Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Transcripción

1 Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

2 Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo de Computo 5 De la Ubicación del Equipo de Computo 5 De las Instalaciones del Equipo de Computo 5 Del Mantenimiento del Equipo de Computo 6 Control de Acceso 7 Del Acceso a NOC donde se Encuentra Equipo de Computo 7 Del Personal Autorizado para Acceder al NOC 7 Del Acceso Remoto al Equipo de Computo 7 De las Claves de Acceso al Equipo Remoto, Cambio y Resguardo 7 Supervisión y Monitoreo 9 De los Equipos y Servicios del Equipo Remoto 9 Respaldo de Información 10 Control, y procesos de Respaldos 10 Seguridad de Información 11 Página 2 de 11

3 INTRODUCCION La seguridad informática está orientada a brindar protección contra las contingencias y riesgos relacionados con la infraestructura informática y los datos contenidos en ella, en los equipos del que se utilizan para servicios WEB, la seguridad informática radica en asegurar que los elementos, servicios y recursos de los sistemas de información desarrollados sean empleados de forma correcta, a efecto de disponer de integralidad en la información y el resguardo necesario para proteger su estructura. La implementación de nuevas tecnologías y la adquisición es instalación de quipo informático requiere de una profundo análisis que permita aportar las medidas inherentes a la seguridad, en el cual se plasmen los mecanismos que resguarden su estado físico, su accesibilidad, uso y aprovechamiento, razón por la cual se genera dicho Manual de Seguridad Informática, con la finalidad de establece un medio documental de consulta para la implementación de acciones que aporten medidas de seguridad y conservar el optimo estado de los equipos y servicios actualmente disponibles. En base a lo anterior, este Manual de Seguridad Informática pretende ser una herramienta de carácter administrativo que permita concientizar a el personal y usuarios sobre la adecuada y precisa aplicación de cada una de las políticas y lineamientos para proteger y conservar la vida útil de la infraestructura que se usa para los diversos servicios a usuarios tanto internos externos. Dicho manual será difundido dentro de los colaboradores de la empresa (Analistas, Programadores, Técnicos, Soporte, Administrativos y Directores), así mismo si los clientes intermedios o finales lo requieran, con la finalidad de que conozcan los niveles de responsabilidad y obligaciones para el adecuado empleo de los equipos informáticos. Resulta importante resaltar la necesidad de contar con un instrumento que sirva de guía para la recuperación oportuna de la operación del centro de Computo y/o equipos en caso de que se presente algún contratiempo natural o de cualquier otra índole que dañe la operación de los servicios y equipos o sistemas que se tengan instalados en los equipos de computo. Página 3 de 11

4 OBJETIVO Contar con equipos de computo y sistemas que permita una respuesta eficiente y eficaz, a las diversas necesidades y servicios que se proporcionan a los distintos clientes, esto hace la necesitad de estar constantemente observando los avances de la tecnología para poder así ofrecer mejora constante en sistemas y equipos de computo actualizados. Asegurar la continuidad en la disponibilidad de los equipos de cómputo, servicios y sistemas de información, mediante el adecuado mantenimiento preventivo y el oportuno mantenimiento correctivo de estos. Contar con un instrumento que sirva de guía para la recuperación oportuna de la operación de los equipos de cómputo y sistemas, en caso de presentarse algún contratiempo de índole natural o de cualquier otro que dañe o detenga la operación de los servicios, equipos o sistemas instalados en ellos. ALCANCES La empresa tiene la responsabilidad de estableces las políticas necesarias que permitan regular y controlar las acciones inherentes al adecuado funcionamiento y seguridad de los servicios así como de los equipos en donde residan dichos servicios y el equipo de seguridad o respaldo, por lo tanto el alcance de dichas policías se dispone de la siguiente manera. 1. Lineamiento para el manejo de claves de Seguridad de Acceso a los servicios y sistemas informáticos son de carácter general y obligatorio para todo el personal, y tendrá por objeto regular la actividad en cuanto al uso, seguridad, aprovechamiento y resguardo de los servicios, sistemas informáticos. 2. Invariablemente la omisión y/o incumplimiento de las políticas en materia de seguridad de claves de acceso a servicios y sistemas informáticos ameritara una sanción administrativa y en su caso baja de la empresa. Página 4 de 11

5 EQUIPO DE CÓMPUTO El Manual de Seguridad, definirá la política de uso de los equipos que proveen servicios informáticos. De la Ubicación de los equipos de cómputo Los equipos de computo que proporcionan servicios a los clientes, se encuentran actualmente con el proveedor Servnet de México, S.A. de C.V. ubicado en la Cd. De México, Pagina WEB el cual es un proveedor de servicios de Internet, Cubicación de servidores y demás servicios, por lo tanto cuenta con todos los sistemas necesarios de seguridad de acceso, disponibilidad de servicios y asesoría técnica especializada. De las Instalaciones del Equipo de Computo Los equipos de cómputo se encuentran en ambientes propicios para el mejor desempeño, ya que se encuentra en un NOC, especialmente diseñado para la ubicación de Equipos que proporciona servicios WEB ininterrumpidos, los equipos cuentan con fuente de poder, sistemas de respaldo de energía, conexión directa a internet, aire acondicionado controlado para evitar el calentamiento de los equipos y asegurar su buen funcionamiento. El proveedor proporciona el servicio de monitoreo de los equipos, a nivel de respuesta de Red y puertos específicos, 80,21,25,110 entre otros, esto permite el monitoreo las 24*7*365. Los equipos instalados son propiedad de la empresa y son instalados por los técnicos o personal de sistemas de la empresa con el apoyo técnico del proveedor Servnet, manteniendo así control directo de nuestros equipos, y permite contar con equipos que cubran las necesidades de servicios que se proporcionan. Página 5 de 11

6 Del Mantenimiento de Equipos de Computo Los equipos de Cómputo instalados en el NOC, están contemplados en el programa de mantenimiento preventivo de la empresa, siempre y cuando se haya concluido con el plan de garantía correspondiente a cada equipo instalado. Cuando se realiza algún tipo de mantenimiento a los equipos de cómputo que generen una interrupción en los servicios, este será notificado a los clientes, vía correo electrónico con un periodo no menor a 3 días hábiles, en lo posible se generar dicha interrupción en días Inhábiles teniendo aun así notificar a los clientes o usuarios finales sobre dicha interrupción de servicios sea por mantenimiento o corrección de los mismos. En caso de que los mantenimientos preventivos o garantías sean realizadas por un proveedor externo, este será acompañado por el personal de la empresa a fin de conocer a detalle el proceso que se aplica por parte del proveedor y garantizar que una vez concluido el servicio los equipos y sistemas operen con normalidad. Página 6 de 11

7 CONTROL DE ACCESO Políticas definidas para el control y seguimiento del acceso a los equipos de cómputo. Del Acceso al NOC donde se encuentran los Equipos de Computo Para poder acezar al NOC, la empresa (Representante Legal) será el único responsable y autorizado por el Proveedor Servnet a proporcionar los nombre y puestos de las personas autorizadas para asistir y tener acceso al NOC y equipos de computo de la empresa, los cuales deben de portar identificación oficial asi como autorización y notificación previa de su visita al NOC, por parte del Representante legal de la Empresa. Del Personal Autorizado para Accedes al NOC El personal que tenga acceso al NOC y a los equipos de Cómputo, solo serán aquellos autorizados por el Representante Legal de la Empresa, los cuales hoy son solamente 2 personas: Lic. Víctor Manuel Bolaños R. Socio y Director de Sistemas así como el Gerente de Sistemas el Ing. Juan Carlos Mercado Morales, no hay personal adicional autorizado para solicitar acceso al NOC, sea o no empelado de la empresa, solo los designados son los únicos con la autorización de solicitar el acceso a los equipos de computo, así mismo de poder informar la intención de la visita o de retirar o sustituir equipos de computo. Del Acceso Remoto al Equipo de Computo El acceso remoto a los equipos de computo, servicios, bases datos se generan a través de conexiones VPN encriptados para evitar acceso no autorizados y el personal que tiene acceso estos servicios son Dirección y Gerencia de Sistemas solamente. Si se requiriera que algún otra persona Técnico externo ingrese remotamente a los servicios, estos deben ser informados y autorizados por cualquiera de las personas autorizadas y con conocimiento de la forma de acceso, así mismo el acceso es simultaneo paralelo para verificar lo que en este se genera, concluido dicho servicios o ajuste, las claves de acceso, puertos abiertos serán cerrados o cambiados para proteger la integridad de la información contenida en los equipos de computo. De las Claves de Acceso al Equipo Remoto, Cambio y Resguardo Para acceder al los equipos Remotos, Servidores, NAS y Routers, se cuenta con claves de acceso a estos la cuales se hacen vía programas de conexión remota directo por IP s, dichas claves de acceso son cambiadas con una periodicidad de 30 Días, y solo están en resguardo de Dirección de Página 7 de 11

8 Sistemas y Gerente de Sistemas, dichas claves no son publicadas ni entregadas a Analistas, Programadores, Técnicos, Administrativos, Soporte, Clientes o Desarrolladores Externos, ni personal del NOC Las Claves son resguardadas por las únicas 2 personas que tiene acceso a los servicios y equipos mencionadas anteriormente, dichas claves solo se guardan en archivo encriptado. Página 8 de 11

9 SEGURIDAD Y MONITOREO Los equipos de computo y servicios son monitoreados por una parte en su respuesta de puertos por el personal del NOC, para notifica cualquier inconsistencia o respuesta denegada a dichos servicios de manera general. Así mismo son monitoreados por personal de la empresa constantemente para corroborar que los servicios estén funcionando y respondiendo correctamente, los servicios monitoreados son, Respuesta de Sitios WEB, Verificación y Repuesta de Servicios de Base de Datos, Monitoreo de Acceso al Servidor Remotamente, Verificaciones de Peticiones a puertos Específicos para conocer intentos de hackeo. Se monitorea y se actualiza cada mes la definición de IPS a los dispositivos de Ruteo y Firewall, para tener siempre las firmas más actualizadas y evitar hackeos a los servicios que se proporciona Se monitorea el nivel de utilización de ancho de banda, procesador y memoria de los equipos de computo para detectar proceso que ocasionen deficiencia en las respuestas, así como capacidad en discos duros, esto con la intención de poder planear cambios, ajustes o las acciones correctivas necesarias para garantizar la continuidad de los servicios. Página 9 de 11

10 RESPALDO DE INFORMACION Se cuenta con un manual de respaldo así como un proceso ya establecido y automatizado que pretende y logra contener bajo resguardo adicional la información critica de los clientes, dichos respaldos son automáticos y de los diferentes servicios que se proporcionan. Se respalda información de configuraciones de equipos cada ocasión que se instala o se configura algún dispositivo o software, esto garantiza que se cuente con el histórico de configuración, permitiendo así poder regresar a alguna configuración histórica en caso de una funcionalidad fallida. Sobre el respaldo de Información, se cuenta con dispositivos externos que permiten el almacenaje de la información, en intervalos de tiempo según su importancia. Bases de Datos 3 Veces al día Archivos Digitales y Sitios 3 Veces a la Semana. Dicha información es replicada automáticamente en Discos Fijos de los mismos equipos e históricamente 1 día de atraso a la operación en dispositivos externos conectados permanentemente. Permitiendo tener historial de información con hasta 2 días de antigüedad en caso de las bases de datos. Un proceso adicional de respaldo se genera a bases de datos extremadamente criticas, las cuales son encriptados, comprimidas y enviadas a las oficinas centrales de la empresa y depositadas en directorios con acceso único por Sistemas donde solo conocen las contraseñas de encriptación el Director de Sistemas, este proceso es a petición del cliente no se hace de manera general. Página 10 de 11

11 Seguridad de Información El acceso a los datos contenidos en los equipos de computo dirigidos a clientes, solo podrán ser accesible atreves de las aplicaciones WEB diseñadas específicamente para ese efecto, los autorizados a ver dicha información son y serán únicamente aquellos que el mismo cliente autorice atreves de su portal, dando clave de acceso y contraseñas a su entera libertad, por lo tanto el cliente será el único responsable de los accesos que otorgue a sus datos, por lo cual es responsabilidad del cliente el generar contraseñas complejas que no sean deducibles o fáciles de identificar. Es responsabilidad única del cliente el proporcionar la confidencialidad de la información y en su caso así proporcionar los avisos de privacidad correspondientes a sus usuarios o clientes finales, ya que este es el único y exclusivo dueño de la información contenida en los equipos de cómputo. La empresa es responsable de proveer los sistemas de seguridad necesario para impedir en lo máximo posible el ingreso no autorizado a la información contenida en sus Equipos de computo, esto incluye, virus, firewalls, routers, bloqueo de puertos no utilice, inhabilitación de servicios remotos que no se usen. Página 11 de 11