Políticas de Seguridad Informática ITLA

Saira Isaac Hernández Soporte de Seguridad Informática

Sisaac@itla.edu.do

Ext. 228

El ITLA depende críticamente de la información y los sistemas de información. Si información importante fuese entregada a las personas inapropiadas, la Institución y sus clientes podrían sufrir serias pérdidas. La buena reputación del ITLA está relacionada directamente a la forma en que la institución maneja tanto la información como los sistemas de información disponibles.

1.1 Rol de la Información y los Sistemas de Información

Para ser efectiva, la seguridad de la información debe ser un esfuerzo de equipo envolviendo la participación y el soporte a cada empleado del ITLA que trate con información (de cualquier tipo) y con los sistemas de información.

1.2 Esfuerzo en Equipo

Cada empleado del ITLA debe cumplir con las políticas de seguridad de la información encontradas en este y cualquier otro documento relacionado a la seguridad de la información. Los empleados que deliberadamente violen ésta u otras declaraciones de políticas de seguridad de la información estarán sujetos a acciones disciplinarias.

1.3 Personas Involucradas

Esta política aplica a todas las computadoras y redes de información en posesión o bajo la administración del ITLA. Estas políticas aplican para todos los sistemas operativos, tipos de computadoras y sistemas de aplicaciones. Las políticas cubren sólo la información manejada a través de computadoras y redes, en sentido general.

1.4 Sistemas Involucrados

Para coordinar un esfuerzo en equipo, el ITLA ha establecido tres categorías, de las cuales al menos una deberá aplicar a cada empleado de la Institución. Estas categorías son Propietario, Custodio y Usuario, las cuales definen las responsabilidades generales con respecto a la seguridad de la información.

1.5 Categorías de Responsabilidad

Los Propietarios de información son aquellos responsables de departamento, miembros del equipo ejecutivo, o sus delegados en el ITLA, quienes se hacen responsables por la adquisición, desarrollo y mantenimiento de aplicaciones de producción que procesen la información de la institución. Para cada tipo de información, los Propietarios designarán la clasificación de sensibilidad relevante, designarán el apropiado nivel de criticidad, definirán a cuales usuarios se les dará acceso y aprobarán los pedidos para las diferentes formas en que la información será utilizada

1.5.1 Responsabilidad del Propietario

Los Custodios son quienes están en posesión física o lógica de cualquier información del ITLA o información que haya sido confiada al ITLA. Mientras que los miembros del Departamento de TIC son claramente Custodios, los administradores del sistema local también son Custodios. Cada tipo de aplicación de producción en sistemas de información tiene que tener designado uno o más Custodios responsables de salvaguardar la información, incluyendo la implementación de sistemas de control de acceso para prevenir la divulgación inapropiada de información, a la vez que hacen backups para que la información crítica no sea perdida.

1.5.2 Responsabilidad del Custodio

Los usuarios son responsables de familiarizarse y cumplir con todas las políticas, procedimientos y estándares del ITLA que traten con la seguridad de la información. Las preguntas sobre el apropiado manejo de un tipo específico de información deben ser dirigidas ya sea al Custodio o al Propietario de la información involucrada.

1.5.3 Responsabilidades del Usuario

La información del ITLA, y la información que ha sido confiada al ITLA, tienen que ser protegidas en una manera conmensurada con su sensibilidad y criticidad. Las medidas de seguridad tienen que ser empleadas sin importar el medio digital en el cual la información esté almacenada, los sistemas que la procesen, o los métodos por los cuales ésta ha sido movida o modificada.

1.6 Manejo Consistente de la Información

El ITLA ha adoptado un sistema de clasificación que categoriza la información dentro de cuatro agrupaciones. Toda información bajo el control de ITLA, ya sea generada internamente o externamente, cae dentro de una de estas categorías: Secreta, Confidencial, Uso Interno, o Pública. Para propósitos de las políticas, “información sensible” es la información que cae en las categorías de Secreta y Confidencial.

1.7 Designaciones de Clasificación de los Datos

Si la información es sensible, desde el momento en fue creada hasta el momento que es destruida o desclasificada, tiene que ser etiquetada con una designación apropiada de clasificación de los datos. Esta marca debe aparecer en todas las manifestaciones de la información. La gran mayoría de la Información del ITLA cae en la categoría de información Pública, por tal razón no es necesario aplicar una etiqueta a la información Pública.

1.8 Etiquetado de Clasificación de los Datos

El acceso a la información en posesión, o bajo el control del ITLA tiene que ser provisto basado en la necesidad de saber. La información tiene que ser divulgada sólo a personas que tengan una necesidad legítima de negocio o interés adecuado y sustentable en la información. Al mismo tiempo, los empleados no pueden negar el acceso a la información cuando el Propietario de la información instruye que sea compartida.

1.9 Necesidad de Saber

1.10 ID de Usuarios y Contraseñas Para implementar el proceso de necesidad-de-saber, el ITLA requiere que cada empleado que acceda a sistemas de información de múltiples usuarios tenga un único ID de usuario y una contraseña privada. Estos ID de usuario tienen que ser aplicados para restringir privilegios a los sistemas basado en los puestos de trabajo, responsabilidades de proyectos y otras actividades de trabajo en la institución. Cada empleado es personalmente responsable por el uso de su ID de usuario y contraseña, y por cualquier inconveniente que surja a partir del mismo.

Los usuarios tienen prohibido iniciar sesión en un sistema o red del ITLA de manera anónima. Acceso anónimo puede, por ejemplo, involucrar el uso de un ID de usuario “guest” o “invitado”. Cuando los usuarios utilicen sistemas de comandos que les permitan cambiar su ID de usuario activo para ganar ciertos privilegios, tiene que inicialmente haber iniciado sesión empleando un ID de Usuario que claramente indique su identidad.

1.11 ID de Usuarios Anónimos

Los usuarios tienen que elegir una contraseña que sea difícil de adivinar. Esto significa que las contraseñas no pueden ser relacionadas con las labores que desempeñan o con su vida personal, ya que resultan fácilmente deducibles por personas que deseen apropiarse de un usuario que no les pertenezca. Esto también incluye palabras encontradas en un diccionario o alguna otra forma oral de uso común en el vocabulario habitual.

1.12 Contraseñas Difíciles de Adivinar

Los usuarios pueden elegir contraseñas fáciles de recordar que sean al mismo tiempo difíciles de adivinar para un tercero si: • Combinan varias palabras con números y signos. • Cambian una letra con la que esté ubicada arriba, abajo, o

a los lados en el teclado. • Transforman palabras con distintos métodos, ya sea

cambiando la letra por el número de posición en la que se encuentra.

• Combinan signos de puntuación y números con una palabra.

• Crean acrónimos, utilizan las palabras de una canción o de un poema, o cualquier otra secuencia de palabras.

• Deliberadamente escriben una palabra mal. • Combinan diferentes preferencias, como el color favorito

con el helado que más le gusta.

1.13 Contraseñas Fáciles de recordar

Los usuarios no deben construir contraseñas con una secuencia básica de caracteres que sea cambiada parcialmente cada vez que sea necesaria una nueva contraseña, o usando contraseñas idénticas o similares a anteriores utilizadas en el pasado no inmediato.

1.14 Patrones de Contraseñas Repetidas

Las contraseñas tienen que tener mínimo 8 caracteres de largo. Las contraseñas tienen y deben ser cambiadas por lo menos cada 3 meses. Siempre que un empleado sospeche que su contraseña se ha dado a conocer a otra persona, esa contraseña tiene que ser inmediatamente cambiada.

1.15 Restricción de Contraseñas

Las contraseñas no pueden ser almacenadas de forma legible donde personas no-autorizadas puedan tener acceso a las mismas, ya sea en la computadora personal del usuario, en su escritorio de trabajo, en archivos de texto, papeles o documentos, u otro medio físico o electrónico fácilmente obtenible por parte de terceros.

1.16 Almacén de Contraseñas

Aunque los ID de usuarios pueden ser compartidos para la comunicación por correo electrónico y otros propósitos, las contraseñas nunca pueden ser compartidas o reveladas a otros. Ni los administradores de sistemas ni el Personal de Soporte Técnico deben de preguntarle a un empleado su contraseña personal. El único momento cuando una contraseña tiene que ser conocida por otro es cuando la misma es entregada. Estas contraseñas temporales deben ser cambiadas al momento que el usuario autorizado accede al sistema por primera vez.

1.17 Compartir Contraseñas

Todos los empleados que deseen usar los sistemas de computación de múltiples usuarios deben firmar una declaración de cumplimiento antes de recibir su ID de usuario. La firma de este documento de declaración de cumplimiento indica que el usuario involucrado entiende y acepta las políticas y procedimientos relacionados a computadoras y redes de datos del ITLA, incluyendo las instrucciones contenidas en esta política.

1.18 Declaración de Cumplimientos

No obstante la norma en el ITLA es que la información sea pública, toda información que sea considerada lo contrario, según los parámetros establecidos en las presentes políticas, debe ser protegida de divulgación a terceros, a quienes se les podría ceder acceso a la información interna no pública sólo cuando exista una necesidad de saber. Si la información sensible es perdida, divulgada sin autorización a otros, o se sospecha que esto haya sucedido, su Propietario y el Departamento de Seguridad Informática deberán ser notificados inmediatamente.

1.19 Entrega de Información a Terceros

Al menos que un empleado haya sido autorizado por el Propietario de la información a hacer una divulgación pública, todas las solicitudes de obtención de información interna no pública del ITLA deben ser canalizadas a través de la Oficina de Acceso a la Información (OAI), siguiendo los procedimientos específicos establecidos por dicha Oficina para estos fines.

1.20 Solicitud de Información del ITLA por terceros

El acceso a toda oficina, cuarto de computadoras, y cualquier otra área de trabajo del ITLA que contenga información sensible tiene que ser físicamente restringida a las personas sin necesidad de saber. Cuando la información sensible no esté en uso debe ser protegida de divulgación no-autorizada. Cuando la información sensible en papel sea dejada en un entorno sin vigilancia, la misma tiene que estar bajo llave en un contenedor apropiado.

1.21 Seguridad Física para el Control de Acceso a la Información

Todas las computadoras del ITLA que almacenen información sensible y que están permanentemente o intermitentemente conectadas a las redes internas de la institución, tienen que tener sistemas de control de acceso basados en contraseña aprobadas por el Departamento de Seguridad Informática. Aparte de las conexiones de red, toda computadora autónoma que maneje información sensible tiene que también emplear sistemas de control de acceso basados en contraseña.

1.22 Conexiones de Redes Internas

Todas las sesiones de conexión hacia el ITLA provenientes de fuera tienen que ser protegidas con un sistema de control de acceso de contraseñas dinámicas aprobado por el Departamento de Seguridad Informática.

1.23 Conexiones de Redes Externas

Con la excepción de situaciones de emergencia, todos los cambios a las redes de datos del ITLA deben ser debidamente documentados en una solicitud de orden de trabajo, y aprobados con anterioridad por el Departamento de Tecnologías de la Información y Comunicación (TIC). Todos los cambios de emergencia al ITLA tienen que ser realizados únicamente por personas que hayan sido autorizadas por el Departamento de Tecnología de la Información y Comunicación (TIC).

1.24 Cambios en las Red

A discreción de la Rectoría, algunos empleados calificados pueden realizar parte de su trabajo desde o en sus hogares. El permiso para teletrabajos debe ser concedido por el supervisor inmediato de cada empleado. El chequeo periódico del correo electrónico mientras se esté en el camino o desde el hogar no es considerado teletrabajo

1.25 Teletrabajo

Los empleados son provistos con acceso a Internet para realizar sus funciones, pero este acceso puede serles removido en cualquier momento a discreción del supervisor del empleado. El acceso a Internet es monitoreado para asegurar que los empleados no estén visitando sitios no relacionados con su trabajo, además de asegurar que los mismos continúen estando en cumplimiento de las políticas de seguridad.

1.26 Acceso al Internet

A todo empleado del ITLA que utilice una computadora en el curso de su labor de trabajo se le concederá una dirección de correo electrónico y privilegios relacionados. Todas las comunicaciones de trabajo del ITLA enviadas por correo electrónico tienen que ser enviadas y recibidas usando exclusivamente este correo electrónico. Todas las comunicaciones de trabajo y profesionales remitidas a través de correo electrónico deben ser debidamente corregidas antes de ser enviadas en tono y apariencia. Adicionalmente, todo el Staff del ITLA deberá emplear una firma estándar de correo electrónico que incluya su nombre completo, su puesto, la dirección de la institución y su número de teléfono de la institución con su respectiva extensión

1.27 Correo Electrónico

Todos los usuarios con computadoras portátiles no-institucionales están obligados a mantenerlas protegidas con antivirus de versiones recomendadas por el Departamento de Seguridad Informática. Los usuarios no deben abortar los procesos automáticos de actualización de la firma de antivirus. Los antivirus tienen que ser usados para escanear todos los datos y programas provenientes de un tercero. Los empleados no pueden dejar pasar, cancelar o apagar el proceso de escaneo que previene el ataque de virus de computadoras.

1.28 Escaneo del Virus de Computadora

Si algún empleado sospecha de una infección por un virus de computadora, éste debe inmediatamente detener el uso del equipo y llamar al Personal de Soporte Técnico. Cualquier medio de almacenamiento que haya sido utilizado al momento de la presunta infección o posteriormente a la misma no podrá ser usado con otra computadora hasta que el virus sea completamente erradicado del disco duro.

1.29 Erradicación del Virus de Computadora

Las computadoras y redes del ITLA no pueden correr programas que provengan de fuentes diferentes al Departamento de Tecnologías de la Información y Comunicación (TIC), al menos que sea autorizado de manera diferente por la Rectoría.

1.30 Fuente de los Programas

Todo programa desarrollado por el equipo interno, dirigido a procesar información crítica o sensible del ITLA, debe tener documentaciones formalmente escritas. Estas documentaciones tienen que incluir discusiones sobre riesgos de seguridad y controles, incluyendo sistemas de control de acceso y planes de contingencia.

1.31 Documentaciones Escritas por Propietarios

Antes de ser usados en proceso de producción, los sistemas de aplicación nuevos o substancialmente cambiados tienen que recibir una aprobación por escrito del Departamento de Seguridad Informática, para que los controles necesarios sean empleados. Este requerimiento aplica para computadoras personales tanto como a los sistemas más grandes.

1.32 Aprobación de Nuevos Sistemas

Todas las computadoras y sistemas de comunicación usados en producción tienen que emplear una documentación del proceso controlado de cambios que es usado para asegurar que solo cambios autorizados son realizados. Este procedimiento de control de cambios tiene que ser usado para cualquier cambio significativo que se realice en los sistemas de producción, programas, máquinas, redes y procedimientos.

1.33 Control de Cambios Formales

El Departamento de Tecnologías de la Información y Comunicación (TIC) en conjunto con el departamento que lo requiera, deben de formalizar los contratos correspondientes con los proveedores de software para las licencias adicionales que sean necesarias para la actividad de la institución. Todo software debe ser adquirido a través del Departamento de Compras, siguiendo los procedimientos establecidos por el mismo para estos fines.

1.34 Licencias Adecuadas

Los usuarios de la institución no pueden copiar los programas provistos por el ITLA en ningún medio de almacenamiento, transferirlos a otras computadoras o equipos, o facilitar estos programas a terceros sin la previa autorización de su gerente. Los respaldos (backups) ordinarios son una excepción a esta política.

1.35 Copias Sin Autorización

Los usuarios de computadoras personales tienen que regularmente respaldar la información de sus computadoras personales, o asegurarse que alguien más lo está haciendo por ellos. Para computadoras de múltiples usuarios y sistemas de comunicación, el administrador del sistema es responsable de hacer respaldos periódicos. El Departamento de TIC tiene que instalar, o proveer asistencia técnica para la instalación de respaldos de programas y máquinas. El usuario debe seguir las instrucciones del Departamento de TIC para los fines de backup.

1.36 Responsabilidad de Respaldo (backup)

El Departamento de Tecnologías de la Información y Comunicación (TIC) es el responsable de asegurar físicamente todas las computadoras y equipos de redes del ITLA con equipos anti-robos, si están ubicados en una oficina abierta. Los servidores de red de área local (LAN) y otros sistemas de múltiples usuarios tienen que ser ubicados en gabinetes, closets, o cuartos de computadoras, todos bajo llave. Las computadoras portátiles tienen que ser aseguradas con cables, gabinetes, o cualquier otro sistema asegurado bajo llave, cuando estas se encuentren en una oficina abierta y no estén en uso.

1.37 Protección de Robos

La información sobre medidas de seguridad para los sistemas de computadoras y redes del ITLA es confidencial y no puede ser entregada a personas que no son usuarios autorizados del sistema, al menos que esto sea aprobado por el Departamento de Seguridad Informática. Por ejemplo, publicar el número de teléfono de algún modem u otro sistema de acceso a la información en directorios tanto públicos como privados está terminante e irrevocablemente prohibido. La entrega pública de los correos electrónicos está permitida.

1.38 Divulgación Externa de Información de Seguridad

Mientras se estén realizando servicios para el ITLA, los empleados deben concederle al ITLA derechos exclusivos a las patentes, derechos de autor, invenciones o cualquier otra propiedad intelectual que estos originen o desarrollen dentro de la Institución en el desarrollo de sus labores y haciendo uso de los recursos institucionales. Todos los programas y documentaciones generadas por, o provistas por empleados para el beneficio del ITLA son de la propiedad del ITLA.

1.39 Derechos al Material Desarrollado

El Departamento de Seguridad Informática se reserva el derecho de monitorear, inspeccionar o buscar en cualquier momento en todos los sistemas de información. Todas las búsquedas de esta naturaleza tienen que ser conducidas sólo después de recibir la aprobación de Rectoría. Como las computadoras y redes del ITLA han sido provistas para propósitos de trabajo exclusivamente, los empleados no tienen que tener expectativas de privacidad asociadas con la información que estos almacenan o envían a través de estos sistemas de información.

1.40 Derecho a Buscar y Monitorear

Los sistemas de información del ITLA están destinados para los propósitos de trabajo exclusivamente. Uso personal incidental es permitido sólo si: • El mismo no consume más de un monto trivial de

recursos que pudieran de otra manera ser usados para propósitos de la institución; y

• Si no interfiere con la productividad del empleado.

1.41 Uso Personal

La Rectoría y/o el encargado de área se reservan el derecho de revocar del sistema los privilegios de cualquier usuario en cualquier momento. La conducta que interfiera con el funcionamiento normal y apropiado de los sistemas de información del ITLA, que afecte negativamente la capacidad de otros para usar estos sistemas de información, o que sea dañino u ofensivo para otros, no es permitida.

1.42 Conducta Propia

Al menos que sea específicamente autorizado por el Departamento de Seguridad Informática, los empleados del ITLA no pueden adquirir, poseer, intercambiar, o usar equipos o programas que puedan ser empleados para evaluar o comprometer la seguridad de los sistemas de información. Sin este tipo de aprobación, los empleados tienen completamente prohibido el uso de equipos o programas que monitoreen el tráfico en una red o la actividad en una computadora.

1.43 Herramientas que Comprometan la Seguridad

Los usuarios no deben probar, o intentar comprometer una computadora o las medidas de seguridad de un sistema de comunicación al menos que haya sido específicamente aprobado previamente y por escrito por Rectoría, conjunto al Departamento de Seguridad Informática. Los incidentes que involucren sistemas no aprobados de hackeo, adivinación de contraseñas, desencriptación de archivos, o intentos similares de comprometer las medidas de seguridad serán considerados como una seria violación a las políticas internas del ITLA.

1.44 Actividades Prohibidas

Toda sospecha de violación a las políticas, sistemas de intrusión, infestaciones de virus, y otras condiciones que puedan arriesgar las información del ITLA o los sistemas de información del ITLA, tienen que inmediatamente ser reportados al Departamento de Seguridad Informática a la Ext.: 228 y al correo electrónico segi@itla.edu.do.

1.45 Reportes Mandatorios