuperación de estos.
Manual de Seguridad Informática Página 9
10. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
Procedimientos de respaldos a Nivel de Base de Datos:
La información es el activo más importante de una organización, por esta razón
se realizan respaldos periódicos de la información, esto a través de la herramienta
más adecuada a la organización, y para esto se deben tomar en cuenta las
siguientes consideraciones:
• Realizar respaldos tanto por el Administrador de Sistemas, como por
el Administrador de Base de Datos y el Administrador de Servidores de
cada uno de los servicios y bases de datos existentes.
• Programar respaldos diarios fuera de horario laboral y semanales.
• Estos procesos de respaldos deben ser verificados a diario, de
manera que se cuente con la data totalmente correcta, verídica y sin fallas.
• Por cada actualización, cambio que exista se debe entregar la debida
documentación al encargado del departamento de Informática, ya sea a
través de unidades de almacenamiento como un Disco Duro externo, o un
CD, Pendrive; de los últimos respaldos confiables de la última data
modificada a través de los sistemas utilizados en la organización.
• Cuando se necesite hacer un restore de alguna data se debe notificar
a todo el personal directamente involucrado desde el Director del
departamento de Informática, hasta los administradores y analista del área
tecnológica.
Manual de Seguridad Informática Página 10
11. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
ADMINISTRACIÓN DE SEGURIDAD DE LA RED
La seguridad de la red está basada en dispositivos y herramientas para cubrir
un correcto nivel de seguridad, entre estas se encuentran: Firewalls, Servidor de
Antivirus para máquinas Windows, servidor de actualizaciones, herramientas de
monitoreo de la red. Y las personas responsables de la instalación y monitoreo de
estas herramientas son el Administrador de servidores y el Administrador de la
Red.
Servidores:
Se deben realizar las continuas verificaciones de los equipos servidores a fin de
que estos posean la capacidad suficiente de almacenamiento de acuerdo a la data
manipulada en la organización, así como evaluar a futuro el posible crecimiento de
la información allí contenida.
A continuación se mencionan algunos aspectos en cuanto al servidor:
La capacidad de almacenamiento de los servidores no debe exceder el 90% del
espacio asignado.
Se debe verificar continuamente que el procesamiento de los equipos
servidores no sobrepase el 75% de uso de recursos
Restringir el acceso a los usuarios no administradores a la instalación de
nuevas aplicaciones.
Cada mensaje de alerta que se observe en el sistema de monitoreo debe ser
notificado a través de correo electrónico al grupo de administradores involucrado.
Estaciones de Trabajo:
Manual de Seguridad Informática Página 11
12. Instituto Universitario de Tecnología del Oeste
“Mariscal Sucre”
Considerando lo establecido en el decreto Presidencial 3390, publicado en
Gaceta oficial N°38095, el uso del Sistema Operativo será preferiblemente GNU
Linux.
Se debe crear un directorio estándar denominado documentos_SIGESP en el
escritorio de cada máquina, independientemente del sistema operativo que esté
instalado, donde cada empleado y empleada almacene los documentos generados
a través del SIGESP
Realizar frecuentemente tareas preventivas con la finalidad de prevenir que la
sobrecarga del espacio asignado y así evitar lentitud en la red y/o errores en el
Sistema Operativo.
CORREO ELECTRÓNICO
El Departamento de Informática es el encargado de administrar el sistema de
correo electrónico, y su responsabilidad será establecer las políticas de seguridad
y de almacenamiento que se utilizarán. Para solicitar la creación de correo, esto
debe hacerse a través de un oficio dirigido al departamento de informática.
El usuario creado tendrá el siguiente modelo primera letra del primer nombre y
primer apellido, asimismo cada usuario tendrá una clave única de acceso al
mismo. Y Será de uso netamente institucional, es decir, sólo se utilizará a nivel
interno en la organización. El uso indebido del correo institucional será sancionado
por sus superiores.
Manual de Seguridad Informática Página 12