1 Seguridad en un sistema de Información

2  Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.  Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.

3  Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información:  Esta almacenada y procesada en computadoras  Puede ser confidencial para algunas personas o a escala institucional  Puede ser mal utilizada o divulgada  Puede estar sujeta a robos, sabotaje o fraudes

4  Proximidad o posibilidad de un daño, peligro, etc.  Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.  Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro. Riesgo

5  Cualidad o estado de seguro  Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo. Seguridad

6  Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.  En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras estos son:  fraudes  falsificación  venta de información Delitos accidentales e incidentales

7  El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través de diskettes o de la red telefónica de comunicación entre ordenadores, causando diversos tipos de daños a los sistemas computarizados Virus informático

8  Identificar los tipos de información que exigen protección  Estimar el valor de la información perteneciente a cada tipo  Desarrollar/actualizar una política de seguridad de información que exija la protección según el tipo de información  Definir estándares de protección para cada tipo de información  Crear estándares de monitoreo y administración para verificar la adecuación con los estándares de protección de la información Etapas para el desarrollo de un plan

9  A. Identificar la información que exige protección. B. Establecer el valor de esa información en términos de costo de creación, recreación, divulgación o modificación no autorizada. C. Desarrollar / actualizar una política de seguridad de información que exija la protección según el tipo o valor de la información. D. Definir estándares de protección para cada tipo de información. E. Crear estándares de monitoreo o testeo y administración para verificar la adecuación con los estándares preestablecidos de protección de la información. F. Establecer medidas de protección adicionales para lograr un mayor nivel de seguridad. DESARROLLO DE UN PLAN DE SEGURIDAD

10  Respaldo de datos  Respaldo de programas  Definir las unidades, carpetas, archivos a respaldar  Quien realizara el respaldo  Definir los medios en que se realizara el respaldo  Definir cada cuando hacer el respaldo DEFINICION DE POLITICA DE RESGUADO DE INFORMACION

11  2.1) Definir diferentes tipos de usuarios  2.2) Definir diferentes tipos de permisos.  2.3) Definir política de password de usuarios.  2.4) Instalación y Desinstalación de programas DEFINICION DE POLITICA DE PERMISOS O ACCESOS A LA INFORMACION.

12  Es recomendable mantener actualizada cada una de las terminales con la ultima versión de los programas que estemos usando.  Tabla de actualización  Programa Periodo Windows Update Cada 15 días aprox. Norton Antivirus En modo de actualización automática en todas las terminales (LiveUpdate) Tango Cada vez que se publique una nueva versión. Waldbott Cada vez que se publique una nueva versión.  - Cada usuario será responsable de la actualización con las ultimas definiciones de virus y comunicar al administrador cuando considere que el mismo falla.  - Será responsabilidad del Administrador la actualización de los Programas Tango Gestión y Waldbott, la cual se implementará cada vez que se publique una nueva versión. DEFINICION DE POLITICA DE ACTUALIZACION DE PROGRAMAS

13  Política de seguridad. Definición de directrices estratégicas en materia de seguridad de activos, alineadas a las atribuciones de las dependencias o entidades. Incluye la elaboración y emisión interna de políticas, entre otros documentos regulatorios del sujeto obligado.   Cumplimiento de la normatividad. Los controles establecidos para evitar violaciones de la normatividad vigente, obligaciones contractuales o la política de seguridad interna. Abarca, entre otros, la identificación y el cumplimiento de requerimientos tales como la legislación aplicable ala guía para la elaboración de un documento de seguridad Tipos de seguridad: administrativa, física y técnica

14  Organización de la seguridad de la información. Establecimiento de controles internos y externos a través de los cuales se gestione la seguridad de activos. Considera, entre otros aspectos, la organización interna, que a su vez se refiere al compromiso de la alta dirección y la designación de responsables, entre otros objetivos; asimismo, considera aspectos externos como la identificación de riesgos relacionados con terceros.   Clasificación y control de activos. Establecimiento de controles en materia de identificación, inventario, clasificación y valuación de activos conforme a la normatividad aplicable.   Seguridad relacionada a los recursos humanos. Controles orientados a que el personal conozca el alcance de sus responsabilidades respecto a la seguridad de activos, antes, durante y al finalizar la relación laboral.

15  Administración de incidentes. Implementación de controles enfocados a la gestión de incidentes presentes y futuros que puedan afectar la integridad, confidencialidad y disponibilidad de la información. Incluye temas como el reporte de eventos y debilidades de seguridad de la información.   Continuidad de las operaciones. Establecimiento de medidas con el fin de contrarrestar las interrupciones graves de la operación y fallas mayores en los sistemas de información. Incluye planeación, implementación, prueba y mejora del plan de continuidad de la operación del sujeto obligado.

16  Seguridad física y ambiental. Establecimiento de controles relacionados con los perímetros de seguridad física y el entorno ambiental de los activos, con el fin de prevenir accesos no autorizados, daños, robo, entre otras amenazas. Se enfoca en aspectos tales como los controles implementados para espacios seguros y seguridad del equipo.

17  Gestión de comunicaciones y operaciones. Establecimiento de controles orientados a definir la operación correcta y segura de los medios de procesamiento de información, tanto para la gestión interna como la que se lleva a cabo con terceros. Incluye, entre otros aspectos, protección contra código malicioso y móvil, copias de seguridad, gestión de la seguridad de redes y manejo de medios de almacenamiento.   Control de acceso. Establecimiento de medidas para controlar el acceso a la información, activos e instalaciones por parte de los responsables autorizados para tal fin, considerando en ello, la protección contra la divulgación no autorizada de información. Abarca, entre otros temas, gestión de acceso de los usuarios, control de acceso a redes, control de acceso a sistemas operativos y control de acceso a las aplicaciones y a la información.   Adquisición, desarrollo, uso y mantenimiento de sistemas de información. Integración de controles de seguridad a los sistemas de información, desde su adquisición o desarrollo, durante su uso y mantenimiento, hasta su cancelación o baja definitiva. Considera procesamiento adecuado en las aplicaciones, controles criptográficos y seguridad de los archivos de sistema, entre otros.

18  Soportes físicos. Son los medios de almacenamiento inteligibles a simple vista, es decir, que no requieren de ningún aparato que procese su contenido para examinar, modificar o almacenar los datos; es decir, documentos, oficios, formularios impresos llenados ―a mano ‖ o ―a máquina ‖, fotografías, placas radiológicas, carpetas, expedientes, entre otros.   Soportes electrónicos. Son los medios de almacenamiento inteligibles sólo mediante el uso de algún aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los datos; es decir, cintas magnéticas de audio, vídeo y datos, fichas de microfilm, discos ópticos (CDs y DVDs), discos magneto-ópticos, discos magnéticos (flexibles y duros) y demás medios de almacenamiento masivo no volátil. Tipo de soportes: físicos y electrónicos

19  Datos de identificación: Nombre, domicilio, teléfono particular, teléfono celular, correo electrónico, estado civil, firma, firma electrónica, RFC, CURP, cartilla militar, lugar de nacimiento, fecha de nacimiento, nacionalidad, edad, nombres de familiares, dependientes y beneficiarios, fotografía, costumbres, idioma o lengua, entre otros.  Datos laborales: Documentos de reclutamiento y selección, de nombramiento, de incidencia, de capacitación, puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional, actividades extracurriculares, referencias laborales, referencias personales, entre otros. Nivel de protección que requieren los datos personales

20  a) Datos patrimoniales: Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, servicios contratados, referencias personales, entre otros.  b) Datos sobre procedimientos administrativos seguidos en forma de juicio y/o jurisdiccionales: Información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal o administrativa.  c) Datos académicos: Trayectoria educativa, títulos, cédula profesional, certificados y reconocimientos, entre otros.  d) Datos de transito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país e información migratoria de las personas, entre otros.

21  a) Datos ideológicos: Creencia religiosa, ideología, afiliación política y sindical, pertenencia a organizaciones de la sociedad civil y asociaciones religiosas, entre otros.  b) Datos de salud: Estado de salud, historial clínico, alergias, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, incapacidades médicas, intervenciones quirúrgicas, vacunas, consumo de sustancias tóxicas, uso de aparatos oftalmológicos, ortopédicos, auditivos y prótesis, entre otros.  c) Características personales: Tipo de sangre, ADN, huella dactilar u otros análogos.  d) Características físicas: Color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión, discapacidades, entre otros.  e) Vida sexual: Preferencia sexual, hábitos sexuales, entre otros.  f) Origen: Étnico y racial.

22  A1. [Nombre del sistema A1] Responsable:   Nombre:   Cargo:   Funciones: [Descripción de las atribuciones con relación al tratamiento de los datos personales sistema]   Obligaciones: [Descripción de las responsabilidades en cuanto al tratamiento de los datos personales del sistema] CATÁLOGO DE SISTEMAS DE DATOS PERSONALES

23  Encargados:   Nombre: [Nombre del Encargado 1]   Cargo:   Funciones:   Obligaciones:   Nombre: [Nombre del Encargado 2]   Cargo:   Funciones:   Obligaciones:

24  Usuarios:8   Nombre: [Nombre del Usuario 1]   Cargo:   Funciones:   Obligaciones:   Nombre: [Nombre del Usuario 2]   Cargo:   Funciones:   Obligaciones:   Nombre: [Nombre del Usuario 3]   Cargo:   Funciones:

25  Responsable  Encargados  Usuarios Folio de registro en el Sistema Persona:

26  Responsable  Encargados  Usuarios Datos personales contenidos en el sistema

27  Tipo de soporte  a) Tipo de soporte  b) Descripción: ESTRUCTURA Y DESCRIPCIÓN DE LOS SISTEMAS DE DATOS PERSONALES

28  1. Transmisiones mediante el traslado de soportes físicos  a) Deberá señalar si el envío se realiza a través de mensajero oficial, mensajero privado o correspondencia ordinaria;  b) Deberá precisar si utiliza un sobre o paquete sellado de manera que sea perceptible si fue abierto antes de su entrega;  c) Deberá manifestar si el sobre o paquete enviado es entregado en mano al destinatario, previa acreditación con identificación oficial;  d) Deberá indicar si el remitente pide al destinatario que le informe en caso de que reciba el sobre o paquete con señas de apertura;  e) Deberá informar si el destinatario envía acuse de recibo al remitente una vez recibidos los datos personales, y  f) Deberá señalar si el remitente registra la o las transmisiones en su bitácora así como en el Sistema Persona. MEDIDAS DE SEGURIDAD IMPLEMENTADAS

29  2. Transmisiones mediante el traslado físico de soportes electrónicos:  a) Deberá señalar lo previsto en el numeral 1) anterior, incisos a) al f), y  b) Deberá precisar si los archivos electrónicos que contienen datos personales son cifrados antes de su envío y proporcionar detalles técnicos del cifrado tales como el tipo de algoritmo utilizado y la longitud de la llave (o clave).

30  1. Señalar las medidas de seguridad que ha implementado el sujeto obligado para el resguardo de los soportes físicos del sistema de manera que evite la alteración, pérdida o acceso no autorizado a los mismos.  2. Señalar en un listado las personas que tienen acceso a los soportes físicos del sistema. Resguardo de sistemas de datos personales con soportes físicos

31  Registro de incidentes22  1. Los datos que registra:  a) La persona que resolvió el incidente;  b) La metodología aplicada;  c) Para soportes físicos: Los oficios, documentos, expedientes, estantes o archiveros, tanto los dañados como los recuperados, y  d) Para soportes electrónicos: Los campos, registros, tablas, bases de datos o archivos electrónicos, tanto dañados como recuperados.  2. Si el registro está en soporte físico o en soporte electrónico;  3. Cómo asegura la integridad de dicho registro, y  4. Para el caso de soportes electrónicos, quién autoriza la recuperación de datos.

32  Seguridad perimetral exterior  Seguridad perimetral interior Acceso a las instalaciones

33  Modelo de control de acceso [alguno de los siguientes]:  a) ¿Es obligatorio (etiquetas para objetos y acreditación para sujetos)?  b) ¿Es discrecional (matriz de control de acceso)?  c) ¿Está basado en roles (perfiles) o grupos?  d) ¿Está basado en reglas? Actualización de la información contenida en el sistema

34  2. Perfiles de usuario y contraseñas en el sistema operativo de red:  a) ¿Cuenta con un sistema operativo de red instalado en sus equipos?  b) ¿Proporciona dicho sistema operativo un manejo riguroso de perfiles de usuario y contraseñas?  c) ¿Cifra el mencionado software los nombres de usuario y las contraseñas cuando los almacena?