Seguridad de la Información

Transcripción

1 AGRICULTORES FEDERADOS ARGENTINOS S.C.L Seguridad de la Información Políticas de Utilización de los Recursos Informáticos de AFA SCL Auditoría de Sistemas

2 INTRODUCCIÓN...3 POLÍTICAS PARA GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN...4 POLÍTICA PARA EL USO DEL CORREO ELECTRÓNICO...5 POLÍTICA PARA EL USO DE INTERNET...7 POLITICA PARA EL USO DE COMPUTADORAS PORTATILES (Notebooks)...9 MEJORES PRÁCTICAS EN LA SEGURIDAD DE LA INFORMACIÓN Utilización de Correo Electrónico Buenas Prácticas para la utilización del Correo Electrónico Recomendaciones para el uso seguro del Correo Electrónico Utilización de Internet Mensajería Instantánea (MSN; AMSN, Yahoo!, Gmail) Utilización de dispositivos de almacenamiento USB Control de Versiones N Versión Creado Verificado Fecha 1 Ing. Pablo Panichelli 15/04/ Ing. Iván Borsini 20/04/ Ing. Pablo Panichelli 15/05/2012 Página 2 de 17

3 INTRODUCCIÓN El conocimiento de los posibles riesgos y las mejores prácticas por parte de los Usuarios es fundamental, considerando que la Seguridad de la Información depende, en mayor grado, del uso adecuado y prudente que se les da a los Sistemas Informáticos en la operatoria diaria. El presente Capítulo de Políticas de Utilización de los Recursos Informáticos es el complemento a las Políticas de Seguridad Informática propuestas por Auditoría de Sistemas. Se establece una Política de Seguridad Informática para asegurar uno de los activos más importante de la Cooperativa - que es la Información - y de la cual depende la operatoria de todas las unidades de negocio de AFA SCL. El objetivo de esta política es garantizar: La integridad de la Información: Para preservar la veracidad y completitud de la información y los métodos de procesamiento. La confidencialidad de la Información: Para asegurar que la información solo sea accedida por aquellos que cuenten con la autorización respectiva. La Disponibilidad de la Información: Para asegurar su capacidad de estar siempre disponible para ser procesada por las personas autorizadas. El Control sobre la información: Para asegurar que sólo los usuarios autorizados puedan decidir cuándo y cómo permitir el acceso a la misma. El No Repudio: Para evitar que cualquier entidad que envió o recibió información alegue, ante terceros, que no la envió o recibió. Nota: En todas las páginas se encuentra la leyenda SOLO PARA USO INTERNO DE AFA SCL. Esto significa que este documento es confidencial: no se debe compartir, enviar por ni ser transportado fuera de las instalaciones de AFA SCL. Página 3 de 17

4 POLÍTICAS PARA GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN La información es uno de los recursos principales de las organizaciones. Es decir, cuidar la información es cuidar la propia existencia de la cooperativa. La seguridad de la información se encarga de protegerla de una amplia gama de amenazas, a fin de garantizar la continuidad comercial del negocio, minimizar los daños y maximizar el retorno sobre las inversiones y las oportunidades que se presenten a AFA SCL. Una POLÍTICA es una declaración general de principios que presenta la posición de AFA SCL para el control de la Información. Por definición, las políticas son obligatorias, y la incapacidad o imposibilidad para cumplir una política exige la elaboración de una excepción. Página 4 de 17

5 POLÍTICA PARA EL USO DEL CORREO ELECTRÓNICO El objetivo de esta política es asegurar la correcta utilización del Correo Electrónico corporativo, teniendo en cuenta que todo correo enviado bajo el estará representando a la Cooperativa. Responsable de Administración Administración de Sistemas Responsable de Control Auditoría de Sistemas Definición de la Política 1) El correo electrónico es una herramienta de trabajo; por lo que no está permitido utilizar el correo personal con fines políticos, religiosos, sentimentales, comerciales, juegos, ni ninguna clase de actividad mercantil que no tenga relación con AFA SCL. 2) Los correos no deben contener información que pudiera ser interpretada como ámbito de ataque, discriminación o ilegalidad. Se debe verificar el lenguaje utilizado al escribir un Correo Electrónico para evitar ser utilizado de formas no previstas. 3) Toda información o contenido que sea transmitido por las Cuentas de Correo institucionales, son responsabilidad únicamente del dueño de la cuenta. AFA SCL no se hace responsable ante reclamos de terceros de la utilización que cada usuario hace de su Cuenta de Correo. 4) Las comunicaciones deben ser breves para evitar el congestionamiento de la red y el mal uso del tiempo del personal. Cuando es imprescindible enviar mucha información porque el tema lo justifica, se debe enviar en un documento adjunto. 5) El tamaño máximo a enviar por archivos adjuntos es de 5 MB (en casos particulares es de 10 Mb). De ser necesario enviar más información; se debe consultar al Departamento de Sistemas sobre otra forma de envío, por ejemplo: FTP. 6) Los correos deben ser correctamente dirigidos a las personas que requieran la información. Por ningún concepto se deben enviar correos masivos que no son de interés general, como por ejemplo: despedidas, agradecimientos, clasificados, etc. Únicamente Presidencia, Gerencias y Jefaturas de Áreas, están autorizados a enviar correos masivos a todo el personal de AFA SCL. 7) En el caso de requerir enviar un comunicado social a toda la cooperativa se debe remitir el mensaje al Jefe del Area de Recursos Humanos, desde donde se enviará el mensaje masivo. 8) La información que se recibe de manera personal y confidencial por correo electrónico, no se puede reenviar a otra persona sin la autorización del remitente. Página 5 de 17

6 9) El uso del correo electrónico es personal y sus claves confidenciales. Por ningún concepto los usuarios pueden revisar la información dirigida a otra persona. 10) En forma general, se desalienta imprimir correos electrónicos, ya que esta herramienta fue creada para tener un archivo electrónico descartando el archivo tradicional, agilitar las comunicaciones y lograr un ahorro en el uso del papel. 11) Si se recibe un correo de origen desconocido, bajo ningún aspecto se debe abrir o ejecutar archivos adjuntos, ya que podrían contener códigos maliciosos (virus, troyanos, keyloogers, gusanos) 12) Los usuarios deben eliminar periódicamente de sus espacios de almacenamiento de mensajes electrónicos los mensajes irrelevantes y que ya no se necesiten. 13) El servidor de Correo Electrónico insertará en todo mensaje saliente el siguiente enunciado: La información de este mail es confidencial y concierne únicamente a la persona a quien está dirigida. Si este mensaje no está dirigido a usted, por favor tenga presente que no tiene autorización para leer el resto de este , copiarlo o derivarlo a cualquier otra persona que no sea aquella a quien está dirigido. Si recibe este mail por error, por favor, avise al remitente, luego de lo cual le rogamos tenga a bien destruir el mensaje original. No se puede responsabilizar de ningún modo a AGRICULTORES FEDERADOS ARGENTINOS SCL por cualquier consecuencia o daño que pueda resultar del apropiado y completo envío y recepción del contenido de este . Página 6 de 17

7 POLÍTICA PARA EL USO DE INTERNET El objetivo de esta política es asegurar la correcta utilización de Internet, fomentando el uso responsable de Internet para aprovechar su potencial, pero a la vez, evitar los riesgos informáticos latentes así como preservar el ancho de banda disponible, factor fundamental para su correcto funcionamiento. Responsable de Administración Administración de Sistemas Responsable de Control Auditoría de Sistemas Definición de la Política 1) Todo usuario de Internet debe saber que toda acción en la red de AFA SCL puede ser registrada y es pasible de auditorías o de informes a superiores. 2) Queda prohibido a todos los usuarios bajar e instalar desde cualquier sitio de Internet programas no autorizados por el Departamento de Sistemas o por Auditoría de Sistemas de AFA SCL. Si el Jefe responsable de un área requiere la instalación de un programa particular, deberá notificar por Correo Electrónico a Auditoría de Sistemas quién evaluará el programa y recomendará el procedimiento. 3) Se prohíbe el uso del Servicio de Internet provisto por AFA SCL que viole derechos de autor o propiedad intelectual. 4) Queda prohibido el acceso mediante el Servicio de Internet provisto por AFA SCL a páginas de entretenimiento, redes sociales, juegos o pornografía. Los sitios que ofrezcan estos contenidos serán bloqueados por el Proxy corporativo de AFA Rosario, y el intento de acceso por parte de los usuarios será registrado y auditado. 5) Queda prohibido el acceso mediante el Servicio de Internet provisto por AFA SCL a páginas de radio, TV o videos en línea, así como descargar archivos de música o videos. Los sitios que ofrezcan estos contenidos serán bloqueados por el Proxy corporativo de AFA Rosario, y el intento de acceso por parte de los usuarios será registrado y auditado. Se recuerda a los Usuarios que permanece vigente la Circular de Auditoría Interna 09/2008 que hace mención de estas acciones. 6) Queda prohibido cualquier forma de uso comercial del Servicio de Internet provisto por AFA SCL que no sea para fines de la cooperativa. 7) Auditoria de Sistemas, sin previo aviso, podrá establecer filtros y medidas para regular el acceso a contenidos en el cumplimiento de estas políticas. Página 7 de 17

8 8) Auditoría de Sistemas es responsable efectuar el monitoreo del tráfico en las redes de datos para verificar el cumplimiento de estas políticas. Cada incidente será registrado en una base de datos. El reporte servirá de elemento para la aplicación de sanciones o la cancelación del servicio al usuario. 9) Auditoría de Sistemas podrá solicitar al Departamento de Sistemas, en caso de requerir liberar recursos de la red, bloquear temporal o definitivamente el acceso a los usuarios que no sigan los lineamientos enunciados 10) Queda prohibido, a otras áreas distintas del Departamento de Sistemas y Auditoría de Sistemas, crear o mantener programas que recolecten de manera secreta y oculta información acerca de los usuarios. 11) Queda prohibido monopolizar los recursos en perjuicio de los otros usuarios, incluyendo: el envío de correo electrónico masivamente a todos los usuarios de la red, iniciación y facilitaciones de cadenas, generar impresiones voluminosas para usos personales, etc. 12) En el ámbito de la Cooperativa, la mensajería instantánea (MSN, AMSN, Yahoo!, Gmail) es una herramienta útil de comunicación. Sin embargo, su utilización para fines personales no está permitida. Está previsto su reemplazo a futuro por un sistema de mensajería interno de AFA SCL. Página 8 de 17

9 POLITICA PARA EL USO DE COMPUTADORAS PORTATILES (Notebooks) Por sus características, las notebooks son propensas a diversos riesgos que ponen en juego la seguridad de la información que éstas contienen. Se debe asegurar la confidencialidad de la información almacenada en la Notebook, así como evitar la acción de lógicas maliciosas por el uso de redes inalámbricas públicas. Responsable de Administración Administración de Sistemas Responsable de Implementación Usuarios de Notebooks Definición de la Política 1) La notebook debe tener un único acceso de Usuario Administrador, cuya clave sólo será conocida por personal de Administración de Sistemas y/o de Auditoría de Sistemas. 2) La notebook debe tener un Inicio de Sesión para cada usuario que la utilice. El nombre del usuario debe identificar a la persona que utiliza el equipo. 3) La contraseña de cada usuario no debe ser compartida. El usuario será responsable por las acciones realizadas en la computadora, las cuales queden registradas en los Logs internos con su nombre de usuario. 4) En caso de viajes, la notebook debe permanecer siempre con el usuario como equipaje de mano. 5) Al conectarse a redes WIFI en Puntos de Acceso que no pertenecen a AFA SCL; nunca se debe seleccionar una red que no cuente con las condiciones mínimas de seguridad, tales como contraseña de red y encriptación. Las redes públicas sin contraseñas exponen a la información personal a ser accedida y/o modificada por terceros. 6) En ningún caso se debe habilitar la opción de compartir carpetas o Discos Rígidos. 7) Si en la notebook se almacena información confidencial de AFA SCL, se deberá cifrar cada directorio donde se grabe dicha información. De esta manera, en caso de sustracción y posterior inspección de disco rígido por parte de terceros, la información permanecerá inaccesible. En estos casos, el usuario debe solicitar al Administrador de Sistemas la instalación de un software para encriptar directorios de trabajo. 8) Como mínimo una vez a la semana el usuario debe: Realizar un respaldo de la información que fuese generada en la Computadora Portátil a su Directorio Personal de Back Up en el Servidor de AFA SCL. Cada usuario es responsable de la eventual pérdida de información si ésta no tuviese un respaldo lo suficientemente actualizado. Realizar una actualización del antivirus. Realizar una actualización de seguridad del sistema operativo. Realizar una actualización de seguridad del programa de envío de correos electrónicos (Thunderbird) Página 9 de 17

10 MEJORES PRÁCTICAS EN LA SEGURIDAD DE LA INFORMACIÓN Las Mejores Prácticas son reglas recopiladas a través de la experiencia y aceptadas como la forma óptima de desarrollar una tarea. Página 10 de 17

11 Utilización de Correo Electrónico El correo electrónico es una poderosa herramienta de comunicación. Sin embargo, se requiere establecer buenas prácticas para garantizar que esta herramienta constituya un medio de comunicación ágil y efectivo, y que su mal uso no ponga en juego la información y los recursos de AFA SCL. BUENAS PRÁCTICAS PARA LA UTILIZACIÓN DEL CORREO ELECTRÓNICO Leer el correo frecuentemente, al menos una vez al día. Si no tiene tiempo de contestar convenientemente un Correo Electrónico, es un buen gesto responder brevemente a la persona que le envió el mensaje para indicarle cuándo podrá responder a su petición. Dejar correos electrónicos sin responder hace ineficiente la comunicación. Siempre eliminar los mensajes innecesarios. No utilice las opciones de confirmación de entrega y lectura, a menos que sea un mensaje muy importante. Es innecesario y la mayoría de las veces provoca mucho tráfico en la red. Cuando se reenvía un mensaje, es deseable incluir el mensaje original, para que la o las personas, hacia las que va el mensaje entiendan de que se está hablando en un momento dado. No envíe ni sea parte de una cadena de mensajes. Se recomienda que todos los archivos adjuntos estén comprimidos en formato ZIP (o RAR si se sabe que el destinatario cuenta con programa de formato RAR) El envío de mensajes a todo el personal se autoriza únicamente para asuntos oficiales. RECOMENDACIONES PARA EL USO SEGURO DEL CORREO ELECTRÓNICO Todo usuario de Correo Electrónico debe tener en cuenta que existen múltiples formas de ataque informático, de poca o mucha gravedad, a través del esta herramienta (ver Apéndice) Los ataques más comunes son aquellos cuya intención es: Diseminar un virus y/o troyano. Obtener claves bancarias o del correo electrónico. Recopilar direcciones de correo electrónico para el envío de SPAM, o publicidad no deseada. Estos ataques pueden ser: Sin intervención del usuario: cuando se envía un virus que se propaga al abrir el programa cliente. Con intervención del usuario: En estos casos, el atacante apela a la ingeniería social. El usuario da por cierto el contenido del texto y realiza lo que el mensaje le indica. Página 11 de 17

12 Para mitigar cualquier riesgo de ataque informático a través del correo electrónico, se recopilaron recomendaciones para el uso del Correo Electrónico. Las mismas pueden ser efectivas para proteger nuestros datos, ya sea en el uso personal o en el trabajo. SPAM El SPAM constituye uno de los principales medios de propagación de una importante cantidad de códigos maliciosos y por lo tanto se recomienda: No confiar en correos spam con archivos adjuntos y explorar el archivo antes de ejecutarlo. Esto asegura que no se ejecutará un malware. Cuando se reciben adjuntos, prestar especial atención a las extensiones de los mismos, ya que suelen utilizar técnicas de engaño como la doble extensión o espacios entre el nombre del archivo y la extensión del mismo. Utilizar filtros anti-spam (ya están implementados en Zimbra y Thunderbird) que permitan el filtrado del correo no deseado. No responder jamás el correo spam. Es preferible ignorarlos y/o borrarlos, ya que si se responde le confirma al emisor que su dirección de correo se encuentra activa. Evitar el re-envío de mensajes en cadena (siempre aparentan ser causas nobles) ya que suelen ser utilizados para recolectar direcciones de correo activas. Existen todo tipo de correos electrónicos masivos: del tipo religioso, del tipo solidario, con chistes, con incentivos para recibir donaciones, etc. El verdadero objetivo de quien redacta estos correos es recopilar direcciones de para el envío de SPAM. Adicionalmente, es posible conocer quién reenvía el correo y quiénes son sus contactos (amigos, colegas, familiares, etc.); siendo esto una grieta en la confidencialidad de la persona. Por este motivo, se establece por política la prohibición de enviar mensajes masivos que no estén relacionados con la operatoria de la cooperativa. En caso de requerir el envío de un correo del tipo solidario o de información general a todo el personal; éste debe ser enviado a personal de Recursos Humanos quienes realizarán el envío a todas las cuentas, en caso que así lo decidan. (Adicionalmente, el grupo de Gerencias y Jefaturas de Areas tendrán privilegios para el envío de mensajes masivos, dada la necesidad de comunicación que las áreas mencionadas requieren para la operatoria de la Cooperativa). Cuando se necesite enviar un Correo electrónico masivo, siempre se hará Con Copia Oculta (CCO) para que quien lo recibe lea solo la dirección del emisor. Página 12 de 17

13 Si se requiere registrar un usuario en algún Portal de internet, se recomienda proteger la dirección de correo personal de AFA SCL utilizando una cuenta alternativa (Ej.: Gmail, Hotmail, etc.). Esto previene que la dirección de correo laboral sea foco del spam, y de esta manera afecte los recursos del Servidor de AFA y la seguridad de su red. Estafas por Internet Entre las buenas prácticas de seguridad que se recomiendan a los usuarios, para que éstos eviten ser víctimas de estafas, están las siguientes: Tener en cuenta que las entidades bancarias y financieras NUNCA solicitan datos confidenciales a través de este medio. Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan cambios de datos sensibles ya que suelen ser métodos de Ingeniería Social. No hacer clic sobre enlaces que aparecen en correos electrónicos de remitentes desconocidos, ya que pueden redireccionar hacia sitios web clonados (en apariencia, idénticos a los portales bancarios) o hacia la descarga de códigos maliciosos (programas que permiten el robo de datos privados). Ejemplo real de un Correo Electrónico recibido en AFA SCL con un link o enlace a un sitio malicioso (el texto del correo electrónico, más el logo del banco simula ser un mensaje real emitido por la entidad): Un mensaje de una entidad real debería indicar un Área para comunicarse en caso de cualquier consulta, y bajo ningún concepto, le solicitará clave o información alguna. Si Página 13 de 17

14 se tiene dudas sobre la legitimidad de un correo, comunicarse telefónicamente con el banco o entidad para descartar la posibilidad de ser víctimas de un engaño. Para probar la validez de un link: colocar el puntero del mouse sobre el link y SIN HACER CLICK visualizar la dirección real del link en la barra inferior izquierda del navegador. El link es en apariencia confiable; pero posicionado el puntero del mouse sobre el link (sin hacer clic) se ve cuál es la verdadera dirección a la cual se direccionará navegador si se hace clic en link. Esta es una forma de enmascarar una dirección web con intenciones de ataque informático bajo otra dirección web, conocida y segura. Asegurarse de que la dirección del sitio web al cual se accede para realizar alguna transacción comercial, comience con el protocolo https. La s final, significa que la página web es segura y que toda la información depositada en la misma viajará de manera cifrada. Verificar la existencia de un certificado digital en el sitio web. En estos casos, el navegador de internet muestra un candado en el extremo inferior derecho. El certificado digital se despliega en pantalla al hacer clic sobre la imagen del candado. Página 14 de 17

15 Utilización de Internet Internet es actualmente un medio de comunicación imprescindible para las organizaciones. En AFA SCL es fuertemente aprovechado por los diferentes sectores para obtener información del ambiente donde se desempeña la cooperativa. En los últimos años, Internet se ha transformado en una plataforma de ataque informático. En consecuencia, es fundamental navegar con cautela y tener presente las recomendaciones más importantes. Entre ellas: Evitar el ingreso a sitios web con contenidos que son ilegales, como aquellos que ofrecen programas cracks (para romper la clave de utilización de un programa comercial) ya que constituyen canales propensos a la propagación de virus. Impedir la ejecución de archivos que se descargan desde sitios web. No realizar la instalación de complementos extras como barras de tareas o protectores de pantallas. Estos programas están hechos con el fin de recabar información de los sitios a los que acceder el usuario para dirigir el navegador a sitios de publicidad. También pueden robar todos nuestros contactos de correo electrónico para enviar correo a nuestro nombre. MENSAJERÍA INSTANTÁNEA (MSN; AMSN, YAHOO!, GMAIL) Evitar aceptar como contacto cuentas desconocidas sin verificar a quién pertenece, ya que en la mayoría de los casos se trata de intentos de engaños con fines maliciosos. No descargar archivos sospechosos, sobre todo cuando vienen acompañados de mensajes genéricos o en otro idioma. En caso de descargar archivos, explorarlos con un antivirus antes de ser abiertos para verificar que se encuentren libre de amenazas. Es recomendable, al igual que con el correo electrónico, no hacer clic sobre los enlaces incrustados en el cuerpo del mensaje, ya que pueden direccionar a páginas con contenido malicioso o hacia la descarga de virus. No compartir información confidencial a través de este medio ya que la misma puede ser interceptada y robada con fines delictivos. En el ámbito de la Cooperativa, la mensajería instantánea es una herramienta útil de comunicación. La utilización para fines personales no está permitida. Página 15 de 17

16 Ejemplo de un mensaje por MSN de un desconocido con link a un sitio malicioso Se proyecta dar de baja los programas de mensajería MSN, AMSN, GMAIL y Yahoo! por motivos de seguridad informática y consumo de recursos. En su lugar se están estudiando otros programas que permitan integrar a todos usuarios de la cooperativa, y su uso sea exclusivamente para el ámbito de la misma. Página 16 de 17

17 Utilización de dispositivos de almacenamiento USB Los dispositivos de almacenamiento removibles que se conectan a través del puerto USB (memorias, cámaras digitales, filmadoras, teléfonos celulares, etc.), constituyen otro de los mayores focos de propagación/infección de códigos maliciosos. Por lo tanto, es necesario tener presente alguna de las siguientes medidas que ayudan a mantener el entorno de información con un nivel adecuado de seguridad: Si se transporta información confidencial en estos dispositivos, es recomendable encriptarla. De esta forma, en caso de robo o extravío, la información no podrá ser vista por terceros. Es recomendable explorar con el antivirus cualquier dispositivo que se conecte a la computadora para controlar a tiempo una posible infección. Deshabilitar la ejecución automática de dispositivos en los sistemas operativos Microsoft Windows, ya que muchos códigos maliciosos aprovechan la funcionalidad de ejecución automática de dispositivos de las plataformas Microsoft para propagarse. La forma de saber si la ejecución automática está activada, es si al insertar un dispositivo USB o un CD en el equipo, se abre automáticamente una ventana para explorar los archivos del dispositivo insertado. Si el servicio técnico no deshabilitó esta opción, se debe solicitarlo. Página 17 de 17