Guía de documentos que deben manejar los departamentos de informática

Download PDF

Esta lista fue tomada desde el blog Inforksol y adaptada a la realidad (tanto legal como de costumbre) de Venezuela y literalmente copio la recomendación original:

TOMEN LO QUE SE AJUSTE A SU REALIDAD.

Nuestro granito de arena es que le colocamos casillas de verificación para que ustedes mismos marquen lo que tienen listo en su propia red de área local para luego revisar lo que les falta agregar. Si les resulta útil hagan clic en el botón de Twitter e incluso por esa red social hagan su propuesta de mejora, nuestra cuenta es @ks7000 .

Tabla de contenido:

Hardware

Respecto a la seguridad física de las tecnologías informáticas (TI)

  • Cuentan los locales con TI con puertas y ventanas sólidas.
  • Se indica el nivel de acceso en las áreas reservadas y sensibles.
  • Existen medios de protección para la protección física de las T.I.
  • Están señalizados los tomacorrientes con el voltaje que suministran.
  • Las líneas de alimentación de las TI son independientes de la red común de la edificación (o al menos no alimentan equipos de fuerza o altos consumos)
  • Existe sistema de tierra física.
  • Existe sistema de pararrayos.
  • Se protege el cableado de la red mediante canaletas o mangueras.
  • Existen equipos de detección de incendios.
  • Existen equipos de extinción de incendios en una ubicación cercana a los locales donde se encuentran las T.I.
  • Existe grupo electrógeno para asegurar el funcionamiento de los equipos en caso de fallos prolongados de la energía eléctrica.
  • Se cumplen las medidas establecidas para la protección de las áreas limitadas, restringidas y estratégicas según lo establecido.

Respecto a la seguridad y configuración de los servidores

 

  • Los servidores están ubicados en un local independiente o se encuentran separados físicamente.
  • Se controla la entrada de personas ajenas al local de servidores.
  • Son apropiadas las condiciones de seguridad física.
  • Las condiciones ambientales (humedad, temperatura, protección contra el polvo) son satisfactorias de acuerdo a los requisitos establecidos por el fabricante.
  • Se establece la responsabilidad material del administrador de la red (o informático) por los servidores y equipos a él asignados.
  • Se controla en forma detallada la configuración de hardware de los servidores.
  • Se sellan los servidores para evitar accesos no autorizados a su interior.
  • Se dispone de SAI para asegurar el funcionamiento ininterrumpido de los servidores.
  • Es adecuada la organización y orden del local de servidores.
  • La ubicación de los servidores garantiza que los mismos no sean desconectados accidentalmente.
  • Es satisfactoria la configuración de los servidores.
  • Es satisfactoria la forma en que se utilizan los servidores.
  • Es satisfactorio el nivel de actualización del sistema operativo de los servidores.
  • Es satisfactorio el nivel de protección antivirus de los servidores.
  • Existe contrato de mantenimiento de hardware.
  • Abarca el contrato de mantenimiento de hardware todos los servidores.

Respecto a la seguridad y configuración de las estaciones de trabajo

  • Las condiciones de seguridad física son adecuadas.
  • Se controla la entrada de personas ajenas a los locales en correspondencia a la información que se procesa.
  • Las condiciones ambientales (humedad, temperatura, protección contra el polvo) de acuerdo a los requisitos establecidos por el fabricante son satisfactorias.
  • Se establece la responsabilidad material del usuario por la estación de trabajo y equipos a él asignados.
  • Se controla en forma detallada la configuración de hardware de las estaciones de trabajo.
  • Se sellan las estaciones de trabajo para evitar accesos no autorizados a su interior.
  • Es satisfactoria la correspondencia del completamiento de las estaciones de trabajo (según muestra) en relación a su inventario registrado.
  • El sistema de tierra física (de existir) protege las estaciones de trabajo.
  • Es satisfactorio el nivel de completamiento con UPS que eviten la pérdida de información en casos de interrupción del fluido eléctrico.
  • Su ubicación garantiza que las mismas no sean desconectadas accidentalmente.
  • Las estaciones de trabajo tienen activadas: contraseñas de Setup (donde es posible), Red (si existe red local), Protector de pantalla contraseña.
  • El nivel de actualización de las estaciones de trabajo con los service pack y actualizaciones de seguridad del sistema operativo y las aplicaciones es satisfactorio.
  • El nivel de actualización de la base de datos del antivirus instalado es satisfactorio.
  • El nivel de la protección antivirus en las estaciones de trabajo es satisfactorio.
  • Se ha instalado algún software para la detección o eliminación de programas espía en las ET.
  • El nivel de configuración de los clientes de correo instalados es satisfactorio.
  • El nivel de protección para el trabajo con macros del paquete de ofimática es satisfactorio.
  • La forma en que se comparten los recursos en la red es satisfactoria.
  • La configuración del navegador de Internet instalado es satisfactoria.
  • Existe contrato de mantenimiento de hardware, si la respuesta anterior fue positiva: ¿El contrato de mantenimiento abarca a todas las estaciones de trabajo?
  • La configuración del sistema de ahorro de energía de las estaciones de trabajo es satisfactoria.
  • Las estaciones de trabajo se apagan centralizadamente.

Se utiliza un hardware especializado como cortafuego para la conexión a las redes externas:

  • ¿Qué firewall es el que se utiliza, esta actualizado, tiene soporte?
  • Se filtran en el firewall los servicios no brindados en la red
  • El firewall utilizado brinda posibilidades para generar alertas en caso de intrusiones en la red
  • Se utilizan las posibilidades del firewall para generar alertas en caso de intrusiones en la red

Respecto a la conexión a redes de alcance global (Internet)

  • ¿Quien administra el router?
  • Se establecen listas de acceso en el router
  • Se separa la red interna de las redes externas, si la respuesta anterior fue positiva. La separación es física o lógica.
  • Existe el listado de cargos con acceso pleno a Internet
  • Existe el compromiso de los usuarios de utilización de los servicios autorizados de acuerdo a lo establecido
  • Cuáles son los servicios de Internet autorizados en la red ( por ejemplo: WWW, FTP, Mensajería electrónica, Mensajería instantánea externa, Mensajería instantánea corporativa, otros.

Software

Respecto a la protección de datos y soportes de información (servidores de ficheros o aplicaciones)

  • Existen mecanismos de tolerancia a fallas de los subsistemas de discos de los servidores (discos espejos, RAID, etc.):
  • Se aprueba el acceso a los recursos por el nivel administrativo correspondiente
  • Se registra en forma escrita la autorización del acceso a los recursos por los usuarios
  • Está definida la política de realización de salvas de los datos de los sistemas y aplicaciones
  • Existen salvas externas de los sistemas y aplicaciones
  • Existen salvas externas de los datos de los sistemas y aplicaciones según la política establecida
  • Existen salvas externas de los registros (logs) de seguridad según lo establecido
  • Existen dispositivos especializados para la salva externa de información
  • Existe el aseguramiento para la realización de las copias de seguridad
  • Se protegen los soportes removibles manteniéndolos dentro de sus estuches cuando no estén siendo utilizados
  • Los soportes removibles son rotulados con la descripción de los datos que contiene
  • Existen las condiciones apropiadas para el almacenamiento de los soportes externos
  • Una de las copias de las salvas se almacena fuera de la Entidad (Res 127)
  • Es satisfactoria la forma en que se comparten los recursos
  • Son apropiados los permisos otorgados para el acceso a los recursos compartidos
Por favor, lea también   Módulo de plataforma de confianza

Personal

Respecto al plan de seguridad informática y contingencias

  • El Plan está elaborado según el último formato propuesto por el órgano rector
  • Está aprobado por el máximo dirigente de la entidad
  • Se adapta a las condiciones de la instalación
  • Tiene en cuenta los riesgos reales
  • Existe el análisis de riesgos y vulnerabilidades
  • Se definen las áreas vitales y sensibles
  • Está definido el Especialista de seguridad informática
  • Conoce el Especialista de Seguridad Informática sus funciones
  • Existe el Código de Ética
  • Existe Reglamento de uso de la Red
  • Existe el Registro de Incidencias
  • Existen los restantes registros que se definen en el Plan de Seguridad Informática

Respecto al contrato de trabajo de los trabajadores

  • El contrato de trabajo incluye la obligación de la entidad en cuanto a la preparación del contratado, así como la responsabilidad del trabajador hacia la Seguridad Informática
  • El contrato de trabajo incluye las medidas que pueden tomarse con un trabajador si se violan las medidas de seguridad informática
  • Documento que exprese el conocimiento por parte del trabajador de sus derechos y deberes en relación a la seguridad informática
  • Se le entregó a cada empleado o empleada un anexo donde está estipulado todo lo necesario antes de trabajar con las tecnologías informáticas, el internet, etc.

Respecto a la autenticación de los usuarios

  • Está previsto el reemplazo periódico (según PSI) de las contraseñas
  • Existe una política de contraseñas de usuario robusta para acceder a la red o sus servicios
  • Se utilizan cuentas genéricas, si la respuesta anterior fue positiva: ¿Se documenta la necesidad de las cuentas genéricas?
  • Se establece el horario en el que los clientes de la red pueden utilizar los recursos de la misma
  • Se puede utilizar la cuenta de usuario desde cualquier estación de trabajo de la red
  • Existen herramientas adecuadas para forzar el establecimiento de una política adecuada en cuanto al uso de las contraseñas
  • Se bloquean las cuentas ante intentos de autentificación infructuosos
  • Existen usuarios con más de una cuenta (exceptuando los administradores de la red)
  • Existen cuentas de usuarios de personas que ya no trabajan en la entidad
  • Existe posibilidad real de obtener las cuentas de usuarios con sus contraseñas mediante el acceso al servidor, a las salvas del sistema y a la arquitectura

Respecto al servicio de correo electrónico

  • Las cuentas de usuarios están debidamente autorizadas
  • Existe el compromiso de utilización del correo electrónico según lo establecido
  • Están actualizadas las definiciones de virus
  • Están activadas las medidas antispam
  • Coinciden las cuentas activas con el listado de cuentas autorizadas:
  • Se cuenta con logs del servicio de correo:
  • Se dispone de herramientas para el chequeo de los logs del servicio de correo:
  • Existe registro del chequeo de los logs del servicio de correo:

Respecto al servicio de mensajería instantánea

  • Se utiliza un servicio de mensajería instantánea corporativa
  • ¿El servidor de mensajería instantánea corporativa se encuentra enlazado a otros servidores dentro de mismo ministerio o entidad?
  • ¿El servidor de mensajería instantánea corporativa se encuentra enlazado a otros servidores ajenas al ministerio o entidad
  • Existen accesos de usuarios a servidores de mensajería instantánea, si la respuesta anterior fue positiva: Se documenta la autorización para esos accesos

Respecto a la información clasificada

 

  • Existe el Acta de Obligación de los usuarios que los compromete al manejo adecuado y la no divulgación de la información clasificada que conozcan
  • Los soportes removibles son rotulados con la descripción de los datos que contiene y la clasificación de la información de más alto valor contenida en los mismos

Evaluaciones

Revisiones

TítuloEnlace
Linkedinhttps://www.linkedin.com/
Linkedin Pandora FMS grouphttps://www.linkedin.com/groups/2720642/
IT Central Stationhttps://www.itcentralstation.com/lp/vendor_invite?product_id=pandora-fms
Capterrahttps://www.capterra.com/p/151020/Pandora-FMS/
TítuloEnlace

IT Central Station

QuestionAnswer
How likely are you to recommend it to a colleague?Eight stars
For how long have you been using this solution?Less than one year
What is your primary use case of this solution? (include details about your environment).I use the Recon Server for our LAN and check periodically how much advanced cellphones are attached to our Wi-Fi (only for statistics purposes, no security job). For check, statistics too, our FTP server (transfer file sizes, total completed downloads) and control its logs files.
Please share how Pandora FMS has improved your organization. If it didn't, please explain why.With Pandora FMS we are venturing into free software and as we do not have a monitoring tool as there is no migration process. Our hope is that as the rest of our applications are migrated we will monitor more aspects of our network and therefore of all our work.
Which features have you found most valuable, and why?Easy installation: Pandora FMS offers a file in ISO format (CentOS) ready to use with VirtualBox. That allowed us to make many tests before deploying on a real machine. It is also remarkable the amount of supplements for our future migrations.
In what areas could the product or service be improved?
What additional features should be included in the next release?
We are constantly evolving and we want to try other monitoring tools, it would be desirable to offer compatibility or at least the ability to export values in standard formats in order to save work in future tests of other products. We are aware that this proposal is uncomfortable, in general, to all software developers.
What is your work email address?
Disclosure:I am a real user, and this review is based on my own experience and opinions.
What are your impressions of the scalability of this solution?I am aware that the application is ready for thousands of devices and I have only tested it in a few tens. The growth in our company is unlikely. Given the case, a merger with another larger company because we will have everything ready to take on the load.
What are your impressions of the stability of this solution?CentOS and Ubuntu are very stables, in first place. A few times we need restart service; solid stable for me.
What is your ROI?I use the community version.
Was the initial setup straightforward or complex and in what ways?Very easy installation, i have not complain, without problems.
Did you implement through a vendor team or an in-house one?In-house.
Tell us about your experience with customer service/technical support.Most all is explained at forums.
QuestionAnswer
Download PDF