MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018

1. Objetivos Generales

Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las

actividades para mantener y garantizar la integridad física de los recursos informáticos, así como
resguardar los activos de la empresa".

2. Alcance

Este manual de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de

vulnerabilidades en las dependencias de COMPLEJO INDUSTRIAL TIUNA C.A., por consiguiente
el alcance de estas políticas, se encuentra sujeto a la empresa.

3. Glosario de Términos

 Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de

una persona natural o jurídica que por lo general son generadores de renta o fuente de
beneficios, en el ambiente informático llámese activo a los bienes de información y
procesamiento, que posee la institución. Recurso del sistema de información o relacionado
con éste, necesario para que la organización funcione correctamente y alcance los
objetivos propuestos.

 Administración Remota: Forma de administrar los equipos informáticos o servicios de la

Universidad de Oriente, a través de terminales o equipos remotos, físicamente separados
de la institución.

 Amenaza: Es un evento que puede desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

 Archivo Log: Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota
los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de
conexión, terminales o IP´s involucradas en el proceso, etc.)

 Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

 Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa

que la información debe estar protegida de ser copiada por cualquiera que no esté
explícitamente autorizado por el propietario de dicha información.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018

 Cuenta: Mecanismo de identificación de un usuario, llámese de otra manera, al método de

acreditación o autenticación del usuario mediante procesos lógicos dentro de un sistema
informático.

 Desastre o Contingencia: interrupción de la capacidad de acceso a información y

procesamiento de la misma a través de computadoras necesarias para la operación normal
de un negocio.

 Disponibilidad: Los recursos de información sean accesibles, cuando estos sean

necesitados.

 Encriptación Es el proceso mediante el cual cierta información o "texto plano" es cifrado

de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para
su interpretación. Es una medida de seguridad utilizada para que al momento de
almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por
terceros.

 Integridad: Proteger la información de alteraciones no autorizadas por la organización.

 Impacto: consecuencia de la materialización de una amenaza.

 ISO:(Organización Internacional de Estándares) Institución mundialmente reconocida y

acreditada para normar en temas de estándares en una diversidad de áreas, aceptadas y
legalmente reconocidas.

 IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son
aceptados a nivel internacional.

 Normativa de Seguridad ISO/IEC 17799: (Código de buenas prácticas, para el manejo de

seguridad de la información) Estándar o norma internacional que vela por que se cumplan
los requisitos mínimos de seguridad, que propicien un nivel de seguridad aceptable y
acorde a los objetivos institucionales desarrollando buenas prácticas para la gestión de la
seguridad informática.

 Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por personal
ajeno a la institución.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
 Responsabilidad: En términos de seguridad, significa determinar que individuo en la
institución, es responsable directo de mantener seguros los activos de cómputo e
información.

 Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa,

académica y administrativa, sobre los procesos diarios que demanden información o
comunicación de la institución.

 SGSI: Sistema de Gestión de Seguridad de la Información

 Soporte Técnico: (Personal en Outsourcing) Personal designado o encargado de velar

por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina
dentro de la institución.

 Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un

Dominio o en toda la Organización.

 Usuario: Defínase a cualquier persona jurídica o natural, que utilice los servicios
informáticos de la red institucional y tenga una especie de vinculación académica o laboral
con la institución.

 Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un

activo.

4. Normas Básicas

4.1. Administración de la Red Tiuna

4.1.1 Los servicios de la Red Tiuna son de exclusivo uso laboral, y para gestiones
administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y
adecuada como política de seguridad.

Se propicia un entorno necesario para crear un SGSI, el cual tendrá entre sus funciones:

a) Velar por la seguridad de los activos informáticos.

b) Gestión y procesamiento de información.
c) Cumplimiento de políticas.
d) Aplicación de sanciones.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
e) Elaboración de planes de seguridad.
f) Capacitación de usuarios en temas de seguridad.
g) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o
solución, a problemas de seguridad dentro del Complejo Industrial Tiuna. El mismo
orientará y guiará a los empleados, la forma o métodos necesarios para salir avante
ante cualquier eventualidad que se presente.

4.1.2. El comité de seguridad estará integrado por los siguientes miembros:

i. Gerencia.
ii. Coordinador de TI.
iii. Administrador Red.

4.1.3. El administrador de sistemas es el encargado de mantener en buen estado los servidores

dentro de la red institucional.

4.1.4. Todo usuario de la red TIUNA, gozará de absoluta privacidad sobre su información, o la
información que provenga de sus acciones, salvo en casos, en que se vea involucrado en
actos ilícitos o contraproducentes para la seguridad de la red, sus servicios o cualquier otra
red ajena.

4.1.5. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos
mínimos de seguridad para acceder a este servicio y se acaten las disposiciones de
conectividad de la unidad de informática.

4.1.6. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las
políticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a
situaciones no programadas. Estas excepciones deberán ser solicitadas formalmente y
aprobadas por el comité de seguridad, con la documentación necesaria para el caso,
siendo la gerencia quien dé por sentada su aprobación final.

4.1.7. La persona o entidad responsable de los activos de cada gerencia, velará por la
salvaguarda de los activos físicos (hardware y medios magnéticos, aires acondicionados,
mobiliario.), activos de información (Bases de Datos, Archivos, Documentación de
sistemas, Procedimientos Operativos, configuraciones), activos de software (aplicaciones,
software de sistemas, herramientas y programas de desarrollo).
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
4.1.8. Los administradores de los sistemas son los responsables de la seguridad de la
información almacenada en esos recursos.

4.1.9. Se tomarán como base, los siguientes criterios, como niveles de importancia, para
clasificar la información:

a) Pública.
b) Interna.
c) Confidencial.

4.1.10. Se entregará al empleado, toda la documentación necesaria para ejercer sus labores
dentro de la institución, en el momento en que se dé por establecido su contrato laboral.

4.1.11. Cualquier petición de información, servicio o acción proveniente de un determinado usuario

o departamento, se deberá efectuar siguiendo los canales de gestión formalmente
establecidos por la institución, para realizar dicha acción; no dar seguimiento a esta política
implica:

a) Negar por completo la ejecución de la acción o servicio

b) Informe completo dirigido al departamento de TI.
c) Sanciones aplicables al administrador de red.

4.1.12. Se asignará un usuario de acceso a la red a todos los empleados administrativos del
complejo, siempre y cuando se encuentre registrado como contratado. Sin embargo será
restringido los permisos su uso en la red a los que este accederá.

4.1.13. Algunos usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet y
recursos compartidos de la red Tiuna, cualquier cambio sobre los servicios a los que estos
tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las
nuevas especificaciones.

4.2. Uso de correo electrónico

4.2.1 El servicio de correo electrónico, es un servicio garantizado, se debe hacer uso de él,
acatando todas las disposiciones e seguridad diseñadas para su utilización y evitar el uso
o introducción de software malicioso a la red Tiuna.

4.2.2 El correo electrónico es de uso exclusivo, y la contraseña debe ser única e intransferible.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018

4.2.3 Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal
de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del
sistema.

4.2.4 El usuario será responsable de la información que sea enviada con su cuenta.

4.3. Seguridad de acceso a terceros.

4.3.1. El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de
seguridad establecidos en el contrato de trabajo, para el servicio, el cual deberá estar
firmado por los departamentos involucrados en el mismo.

4.3.2. Todo usuario externo, estará limitado a utilizar única y exclusivamente al servicio que le
fue asignado, y acatar las responsabilidades que devengan de la utilización del mismo.

4.3.3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a
servicios por el personal interno del COMPLEJO INDUSTRIAL TIUNA I C.A.

4.4. Control de acceso a la Red Tiuna.

Unidad de Informática y afines a ella.

4.4.1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de
seguridad necesarios, y éste será permitido mediante un mecanismo de autenticación.

4.4.2. Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del
usuario o el equipo implicado en el proceso.

4.4.3. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso
a la red, será motivo de verificación y tendrá como resultado directo la realización de una
auditoria de seguridad.

4.4.4. El departamento de informática deberá emplear dispositivos de red para el bloqueo,

enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no
autorizada hacia la red interna o desde la red interna hacia el exterior.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
4.4.5. Los accesos a la red interna o local desde una red externa del COMPLEJO INDUSTRIAL
TIUNA I C.A o extranet, se harán mediante un mecanismo de autenticación seguro y el
tráfico entre ambas redes o sistemas será cifrado con una encriptación de 128 bit.

4.4.6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log,
de los dispositivos que provean estos accesos.

4.4.7. Se efectuara una revisión de Log de los dispositivos de acceso a la reden un tiempo
máximo de 48 horas

Control de acceso al sistema operativo

4.4.8. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema,
(cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.)
evitando que estas corran sus servicios con privilegios nocivos para la seguridad del
sistema.

Servidores

4.4.9. El acceso a la configuración del sistema operativo de los servidores, es únicamente

permitido al usuario administrador.

4.4.10. Los administradores de servicios, tendrán acceso único a los módulos de configuración
de las respectivas aplicaciones que tienen bajo su responsabilidad.

4.4.11. Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo
cuentas restrictivas, en ningún momento se obviaran situaciones de servicios corriendo
con cuentas administrativas, estos privilegios tendrán que ser eliminados o configurados
correctamente.

4.5. Control de acceso a las aplicaciones

4.5.1. Las aplicaciones deberán estar correctamente desarrolladas, con funciones de acceso
especificas a la red para cada usuario del entorno operativo de la aplicación, las
prestaciones de la aplicación.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
4.5.2. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al
nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis
en los derechos de escritura, lectura, modificación, ejecución o borrado de información.

4.5.3. Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma
aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el
objetivo de evitar redundancias en las salidas de información u otras anomalías.

4.5.4. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser
documentadas, y especificar la terminal por la que deberá ejecutarse exclusivamente la
salida de información.

4.5.5. Se deberá llevar un registro mediante Log de aplicaciones, sobre las actividades de los
usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos,
terminal desde donde conecta, entre otros, de manera que proporcionen información
relevante y revisable posteriormente.

4.6. Monitoreo del acceso y uso del sistema

4.6.1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas
de información y uso de la red, mediante archivos de Log o bitácoras de sistemas.

4.6.2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de

terminal, fecha y hora de acceso o utilización, actividad desarrollada, aplicación implicada
en el proceso, intentos de conexión fallidos o acertados, archivos a los que se tuvo
acceso, entre otros.

4.6.3. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia
otra terminal o servidor, evitando se guarde la copia localmente donde se produce.

4.7. Protección contra software malicioso

4.7.1. Se adquirirá y utilizará software únicamente de fuentes confiables.

4.7.2. En caso de ser necesaria la adquisición de software de fuentes no confiables, este se

adquirirá en código fuente.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
4.7.3. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado
correctamente software antivirus actualizable y activada la protección en tiempo real.

4.8. Mantenimiento

4.8.1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva

responsabilidad de la Gerencia de TI.

4.8.2. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y

verificable por el gestor de seguridad.
4.8.3. Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios
realizados desde su instalación.

4.9. Manejo y seguridad de medios de almacenamiento

4.9.1. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o

información de la institución, serán etiquetados de acuerdo a la información que
almacenan u objetivo que suponga su uso, detallando o haciendo alusión a su contenido.

4.9.2. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser
manipulados única y exclusivamente por el personal encargado de hacer los respaldos y
el personal encargado de su salvaguarda.

4.9.3. Todo medio de almacenamiento con información crítica será guardado bajo llave en una
caja especial a la cual tendrá acceso únicamente, el gestor de seguridad o la gerencia
administrativa, esta caja no debería ser removible, una segunda copia será resguardada
por un tercero, entidad financiera o afín.

4.9.4. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los

que se debe guardar información y su uso.

4.10. Seguridad de los equipos

4.10.1. El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables,
llámese a estos de corriente o energía eléctrica, para evitar interferencias.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
4.10.2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de
hardware, deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser
retirados sus medios de almacenamiento.

4.10.3. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas
aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el
gestor de seguridad y las personas responsables por esos activos, quienes deberán
poseer su debida identificación.

4.10.4. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de contar
con medios de almacenamientos extraíbles, que puedan facilitar el robo o manipulación
de la información por terceros o persona que no deba tener acceso a esta información.

4.10.5. En ningún momento se deberá dejar información sensible de robo, manipulación o

acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser
alcanzada por terceros o personas que no deban tener acceso a esta información.

4.10.6. La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas de
la unidad de informática o cualquier otra unidad, departamento o sala de recepción del
personal, mediante una división en la unidad de informática, recubierta de material
aislante o protegido contra el fuego, Esta sala deberá ser utilizada únicamente por la
Gerencia de TI

5. Responsables

Es responsabilidad del Gerente y Coordinador de TI, desarrollar, someter a revisión y

divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas
internas) de los Procedimientos de Seguridad. Asimismo, es responsabilidad del supervisor
inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.

6. Procedimientos

Responsable Acción

Gerente de TI Implementar las políticas de seguridad de la

información.
 MANUAL DE NORMAS Y PROCEDIMIENTOS

DEPENDENCIA: COMPLEJO INDUSTRIAL TIUNA I, C.A

OFICINA DE TECNOLOGIA DE LA INFORMACION Y LA PÁG.Nº: 1 DE: 9

COMUNICACIÓN
PROCEDIMIENTO: Nº 01
Políticas de Seguridad de la Información. VIGENCIA: 2018
 Concientizar al personal de la importancia
de la seguridad de la información.
 Garantiza la divulgación, el conocimiento y
la comprensión de las políticas de
seguridad de la información que se
implementan.
 Capacitar a los usuarios en las medidas y
procedimientos que se van a implementar.
 Lograr que el personal este consiente de
los roles a cumplir dentro de las políticas
de seguridad de la información.

Analista de TI Proceso de verificación de las Políticas de

Seguridad de la información.
 Revisiones periódicas de los indicadores
seleccionados.
 Revisiones de los riesgos.
 Realizar auditorías internas/externas de los
Sistemas de seguridad de la información
 Comunicar los resultados a la Gerencia.
(Fin del Procedimiento).