FANDOM



CAPITULO IV – SEGURIDAD FISICA Y LOGICA

1. OBJETIVO

El objetivo principal de la presente Norma es reglamentar el uso de recursos tecnológicos del

INRA relacionados con la información.

2. ALCANCE

Esta norma debe ser cumplida por todos los funcionarios y consultores que utilizan recursos

tecnológicos del INRA.

3. GENERACION DE CLAVES Y ACCESO A LAS ZONAS DE INFORMACION Y

TECNOLOGIA

GENERACION Y CUSTODIA DE CLAVES

El responsable designado, será El/La Oficial de Seguridad, quien debe generar y mantener bajo

su custodia, en el Telkey todas las claves correspondientes a dispositivos que poseen la

característica de ser administrables por clave y que se encuentren en zonas de información y

tecnología.

Se debe definir un periodo equilibrado entre la seguridad y la operatividad para el cambio de

claves:

· Las claves de servidores deberán ser modificadas al menos cada 90 días.

· Las nuevas claves generadas deberán ser registradas el mismo día del cambio.

CUSTODIO DE LLAVES FISICAS

El responsable designado (oficial de seguridad) debe recolectar y mantener bajo su custodia, en

el Telkey, copias y orinales de todas las llaves correspondientes a zonas de información y

tecnología, que tengan puertas o muebles, como racks, con este tipo de seguro.

Considerando que las llaves pueden ser copiadas, estas deberán ser cambiadas cuando se

considere el riesgo de acceso físico y no se cuente con una medida de control adicional, por

ejemplo control de acceso ejercicio por personal de seguridad o chapa adicional con clave.

Máximo cada 12 meses al responsable deberá validar si las llaves físicas originales se

encuentran con los custodios designados y si la llave Telkey funciona.

ACCESO A ZONAS DE SISTEMAS

El jefe de la UST y el/la Oficial se Seguridad son los únicos funcionarios con acceso que

pertenecen a las zonas de sistemas y recursos tecnológicos en cualquier horario.

El resto de los funcionarios de la UST que por sus funciones debe tener un acceso permanente

a estas zonas, deberán estar autorizado formalmente por el jefe de la UST, estas autorizaciones

deben ser revisadas y emitidas por lo menos una ves cada meses.

19

Cualquier otro acceso adicional a los mencionados beberá estar autorizado o en su defecto

deberán estar acompañados por funcionarios que cuentan con esta potestad, además de registrar

el hecho.

BAJA DE ACCESOS A ZONAS RESTRINGIDAS

En caso de bajas de personal autorizando para el acceso a las Zonas Restringidas de

información y tecnología, la jefatura correspondiente solicitara al respectivo cambio de claves

al jefe de la UST. La ejecución de esta solicitud deberá realizarse hasta 24 horas después del

requerimiento.

CUSTODIO DE ACTIVOS EN ZONAS RESTRINGIDAS

El acceso a cualquiera de las zonas restringidas de información y tecnología por personal no

autorizado, ya sea interno al INRA o externo, deberá realizar bajo la compañía del personal

autorizado. En caso de perdida de algún material, serán responsables el personal a cargo del

resguardo de este activo y el acompañante de la visita.

REGISTRO DE ACCESOS

Todas las zonas restringidas de la UST deben contar con un sistema de registro que permita

validar la identidad de las personas que acceden o accedieron, el motivo, el funcionario

autorizado o acompañante, la fecha, la hora y otros datos que hagan de este registro mas

exacto.

En el Data Center o Centro de Procesamiento de Datos será la jefatura de la UST la

responsable de administrar el sistema de registro vigente.

4. MANTENIMIENTO

MANTENIMIENTO Y LIMPIEZA DEL CENTRO DE PROCESAMIENTO DE

DATOS (CPD).

Las tareas de mantenimiento y limpieza del CPD, deben contar con la autorización del Jefe de

la UST quien a su vez debe designar un responsable que valide la correcta y segura ejecución

de la tarea.

EXTINGUIDORES Y ALARMAS CONTRA INCENDIO

Todas las zonas restringidas deberán contar con extinguidotes y alarmas contra incendio en

lugares visibles y accesibles. El Jefe de la UST deberá coordinar el mantenimiento de este

equipo con la Unidad correspondiente.

5. TELKEY

El telkey es considerado como zona restringida de Información y Tecnología,

consecuentemente debe ser controlado bajo la responsabilidad del oficial de Seguridad.

Se debe registrar todo ingreso, cambio o retiro de sobres lacrados en el Telkey. El Telkey debe

ser auditado por Una Unidad de Auditoria Interna, quien deberá realizar arqueos programados

o sorpresivos sobre las existencias, el movimiento, la caducidad y otros que considere

necesarios.

Esta revisión deberá comprender como mínimo los siguientes aspectos:

20

· revisión del registro de ingreso y retiro de sobres.

· Apertura de sobre por muestreo aleatorio y validación de contraseñas registradas en

presencia del titular.

Todo sobre que ingrese deberá conectar la fecha de caducidad y ser retirado a su cumplimiento.

Cada titular de clave o llave física es responsable del contenido del sobre entregado, durante el

arqueo la Unidad de Auditoria Interna podrá validar el funcionamiento de las llaves.

Cada funcionario es responsable de cambiar su contraseña cada 90 días como mínimo o cuando

juzgue necesario. El cambio se contraseña supone la actualización del sobre en el Telkey.

6. CUENTAS DE USARIOS TECNICOS

ADMINISTRACION DE USUARIOS TECNICOS

La UST administrara las cuentas de los usuarios técnicos necesarios para la administración de

Servidores, aplicaciones, dispositivos de telecomunicación y otros dispositivos.

Todo funcionario autorizado que trabaje con recursos tecnológicos recibirá una cuenta de

usuario técnico como parte de sus responsabilidades.

Una ves recibida la contraseña deberá cambiarla inmediatamente y enviar un registro de esta al

Telkey durante el día en sobre cerrado.

Para la baja o traspaso de una cuenta de usuario técnico se deberá contar con la autorización

del jefe de la UST y si corresponde, por ejemplo ante el retiro del funcionario titular de la

cuenta, la supervisión del Oficial de Seguridad.

Cuando se considere necesario se podrá dividir la contraseña de una cuenta en 2 partes y

asignar cada parte a un funcionario distinto, privilegiando la segregación de funciones y

oposición de intereses, esta medida podrá ser aplicada principalmente a cuantas muy sensibles

o de alto riesgo.

REVISION DE CUENTAS DE USUARIOS TECNICOS

El jefe de la UST deberá semestralmente o a requerimiento validar la administración de

cuentas de usuarios técnicos comparando las cuentas asignadas, los responsables y los sobres

del Telkey existentes.

7. SEGURIDAD LOGICA

ACCESOS REMOTOS

Ningún funcionario de la UST podrá tener habilitado un acceso remoto con facilidades de

administración a ningún recurso o aplicación informática sin la debida autorización del Jefe de

la UST y/o el/la Oficial de Seguridad de la Información.

21

El/La Oficial se seguridad de la Información debe llevar un registro de todos los funcionarios

del UST que tienen facilidad de acceso remoto.

UTILITARIOS Y SOFTWARE DE ADMINISTRACION

Ningún funcionario del UST podrá tener instalado o hacer uso de utilitarios o software de

administración por ejemplo: sniffers o rastreadores lógicos, que no estén debidamente

licenciados y autorizados por la jefatura de la UST y/o el/la Oficial de Seguridad de la

Información.

8. INFORMACION

CUSTODIA DE LA INFORMACION

El personal de la UST debe mantener en estricta custodia la información asociada directa e

indirectamente a la presente norma. Toda la información contenida en la presente normativa es

considerada confidencial salvo el titular exprese lo contrario.

DEL TRATAMIENTO DE INFORMACION SENCIBLE

La información impresa relacionada con la presente normativa, deberá ser conservada durante

12 meses, al cabo de los cuales podrá ser entregada a la unidad de archivo correspondiente bajo

inventario. La información en medios digitales quedara bajo resguardo de la UST sujetas a

disposiciones legales en cuanto a término y plazos de custodia.

9. CONTROL

CONTROL DE SEGURIDAD

Todos los funcionarios deberán velar por el estricto cumplimiento de la presente normativa,

siendo su responsabilidad denunciar cualquier sospecha o cumplimiento de violación a lo

establecido ante el/la Oficial de seguridad y procurar su aclaración.

REVISION

El/la Oficial de Seguridad es responsable de efectuar revisiones y evaluaciones de la seguridad

tanto físicas como lógicas de la UST, así como del correcto uso y explotación de los recursos

tecnológicos.

10. REPORTES

La frecuencia de reportes es trimestral y/o requerimiento especifico. Según el tiempo

especifico la jefatura de la UST presentara al inmediato superior los informes relacionados con

la presente normativa. Por ejemplo:

· Relación de supercuentas vigentes con sobres en Telkey.

· Actualización de accesos.

· Estadísticas sobre el sistema de registro de accesos.

· Necesidad de uso y apertura de Telkey.

· Otros que se considere útil.

22

Este reporte no solo deberá ser estadístico, sino contener un informe y análisis critico y

proponer un enfoque proactivo.

11. AREAS INVOLUCRADAS

Las áreas involucradas en la presente norma, son:

Jefatura de la UST

· En la revisión y aprobación de los derechos de acceso físico y lógico del personal de

Información y Tecnología.

· En la revisión y validación de los accesos registrados a las zonas de Información y

tecnología.

· En el control de inventario sobre las llaves físicas otorgadas y en custodio del Telkey.

Oficial de Seguridad

· Generación de los reportes

· Autorización de accesos físicos y lógicos en coordinación con la jefatura de la UST.

· En la revisión de los derechos de acceso físico y lógico del personal de Información y

Tecnología.

· En la revisión del Telkey.

Personal de la UST

· En la actualización de contraseñas en el Telkey.

· En el cumplimiento estricto de la presente normativa.

12. INCUMPLIMIENTO Y SANCIONES

El incumplimiento a la presente norma será sancionado de acuerdo al reglamento Interno del

INRA referente a Infracciones y Sanciones

¡Interferencia de bloqueo de anuncios detectada!


Wikia es un sitio libre de uso que hace dinero de la publicidad. Contamos con una experiencia modificada para los visitantes que utilizan el bloqueo de anuncios

Wikia no es accesible si se han hecho aún más modificaciones. Si se quita el bloqueador de anuncios personalizado, la página cargará como se esperaba.