Guía de documentos que deben manejar los departamentos de informática

6 Replies

Manuales Inforksoleros Seguridad Informática
Guia-Auditoria-Inforksol

Hola inforksoleros, tal como me lo pidió ¨javiergv¨ en los comentarios del anterior post, acá les dejo una guía sobre todo lo necesario a tener en cuenta en Departamento de Informática y Comunicaciones.

Si leyeron el artículo anterior sobre algunos Consejos útiles para los informáticos en el sector empresarial ya saben que todas las guías que voy realizando las hago desde mi perspectiva como especialista de toda una empresa, o sea, llevo el control de la administración de redes, las radios comunicaciones, la logística del departamento, el papeleo, el control de mis unidades, etc.

No obstante, espero que esta guía les sirva en su formación como profesionales de esta especialidad. En resumen: TOMEN LO QUE SE AJUSTE A SU REALIDAD.

NOTA IMPORTANTE: Esta guía esta basada en todo el trabajo de un equipo de especialistas del departamento de Seguridad Informática del GET, hasta el momento me ha ayudado a salir de grandes aprietos ante las diferentes auditorias que se han presentado.

Sin más dilatación comencemos a ver que se necesita:

Respecto al plan de seguridad informática y contingencias

  1. El Plan está elaborado según el último formato propuesto por el órgano rector
  2. Está aprobado por el máximo dirigente de la entidad
  3. Se adapta a las condiciones de la instalación
  4. Tiene en cuenta los riesgos reales
  5. Existe el análisis de riesgos y vulnerabilidades
  6. Se definen las áreas vitales y sensibles
  7. Está definido el Especialista de seguridad informática
  8. Conoce el Especialista de Seguridad Informática sus funciones
  9. Existe el Código de Ética
  10. Existe Reglamento de uso de la Red
  11. Existe el Registro de Incidencias
  12. Existen los restantes registros que se definen en el Plan de Seguridad Informática

Respecto al contrato de trabajo de los trabajadores

  1. El contrato de trabajo incluye la obligación de la entidad en cuanto a la preparación del contratado, así como la responsabilidad del trabajador hacia la Seguridad Informática
  2. El contrato de trabajo incluye las medidas que pueden tomarse con un trabajador si se violan las medidas de seguridad informática
  3. Documento que exprese el conocimiento por parte del trabajador de sus derechos y deberes en relación a la seguridad informática

NOTA: en mi caso, cuando los trabajadores comienzan a trabajar en la empresa se les da un anexo donde esta estipulado todo lo necesario antes de trabajar con las tecnologías informáticas, el internet, etc.

Respecto a la seguridad física de las tecnologías informáticas (TI)

  1. Cuentan los locales con TI con puertas y ventanas sólidas
  2. Se indica el nivel de acceso en las áreas reservadas y sensibles
  3. Existen medios de protección para la protección física de las T.I.
  4. Están señalizados los tomacorrientes con el voltaje que suministran
  5. Las líneas de alimentación de las TI son independientes de la red común de la edificación (o al menos no alimentan equipos de fuerza o altos consumos)
  6. Existe sistema de tierra física
  7. Existe sistema de pararrayos
  8. Se protege el cableado de la red mediante canaletas o mangueras
  9. Existen equipos de detección de incendios
  10. Existen equipos de extinción de incendios en una ubicación cercana a los locales donde se encuentran las TI.
  11. Existe grupo electrógeno para asegurar el funcionamiento de los equipos en caso de fallos prolongados de la energía eléctrica
  12. Se cumplen las medidas establecidas para la protección de las áreas limitadas, restringidas y estratégicas según lo establecido

 Respecto a la seguridad y configuración de los servidores

  1. Los servidores están ubicados en un local independiente o se encuentran separados físicamente
  2. Se controla la entrada de personas ajenas al local de servidores
  3. Son apropiadas las condiciones de seguridad física
  4. Las condiciones ambientales (humedad, temperatura, protección contra el polvo) son satisfactorias de acuerdo a los requisitos establecidos por el fabricante
  5. Se establece la responsabilidad material del administrador de la red (o informático) por los servidores y equipos a él asignados.
  6. Se controla en forma detallada la configuración de hardware de los servidores
  7. Se sellan los servidores para evitar accesos no autorizados a su interior
  8. Se dispone de UPS para asegurar el funcionamiento ininterrumpido de los servidores
  9. Es adecuada la organización y orden del local de servidores
  10. La ubicación de los servidores garantiza que los mismos no sean desconectados accidentalmente
  11. Es satisfactoria la configuración de los servidores
  12. Es satisfactoria la forma en que se utilizan los servidores
  13. Es satisfactorio el nivel de actualización del sistema operativo de los servidores
  14. Es satisfactorio el nivel de protección antivirus de los servidores
  15. Existe contrato de mantenimiento de hardware
  16. Abarca el contrato de mantenimiento de hardware todos los servidores

Respecto a la protección de datos y soportes de información (servidores de ficheros o aplicaciones)

  1. Existen mecanismos de tolerancia a fallas de los subsistemas de discos de los servidores (discos espejos, RAID, etc.):
  2. Se aprueba el acceso a los recursos por el nivel administrativo correspondiente
  3. Se registra en forma escrita la autorización del acceso a los recursos por los usuarios
  4. Está definida la política de realización de salvas de los datos de los sistemas y aplicaciones
  5. Existen salvas externas de los sistemas y aplicaciones
  6. Existen salvas externas de los datos de los sistemas y aplicaciones según la política establecida
  7. Existen salvas externas de los registros (logs) de seguridad según lo establecido
  8. Existen dispositivos especializados para la salva externa de información
  9. Existe el aseguramiento para la realización de las copias de seguridad
  10. Se protegen los soportes removibles manteniéndolos dentro de sus estuches cuando no estén siendo utilizados
  11. Los soportes removibles son rotulados con la descripción de los datos que contiene
  12. Existen las condiciones apropiadas para el almacenamiento de los soportes externos
  13. Una de las copias de las salvas se almacena fuera de la Entidad (Res 127)
  14. Es satisfactoria la forma en que se comparten los recursos
  15. Son apropiados los permisos otorgados para el acceso a los recursos compartidos

Respecto a la seguridad y configuración de las estaciones de trabajo

  1. Las condiciones de seguridad física son adecuadas
  2. Se controla la entrada de personas ajenas a los locales en correspondencia a la información que se procesa
  3. Las condiciones ambientales (humedad, temperatura, protección contra el polvo) de acuerdo a los requisitos establecidos por el fabricante son satisfactorias
  4. Se establece la responsabilidad material del usuario por la estación de trabajo y equipos a él asignados
  5. Se controla en forma detallada la configuración de hardware de las estaciones de trabajo
  6. Se sellan las estaciones de trabajo para evitar accesos no autorizados a su interior
  7. Es satisfactoria la correspondencia del completamiento de las estaciones de trabajo (según muestra) en relación a su inventario registrado.
  8. El sistema de tierra física (de existir) protege las estaciones de trabajo
  9. Es satisfactorio el nivel de completamiento con UPS que eviten la pérdida de información en casos de interrupción del fluido eléctrico
  10. Su ubicación garantiza que las mismas no sean desconectadas accidentalmente
  11. Las estaciones de trabajo tienen activadas: contraseñas de Setup (donde es posible), Red (si existe red local), Protector de pantalla contraseña
  12. El nivel de actualización de las estaciones de trabajo con los service pack y actualizaciones de seguridad del sistema operativo y las aplicaciones es satisfactorio
  13. El nivel de actualización de la base de datos del antivirus instalado es satisfactorio
  14. El nivel de la protección antivirus en las estaciones de trabajo es satisfactorio
  15. Se ha instalado algún software para la detección o eliminación de programas espía en las ET
  16. El nivel de configuración de los clientes de correo instalados es satisfactorio
  17. El nivel de protección para el trabajo con macros del paquete de ofimática es satisfactorio
  18. La forma en que se comparten los recursos en la red es satisfactoria
  19. La configuración del navegador de Internet instalado es satisfactoria
  20. Existe contrato de mantenimiento de hardware, si la respuesta anterior fue positiva: ¿El contrato de mantenimiento abarca a todas las estaciones de trabajo?
  21. La configuración del sistema de ahorro de energía de las estaciones de trabajo es satisfactoria
  22. Las estaciones de trabajo se apagan centralizadamente:

Respecto a la autenticación de los usuarios

  1. Está previsto el reemplazo periódico (según PSI) de las contraseñas
  2. Existe una política de contraseñas de usuario robusta para acceder a la red o sus servicios
  3. Se utilizan cuentas genéricas, si la respuesta anterior fue positiva: ¿Se documenta la necesidad de las cuentas genéricas?
  4. Se establece el horario en el que los clientes de la red pueden utilizar los recursos de la misma
  5. Se puede utilizar la cuenta de usuario desde cualquier estación de trabajo de la red
  6. Existen herramientas adecuadas para forzar el establecimiento de una política adecuada en cuanto al uso de las contraseñas
  7. Se bloquean las cuentas ante intentos de autentificación infructuosos
  8. Existen usuarios con más de una cuenta (exceptuando los administradores de la red)
  9. Existen cuentas de usuarios de personas que ya no trabajan en la entidad
  10. Existe posibilidad real de obtener las cuentas de usuarios con sus contraseñas mediante el acceso al servidor, a las salvas del sistema y a la arquitectura

Respecto a la conexión a redes de alcance global (Internet)

  1. Está actualizada la licencia de Red
  2. Existe la carta del ministro del Turismo que autoriza la conexión
  3. Existe el Dictamen que certifica la seguridad para el acceso [en el caso de las recertificaciones]
  4. ¿Quien administra el router?
  5. Se establecen listas de acceso en el router
  6. Se separa la red interna de las redes externas, si la respuesta anterior fue positiva. La separación es física o lógica.
  7. Existe el listado de cargos con acceso pleno a Internet aprobados por el ministro
  8. Coinciden las cuentas configuradas para el servicio WWW con las autorizadas
  9. Existe el compromiso de los usuarios de utilización de los servicios autorizados de acuerdo a lo establecido
  10. Corresponden los cargos del personal con acceso pleno a Internet con los autorizados por el ministro
  11. Cuáles son los servicios de Internet autorizados en la red, por ejemplo: WWW, FTP, Mensajería electrónica, Mensajería instantánea (externa), Mensajería instantánea corporativa, otros.

Se utiliza un software o hardware especializado como cortafuego para la conexión a las redes externas:

  1. ¿Qué firewall es el que se utiliza, esta actualizado, tiene soporte?
  2. Se filtran en el firewall los servicios no brindados en la red
  3. El firewall utilizado brinda posibilidades para generar alertas en caso de intrusiones en la red
  4. Se utilizan las posibilidades del firewall para generar alertas en caso de intrusiones en la red
  5. Se utiliza servidor proxy para el acceso a los servicios de redes de acceso global (WWW, FTP y mensajería)
  6. Que servidor proxy se utiliza
  7. El proxy utilizado brinda posibilidades para el filtrado de contenido o acceso a URL seleccionadas
  8. Se utilizan las posibilidades del proxy para el filtrado de contenido o acceso a URL seleccionadas:
  9. Se reservan direcciones IP para los equipos de los usuarios con acceso pleno a redes de acceso global
  10. ¿Se autentifican los usuarios para acceder al servicio?
  11. ¿Qué autenticación es la utilizada: Usuario y contraseña o la integrada de Windows
  12. Se controla el nivel de acceso (pleno o limitado):
  13. Los usuarios pueden acceder al servicio desde cualquier estación de trabajo:
  14. Se cuenta con trazas de navegación:
  15. Se dispone de herramientas para el chequeo de las trazas de navegación:
  16. Existe registro del chequeo de las trazas de navegación:
  17. Existe contrato de monitoreo de la red
  18. ¿Se venden servicios de Internet? Si la respuesta anterior fue positiva diga si se tiene la autorización de Enet para la venta de los servicios.
  19. ¿Se separa la red de clientes de la red administrativa? Si la respuesta anterior fue positiva diga si la separación es física o lógica.
  20. Se utiliza algún software especial para el control del servicio de Internet a los clientes, por ejemplo, en un Cybercafé.
  21. ¿Se publican servicios Web?, si la respuesta anterior es positiva tiene que tener en cuenta por quien es hospedado, quien lo administra y cual es el contenido publicado.

Respecto al servicio de correo electrónico

  1. Las cuentas de usuarios están debidamente autorizadas:
  2. Existe el compromiso de utilización del correo electrónico según lo establecido
  3. Están actualizadas las definiciones de virus
  4. Están activadas las medidas antispam
  5. Se controla el alcance del correo (Nacional o Internacional)
  6. Coinciden las cuentas activas con el listado de cuentas autorizadas:
  7. Se cuenta con logs del servicio de correo:
  8. Se dispone de herramientas para el chequeo de los logs del servicio de correo:
  9. Existe registro del chequeo de los logs del servicio de correo:
  10. Existen accesos de usuarios a cuentas de correo en servidores extranjeros, si la respuesta es sí diga si usted se documenta la autorización para esos accesos:

Respecto al servicio de mensajería instantánea

  1. Se utiliza un servicio de mensajería instantánea corporativa
  2. ¿El servidor de mensajería instantánea corporativa se encuentra enlazado a otros servidores dentro de mismo ministerio o entidad?
  3. ¿El servidor de mensajería instantánea corporativa se encuentra enlazado a otros servidores ajenas al ministerio o entidad
  4. Existen accesos de usuarios a servidores de mensajería instantánea, si la respuesta anterior fue positiva: Se documenta la autorización para esos accesos

Respecto a los accesos conmutados

  1. Existen usuarios configurados para acceder a los servicios de la red a través de enlaces conmutados.
  2. Existe la autorización del ministro para los enlaces conmutados
  3. Se cumplen los requerimientos de la Res. 127 del MIC para los enlaces conmutados

Respecto a las transmisiones inalámbricas

  1. Se dispone de la licencia para la operación de la red
  2. Está actualizada la licencia para la operación de la red

Respecto a las auditorias

  1. Están definidos los eventos que serán objeto de seguimiento (en el PSI):
  2. Se encuentran habilitadas las capacidades de auditoría de la red (según PSI):
  3. Existe registro del monitoreo de la seguridad
  4. Se registran y se toman acciones correctivas ante la detección de violaciones de la seguridad
  5. Si ha tenido lugar algún suceso violación de la seguridad diga si se creó una comisión para la investigación del incidente y si reportó el incidente a la OSRI.

Respecto a la información clasificada

  1. Existe el Acta de Obligación de los usuarios que los compromete al manejo adecuado y la no divulgación de la información clasificada que conozcan
  2. Los soportes removibles son rotulados con la descripción de los datos que contiene y la clasificación de la información de más alto valor contenida en los mismos

Y hasta aquí chicos todo lo necesario a tener en cuenta para sus departamentos de informática, recuerden atemperarlos a sus necesidades dado que en todas las entidades no se manejan igual los documentos.

Recuerden como siempre compartir, el artículo, permite que crezca la comunidad y que otros puedan adquirir conocimientos.

Si tienes telegram búscanos ahí subimos informaciones, programas y damos soporte:

También estamos en las plataformas sociales como:

Compartir esto:

6 comments

    1. apoklipsix Post author

      191/5000
      It’s simple, these are the things that all sysadmin must have as documentation in their computer department. As established by Cuban resolutions in the treatment of ICT

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *