7.8 Categoria: Intercambio de Informacion y Software

Transcripción

1 1012 V ^M^k Ministri d flh Trabaj, Empl \^5^ y Sguridad Scial " Ail d Hmnaj al Almirant Guillrm BrvKn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 63 d 125 mdquinas d fax Dfinicins a cnsidrar En ls prcdimints s ntmplard l siguint: sdl prmitir accss al prsnal dbidamnt autrizad, mantnr un rgistr frmal d las prsnas autrizadas a rcibir nviar dats, garantizar qu ls dats d ntrada stdn cmplts y crrspndn cn las dfinicins stablcidas, garantizar qu l prcsamint s llva a cab crrctamnt, y qu las salidas sn validadas, prtgr ls dats n spra (clas) y n mmrias tmprals (p. j.: n cach), Cntrl: Sguridad d la Dcumntacin dl Sistma La infrmacidn dcumntada d ls sistmas infrmdtics db tratars cm d us rstringid cnfidncial. Ls accss srdn autrizads pr cada Rspnsabl Primari a carg d la infrmacidn qu crrspnda, implmntads pr l Rspnsabl d Infrmdtica, y vrificads p l Rspnsabl d Sguridad d la Infrmacidn, sgun crrspnda. S dbn cnsidrar ls siguints rcauds para su prtccidn: almacnar la dcumntacidn d ls sistmas n frma sgura, autrizar l accs a la dcumntacidn d ls sistmas al prsnal strictamnt ncsari. 7.8 Catgria: Intrcambi d Infrmacin y Sftwar Objtiv El intrcambi d infrmacidn y sftwar, dntr dl MTEySS y cn cualquir tra ntidad xtrna, db fctuars n cndicins sguras. El intrcambi d infrmacidn y/ sftwar db basars n aurds frmals d intrcambi, n lina cn las pliticas d sguridad stablcidas, y cn la lgislacidn prtinnt vr Capitul 12 Cumplimint). S dbn stablcr ls prcdimints y stdndars para prtgr la infrmacidn y ls mdis fisics qu cntin la infrmacidn n trdnsit Cntrl: Prcdimints y cntrls d intrcambi d la infrmacin S stablcrdn prcdimints y cntrls frmals para prtgr l intrcambi d dats, a travds d ls distints mdis d cmunicacidn (Vr Capitul Cntrl: Cmprmiss d cnfidncialidad v Cntrl: Risas rlacinads cn arups xtrns) S dbrd cnsidrar l siguint: prtgr a la infrmacidn cntra intrcpcidn, cpiad mdificacidn n autrizads, dircidn d nvi rcpcidn rrdnas, y dstruccidn n planiflada, dtccidn y prtccidn cntra cddig malicis intrducid durant l us d cmunicacins lctrdnicas, dfinicidn d rquisits d us aptabl d las cmunicacins lctrdnicas, dfinicidn d pautas d us sgur d las cmunicacins inaldmbricas, rspnsabilidads d us, pr part dl prsnal, rganizains xtrnas y/ cntratistas qu accdan a la infrmacidn y/ rcurss dl MTEySS, p. j: n utilizar las instalacins dl Organism para hstigar y/ difamar, n prducir blqus intrfrncia sbr ls accss fisics Idgics, Pliticas d Sguridad d la Infrmacin - Pagina 63 d 125

2 1012 ^'d ^ H k Ministri d JHB Tratiaj, Empl \^5^ y Sguridad Scial " Afl d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pagina: 54 d n fctuar suplantacidn rb d idntidad, n fctuar nvi d cadnas d mnsajs d crr sin autrizacidn, n fctuar cmpras pr mdis lctrdnlcs, cuand stas n stn autrizadas pr un Rspnsabl Primari, n fctuar cmunicacins a rds scials cuand stas tngan fins prsnals n autrizads, cncintizacidn al prsnal, rganizains xtrnas y/ cntratistas, cuand crrspnda, sbr las prcaucins qu dbn tmar a la hra d transmitir infrmacidn dl MTEySS, us d tdcnicas criptgrdficas para prtgr la cnfidncialidad, intgridad y la autnticidad d la infrmacidn, cuand crrspnda Cntrl: Aurds d Intrcambi d Infrmacin y Sftwar Ls aurds para intrcambi d dats ntr l MTEySS y tras rganizains dbn spcificar l grad d snsibilidad y las cnsidracins d sguridad sbr infrmacidn invlucrada. S tndrdn n cunta ls siguints aspcts: prcdimints y rspnsabilidads n las gstins d cntrl y ntifiacidn d transmisins, nvis y rcpcins, nrmas y cntrls tdcnis para la transmisidn, la cnfidncialidad, la intgridad y la autnticidad d la infrmacidn transmitida, p. j.: mpl d criptgrafia y/ firma digital, pautas para la idntificacidn y la validacidn dl prstadr d cmunicacins, rspnsabilidads y bligains, autrizada d dats, prcss d rsguard y rcupr d la infrmacidn transmitida, n cas d pdrdida, xpsicidn divulgacidn n aurd sbr l mpl d un sistma cmun, para l rtulad d infrmacidn clasificada, garantizand qu l significad d ls rdtuls sa inmdiatamnt cmprndid y qu la infrmacidn sa adcuadamnt prtgida, tdrmins y cndicins d licncia, uand s suministra sftwar, rquisits us y prpidad d la infrmacidn qu s suministra, nrmas tdcnicas para la grabacidn y lctura d la infrmacidn y dl sftwar Cntrl: Sguridad d ls Mdis n Transit Ls prcdimints d transprt, mdiant nvi pstal srvicis d mnsajria, d mdis infrmatics ntr difrnts punts dbn cntmplar: vrificacidn d cnfiabllidad d ls mdis d nvi pstal sn/icis d mnsajria. El Rspnsabl Primari dtrminard l srvici a utilizar, tmand m bas la criticidad d la infrmacidn a transmitir, mbalaj adcuad para nvis a travs d srvicis pstals d mnsajria. S sgulrdn las spcificacins d ls fabricants prvdrs, cntrls spcials, cuand rsult ncsari. Entr ls jmpls s incluyn: us d nvltris y/ rcipints adcuads al tip d infrmacidn qu s transfrma (p. j.: cajas spcials para l transprt d mdis qu s nvian a guarda xtrna), ntrga n man, n vrificacidn dl rmitnt y cnstancia d rcpcidn, mbalaj a pruba d aprtura n autrizada, garantizand qu puda dttars cualquir intnt d accs fallid. Pliticas d Sguridad d la Infrmacin - Pagina 64 d 125

3 '. t.-^ ^ ^ Ministri d flm Trabaj, Empl ^^^ y Sguridad Scial " Aft d Hmnai al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d ia Infrmacidn Fcha Emisidn: Pagina: 65 d 125 n cass xcpcinals, fraccinar ls nvis n mds d una ntrga, mpland difrnts rutas Cntrl: Sguridad d la Mnsajria La mnsajria lctrdnica, tal cm l crr lctrdnic (-mail, dl inglds), l intrcambi d dats lctrdnlcs (EDI, pr sus siglas n inglds), la mnsajria instantdna {chat, dl ingls) y las rds scials, jugan un muy imprtant rl n las cmunicacins d tda rganizacidn. A difrncia d ls mnsajs n papl, ls risgs n las cmunicacins basadas n mnsajria lctrdnica tinn cardctr critic para l MTEySS. Para l cas dl crr lctrdnic aplicad n l MTEySS, vr l Capitul 7.9 Catgria: Sguridad dl Crr Elctrdnic. S cnsidrardn las siguints mdidas d sguridad n ls mnsajs lctrdnlcs: prtccidn d mnsajs pr l accs n autrizad, mdificacins dngacidn d srvici, cntrls d autnticacidn furt, d manra d vrificar adcuadamnt tant l dstin dl mnsaj, cm l rmitnt, cnfiabllidad y dispnibilidad gnral dl srvici, 6 cntrl d us, prhibind la utilizacidn cn fins prsnals, cnsidracins lgals, pr jmpl, rqurimints para firmas lctrdnicas, btncidn d aprbaidn prvia para l us d srvicis xtrns al MTEySS, p. j.: mnsajria instantdna, rds scials crr d intrnt privad (p. j.: dminis d crr m Yah, Ggl, Htmail, ntr trs), srvicis d archivs cmpartids (p. j.: Bitrrnt, Mga, ntr trs) y transmisidn multimdia (p. j.: Ntflix, ntr trs), Cntrl: Sguridad dl Gbirn Elctrdnic El Gbirn Elctrdnic cnstituy un mdi d intrcambi d dats sncial para la gstidn dl MTEySS. Entr lls, s dstacan ls trdmits n lina (p. j.: prsntacins ant l Estad y ntr las rganizains) y ls prcss d frta y cntratacidn publica. El Rspnsabl d Sguridad d la Infrmacidn, junt n ls Rspnsabls Primaris, vrificard ls prcdimints d aprbaidn y us, para las aplicacins d Gbirn Elctrdnic, siguind l stablcid n ls punts Cntrl: Aprbaidn dl Sistma y Cntrl: Plitica d Utilizacidn d Cntrls Criptgrdfics. Ls prcss y ls ntrls srdn implmntads pr l Rspnsabl d Infrmdtica. Ls Rspnsabls Primaris d ls prcss vinculads a Gbirn Elctrdnic difundirdn ntr ls usuaris ls tdrmins y cndicins d us stabicids. Pr tra part, las mdidas vinculadas al Plan d Gbirn Elctrdnic dl MTEySS s dictardn nfrm la nrmativa vignt, dstadnds l dispust pr l Dcrt N 378/ Cntrls y prcss para l Gbirn Elctrdnic Las aplicacins d Gbirn Elctrdnic dbn incluir ls siguints aspcts: autnticacidn. S stablcrd un nivl d cnfianza rciprca suficint sbr la idntidad dl usuari y l MTEySS, 9 autrizacidn. Ls Rspnsabls Primaris dbrdn dfinir nivls d autrizacidn adcuads para stablcr dispsicins, mitir firmar dcumnts clav, tc. Ls misms srdn cmunicads al rcptr d la transaccidn lctrdnica, n rpudi. S mplardn tcnicas d firma digital, a ls fins d vitar qu s puda ngar accins cm l nvi la rcpcidn d dats. a Pliticas d Sguridad d la Infrmacin - Pagina 65 d 125

4 1012 ' ) ^/^k Ministri d flh Trabaj, Empl \^h^ y S^uridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 66 d 125 intgridad. S dbrd minimizar l risg qu la infrmacidn y las aplicacins s altrn n su cntnid, s infctn n cddig malicis san vulnrabls dbid a dficints practicas d dsarrll, cnfidncialidad. S utiiizaran tdcnicas criptgrdficas, a fins d cdificar la infrmacidn snsibl qu s transmita, prtccidn a la duplicacidn. Ls cntrls d transmisidn dbrdn asgurar qu una transaccidn sdl s ralizard una vz, a mns qu s spcifiqu l cntrari, cirr d la transaccidn. Ls prcss d transmisidn stablcrdn la intraccidn d cirr mds adcuada, a is fins d vitar frauds, rspnsabilidads prativas. S stablcran las rspnsabilidads qu crrspndan, para vitar risgs d prsntacins, tramitacins transaccins fraudulntas, 7.9 Catgria: Sguridad dl Crr Elctrnic Objtiv Garantizar la prtccidn d ls dats, cnsidrand, asimism, las impliancias d sguridad asciadas cn ls srvicis d crr lctrdnic dl MTEySS, tambin dnminad gndricamnt cm crr crprativ Cntrl: Risgs d Sguridad S implmntardn ntrls para mitigar risgs d sguridad n l srvici dl crr crprativ, tals cm: vulnrabilidads d ls mnsajs pr accs n autrizad pr vilacidn d la intgridad, manj inadcuad malicis d ls mnsajs, prducind dngacidn d srvicis, intrcpcidn y accs n autrizad a ls mnsajs y/ a ls srvicis d distribucidn d crr, rcpcidn d cddig malicis n un mnsaj d crr, prducind un impact n la sguridad dl srvici, d la trminal rcptra d la rd d dats dl MTEySS, falta y/ dficincia n ls ntrls d pruba d rign, nvi, ntrga y acptacidn, incumplimint d cnsidracins lgals y us inadcuad pr part dl prsnal, impliancias n la cnfiabllidad y la dispnibilidad gnral dl srvici, l impact d cambis n la platafrma d cmunicacins dl MTEySS, accs rmt (p. j.: via platafrma Wb) a la platafrma d crr crprativ dl MTEySS, impliancias d la publiacidn n autrizada d infrmacidn snsibl cnfidncial Cntrl: Plitica d Crr Elctrnic El Rspnsabl d Sguridad d la Infrmacidn dfinird y dumntard nrmas y prcdimints lars cn rspct al us dl crr crprativ. Ls cntrls srdn implmntads pr l Rspnsabl d Infrmdtica Aspcts dl Us dl Crr Crprativ S dfiniran ls siguints aspcts: alcancs dl us dl crr lctrdnic pr part d ls usuaris, ntrls para l bun funcinamint dl srvici, tals cm: taman mdxim dl mnsaj transmitid y/ rcibid, cantidad d dstinataris. Pliticas d Sguridad d la Infrmacin - Pagina 66 d 125

5 ! 0i2 ^ H ^ Ministn d flfl Trabaj, Empl ^^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d ta Infrmacidn Fcha Emisidn: Pdgina: 67 d m m tamafi mdxim dl buzdn dl usuari, tips d archivs autrizads cm adjunts n ls mnsajs, prtccins cntra sftwar malicis y accs n autrizad, tals m: antivirus para ls mnsajs y archivs adjunts, y cntrl d crr n dsad, intrcnxidn dl srvici d crr cn aplicativs y sistmas qu asi l rquiran,» dfinicidn d tips d cuntas y rspnsabilidads d us, p. j.: cuntas d usuan, grupals y/ gnrias, tc., mpl d tdcnicas criptgrdficas y firma digital, para asgurar la cnfidncialidad, la intgridad y la autnticidad d ls mnsajs (Vr 9.3 Catgria: Cntrls Criptgrdfics). rsguard, rcupracidn y prid d rtncidn d ls archivs d crr, utilizacidn d mnsajs d crr para cass d litigi Empl dl Crr Crprativ pr part d ls usuaris El crr lctrdnic s un d ls rcurss, prpidad dl MTEySS, qu s prprcina al prsnal y a usuaris xtrns autrizads, cn l fin d apyar la gstidn ctidiana dl Organism. En virtud d la nrmativa vignt, y a la par d prtgr sus rcurss, l MTEySS dbrd salvaguardar l drch a la intimidad y ia dignidad d las prsnas. Pr tals mtivs, ls usuaris d la platafrma infrmdtica dl crr crprativ dl MTEySS dbrdn star claramnt infrmads d l siguint: l MTEySS tndrd plna ptstad para auditar ls mnsajs rcibids mitids pr ls srvidrs d crr. Esta plitica stard incluida n ls Cmprmiss d Cnfidncialidad y/ Ntificacins d Us Adcuad d ls rcurss, sgun crrspnda, l Rspnsabl d Sguridad d la Infrmacidn stablcrd las cndicins baj las qu s fctuardn taras d cntrl y mnitr d ls mnsajs. S siicitard la participacidn dl Ara Lgal y/ d la Unidad d Auditria Intrna, n la implmntacidn d ls prcdimints, cuand crrspnda, l Rspnsabl d Sguridad d la Infrmacidn y l Rspnsabl d Rcurss Humans, uand crrspnda, indicard cudl s l us qu spra qu su prsnal haga dl crr crprativ, l Rspnsabl d Infrmdtica implmntard is ntrls d prtccidn d la infrmacidn y d ia platafrma d crr lctrdnic dl MTEySS, n funcidn d l dfinid pr l Rspnsabl d Sguridad d la Infrmacidn, s prhibird l us dl crr crprativ para fins particulars, asi m s vitardn ls abuss, l drrch l dsaprvchamint. P. j.: sdl s prmltird a prsnas autrizadas l nvi d mnsajs grupals masivs, Crr Elctrdnic Prsnal Tda casilla d crr lctrdnic prsnal (p.j.: casillas d cr d Yah, Ggl y Htmail, ntr tras), instalada n un pust d trabaj dl MTEySS, nfigura situacins d risg pr la psibilidad d vilar la cnfidncialidad d ls dats prsnals y dl prpi Organism. El MTEySS n jrcrd ptstad ni rspnsabilidad alguna sbr l crr lctrdnic prsnal qu s hall instalad n pusts d trabaj d la Organizacidn. El Rspnsabl d Infrmdtica pdrd dsinstalar sta clas d sistmas n ls pusts d trabaj. Pliticas d Sgundad d la Infrmacin -Pagina 67 d 125

6 1012 f ^ i ^ Ministri d flp Trabaj, Empi ^^y y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat 1 Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Vrsidn: FINAL Pagina: 68 d Cntrl: Sguridad d ls Sistmas Elctrnics d Oficina El Rspnsabl d Sguridad d la Infrmacidn dfinird linamints para cntrlar risgs d sguridad rlacinads n ls sistmas d ficina, cn la participacidn d ls Rspnsabls Primaris, sind sts implmntads pr l Rspnsabl d Infrmdtica. Dntr d ls sistmas d ficina s incluyn ls siguints lmnts: pusts d trabaj, cmputadras prsnals y dispsitivs d almacnamint mdvil, prpidad dl MTEySS d usuaris autrizads, sistmas mdvils d cmputacidn, autrizads para sr utilizads dntr d la infrastructura infrmdtica dl MTEySS, dispsitivs d cmunicacidn d vz (tlfnia n sus divrsas manra) n papl (fax), sistmas multimdia, Pautas para ls sistmas d ficina S cnsidrardn las impliancias para la sguridad y las actividads dl MTEySS, induynd: prcdimints y ntrls para administrar la adcuada distribucidn y rganizacidn d la infrmacidn, idntificacidn d rls y funcins dl prsnal, rganizains xtrnas y/ cntratistas a quins s ls prprcina accs a sistmas, cntrls d accs a las instalacins, rqurimints d sprt tcnic y rpsicidn d parts n garantia, accs rmt a ls srvicis infrmdtics (pr. j.: rds privadas virtuals, sistma d crr wb, tc.), cnfiguracidn d cntrls d sguridad n ls pusts d trabaj, pliticas d sguridad para tlfnia, cntrl d almacnamint d infrmacidn labral n srvidrs, xclusivamnt, garantizand un adcuad rcupr, cuand s l rquira, cntrl d la administracidn dl pust d trabaj (p. j.: rstringir psibilidads qu l usuari instal n prgramas, limin archivs, tc.), cntrls sbr vulnrabilidads d la infrmacidn n ls sistmas d ficina, pr jmpl la grabacidn d llamadas tlfdnicas y/ tlcnfrncias, la cnfidncialidad d las llamadas, l almacnamint d faxs, la aprtura distribucidn dl crr. limits a la infrmacidn brindada sbr las actividads qu dsarrllan dtrminadas prsnas, p. j.: Autridads dl MTEySS, prsnal qu trabaja n prycts snsibls. Cmpatibilidad, tant dl quipamint infrmdtic cm d las aplicacins dl MTEySS, prfils dl prsnal, rganizains xtrnas y/ cntratistas, dnd crrspnda, autrizads a ls uss d ls sistmas d ficina, asi cm las ubicacins fisicas dl quipamint, rstriccins d accs fisic y/ Idgic a dtrminadas instalacins, uand crrspnda, idntificacidn d ls usuaris, asi cm sus prfils d accs y las ubicacins y quips a ls qu s autriza su us, stablcr l us y/ prcs d la infrmacidn n ls sistmas d ficina, bligand a qu s accda y almacnn ls dats n ls srvidrs infrmdtics dl MTEySS, Pliticas d Sguridad d la Infrmacin - Pagina 68 d 125

7 1012 ^ ^ IVlinistri d flb Trabaj, Empl ^^^ y Sguridad Scial "2014 Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn:,/ /.«,. Pdgina: 69 d 125 pliticas d rsguard y rtncidn, stablcidas sgun y rsguard d la infrmacidn almacnada n l sistma (vr Capitul 7.5 Rsguard d la Infrmacidn dl MTEySS) Sistmas d Archivs Cmpartids S implmntardn cntrls sbr ls risgs d sguridad rlacinads cn la infrmacidn qu s almana y cmpart n srvidrs. Ls cntrls srdn dfinids pr l Rspnsabl d Sguridad d la Infrmacidn, junt cn ls Rspnsabls Primaris, y srdn implmntads pr l Rspnsabl d Infrmdtica. S cnsidrardn aspcts cm: cntrl d archivs n autrizads prsnals, lasificacidn d la infrmacidn almacnada, cutas d almacnamint prmitid n rcurss d archivs, rsguard y rstauracidn d archivs, rtncidn y dfinicidn d prmiss d accs, «filtrs d para prmitir l almacnamint d distints tips d archivs Cntrl: Sistmas d Accs Public La infrmacidn dl MTEySS pusta a dispsicidn al public n gnral db sr prtgida adcuadamnt, para vitar qu una mdificacidn n autrizada prvqu un impact ngativ sbr la rputacidn dl Organism. Td sistma dl MTEySS qu tnga accs public, p. j., a travds d srvicis d cmunicacidn cn Intrnt, db cumplir cn strictas pliticas d sguridad. El Rspnsabl d Infrmatia, n cnjunt cn ls Rspnsabls Primaris, stablcrd un prcs d autnzaidn d us, cn rganizains y/ prsnas ants qu la infrmacidn s pnga a dispsicidn dl public. El Rspnsabl d Infrmdtica implmntard ls accss y ls cntrls stabicids, cn la vrificacidn d cumplimint pr part dl Rspnsabl d Sguridad d la infrmacidn Cntrls gnrals para ls sistmas d accs public Tds ls sistmas infrmdtics dl MTEySS cn accs public dbn tnr n cunta l siguint: 8 la infrmacidn s btndrd, prcsard y difundird d aurd cn la lgislacidn y la nrmativa vignt, n spcial, la Ly d Prtccidn d Dats Prsnals, la infrmacidn ingrsada al sistma d publiacidn s prcsard n frma cmplta, xacta y prtuna, s stablcrdn prcdimints para qu la infrmacidn snsibl cnfidncial sa prtgida durant su rlidn y almacnamint, s stablcrdn cntrls qu impidan accss n autnzads accidntals, tant dntr dl sistma d publiacidn m n las rds a las cuals dst s cncta, l ncargad d la publiacidn d infrmacidn n sistmas d accs public s hallara claramnt idntificad y autrizad pr l Rspnsabl Primari qu crrspnda, l Rspnsabl Primari qu crrspnda dbra garantizar la validz y la vigncia d la infrmacidn publicada Cntrl: Otras Frmas d Intrcambi d Infrmacin S implmntaran nrmas, prcdimints y cntrls para prtgr infrmacidn a travs d mdis d cmunicacins d vz, fax y vid. td intrcambi d '-?> Pliticas d Sgundad d la Infrmacin - Pagina 69 d 125

8 Jj^L Ministri d flfl^ Trabaj, Empl \^^ y Sguridad Scial I 012 " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 70 d 125 -A J Ls Rspnsabls Primaris, junt cn ls Rspnsabls d Sguridad Fisica, d Sguridad d la Infrmacidn, d Infrmdtica y d Rcurss Humans, cuand crrspnda, stablcrdn, implmntardn y cncintizardn vrificardn l cumplimint d ls siguints cntrls : llamadas tlfdnicas. S infrmard al prsnal sbr las prcaucins qu a tnr n cunta para n sr scuchad intrcptad, n ls siguints ass: n prsncia d prsnas crcanas, n spcial al utilizar tlfns mdvils intlignts {smartphns), a travds d prsnas ajnas qu tngan accs a la cmunicacidn, intrvinind la lina tlfdnica, ntr varias frmas d scucha subrpticias, a travs dl accs fisic al aparat lina tlfdnica, mdiant quips d barrid d frcuncias al utilizar tlfns mdvils analgics, n prsncia d trcrs ajns n l lad rcptr. cnvrsacins d indl cnfidncial sbr dats dl MTEySS. El prsnal y/ trcrs dbrdn cuidars d hacr rfrnda a dats, prcss tda infrmacidn d indl snsibl n lugars publics, ficinas abirtas y/ lugars d runidn n pards dlgadas. mnsajs n cntstadrs autmdtics. Sr cuidads al djar mnsajs n cntstadrs autmdtics n sistmas piiblis, ya qu pudn almacnars incrrtamnt cm rsultad d un rrr d disad, mdquinas d fax. Mitigar risgs casinads pr l us d mdquinas d fax, n particular: accs n autrizad a sistmas incrprads d almacnamint d mnsajs, prgramacidn dlibrada accidntal d quips para nviar mnsajs a numrs n vrificads sin autrizar, nvi d dcumnts y mnsajs a un numr quivcad pr rrrs d disad prqu l numr almacnad ra rrdn Catgria: Sguimint y cntrl Objtiv A fin d dtctar actividads d prcsamint d infrmacidn n autrizadas, s dbrd mnitrar l us d ls sistmas d infrmacidn dl MTEySS, rprtand td vnt qu impact sbr la sguridad d la infrmacidn, y vrificand l cumplimint d la nrmativa lgal rlativa al mnitr la auditria. S dispndrd d rgistrs d pracidn, idntificand las fallas n ls sistmas d infrmacidn y la fctividad d ls cntrls adptads Cntrl: Rgistr d auditria S prduirdn y mantndrdn rgistrs d auditria n ls cuals s rgistrn las actividads, xcpcins, y vnts d sguridad d la infrmacidn d ls usuaris, a ls fins d prmitir la dtccidn invstigacidn d incidnts. S rgistrard la siguint infrmacidn: idntificacidn d ls usuaris, fhas, timps, y dtalls d ls vnts principals, pr jmpl, inici y cirr d ssidn, idntidad dl quip y su ubicacidn, si s psibl, rgistrs d intnts d accs al sistma xitss y fallids, rgistrs d intnts d accs a ls dats u tr rcurs, xitss y rchazads, cambis a la cnfiguracidn dl sistma. > Pliticas d Sguridad d la Infrmacin - Pagina 70 d 125

9 MK^L IVlinistri d flfl Trabaj, Empl \ ^ ^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 71 d 125 IZ i us d privilgis, us d utilitaris y aplicacins d sistmas, archivs accdids y l tip d accs, dirccins d rds y prtcls, alarmas qu sn jutadas pr l sistma d cntrl d accss, activacidn y dsactivacidn d ls sistmas d prtccidn, tals cm sistmas antivirus y sistmas d dtccidn d intruss Cntrl: Prtccin d ls rgistrs S implmntardn cntrls para la prtccidn d ls rgistrs d auditria cntra cambis n autrizads y prblmas pracinals, induynd: altracins d ls tips d mnsajs qu sn grabads, dicidn liminacidn d archivs d rgistr, xcs d la capacidad d almacnamint d ls archivs d rgistr, cn l risg qu s prduzcan fallas cuand s rgistran vnts, s sbrsriban vnts rgistrads n l pasad Cntrl: Actividads d ls administradrs S rgistrardn y rvisardn priddicamnt las actividads d ls administradrs d ls sistmas, induynd: cuntas d administracidn u pracidn invlucrada, mmnt n l cual curr un vnt (dxit falla), infrmacidn acrca dl vnt (p. j.: archivs manipuiads) d fallas (p. j.: rrrs currids y accins crrctivas tmadas), prcss invlucrads Cntri: Sincrnizacin d Rljs A fin d garantizar la xactitud d ls rgistrs d auditria, db vrificars la crrcta cnfiguracidn d ls rljs d ls quips qu prcsan infrmacidn dl MTEySS. Para ll, s dispndrd d un prcdimint d ajust d rljs, n una vrificacidn cn un patrdn xistnt n una funt xtrna dl dat, nsidrdnds admas la mdalidad d crrccidn ant cualquir variacidn signifiativa Cntrl: Fallas rprtadas pr ls usuaris S rgistrardn ls falls, fctudnds una rvisidn priddica d tals rprts, cn l bjtiv d tmar accins aprpiadas, cnsidrand ls rqurimints stablclds n l punt Cntrl: Rgistr d Fallas. Pliticas d Sguridad d la Infrmacidn - Pagina 71 d 125

10 ^ ^ IVlinistri d flipi Trabaj, Empl y^m y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 72 d 125 ^5 3. Clausula: Gstin id Accss Gnralidads La bas d td marc d gstidn d sguridad d la infrmacidn la prprcina un sistma d rstriccins y xcpcins para accdr a la infrmacidn dl MTEySS. A travds d la implmntacidn d prcdimints frmals, claramnt dcumntads, difundids y vrificads, s garantizard l accs adcuad y sgur a ls sistmas, dats y dmds srvicis d infrmacidn dl MTEySS. Ls prcdimints cmprndn tdas las tapas dl cicl d vida dl accs a tds ls nivls, dsd l rgistr inicial d nuvs usuaris hasta la privacidn final d drchs para quins ya n rquirn usar ls rcurss dl MTEySS. La pracidn d ls usuaris s sncial para la ficacia d la sguridad, pr l tant s ncsari un prcs d cncintizacidn acrca d las rspnsabilidads pr l mantnimint d cntrls d accs ficacs, n particular aqulls rladnads cn l us d cntrasfias y la sguridad dl quipamint. Objtiv Esta clausula tin ls siguints bjtivs: impdir l accs n autrizad a ls sistmas, dats y srvicis d infrmacidn, implmntar sguridad n ls accss d usuaris pr mdi d tdcnicas d autnticacidn y autrizacidn, 8 cntrlar la sguridad n la cnxidn ntr la rd infrmatia dl MTEySS y tras rds publicas privadas, rgistrar y rvisar vnts y actividads criticas llvadas a cab pr ls usuaris n ls sistmas. cncintizar a ls usuaris rspct d su rspnsabilidad frnt a la utilizacidn d cntrasfias y quips infrmdtics, garantizar la sguridad d la infrmacidn cuand s utiliza cmputacidn mdvil instalacins d trabaj rmt. Alcanc Esta plitica s aplica a tdas las frmas d accs sbr sistmas cmputacinals, cncldas tambidn cm accss Idgics. Estdn alcanzads tds ls usuaris a quins s ls haya trgad prmiss sbr sistmas y aplicacins, bass d dats, rcurss y srvicis infrmdtics dl MTEySS, cualquira sa la funcidn tara qu s dsmpfi. S incluy, asimism, al prsnal tdcnic qu dfin, instala, administra, mantin prmiss d accs y cnxins d rd, y administran la sguridad infrmdtica. Rspnsabilidad El Rspnsabl d Sguridad d la Infrmacidn stard a carg d: dfinir nrmas y prcdimints para: la gstidn d accss a tds ls sistmas, dats y srvicis infrmdtics dl MTEySS, l mnitr dl us d las instalacins d prcsamint d la infrmacidn, incluids ls rcurss n la nub y la cmputacidn mdvil, ls rprts d incidnts y la rspusta a la activacidn d alarmas silncisas, la rvisidn d rgistrs d actividads y l ajust d rljs d acurd a un stdndar prstablcid. Pliticas d Sguridad d la Infrmacin - Pagina 72 d 125

11 1 012 JM^ Ministri d fflfl Trabaj, Empl y^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari di Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 73 d 125 El Rspnsabl d Infrmdtica tndrd las siguints rspnsabilidads: implmntar prcdimints para la activacidn y dsactivacidn d drchs d accs a las rds, analizar implmntar ls mdtds d autnticacidn y cntrl d accs dfinids, sbr ls sistmas, bass d dats y rcurss infrmdtis dl MTEySS, valuar, rcmndar implmntar la platafrma d cmunicacins adcuada para subdividir la rd d dats dl MTEySS, implmntar l cntrl d us d purts d cnxidn y d rut d rd, implmntar y dpurar l rgistr d vnts actividads (lgs) d usuaris, sgun l dfinid pr l Rspnsabl d Sguridad d la Infrmacidn y ls Rspnsabls Primaris, cn la participacidn d la Unidad d Auditria Intrna, dfinir, implmntar y cntrlar ls rgistrs d vnts y actividads crrspndints ls sistmas prativs y dmds platafrmas d prcsamint d la infrmacidn, valuar ls risgs sbr la utilizacidn d las instalacins d prcsamint d infrmacidn, cn l bjt d stablcr tcnlglas d idntificacidn y autnticacidn d usuaris (p. j.: bimtria, vrificacidn d firma y autnticadrs d hardwar), junt cn l Rspnsabl d Sguridad d la Infrmacidn, dfinir implmntar las cnfiguracins d ls srvicis d rd, d manra d garantizar una pracidn sgura, analizar implmntar las mdidas y cntrls para fctivizar l accs a Intrnt d ls usuaris, - trgar accs a ls srvicis y rcurss d rd, vrificand l cumplimint d ls prcdimints d autrizacidn frmals, a tal fct. Ls Rspnsabls Primaris stardn ncargads d: dfinir ls rcurss d infrmacidn qu s rqurirdn para la gstidn dl dra a su carg, junt cn l Rspnsabl d Infrmdtica y d Sguridad d la Infrmacidn, aprbar y sliitar frmalmnt la asignacidn accss y privilgis d mpl d ls rcurss d infrmacidn dl MTEySS, d aurd las funcins qu tnga l prsnal a su carg, vrificar qu, n ls prcss d dsvinculacidn, s cumplan n ls prcdimints d sguridad crrspndints, cn ls Rspnsabls d Rcurss Humans, d Infrmdtica y d Sguridad d la Infrmacidn, dnd crrspnda, siicitar l accs a tltrabaj para l prsnal a su carg, vrificar qu l prsnal a su carg cumpla n las mdidas d sguridad d la infrmacidn. El Rspnsabl d Rcurss Humans srd rspnsabl d: ntificar a ls usuaris sbr ls drhs y rspnsabilidads manadas d ls prmiss d accs a la infrmacidn, dtrminar las pautas basicas d rgistr d las prsnas n ls sistmas d infrmacidn, vrificar la spcificacidn d sancins ant la vilacidn d ls cntrls d accs. La Unidad d Auditria Intrna tndrd accs a ls rgistrs d vnts a fin d clabrar cn ls cntrls, admds d fctuar rcmndacins sbr mdificacins a ls aspcts d sguridad. Pliticas d Sguridad d la Infrmacin - Pagina 73 d 125

12 j^s^k Ministri d flfl Trabaj, Empl ^^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 74 d 125 El Cmitd d Sguridad d la Infrmacidn aprbard l andlisis d risgs d la infrmacidn fctuad, asi cm l prid dfinid para l mantnimint d ls rgistrs d auditria gnrads. Plitica 8.1 Catgria: Rqurimints para l Cntrl d Accs Objtiv Cntrlar l accs a la infrmacidn dl MTEySS, sus mdis d prcsamint d la infrmacidn y ls prcss d gstidn, sbr la bas d la sguridad. Las rglas d cntrl dl accs dbn tmar n cunta las pliticas para la divulgacidn y autrizacidn d la infrmacidn. S stablcrd la prmisa d accs prhibitiv {Td db star prhibid a mns qu s prmita xprsamnt), pr sbr la prmisa prmisiva (Td sta prmitid a mns qu s prhiba xprsamnt) Cntrl: Plitica d Cntrl d Accss S cntmplardn ls siguints aspcts: B idntificacidn d ls rqurimints d sguridad d cada una d ls sistmas y aplicacins infrmdticas dl MTEySS, idntificacidn d tda la infrmacidn rlacinada cn ls sistmas y las aplicacins, dfinicidn d pautas qu rlacinn la plitica d cntrl d accss n la lasificacidn d la Infrmacidn d ls difrnts sistmas, aplicacins y rcurss infrmdtics (vr capitul 7 Gstidn d Activs). vrificacidn d cumplimint d las bligacins cntractuals d cntratistas, cn rspct a la prtccidn dl accs a dats y srvicis, stablcimint d prfils d accs rlacinads cn las dfinicins d funcidn y pust labral, administracidn d drchs d accs acrd a la platafrma tcnldgica dl MTEySS Cntrl: Rglas d Cntrl d Accs Las rglas d cntrl d accs spcificadas dbn: sr d cumplimint bligatri, garantizar l cntrl sbr las rglas d autrizacidn d accs, ants qu dstas ntrn n vigncia,» vrificar qu s ntrln tant ls cambis autmdtics n ls prmiss d usuari, iniciads pr l sistma, cm ls manuals, iniciads pr l administradr, vrificar qu s ntrln tant ls cambis autmdtics n ls rdtuls d infrmacidn, iniciads pr hrramintas d prcsamint d infrmacidn, cm ls manuals iniciads a discrcidn dl usuari (Vr capitul 4 Cldusula: Gstidn d Activs). 8.2 Catgria: Administracin d Accss d Usuaris Objtiv S implmntardn prcdimints frmals para cntrlar la asignacidn d drchs d accs a ls sistmas, dats y srvicis infrmdtics, n l bjtiv d impdir l accs n autnzad a la infrmacidn. Ls prcdimints dbiran abarcar tdas las tapas n l cicl d vida dl accs dl usuan, a sabr: tapa inicial, trgamint d drchs d accs a nuvs usuaris. (C^^, Pliticas d Sguridad d la Infrmacin - Pagina 74 d 125

13 - ^[^k Ministri d flp Trabaj, Empl y^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 75 d 125 il. tapa intrmdia, cambi d drchs d accs pr nuvs rqurimints d trabaj, dsplazamint a tras aras dl MTEySS, prqu ya n s rquirn. liminacidn d ls drchs pr baja inhabilitacidn d ls usuaris Cntrl: Rgistracin d Usuaris El Rspnsabl d Sguridad d la Infrmacidn dfinird ls prcdimints d rgistr d usuaris, sind sts implmntads pr l Rspnsabl d Infrmdtica Pautas d cntrl sbr la rgistracidn S ntmplard l siguint: idntificacidn univca d rdtuls d infrmacidn (ID d Usuari, prfils y/ prmiss d accs, tc.), vitand la xistncia d multipls prfils para un mism usuari, y prmltind un adcuad sguimint (trazabilidad) d las pracins fctuadas, cntrl d mdifiains n ls prmiss d usuari, tant d cambis autmatics cm manuals, asignacidn d rspnsabilidads individuals sbr las taras d autrizacidn, administracidn, y pracins, us d cuntas prsnals individuals, a fin d pdr fctuar un adcuad sguimint d accins y actividads pr part d ls usuaris, cambis sbr ls rdtuls d infrmacidn pr mdi d aplicativs sistmas, inhibidnds mdificacins manuals pr part dl usuari, mnitr y auditria sbr accss a rcurss, sistmas y aplicativs, vrificacidn d las autrizacins frmals pr part dl Rspnsabl Primari qu crrspnda, vrificacidn sbr l nivl d accs trgad, d tal frma qu sa adcuad a la funcidn dl usuari y qu sa chrnt cn la plitica d sgrgacidn d taras, listad dtallad d ls drchs d accs d cada usuari, difundid a ls Rspnsabls Primaris, vrificacidn d la firma d ls Cmprmiss d Cnfidncialidad y Ntificacidn d Us Adcuad d ls rcurss, pr part d ls usuaris, vrificacidn sbr ls prcdimints d implmntacidn d accss, asgurand qu primr s hayan cmpltad las autrizacins crrspndints, vrificacidn sbr la xistncia d la aprbaidn y la justificaidn para implmntar las xcpcins, implmntar, junt cn l Rspnsabl d Rcurss Humans cuand crrspnda, las canclacins d accs n timp y frma, vitand psibls dafis cmprmis sbr la infrmacidn dl MTEySS, stablcr pautas y prcdimints para la inhabilitacidn y/ liminacidn d cuntas inactivas, ls qu srdn implmntads n labracidn cn ls Rspnsabls Primaris y d Rcurss Humans, cuand crrspnda Pautas d implmntacidn Dbrdn tnrs n cunta ls siguints aspcts: idntificacidn, autnticacidn d usuaris y administracidn d cntrasfias, administracidn d prmiss y prfils, idntificacidn y autnticacidn d nds d rd. Pliticas d Sguridad d la Infrmacin - Pagina 75 d 125

14 \1 mf^^ Ministri d flp Trabaj, Empl ^^^ y S^uridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 76 d 125 us cntrlad y rstringid d utilitaris dl sistma prativ, cn l stablcimint d alarmas aduadas, dscnxidn d trminals pr timp murt d us, limitacidn dl hrari d cnxidn a la rd, rgistr d vnts, limitacidn d purts d accs y cntrl d cnxins, accs Idgic las instalacins d prcsamint d infrmacidn, tcnlgias d idntificacidn, autnticacidn d usuaris, intgridad y n rpudi, aduadas para la Organizacidn (Ej.: bimtria, firma digital, tc.), sistmas cntralizads para la administracidn d idntidads, prfils y accss a ls rcurss dl MTEySS, pautas d us d Intrnt Intrant, subdivisins d la rd (p. j. mdiant Rds LAN Virtuals), rvisidn priddica d prmiss d accs a la infrmacidn, rgistrs d auditria sbr vnts, gstidn d risgs Cntrl: Gstin d Privilgis Ei accs n autrizad a ls rcurss sul sr l factr d risg mds imprtant para la sguridad d la infrmacidn dl MTEySS. S rquir, pr nd, una asignacidn d privilgis cntrlada. Ls Rspnsabls Primaris aprbardn la asignacidn d privilgis d accs a ls rcurss a su carg. La implmntacidn stard a carg dl Rspnsabl d Infrmatia, y la vrificacidn d cumplimint adcuad stard a carg di Rspnsabl d Sguridad d la Infrmacidn Pautas para la gstidn d ls privilgis S dbrd vrificar l siguint: 8 idntificacidn d ls privilgis asciads a cada rcurs, sistma infrmdtic y/ aplicativ, p. j.: la administracidn d ls sistmas prativs, bass d dats y dmds rcurss infrmdtics, y/ l us d las aplicacins, stablcimint d distintas catgrias d cuntas d accs a ls rcurss, sgun la funcidn, p. j.: cuntas d usuari, cuntas administrativas, y/ d srvicis (para l funcinamint d sistmas prativs, bass d dats, tc.), asignacidn d accss sbr la bas d la ncsidad d us y l minim privilgi, qu prmita qu l usuari cumpla cn su rl funcinal, «dfinicidn d un prid d vigncia para cada cunta y sus privilgis asignads, n bas a ia utilizacidn qu s l dard a ls misms Cass spcials: Cuntas Administrativas Estas cuntas stan dtadas d un nivl suprir d privilgis. S mplardn xclusivamnt para cass d administracidn d rcurss, n sind rcmndabl su us habitual. D sr psibl, xistiran cuntas d usuari cn mnrs privilgis, a sr mpladas pr ls administradrs cuand n s rquiran fctuar taras spcials. Las cntrasfias d stas cuntas dbrdn tnr mayr grad d cmpljidad. El Rspnsabl d Sguridad d la Infrmacidn dfinira prcdimints para la administracidn d dichas cuntas, sind sts implmntads pr l Rspnsabl d Infrmdtica. S ntmplard l siguint, cuand crrspnda: justificaidn frmal d us, dtrminacidn d ls nivls d autrizacidn rqurids. Plfticas d Sguridad d la Infrmacin - Pagina 76 d 125

15 ^ j k Ministri d flpi Trabaj, Empl y^^ y Sguridad Sciai " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 77 d 125 :m rgistr d actividads,» rnvacidn d cntrasfias n mayr fruncia Cass spcials: Cuntas Gnrias Las cuntas gndrias s utilizardn para cass dnd sa ncsari idntificar un ara, n lugar d una prsna fisica, p. j.: cuntas d crr qu idntifican aras qu intrvinn n prcss sustantivs dl MTEySS. El Rspnsabl Primari dbrd justificar su cracidn y us. S dfinird un titular, quin sra rspnsabl pr l us d dicha cunta. Asimism, s dtallard a las prsnas a las qu s autric su us Cass spcials: Cuntas d Aplicativs y/ Srvicis S trata d cuntas intrnas, gnradas durant la instalacidn d srvicis infrmdtics, y prmitn, gnralmnt, accs dirct a dats. Entr las mismas, s ncuntran las siguints: admin (para la gstidn d mtrs d bass d dats), administradr (cunta bdsica d ls sistmas prativs Windws) y r^ (cunta bdsica d ls sistmas prativs Linux). El Rspnsabl d Infrmdtica dbrd implmntar prcdimints qu cntmpln l cambi d nmbr d dichas cuntas, la asignacidn d cntrasfias cmpljas y la dcumntacidn sgura d las mismas, prhibidnds, pr tra part, l us d stas cuntas pr part d usuaris a td nivl Cntrl: Gstin d Cntrasfias d Usuari La asignacidn d cntrasfias s cntrlard a travds d un prcs d administracidn frmal, mdiant l cual dbn rsptars ls siguints pass: ls usuaris s cmprmtrdn a mantnr n scrt ias cntrasfias d sus cuntas. Esta dclaracidn s incluira n l Cmprmis d Cnfidncialidad, s stablcrd l mpl d cntrasfias prvisrias, asignadas a ls usuaris cuand ntran pr primra vz ai sistma, u lvidan su cntrasna prsnal Las mismas sdl s ingrsardn uand l sistma haya acrditad la idntidad dl usuari, s bligard a qu ls usuaris cambin las cntrasfias inicials qu ls han sid asignadas la primra vz qu ingrsan al sistma,» la ntrga d la cntrasfia prvisria inicial al usuari s hard n frma prsnal, prhibidnds la participacidn d ajns, dbidnds vrificar un acus d rcpcidn pr part d dich usuari, s dbrdn cumplir pautas d cmpljidad, asi cm d rnvacidn priddica d las cntrasfias. Ls Rspnsabls d Sguridad d la Infrmacidn y d Infrmatia dfiniran, implmntardn y vrificardn l funcinamint d stas pliticas, s stablcrdn pliticas qu inhiban ia rutilizacidn d dtrminad numr d cntrasfias antiguas, las cuntas qu accdn a multipls srvicis {singl sign n) dbran tnr cntrasfias raznablmnt cmpljas, las cntrasfias s almacnardn n frma cdificada, y n sistmas infrmdtics prtgids (p. j.: utilizand Activ Dirctry d Windws) s utilizardn tcnlglas spcials, p. j.: bimtria, d rqurirs. El Rspnsabl d Infrmatia, admds dl Rspnsabl Primari, dfinirdn y justificaran su us, basdnds n un analisis d risgs Cntrl: Administracin d Cntrasfias Criticas Sn cntrasfias criticas aqullas crrspndints a cuntas administrativas y d srvici, mdiant las qu s fctuan actividads criticas cm p. j. instalacidn d platafrmas Pliticas d Sguridad d la Infrmacidn - Pagina 77 d 125

16 1012 ^i^l - Ministri d flm Trabaj, Empl \^M' y Sguridad Scial " Ail d Hmnaj ai Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Vrsidn: FINAL Pdgina: 78 d 125 sistmas, habilitacidn d srvicis, actualizacidn d sftwar, cnfiguracidn d cmpnnts infrmatics, tc (vr Capitul Cntrl: Gstidn d Privilgis} El Rspnsabl d Sguridad d la Infrmacidn dfinird prcdimints para la administracidn d dichas cntrasfias, cntmpland l siguint: las cntrasfias slcinadas tndrdn alt grad d cmpljidad, las cntrasfias, asi cm la idntificacidn d las cuntas a las qu prtncn s rsguardardn n altas cndicins d sguridad,» s dispndrd d un rgistr d us y gstidn d las cntrasfias criticas, dnd s indicardn las causas qu dtrminarn su us, asi cm l rspnsabl d las actividads qu s fctun n las mismas. El Rspnsabl d Sguridad d la Infrmacidn, n cnjunt cn l Rspnsabl d Infrmdtica, fctuard una rvisidn priddica d dich rgistr, dnd sa psibl, vrificar qu cada cntrasna critica s rnuv una vz utilizada, lug d un prid stablcid pr l Rspnsabl d Sguridad d la Infrmacidn junt cn l Rspnsabl d Infrmdtica Cntrl: Rvisin d Drchs d Accs d Usuaris El Rspnsabl d Sguridad d la Infrmacidn, cnjuntamnt cn ls Rspnsabls Primari y d Infrmatia, mantndra un cntrl sbr l accs a ls dats y srvicis d infrmacidn. A tal fct, s llvard a cab un prcs frmal d rvisidn d ls drchs d accs d ls usuaris. S dbn cntmplar ls siguints ntrls: rvisar ls drchs d accs d ls usuaris a intrvals n mayrs a 6 mss,» rvisar las autrizacins d privilgis spcials d drchs d accs a intrvals n mayrs a 3 mss, rvisar las asignacins d privilgis a intrvals n mayrs a 6 mss. 8.3 Catgria: RsprDsabiidads dl Usuari Objtiv S db vitar l accs d usuaris n autrizads, mitigand l risg d rb d infrmacidn y/ d ls mdis d prcsamint, asi cm d mdifiains n autrizadas admds d manibras dlsas Un squma d sguridad fctiv db cntar cn la pracidn d ls usuaris autrizads. A travds d actividads d cncintizacidn, s lgrard larificar las rspnsabilidads cn rlacidn al us d clavs y la sguridad d ls pusts d trabaj, asi cm dl cumplimint d las pliticas d scritri y pantalla limpis (vr capftul Cntrls: Pliticas d Escritris v Pantallas Limpias) Cntrl: Us d Cntrasfias Las cntrasfias sn un mdi d validacidn y autnticacidn d la idntidad d un usuari, asi cm la llav para accdr a las instalacins d prcsamint d infrmacidn. Pr l antrir, s dbn sguir bunas prdcticas d sguridad n ia slccidn y l us d cntrasfias, cumplind las siguints dirtivas: I ' mantnr las cntrasfias n scrt, pdir un cambi d la cntrasna simpr qu xista un psibl indici d cmprmis dl sistma d las mismas cntrasfias, slccinar cntrasfias cmpljas, d aurd cn las pliticas stablcidas al rspct Tnr n cunta qu las mismas: n dbn star rgistradas n lugars d fdcil accs S rcminda qu san fdils d rcrdar. Pliticas d Sguridad d la Infrmacidn - Pagina 78 d 125

17 7 -s ^ ^ Ministri d flh Trabaj, Empl \^M y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pdgina: 79 d 125 \ n dbn basars n dats qu un ajn puda dducir fdcilmnt, p. j.: n utilizar nmbrs d prsnajs ppulars, numrs d tlfn, fhas d nacimint vrifiabls, tc., n dbn tnr caractrs numrs iddntics cnscutivs, asi cm scuncias d ltras y numrs fdcilmnt dducibls cambiar tas cntrasfias ada vz qu l sistma l slicit, vitand su rpticidn sgun l stablcid (vr capitul Cntrl: Gstidn d Cntrasfias d Usuari). ls prcss autmatizads vitaran la inclusidn d cntrasfias n las ssins d inici, p. j.: aqullas almacnadas n una tcla d funcidn macr,» ntificar d aurd a l stablcid cualquir incidnt d sguridad rlacinad n sus cntrasfias: prdida, rb indici d pdrdida d cnfidncialidad (vr capitul 11 Gstidn d Incidnts d Sguridad) Cntrl: Equips Dsatndids n Aras d Usuaris Ls quips infrmdtics instalads n dras d usuans rquirn prtccins spcificas cntra accss n autrizads, spcialmnt uand s ncuntran dsatndids. El Rspnsabl d Sguridad d la Infrmacidn crdinard cn l Rspnsabl d Rcurss Humans las taras d cncintizacidn a usuaris intrns, rganizains xtrnas y/ cntratistas, dnd crrspnda, n l rfrnt a ls rqurimints y prcdimints d sguridad para prtgr quips dsatndids. El Rspnsabl d Infrmdtica implmntard pliticas para l blqu, cn r habilitacidn pr cntrasna, para td l quipamint instalad n las dras d usuari. S impdird qu ls usuaris mdifiqun dicha plitica, a mns qu s autric una xcpcidn al rspct. Ls usuaris dbrdn cncluir blquar manualmnt las ssins activas al finalizar las taras al rtirars dl dmbit labral, aun cuand std activada la plitica d blqu. 8.4 Catgria: Cntrl d Accs a la Rd Objtiv Cntrlar l accs a ls srvicis d rds intrnas y xtrnas cntrlads pr l MTEySS, a fin d vitar accss n autrizads y un psibl cmprmis sbr la infrmacidn. S dbrd asgurar: qu xistan intrfacs aprpiadas para intrcntar la rd dl MTEySS, rds d tras rganizains, y rds publicas, qu s apliqun mcanisms d autnticacidn aprpiads para la sguridad d ls dats dl MTEySS, 8 qu ls cntrls para l accs dl usuari a la infrmacidn dl MTEySS sa bligatri Cntrl: Plitica d Utilizacin d ls Srvicis d Rd S cntrlard l mpl d ls srvicis d rd tant intrns cm xtrns a fin d garantizar qu ls usuaris tngan un accs tal qu n cmprmtan la sguridad dl MTEySS. S dbrdn pririzar las cnxins y aplicacins criticas, y ls accss a sitis ptncialmnt insgurs, tals cm aras piiblicas y/ xtrnas, instalacins n la nub y las qu s halln fura d la administracidn y l cntrl dirct dl MTEySS. Ls Rspnsabls d Sguridad d la Infrmacidn y d Infrmatia vrificardn y trgardn l accs a ls srvicis y rcurss d rd, unicamnt cuand s cumpla l stablcid n ls prcdimints frmals, n cmun aurd cn ls Rspnsabls Primaris d la infrmacidn dl MTEySS. Ls prcdimints para implmntar inhibir ls drchs d accs a las rds cntmplardn: '^^. Pliticas d Sguridad d la Infrmacin - Pagina 79 d 125

18 ^ ^ Ministri d fllb Trabaj, Empl ^^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Pagina: 80 d 125.J la idntificacidn d las rds y srvicis para ls cuals s rquir l accs, la idntificacidn d las prsnas y sus rls, para dfinir adcuadamnt l md d accs a las rds y srvicis, stablcr prcdimints y cntrls d gstidn para prtgr l accs a las cnxins y srvicis d rd Cntri: Camin Frzad Las rds stdn disfiadas para prmitir, n frma autmdtica, l mdxim alcanc d distribucidn d rcurss y fixibilidad n la lccidn d la ruta d cmunicacins a utilizar. Sin mbarg, stas caractristicas tambidn pudn frcr prtunidads para l accs n autrizad a las aplicacins para i us n autrizad d ls rcurss infrmdtics dl MTEySS. Pr tal mtiv, s stablcrdn limits para las pcins d lccidn d la ruta ntr la trminal d usuari y ls srvicis a ls cuals dst rquira accdr. El Rspnsabl d Sguridad d la Infrmacidn, cnjuntamnt cn l Rspnsabl d Infrmdfica y l Rspnsabl Primari prtinnt, ralizardn una valuacidn d risgs a fin d dtrminar ls mcanisms d cntrl qu crrspndan n cada cas. S numran, a cnfinuacidn, alguns d ls cntrls a implmntar: asignacidn d linas tlfdnicas n frma ddicada, n dsignacidn d rspnsabl, cnxidn autmdtica d purts a pasarlas d sguridad {gatways) a sistmas d aplicacidn spcifics prstablcids, impsicidn dl us d sistmas d aplicacidn y/ gatways d sguridad spcifics para usuaris xtrns d la rd. implmntacidn d pcins d mnu y submnu limitadas, n las aplicains, a ls prfils d ls usuaris, limitacidn d la navgacidn ilimitada pr la rd, stablcind dminis Idgics sparads, p j.: rds d dra lcal virtuals, para grups d usuaris dfinids, «cntrl activ d las cmuniacins cn ngn y dstin autrizads a travs d gatways, y cn gnracidn d alrtas ant vnts n prvists Cntrl: Autnticacin d Usuaris para Cnxins Extrnas S stablcran prcdimints d autnficacidn adcuads al nivl d prtccidn rqurid para ls usuaris rmts. El Rspnsabl d Sguridad d la Infrmacidn, cnjuntamnt cn l Rspnsabl Primari qu crrspnda, ralizard una valuacidn d risgs a fin d dtrminar l mcanism d autnficacidn para cnxins xtrnas, qu crrspnda n cada cas. El Rspnsabl d Infrmdtica implmntard ls mcanisms stablclds, junt cn l Rspnsabl d Sguridad Fisica, cuand s rquira. La autnficacidn d usuaris rmts pud llvars a cab ufilizand: mdtds d autnticacidn fisic (pr jmpl tkns d hardwar), para l qu db implmntars un prcdimint qu incluya: la hrraminta d autnficacidn, cncida cm autnticadr, l rgistr d ls psdrs dl dispsitiv d autnficacidn, la pratria d dvlucidn al mmnt d dsvinculacidn dl prsnal psdr d un dispsitiv, mdtd d rvcacidn d accs dl autnficadr, n cas d cmprmis d sguridad. Pliticas d Sguridad d la Infrmacin - Pagina 80 d 125

19 Mt^k Ministri d flph Trabaj, Empl y^^ y Sguridad Scial "2014 Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnan dl Cmbat Vrsidn: FINAL Naval d Mntvid" Pliticas d Sguridad d ta Infrmacidn Fcha Emisidn: Pdgina: 81 d 125 '*i#» l prtcl d autnticacidn (p. j.: dsafi/rspusta), cn un prcdimint qu incluya: stablcimint d las rglas, cn l usuari, stablcimint d un cicl d vida d las rglas, para su rnvacidn,» ufilizacidn d linas ddiadas, hrramintas d vrificacidn d la dircidn dl usuari d rd, afind cnstatar l rign d la cnxidn, dnd sa prtinnt, blqu d purts para inhibir cmuniacins n autrizadas, spcialmnt sbr ls sistmas d Vz sbr IP, prcdimints y cntrls d rllamada {dial-back), vrificand qu l dsvi d llamadas, std dshabilitad CntrS: Autnticacin d Nds S dbrd mplar un squma d idntificacidn autmatica dl quipamint qu s cnct a la rd, sa n frma lcal a la rd d dats, cuand s trat d cnxins xtrnas. La dbida autnticacidn d ls nds d rd vitard accss n autrizads a las aplicacins dl MTEySS. La autnficacidn d nds srd la aitrnafiva, admds, para vrificar la idnfidad d usuaris lcals y rmts, cuand dsts inicin una cnxidn a un srvici infrmdfic dl Organism. Ls dispsitivs d autnficacidn dbrdn star dtads d prtccins fisicas (vr 6.1 Catgria: Aras Sguras) Cntrl: Prtccin d ls Purts d Diagnstic Rmt Ls purts d diagndstic rmt dbn cntrlars, para vitar qu s ls aprvh cm mdi d accs n autrizad. Ei Rspnsabl d Infrmdtica gnrard aurds n l prvdr, a ls fins d gnrar l mar d prtccidn para la cmuniacldn d ls sistmas d diagndstic rmt. Asimism, ls mcanisms d prtccidn bsrvaran l stablcid n ls punts Cntrl: Autnticacidn d Usuaris para Cnxins Extrnas y Cntrl: Camin Frzad Cntrl: Subdivisin d Rds La sguridad n rds xtnsas pud cntrlars a travds d una subdivisidn n dminis Idgics, subrds primtrs d sguridad sparads, pr mdi d gatways cn funcinalidads d firwall, stablcinds rds lcals virtuals (VLANs). Para la subdivisidn s tmardn n cunta critris d sguridad cmuns a grups d usuaris d rd dtrminads. Asimism, s cnsidrardn aspcts cm la xpsicidn a amnazas cmuns, las sparacins fisicas y la sgrgacidn d taras, cuand crrspnda. El Rspnsabl d Infrmdtica s basard n un andlisis drisgsy n l stablcid n l punt vr 8.1 Catgria: Rgurimints para l Cntrl d Accs. a ls fins d valuar csts rlativs y l impact n l dsmpn d la rd n gnral, uand s intrducn ls nrutadrs gatways adcuads para subdividir la rd. La dcisidn final sbr l squma mas aprpiad a implmntar srd tmada junt cn l Rspnsabl d Sguridad d la Infrmacidn Cntrl: Accs a Intrnt Ei accs a Intrnt srd utilizad cn prpdsits autrizads para dar apy a la gstidn dl MTEySS. El Rspnsabl d Sguridad d ia Infrmacidn dfinird ls prcdimints para stablcr l accs a Intrnt, stablcind las pautas d us aduadas a ls rcurss dl MTEySS p. j.: hraris d cnxidn, pririzacidn d cnxins, srvicis habilitads, tc.) Ls Rspnsabls Primaris aprbardn la slicitud frmal fctuada pr l prsnal a su carg. Ls accss autrizads srdn implmntads pr l Rspnsabl d Infrmdtica. Pliticas d Sguridad d la Infrmacidn - Pagina 81 d 125

20 1 0t2 l^ M/^L Ministri d flh Trabaj, Empl \^^ y Sguridad Scial " Aft d Hmnaj al Almirant Guillrm Brwn, n l Bicntnari dl Cmbat Naval d Mntvid" Pliticas d Sguridad d la Infrmacidn Fcha Emisidn: Vrsidn; FINAL Pdgina: 82 d 125 ) El Rspnsabl d Sguridad d la Infrmacidn vrificard la actividad d ls accss, cn l fin d valuar la ficacia dl srvici y l us acrd a l rqurid. Asimism, l Rspnsabl d infrmdfica implmntard la instalacidn d firwalls y dmds dispsifivs qu prmitan ffivizar dichs cntrls. S cmunicard a ls usuaris ls cntrls qu s stdn jrclnd sbr ls accss Cntrl: Cnxin a la Rd Sbr la bas d l dfinid n l punt 8.1 Catgria: Rqurimints para l Cntrl d Accs, Cntrl; Camin Frzad '^ Cntrl; Subdivisidn d rds, s implmntardn cntrls para limitar a l ncsari ia capacidad d cnxidn d ls usuaris. Ejmpls d ls ntrns dnd dbn implmntars rstriccins sn: crr lctrdnic, sistmas d archivs cmpartids, accss intractivs, accss a la rd fura dl hrari l dmbit labral Cntrl: Rut d Rd En las rds cmpartidas qu s xtindn fura d ls limits dl MTEySS s instalardn cntrls d rut, para asgurar qu las cnxins infrmdticas y ls flujs d infrmacidn n viln las pliticas d accss stablcidas. Cm mfnim, sts cntrls cntmplardn la vrificacidn psitiva d dirccins d rign y dstin, ufilizand mdtds tals cm: la autnficacidn d prtcls d rut, l rut stdfi, la traduccidn d dirccins y las listas d cntrl d accs Cntrl: Sguridad d ls Srvicis d Rd El Rspnsabl d Sguridad d la Infrmacidn, junt cn l Rspnsabl d Infrmdfica, dfinird las pautas para garantizar la sguridad d ls srvicis d rd, tant publics m privads, dl MTEySS, S tndrdn n cunta las siguints dircfivas: habilitar sdl aqulls srvicis qu san rqurids n funcidn d ls prcdimints d autrizacidn stabicids, cntrlar l accs Idgic a ls srvicis, tant n l rfrnt a su us cm a administracidn, fctuar un andlisis drisgsy vulnrabilidads para cada srvici, ants d habilitari, Instalar priddicamnt las atualizacins d sguridad qu rquiran ls dispsitivs y ls sistmas prativs, fctuar rvisins priddicas d las cnfiguracins. 8.5 Catgria: Cntrl d Accs al Sistma Oprativ Objtiv S dbn ufillzar mdis d sguridad para rstringir l accs n autrizad a ls sistmas prafivs. El Rspnsabl d Sguridad d la Infrmacidn y l Rspnsabl d Infrmdtica ralizardn una valuacidn d risgs a fin d dtrminar l mdtd d prtccidn adcuad para l accs a ls sistmas prativs dl quipamint infrmatic, nsidrand tant trminals d usuari cm srvidrs d rd. Db dispnrs d prcss y cntrls qu prmitan implmntar las siguints acins: su f O^ Pliticas d Sguridad d la Infrmacidn - Pagina 82 d 125