SlideShare ist ein Scribd-Unternehmen logo

Manual politicas seguridad

R
ragmyl
1 von 27
Downloaden Sie, um offline zu lesen
Servicio Médico Nacional de Empleados Públicos MANUAL DE POLÍTICAS Y NORMAS DE SEGURIDAD EN INFORMÁTICA SEGURIDAD EN 1 de 30 INFORMÁTICA Mayo de 2010 Página :
Servicio Médico Nacional de Empleados Públicos Historial del Documento Fecha de Elaborado por: Control Elaboración Versión cambio Luis Ng Gimenez Miguel 22/05/10 1.0 Sanchez Yessenia Zerpa Aroidemar SEGURIDAD EN 2 de 30 INFORMÁTICA Mayo de 2010 Página :
Servicio Médico Nacional de Empleados Públicos CONTENIDO INTRODUCCIÓN.........................................................................................................4 VIGENCIA....................................................................................................................6 OBJETIVO....................................................................................................................6 ALCANCE.................................................................................................................... 6 SANCIONES POR INCUMPLIMIENTO....................................................................6 BASES LEGALES .......................................................................................................7 Ley contra los Delitos Informáticos.............................................................................. 7 Decreto N° 825..........................................................................................................9 Decreto N° 3390........................................................................................................9 SEGURIDAD ORGANIZACIONAL. .........................................................................9 1.1. POLÍTICAS GENERALES DE SEGURIDAD.................................................9 1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS........................................... 12 1.3. SEGURIDAD LIGADA AL PERSONAL ......................................................13 SEGURIDAD FÍSICA................................................................................................ 14 2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS ......................14 2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO................................... 15 SEGURIDAD LOGICA .............................................................................................16 3.1. CONTROL DE APLICACIONES...................................................................16 3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO..................................17 3.3. CONTROL DE ACCESO A USUARIOS ...................................................... 17 3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES.......................................18 POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA................................................................................. 19 SEGURIDAD EN 3 de 30 INFORMÁTICA Mayo de 2010 Página :
INTRODUCCIÓN La base para que una organización pueda funcionar de forma correcta en el ámbito de seguridad en informática, conduce con la definición y descripción de las políticas. Las políticas y normas de seguridad destinadas a instituciones, surgen como un lineamiento organizacional para concientizar a cada uno de sus miembros sobre la importancia y sensibilidad de la información. El presente documento tiene como finalidad dar a conocer las políticas y Normas de Seguridad en Informática que deberán tener los usuarios representados por los Técnicos de historias médicas, Doctores y personal administrativo del Servicio Médico Nacional de Empleados Públicos para proteger adecuadamente los activos tecnológicos y la información del centro de salud. En términos generales los siguientes criterios: Política organizacional: Dentro de este, se establece el marco de seguridad que debe sustentar la Institución, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones irregular sobre la seguridad. Seguridad física:
Identifica los controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad lógica: Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Política de Concientización para el Cumplimiento de la Seguridad Informática: Concientizar a todos los empleados del Servicio Médico Nacional de Empleados Públicos sobre su obligación de conocer y aplicar la normativa en materia de seguridad informática para lograr un cambio favorable en la cultura organizacional.
VIGENCIA El documento presentado entrará en vigor desde el momento en que éste sea aprobado como documento técnico de seguridad informática por la Directora del Servicio Médico Nacional de Empleados Públicos, el cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del centro de salud. OBJETIVO Brindar la información necesaria a los usuarios del centro, sobre las políticas y normas de seguridad en informática que deben cumplir y utilizar para proteger el hardware y software perteneciente al Servicio Médico Nacional de Empleados Públicos, así como la información que es procesada y almacenada en estos. ALCANCE El documento describe las Políticas y Normas de Seguridad que deberán aplicar de manera obligatoria todos los empleados para el buen uso de los equipos de cómputo, aplicaciones y servicios informáticos del Servicio Médico Nacional de Empleados Públicos. SANCIONES POR INCUMPLIMIENTO Todos los usuarios del Servicio Médico Nacional de Empleados Públicos deberán hacer el uso adecuado de los recursos informáticos y de información, así como comprometerse a cumplir con lo establecido en el Manual de Políticas y Normas en Seguridad Informática. Se establecerán medidas disciplinarias para el cumplimiento efectivo de las políticas las cuales se representan de la siguiente forma:
• Faltas moderadas: Se consideran violaciones moderadas la divulgación de las contraseñas de los equipos, daños a los equipos computacionales y el uso no autorizado de dispositivos de almacenamiento (CD, pen drive). La sanción estará representada por amonestaciones que van desde la suspensión temporal o perdida de Cesta ticket hasta el despido justificado contra el usuario responsable. • Faltas Graves: Se consideran violaciones graves el robo, daño, divulgación de información reservada o confidencial de las historias médicas o información general del Servicio Médico. Las sanciones estarán sujetas a la Ley Especial contra los Delitos Informáticos. BASES LEGALES Ley contra los Delitos Informáticos Artículo 6 Expresa: Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias. Artículo 7 Expresa: Sabotaje o daño a sistemas. El que destruya, dañe, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.
Artículo 8 Expresa: Sabotaje o daño culposos. Si el delito previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios. Artículo 9 Expresa: Acceso indebido o sabotaje a sistemas protegidos. Las penas previstas en los artículos anteriores se aumentarán entre una tercera parte y la mitad cuando los hechos allí previstos o sus efectos recaigan sobre cualquiera de los componentes de un sistema que utilice tecnologías de información protegido por medidas de seguridad, que esté destinado a funciones públicas o que contenga información personal o patrimonial de uso restringido sobre personas o grupos de personas naturales o jurídicas El Artículo 13 expresa el hurto de la siguiente forma: Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 14 declara: Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades tributarias. Artículo 20, Expresa: Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de
su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén incorporadas en un computador o sistema que utilice tecnologías de información, será penada con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o información para un tercero. Decreto N° 825 El Estado declara la utilización del Internet para el beneficio de la eficiencia en la administración pública, la salud y la educación. Decreto N° 3390 Artículo 1. Expresa: La Administración Pública Nacional empleará prioritariamente Software Libre desarrollado con Estándares Abiertos, en sus sistemas, proyectos y servicios informáticos. A tales fines, todos los órganos y entes de la Administración Pública Nacional iniciarán los procesos de migración gradual y progresiva de éstos hacia el Software Libre desarrollado con Estándares Abiertos. Nivel 1. SEGURIDAD ORGANIZACIONAL. 1.1. POLÍTICAS GENERALES DE SEGURIDAD 1.1.1 El Servicio Médico Nacional de Empleados Públicos nombrará y asignará un grupo, representado por un comité de seguridad, que de seguimiento al cumplimiento de las normativas. Tendrá entre sus funciones: a) Velar por la seguridad de los activos informáticos b) Gestión y procesamiento de la información c) Elaboración de planes de seguridad d) Capacitación a usuarios en temas de seguridad
e) Poner especial atención a los usuarios de la red institucional sobre sugerencias o quejas con respecto al funcionamiento de los activos de información. f) Concientizar a los empleados. 1.1.2. Los empleados del Servicio Médico Nacional de Empleados Públicos, gozaran de absoluta privacidad sobre su información o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red institucional. De acuerdo con lo establecido en la Ley contra los Delitos Informáticos. 1.1.3. Los usuarios tendrán acceso a Internet, como lo expresa el Decreto 825 nombrado en las bases legales, siempre y cuando se cumplan con las normas de seguridad establecidas en este manual. 1.1.4. Regular el correcto uso de correo electrónico en el Servicio Médico Nacional de Empleados Públicos. Se asignarán cuentas de correo electrónico por departamento, creándose la cuenta con la primera inicial del nombre del usuario seguido del apellido. Ejem. Acarrillo@serviciomedico.gob. Así mismo queda prohibido el envío de correos electrónicos anónimos, estos deben ser enviados con su respectiva firma y con copia a su jefe directo. 1.1.5. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de eliminar aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una depuración de forma semestral.
1.1.6. Para garantizar la seguridad de la información, se establecerán filtros y medidas para regular el acceso a contenidos no autorizados en pro al cumplimiento de esta normatividad; por lo tanto, se prohíbe: • Utilizar el correo electrónico, para intimidar, insultar o acosar a otras personas, o interferir con el trabajo de los demás. • Provocar intencionalmente el mal funcionamiento de computadoras y sistemas. • Utilizar los servicios de red para jugar, ver publicaciones variadas y pornografía. 1.1.7. Llevar el registro y control de las direcciones IP de los equipos conectados a la red con acceso a Internet y la información de los usuarios. Para llevar el control de las direcciones Se pretende utilizar el rango de direcciones de Clase C desde la 192.168.1.1 a la 192.168.1.255, mascara de red 255.255.255.224, mascara de subred en formato barra diagonal /27 para 30 equipos o equipos por subred y sería como sigue: Rango SubRed IP Subred IP Broadcast 192.168.1.33-192.168.1.62 192.168.1.32 192.168.1.63 192.168.1.65 – 192.168.1.94 192.168.1.64 192.168.1.95 192.168.1.97 –192.168.1.126 192.168.1.96 192.168.1.127 192.168.1.129 -192.168.1.158 192.168.1.128 192.168.1.159 Tabla 1: Control de Direcciones IP 1.1.8. Proporcionar la documentación actualizada de la red local. 1.1.9. Solucionar fallas menores como son: cables desconectados, pérdida de suministro de energía eléctrica en los equipos de datos,
desconfiguración de las computadoras de los usuarios o direcciones IP repetidas. Además de Brindar mantenimiento preventivo y/o correctivo únicamente a los equipos que cuente con número de inventario. 1.2.1. Se segmentarán de manera lógica las redes, a través de la creación de Vlan, las cuales permiten organizar grupos conectados a la red. Dichos grupos serán basados por los diferentes departamentos del Servicio Médico Nacional de Empleados Públicos. La configuración de las Vlan en los dispositivos (Switch) estará establecida por un número de Vlan, seguido del nombre del departamento. Ejemplo: Sw1( config) # vlan 10 Sw1 (config-vlan)# name HISTORIAS MÉDICAS 1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS 1.2.1. Responsabilidad por los Activos Los jefes de cada departamento del Servicio Médico Nacional de Empleados Públicos, (coordinadores y directores) son responsables de mantener o proteger los activos del centro de salud de mayor importancia. 1.2.3 Clasificación de la información
Cada departamentos del Servicio Médico Nacional de empleados Públicos, es responsables de clasificar la información de acuerdo al nivel de importancia. Se tomará como base, los siguientes criterios, como niveles de importancia, para clasificar la información: • Pública: información global sobre eventos, jornadas de vacunación, información sobre citas médicas, etc. • Interna: información propia de cada departamento (reportes). • Confidencial: el acceso a las historias médicas solo esta permitido únicamente por el personal del departamento de historias médicas y estadísticas de salud, representado por los técnicos de historia médicas y jefe directo de dicho departamento. La información confidencial a la cual cada empleado tiene acceso debe ser administrada, de modo que no sea divulgada a personas que podrían utilizarla en beneficio propio, en contra de terceros o de la propia institución. Ningún Empleado debe modificar, borrar, esconder o divulgar información en beneficio propio o de terceros. Esta norma hace referencia a la base legal que sustenta el principio de confidencialidad de la información, establecida en el articulo seis (6) de la Ley contra los Delitos Informáticos. 1.3. SEGURIDAD LIGADA AL PERSONAL 1.3.1. Capacitación de Usuarios
Todo empleado del Servicio Médico de nuevo ingreso como los que se encuentran fijos dentro del centro, contaran con la inducción sobre el Manual de Políticas y normas de Seguridad en Informática. Se darán a conocer las obligaciones para los usuarios y las sanciones que pueden existir en caso de incumplimiento. 1.3.2 El material de apoyo para las capacitaciones (manuales, guías, etc.) será entregado minutos antes de iniciar la capacitación. 1.3.4 La institución deben elaborar un plan de recuperación y respaldo de información generada en los sistemas, bases de datos, así como la información residente en los equipos de los empleados del Servicio Médico Nacional de Empleados, donde los respaldos deberán realizarse periódicamente conforme a las características de los equipos, las aplicaciones y los datos asociados este respaldo lo realizará cada jefe de departamento. Nivel 2. SEGURIDAD FÍSICA 2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS 2.1.1 Uso y Acceso a los Equipos Computacionales. Los departamentos del Servicio médico, asi como el cuarto de comunicaciones son áreas restringuida, por lo que solo el personal
autorizado, técnico de historias médicos, técnico de sistema y/o personal administrativo pueden acceder a estos espacios. Esta prohibido que personas ajenas accedan y operen dichos equipos. 2.1.2. Los usuarios no deben mover o reubicar los equipos o de telecomunicaciones, instalar o desinstalar dispositivos. 2.1.3. Mientras se opera el equipo de cómputo, no se deberá fumar, consumir alimentos o ingerir líquidos, ya que estas acciones pueden dañar el equipo. De igual forma el empleado deben evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del CPU. 2.1.4. Queda prohibido que el usuario abra o desarme los equipos de cómputo. 2.1.5. El equipo de que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario a quien se le fue asignado, deberá cubrir el valor de la reparación o reposición del equipo o accesorio afectado. 2.1.6 Queda prohibido el uso de módems inalámbricos en las computadoras. 2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO 2.2.1 Toda solicitud para utilizar un medio de almacenamiento (CD, pen drive) deberán contar con la autorización del jefe directo. El personal que requiera estos medios debe justificar su utilización.
2.2.2 El uso de los CD es exclusivo para respaldos de información que por su volumen así lo justifiquen. Y sólo serán utilizados por los jefes de cada departamento. Nivel 3. SEGURIDAD LOGICA 3.1. CONTROL DE APLICACIONES. 3.1.1. Uso del software Libre. Partiendo del decreto 3390, el Servicio Médico Nacional de Empleados Públicos por ser un ente perteneciente a la Administración Pública Nacional empleará Software Libre desarrollado con estándares abiertos, en sus sistemas, proyectos y servicios informáticos. 3.1.2 Instalación de Software.
Los usuarios que requieran la instalación de software, deberán justificar su uso y solicitar su autorización a su jefe directo, a través de un oficio firmado, indicando el equipo donde se instalará el software y el período de tiempo que permanecerá dicha instalación. 3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO 3.2.1 Prevenir Contaminaciones por Virus Informáticos. Los usuarios del Servicio Médico Nacional de Empleados Publicose sólo utilizarán el software que se le haya sido asignado. 3.2.2 Todos los archivos de computadora que sean proporcionados por personal interno o externo, considerando bases de datos, documentos y hojas de cálculo que tengan que ser descomprimidos, deberán ser verificadas para evitar que contenga algún tipo de virus antes de su ejecución. 3.3. CONTROL DE ACCESO A USUARIOS 3.3.1 El uso de Nombres de Usuarios y contraseñas. Cada empleado del Servicio Médico Nacional de Empleados Públicos se le La asignara un nombre de usuario y una contraseña, esta debe ser realizada de forma individual, por lo que el uso de contraseñas compartidas está prohibida. 3.3.2 Cuando un usuario olvide, bloquee o extravíe su contraseña deberá levantar un reporte dirigido a su jefe directo, para que este gestione el cambio de contraseña, una vez que lo reciba deberá cambiarlo en el momento en que acceda nuevamente a la infraestructura tecnológica.
Si el empleado olvida su contraseña más de tres veces, esta acción será tomada como una falta moderada, y se le aplicará una sanción. (Ver Página 7). 3.3.3. Esta prohibido que las contraseñas de acceso se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlas. 3.3.4. Todos los usuarios deberán observar los siguientes lineamientos para la construcción de sus contraseñas: • Deben estar compuestos por lo menos por seis (6) caracteres y máximo diez (10), estos caracteres deben ser alfanuméricos. • Deben ser difíciles de adivinar, esto implica que las contraseñas no deben relacionarse con el trabajo o la vida personal del empleado. • No deben ser idénticos o similares a contraseñas que hayan usado previamente. 3.3.5. La contraseña tendrá una vigencia de 30 días, finalizando este periodo el usuario recibe una solicitud electrónica para el cambio de contraseña. 3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES 3.4.1 Cambio de Privilegios o Roles Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la red del servicio Médico Nacional, deberán ser notificados a los jefes directo o a el personal encargado de los sistemas.
Nivel 4. POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA 4.1 CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD 4.1.1 Revisiones del cumplimiento. La máxima autoridad del Servicio Médico Nacional Empleados públicos, y los jefes de cada departamento deberán realizar acciones de verificación del cumplimiento del Manual de Políticas y Normas de Seguridad Informática semestralmente. 4.1.2 Los Planes de Continuidad de la Gestión Se deberán elaborar respectivos Planes de Continuidad de la Gestión y de procesos alternos de tecnologías de información. La utilización de propagandas impresas, carteleras de concientización donde se incluyan controles y procedimientos destinados a identificar el buen uso del Manual y de las Políticas y Normas de Seguridad ayudando así a reducir riesgos.
GLOSARIO A Acceso: Tipo específico de interacción entre un sujeto y un objeto que resulta en el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un objeto. Aplicación: En informática, las aplicaciones son los programas con los cuales el usuario final interactúa a través de una interfaz y que realizan tareas útiles para éste. Conjunto completo y auto contenido de instrucciones que se utilizan para realizar una determinada tarea, como procesamiento de texto, contabilidad o administración de datos. Autorización: Es el proceso de asignar a los usuarios permisos para realizar actividades de acuerdo a su perfil o puesto. B Bases de Datos: Colección almacenada de datos relacionados, requeridos por las organizaciones e individuos para que cumplan con los requerimientos de proceso de información y recuperación de datos. C CD
Medio de almacenamiento de información. Computadora Es un conjunto de dispositivos electrónicos que forman una máquina electrónica capaz de procesar información siguiendo instrucciones almacenadas en programas. Confidencialidad Se refiere a que la información no sea divulgada a personal no autorizado para su conocimiento. Contraseña: Palabra de paso compuesta por la combinación de caracteres alfabéticos, numéricos y especiales; la cuál es requerida para tener acceso a los sistemas de información, componentes de hardware, bases de datos y otros componentes electrónicos. Control de Acceso Es un mecanismo de seguridad diseñado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo tecnológico. Correo Electrónico: Herramienta informática que permite el trasiego de mensajes entre usuarios de computadoras. Permite además la incorporación de archivos de documentos, imágenes y voz. Cuentas de Usuario:
Es un identificador, el cual es asignado a un usuario del sistema para el acceso y uso de la computadora, sistemas, aplicaciones, red, etc. D Descargar: Acción de transferir información computarizada de una computadora a otra. Descomprimir: Acción que se lleva a cabo después de haber comprimido un archivo para regresarlo a su estado original. Disco Duro: Dispositivo encargado de almacenar información de forma permanente en una computadora. Disco de metal cubierto con una superficie de grabación magnética Disponibilidad: Se refiere a que la información esté disponible en el momento que se requiera Dispositivo: Se puede definir Dispositivo como un aparato, artificio, mecanismo, artefacto, órgano o elemento de un sistema. Dispositivo de telecomunicaciones: Un dispositivo de telecomunicación es uno de los varios dispositivos de hardware, que permiten que ocurra la comunicación electrónica o que se lleve a cabo en forma eficiente. Casi todos los sistemas de telecomunicaciones usan uno o más de estos dispositivos para transmitir o convertir señales.
E Estación de trabajo: Es un ordenador o computador que facilita a los usuarios el acceso a los servidores y periféricos de la red. Estándar: Los estándares son actividades, acciones, reglas o regulaciones obligatorias diseñadas para proveer a las políticas de la estructura y dirección que requieren para ser efectivas y significativas. F Falta: Es la consecuencia que resulta del incumplimiento de la normatividad, pueden ser faltas moderadas o graves. H Hardware: Se refiere a las características técnicas y físicas de las computadoras. Herramientas de seguridad: Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnológica. I Información:
En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje sobre un determinado ente o fenómeno. Información confidencial: Se define como cualquier información ya sea en forma electrónica, escrita o verbal, relacionada con el cumplimiento de las funciones, los asuntos u operaciones de la institución. Internet: Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes en donde cualquier usuarios consulta información de otra computadora conectada a esta red e incluso sin tener permisos necesarios acceder a dichos activos. Integridad: Se refiere a las medidas de salvaguarda que se incluyen en un sistema de información para evitar la pérdida accidental de los datos. M Maltrato, descuido o negligencia: Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario ejecuta y como consecuencia daña los recursos tecnológicos propiedad del Servicio Médico Nacional de Empleados públicos. Mecanismos de seguridad o de control Es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. Módem Inalámbrico:
Es un aparato electrónico que se adapta una Terminal o computadora y se conecta a una red de comunicaciones. N Norma o Normatividad: Conjunto de lineamientos que deberán seguirse de manera obligatoria para cumplir un fin dentro de una organización. P Políticas de Seguridad Es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad Planes de Continuidad de la Gestión: Se elaborar con el fin de reducir la discontinuidad de los servicios que pueda ser ocasionada por debilidades o fallas de seguridad que pueden materializarse luego de desastres naturales, accidentes, fallas en los equipos y acciones deliberadas como vandalismo. R Respaldo Archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o pérdida, si los originales se destruyen o quedan fuera de servicio. Riesgo: Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la
seguridad de éste. Usualmente el riesgo se mide por el impacto que tiene y su probabilidad de ocurrencia. S Seguridad informática: Es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Servidor: Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboración en la arquitectura cliente-servidor. Sistema de Información: Se denomina Sistema de Información al conjunto de procedimientos manuales y/o automatizados que están orientados a proporcionar información para la toma de decisiones. Software: Programas y documentación de respaldo que permite y facilita el uso de la computadora. El software controla la operación del hardware. Switch: Dispositivo de red que filtra y direcciona paquetes a las direcciones destinatarias. El switch opera en la capa de enlace de datos del modelo OSI.
U Usuario: Este término es utilizado para distinguir a cualquier persona que utiliza algún sistema, computadora personal, o dispositivo (hardware). V Virus: Programas o códigos maliciosos diseñados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir archivos o diskettes de computadoras. Vulnerabilidad: Es una debilidad de seguridad o hueco de seguridad, el cual indica que el activo es susceptible a recibir un daño a través de un ataque, ya sea intencionado o accidental.

Empfohlen

Ley federal de protección
Ley federal de protecciónLey federal de protección
Ley federal de protecciónCecytem Nezahualcoyotl II
 
Adaptacion A La Ley Organica De Proteccion De Datos Lopd
Adaptacion A La Ley Organica De Proteccion De Datos LopdAdaptacion A La Ley Organica De Proteccion De Datos Lopd
Adaptacion A La Ley Organica De Proteccion De Datos Lopdjoseponspascual
 
Manual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaManual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaLecy Sarahi Ramirez Reyes
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Eduardo Maradiaga
 
seg industrial
seg industrialseg industrial
seg industrialJuan Carlitos
 
Sayuri anaya (1)
Sayuri anaya (1)Sayuri anaya (1)
Sayuri anaya (1)Sayuri Anaya
 
Ley de habes data.
Ley de habes data.Ley de habes data.
Ley de habes data.FlorenciaBorgogno1
 
Protección de datos. Normativa y regulación.
Protección de datos. Normativa y regulación.Protección de datos. Normativa y regulación.
Protección de datos. Normativa y regulación.Mónica Rueda
 

Empfohlen

Ley federal de protección
Ley federal de protecciónLey federal de protección
Ley federal de protecciónCecytem Nezahualcoyotl II
 
Adaptacion A La Ley Organica De Proteccion De Datos Lopd
Adaptacion A La Ley Organica De Proteccion De Datos LopdAdaptacion A La Ley Organica De Proteccion De Datos Lopd
Adaptacion A La Ley Organica De Proteccion De Datos Lopdjoseponspascual
 
Manual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaManual de politicas de seguridad informatica
Manual de politicas de seguridad informaticaLecy Sarahi Ramirez Reyes
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Eduardo Maradiaga
 
seg industrial
seg industrialseg industrial
seg industrialJuan Carlitos
 
Sayuri anaya (1)
Sayuri anaya (1)Sayuri anaya (1)
Sayuri anaya (1)Sayuri Anaya
 
Ley de habes data.
Ley de habes data.Ley de habes data.
Ley de habes data.FlorenciaBorgogno1
 
Protección de datos. Normativa y regulación.
Protección de datos. Normativa y regulación.Protección de datos. Normativa y regulación.
Protección de datos. Normativa y regulación.Mónica Rueda
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajvajv_86
 
MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO COMERCIALIZADORA JE TOURS SAS
 
Mt312
Mt312Mt312
Mt312Angela Rocío García Amado
 
Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3Julio Cesar Labrador Castillo
 
Listado saludseguridadtrabajo
Listado saludseguridadtrabajoListado saludseguridadtrabajo
Listado saludseguridadtrabajoSeguridad E Higiene Laboral
 
Informe de optativa
Informe de optativaInforme de optativa
Informe de optativaLeonel Ibarra
 
Modulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de DatosModulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de DatosANTONIO GARCÍA HERRÁIZ
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
Grupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuarioGrupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuarioGustavo Martinez Saldias
 
Requisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamarasRequisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamarasseguridadpica
 
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Urania Estrada Ruiz
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Universidad Tecnológica del Perú
 
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...Miguel A. Amutio
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaChavira15
 
La importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaLa importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaUniversidad Autónoma de Baja California
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridadEventos Creativos
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion ImpulsemDeSa CONSULTORES S.L
 
POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE jorge24910
 

Weitere ähnliche Inhalte

Was ist angesagt?

Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajvajv_86
 
Modulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de DatosModulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de DatosANTONIO GARCÍA HERRÁIZ
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasPribatua
 
Requisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamarasRequisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamarasseguridadpica
 

Was ist angesagt? (10)

Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
 
MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO
 
Mt312
Mt312Mt312
Mt312
 
Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3Gestión y seguridad informatica act. 3
Gestión y seguridad informatica act. 3
 
Listado saludseguridadtrabajo
Listado saludseguridadtrabajoListado saludseguridadtrabajo
Listado saludseguridadtrabajo
 
Informe de optativa
Informe de optativaInforme de optativa
Informe de optativa
 
Modulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de DatosModulo I parte 11 Curso Protección de Datos
Modulo I parte 11 Curso Protección de Datos
 
Marco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras CríticasMarco jurídico - Protección de Infraestructuras Críticas
Marco jurídico - Protección de Infraestructuras Críticas
 
Grupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuarioGrupo 1 responsabilidad de usuario
Grupo 1 responsabilidad de usuario
 
Requisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamarasRequisitos exigibles instalacion_videocamaras
Requisitos exigibles instalacion_videocamaras
 

Ähnlich wie Manual politicas seguridad

Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Urania Estrada Ruiz
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...Miguel A. Amutio
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaChavira15
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE jorge24910
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beayeniferbaez
 
Politica seguridad-informacion-proteccion-datos-personales
Politica seguridad-informacion-proteccion-datos-personalesPolitica seguridad-informacion-proteccion-datos-personales
Politica seguridad-informacion-proteccion-datos-personalesOmar Alexandre Torres Umba
 
Informatica manual de_organizacion_y_funciones_unidad_de_informatica
Informatica manual de_organizacion_y_funciones_unidad_de_informaticaInformatica manual de_organizacion_y_funciones_unidad_de_informatica
Informatica manual de_organizacion_y_funciones_unidad_de_informaticajuanhernandez942092
 
REVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludREVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludFabián Descalzo
 
Manual tecnovigilancia-
Manual tecnovigilancia-Manual tecnovigilancia-
Manual tecnovigilancia-dad ruz
 

Ähnlich wie Manual politicas seguridad (20)

Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
Manualdepolticasdeseguridadinformtica 110713162548-phpapp02
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica
 
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspec...
 
La importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informáticaLa importancia-del-factor-humano-en-la-seguridad-informática
La importancia-del-factor-humano-en-la-seguridad-informática
 
La importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informáticaLa importancia del factor humano en la seguridad informática
La importancia del factor humano en la seguridad informática
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraUnidad III Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Politica seguridad-informacion-proteccion-datos-personales
Politica seguridad-informacion-proteccion-datos-personalesPolitica seguridad-informacion-proteccion-datos-personales
Politica seguridad-informacion-proteccion-datos-personales
 
Informatica manual de_organizacion_y_funciones_unidad_de_informatica
Informatica manual de_organizacion_y_funciones_unidad_de_informaticaInformatica manual de_organizacion_y_funciones_unidad_de_informatica
Informatica manual de_organizacion_y_funciones_unidad_de_informatica
 
REVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la saludREVISTA CISALUD seguridad en la salud
REVISTA CISALUD seguridad en la salud
 
Manual tecnovigilancia-
Manual tecnovigilancia-Manual tecnovigilancia-
Manual tecnovigilancia-
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 

Mehr von ragmyl

Pst 2do proyecto
Pst 2do proyectoPst 2do proyecto
Pst 2do proyectoragmyl
 
Contenido de proyectos (guia para la realización del Proyecto))
Contenido de proyectos (guia para la realización del Proyecto))Contenido de proyectos (guia para la realización del Proyecto))
Contenido de proyectos (guia para la realización del Proyecto))ragmyl
 
Diagrama ()
Diagrama ()Diagrama ()
Diagrama ()ragmyl
 
Pst cuestionario fact_oper (preliminar)
Pst cuestionario fact_oper (preliminar)Pst cuestionario fact_oper (preliminar)
Pst cuestionario fact_oper (preliminar)ragmyl
 
Pst primera entrega
Pst primera entregaPst primera entrega
Pst primera entregaragmyl
 
Pst planteamiento del problema
Pst planteamiento del problemaPst planteamiento del problema
Pst planteamiento del problemaragmyl
 
Ficha proyecto
Ficha proyectoFicha proyecto
Ficha proyectoragmyl
 
Informe Implantación
Informe ImplantaciónInforme Implantación
Informe Implantaciónragmyl
 
Pst Toma Decisiones Unificado
Pst Toma Decisiones UnificadoPst Toma Decisiones Unificado
Pst Toma Decisiones Unificadoragmyl
 
Lenguajes De Programación Web
Lenguajes De Programación WebLenguajes De Programación Web
Lenguajes De Programación Webragmyl
 
Frameworks de Java
Frameworks de JavaFrameworks de Java
Frameworks de Javaragmyl
 
Instalacion Postgres
Instalacion PostgresInstalacion Postgres
Instalacion Postgresragmyl
 
Entrega 170809 Cuestionario Entrevista
Entrega 170809 Cuestionario EntrevistaEntrega 170809 Cuestionario Entrevista
Entrega 170809 Cuestionario Entrevistaragmyl
 
Wamserver
WamserverWamserver
Wamserverragmyl
 
Servicios Debian
Servicios DebianServicios Debian
Servicios Debianragmyl
 
Presentacion Proyecto 2da Parte
Presentacion Proyecto 2da PartePresentacion Proyecto 2da Parte
Presentacion Proyecto 2da Parteragmyl
 
Presentacion Proyecto 1era Parte
Presentacion Proyecto 1era PartePresentacion Proyecto 1era Parte
Presentacion Proyecto 1era Parteragmyl
 

Mehr von ragmyl (17)

Pst 2do proyecto
Pst 2do proyectoPst 2do proyecto
Pst 2do proyecto
 
Contenido de proyectos (guia para la realización del Proyecto))
Contenido de proyectos (guia para la realización del Proyecto))Contenido de proyectos (guia para la realización del Proyecto))
Contenido de proyectos (guia para la realización del Proyecto))
 
Diagrama ()
Diagrama ()Diagrama ()
Diagrama ()
 
Pst cuestionario fact_oper (preliminar)
Pst cuestionario fact_oper (preliminar)Pst cuestionario fact_oper (preliminar)
Pst cuestionario fact_oper (preliminar)
 
Pst primera entrega
Pst primera entregaPst primera entrega
Pst primera entrega
 
Pst planteamiento del problema
Pst planteamiento del problemaPst planteamiento del problema
Pst planteamiento del problema
 
Ficha proyecto
Ficha proyectoFicha proyecto
Ficha proyecto
 
Informe Implantación
Informe ImplantaciónInforme Implantación
Informe Implantación
 
Pst Toma Decisiones Unificado
Pst Toma Decisiones UnificadoPst Toma Decisiones Unificado
Pst Toma Decisiones Unificado
 
Lenguajes De Programación Web
Lenguajes De Programación WebLenguajes De Programación Web
Lenguajes De Programación Web
 
Frameworks de Java
Frameworks de JavaFrameworks de Java
Frameworks de Java
 
Instalacion Postgres
Instalacion PostgresInstalacion Postgres
Instalacion Postgres
 
Entrega 170809 Cuestionario Entrevista
Entrega 170809 Cuestionario EntrevistaEntrega 170809 Cuestionario Entrevista
Entrega 170809 Cuestionario Entrevista
 
Wamserver
WamserverWamserver
Wamserver
 
Servicios Debian
Servicios DebianServicios Debian
Servicios Debian
 
Presentacion Proyecto 2da Parte
Presentacion Proyecto 2da PartePresentacion Proyecto 2da Parte
Presentacion Proyecto 2da Parte
 
Presentacion Proyecto 1era Parte
Presentacion Proyecto 1era PartePresentacion Proyecto 1era Parte
Presentacion Proyecto 1era Parte
 

Manual politicas seguridad

  • 1. Servicio Médico Nacional de Empleados Públicos MANUAL DE POLÍTICAS Y NORMAS DE SEGURIDAD EN INFORMÁTICA SEGURIDAD EN 1 de 30 INFORMÁTICA Mayo de 2010 Página :
  • 2. Servicio Médico Nacional de Empleados Públicos Historial del Documento Fecha de Elaborado por: Control Elaboración Versión cambio Luis Ng Gimenez Miguel 22/05/10 1.0 Sanchez Yessenia Zerpa Aroidemar SEGURIDAD EN 2 de 30 INFORMÁTICA Mayo de 2010 Página :
  • 3. Servicio Médico Nacional de Empleados Públicos CONTENIDO INTRODUCCIÓN.........................................................................................................4 VIGENCIA....................................................................................................................6 OBJETIVO....................................................................................................................6 ALCANCE.................................................................................................................... 6 SANCIONES POR INCUMPLIMIENTO....................................................................6 BASES LEGALES .......................................................................................................7 Ley contra los Delitos Informáticos.............................................................................. 7 Decreto N° 825..........................................................................................................9 Decreto N° 3390........................................................................................................9 SEGURIDAD ORGANIZACIONAL. .........................................................................9 1.1. POLÍTICAS GENERALES DE SEGURIDAD.................................................9 1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS........................................... 12 1.3. SEGURIDAD LIGADA AL PERSONAL ......................................................13 SEGURIDAD FÍSICA................................................................................................ 14 2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS ......................14 2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO................................... 15 SEGURIDAD LOGICA .............................................................................................16 3.1. CONTROL DE APLICACIONES...................................................................16 3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO..................................17 3.3. CONTROL DE ACCESO A USUARIOS ...................................................... 17 3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES.......................................18 POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA................................................................................. 19 SEGURIDAD EN 3 de 30 INFORMÁTICA Mayo de 2010 Página :
  • 4. INTRODUCCIÓN La base para que una organización pueda funcionar de forma correcta en el ámbito de seguridad en informática, conduce con la definición y descripción de las políticas. Las políticas y normas de seguridad destinadas a instituciones, surgen como un lineamiento organizacional para concientizar a cada uno de sus miembros sobre la importancia y sensibilidad de la información. El presente documento tiene como finalidad dar a conocer las políticas y Normas de Seguridad en Informática que deberán tener los usuarios representados por los Técnicos de historias médicas, Doctores y personal administrativo del Servicio Médico Nacional de Empleados Públicos para proteger adecuadamente los activos tecnológicos y la información del centro de salud. En términos generales los siguientes criterios: Política organizacional: Dentro de este, se establece el marco de seguridad que debe sustentar la Institución, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones irregular sobre la seguridad. Seguridad física:
  • 5. Identifica los controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad lógica: Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Política de Concientización para el Cumplimiento de la Seguridad Informática: Concientizar a todos los empleados del Servicio Médico Nacional de Empleados Públicos sobre su obligación de conocer y aplicar la normativa en materia de seguridad informática para lograr un cambio favorable en la cultura organizacional.
  • 6. VIGENCIA El documento presentado entrará en vigor desde el momento en que éste sea aprobado como documento técnico de seguridad informática por la Directora del Servicio Médico Nacional de Empleados Públicos, el cual deberá ser revisado y actualizado conforme a las exigencias y necesidades del centro de salud. OBJETIVO Brindar la información necesaria a los usuarios del centro, sobre las políticas y normas de seguridad en informática que deben cumplir y utilizar para proteger el hardware y software perteneciente al Servicio Médico Nacional de Empleados Públicos, así como la información que es procesada y almacenada en estos. ALCANCE El documento describe las Políticas y Normas de Seguridad que deberán aplicar de manera obligatoria todos los empleados para el buen uso de los equipos de cómputo, aplicaciones y servicios informáticos del Servicio Médico Nacional de Empleados Públicos. SANCIONES POR INCUMPLIMIENTO Todos los usuarios del Servicio Médico Nacional de Empleados Públicos deberán hacer el uso adecuado de los recursos informáticos y de información, así como comprometerse a cumplir con lo establecido en el Manual de Políticas y Normas en Seguridad Informática. Se establecerán medidas disciplinarias para el cumplimiento efectivo de las políticas las cuales se representan de la siguiente forma:
  • 7. Faltas moderadas: Se consideran violaciones moderadas la divulgación de las contraseñas de los equipos, daños a los equipos computacionales y el uso no autorizado de dispositivos de almacenamiento (CD, pen drive). La sanción estará representada por amonestaciones que van desde la suspensión temporal o perdida de Cesta ticket hasta el despido justificado contra el usuario responsable. • Faltas Graves: Se consideran violaciones graves el robo, daño, divulgación de información reservada o confidencial de las historias médicas o información general del Servicio Médico. Las sanciones estarán sujetas a la Ley Especial contra los Delitos Informáticos. BASES LEGALES Ley contra los Delitos Informáticos Artículo 6 Expresa: Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias. Artículo 7 Expresa: Sabotaje o daño a sistemas. El que destruya, dañe, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.
  • 8. Artículo 8 Expresa: Sabotaje o daño culposos. Si el delito previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios. Artículo 9 Expresa: Acceso indebido o sabotaje a sistemas protegidos. Las penas previstas en los artículos anteriores se aumentarán entre una tercera parte y la mitad cuando los hechos allí previstos o sus efectos recaigan sobre cualquiera de los componentes de un sistema que utilice tecnologías de información protegido por medidas de seguridad, que esté destinado a funciones públicas o que contenga información personal o patrimonial de uso restringido sobre personas o grupos de personas naturales o jurídicas El Artículo 13 expresa el hurto de la siguiente forma: Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 14 declara: Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades tributarias. Artículo 20, Expresa: Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de
  • 9. su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén incorporadas en un computador o sistema que utilice tecnologías de información, será penada con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o información para un tercero. Decreto N° 825 El Estado declara la utilización del Internet para el beneficio de la eficiencia en la administración pública, la salud y la educación. Decreto N° 3390 Artículo 1. Expresa: La Administración Pública Nacional empleará prioritariamente Software Libre desarrollado con Estándares Abiertos, en sus sistemas, proyectos y servicios informáticos. A tales fines, todos los órganos y entes de la Administración Pública Nacional iniciarán los procesos de migración gradual y progresiva de éstos hacia el Software Libre desarrollado con Estándares Abiertos. Nivel 1. SEGURIDAD ORGANIZACIONAL. 1.1. POLÍTICAS GENERALES DE SEGURIDAD 1.1.1 El Servicio Médico Nacional de Empleados Públicos nombrará y asignará un grupo, representado por un comité de seguridad, que de seguimiento al cumplimiento de las normativas. Tendrá entre sus funciones: a) Velar por la seguridad de los activos informáticos b) Gestión y procesamiento de la información c) Elaboración de planes de seguridad d) Capacitación a usuarios en temas de seguridad
  • 10. e) Poner especial atención a los usuarios de la red institucional sobre sugerencias o quejas con respecto al funcionamiento de los activos de información. f) Concientizar a los empleados. 1.1.2. Los empleados del Servicio Médico Nacional de Empleados Públicos, gozaran de absoluta privacidad sobre su información o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red institucional. De acuerdo con lo establecido en la Ley contra los Delitos Informáticos. 1.1.3. Los usuarios tendrán acceso a Internet, como lo expresa el Decreto 825 nombrado en las bases legales, siempre y cuando se cumplan con las normas de seguridad establecidas en este manual. 1.1.4. Regular el correcto uso de correo electrónico en el Servicio Médico Nacional de Empleados Públicos. Se asignarán cuentas de correo electrónico por departamento, creándose la cuenta con la primera inicial del nombre del usuario seguido del apellido. Ejem. Acarrillo@serviciomedico.gob. Así mismo queda prohibido el envío de correos electrónicos anónimos, estos deben ser enviados con su respectiva firma y con copia a su jefe directo. 1.1.5. Se realizará un monitoreo periódico sobre el uso de los correos, a fin de eliminar aquellas cuentas que no sean utilizadas. Adicionalmente a esto, se llevará acabo una depuración de forma semestral.
  • 11. 1.1.6. Para garantizar la seguridad de la información, se establecerán filtros y medidas para regular el acceso a contenidos no autorizados en pro al cumplimiento de esta normatividad; por lo tanto, se prohíbe: • Utilizar el correo electrónico, para intimidar, insultar o acosar a otras personas, o interferir con el trabajo de los demás. • Provocar intencionalmente el mal funcionamiento de computadoras y sistemas. • Utilizar los servicios de red para jugar, ver publicaciones variadas y pornografía. 1.1.7. Llevar el registro y control de las direcciones IP de los equipos conectados a la red con acceso a Internet y la información de los usuarios. Para llevar el control de las direcciones Se pretende utilizar el rango de direcciones de Clase C desde la 192.168.1.1 a la 192.168.1.255, mascara de red 255.255.255.224, mascara de subred en formato barra diagonal /27 para 30 equipos o equipos por subred y sería como sigue: Rango SubRed IP Subred IP Broadcast 192.168.1.33-192.168.1.62 192.168.1.32 192.168.1.63 192.168.1.65 – 192.168.1.94 192.168.1.64 192.168.1.95 192.168.1.97 –192.168.1.126 192.168.1.96 192.168.1.127 192.168.1.129 -192.168.1.158 192.168.1.128 192.168.1.159 Tabla 1: Control de Direcciones IP 1.1.8. Proporcionar la documentación actualizada de la red local. 1.1.9. Solucionar fallas menores como son: cables desconectados, pérdida de suministro de energía eléctrica en los equipos de datos,
  • 12. desconfiguración de las computadoras de los usuarios o direcciones IP repetidas. Además de Brindar mantenimiento preventivo y/o correctivo únicamente a los equipos que cuente con número de inventario. 1.2.1. Se segmentarán de manera lógica las redes, a través de la creación de Vlan, las cuales permiten organizar grupos conectados a la red. Dichos grupos serán basados por los diferentes departamentos del Servicio Médico Nacional de Empleados Públicos. La configuración de las Vlan en los dispositivos (Switch) estará establecida por un número de Vlan, seguido del nombre del departamento. Ejemplo: Sw1( config) # vlan 10 Sw1 (config-vlan)# name HISTORIAS MÉDICAS 1.2. CLASIFICACIÓN Y CONTROL DE ACTIVOS 1.2.1. Responsabilidad por los Activos Los jefes de cada departamento del Servicio Médico Nacional de Empleados Públicos, (coordinadores y directores) son responsables de mantener o proteger los activos del centro de salud de mayor importancia. 1.2.3 Clasificación de la información
  • 13. Cada departamentos del Servicio Médico Nacional de empleados Públicos, es responsables de clasificar la información de acuerdo al nivel de importancia. Se tomará como base, los siguientes criterios, como niveles de importancia, para clasificar la información: • Pública: información global sobre eventos, jornadas de vacunación, información sobre citas médicas, etc. • Interna: información propia de cada departamento (reportes). • Confidencial: el acceso a las historias médicas solo esta permitido únicamente por el personal del departamento de historias médicas y estadísticas de salud, representado por los técnicos de historia médicas y jefe directo de dicho departamento. La información confidencial a la cual cada empleado tiene acceso debe ser administrada, de modo que no sea divulgada a personas que podrían utilizarla en beneficio propio, en contra de terceros o de la propia institución. Ningún Empleado debe modificar, borrar, esconder o divulgar información en beneficio propio o de terceros. Esta norma hace referencia a la base legal que sustenta el principio de confidencialidad de la información, establecida en el articulo seis (6) de la Ley contra los Delitos Informáticos. 1.3. SEGURIDAD LIGADA AL PERSONAL 1.3.1. Capacitación de Usuarios
  • 14. Todo empleado del Servicio Médico de nuevo ingreso como los que se encuentran fijos dentro del centro, contaran con la inducción sobre el Manual de Políticas y normas de Seguridad en Informática. Se darán a conocer las obligaciones para los usuarios y las sanciones que pueden existir en caso de incumplimiento. 1.3.2 El material de apoyo para las capacitaciones (manuales, guías, etc.) será entregado minutos antes de iniciar la capacitación. 1.3.4 La institución deben elaborar un plan de recuperación y respaldo de información generada en los sistemas, bases de datos, así como la información residente en los equipos de los empleados del Servicio Médico Nacional de Empleados, donde los respaldos deberán realizarse periódicamente conforme a las características de los equipos, las aplicaciones y los datos asociados este respaldo lo realizará cada jefe de departamento. Nivel 2. SEGURIDAD FÍSICA 2.1 PROTECCIÓN, UBICACIÓN Y ACCESO A LOS EQUIPOS 2.1.1 Uso y Acceso a los Equipos Computacionales. Los departamentos del Servicio médico, asi como el cuarto de comunicaciones son áreas restringuida, por lo que solo el personal
  • 15. autorizado, técnico de historias médicos, técnico de sistema y/o personal administrativo pueden acceder a estos espacios. Esta prohibido que personas ajenas accedan y operen dichos equipos. 2.1.2. Los usuarios no deben mover o reubicar los equipos o de telecomunicaciones, instalar o desinstalar dispositivos. 2.1.3. Mientras se opera el equipo de cómputo, no se deberá fumar, consumir alimentos o ingerir líquidos, ya que estas acciones pueden dañar el equipo. De igual forma el empleado deben evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del CPU. 2.1.4. Queda prohibido que el usuario abra o desarme los equipos de cómputo. 2.1.5. El equipo de que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario a quien se le fue asignado, deberá cubrir el valor de la reparación o reposición del equipo o accesorio afectado. 2.1.6 Queda prohibido el uso de módems inalámbricos en las computadoras. 2.2 USO DE DISPOSITIVOS DE ALMACENAMIENTO 2.2.1 Toda solicitud para utilizar un medio de almacenamiento (CD, pen drive) deberán contar con la autorización del jefe directo. El personal que requiera estos medios debe justificar su utilización.
  • 16. 2.2.2 El uso de los CD es exclusivo para respaldos de información que por su volumen así lo justifiquen. Y sólo serán utilizados por los jefes de cada departamento. Nivel 3. SEGURIDAD LOGICA 3.1. CONTROL DE APLICACIONES. 3.1.1. Uso del software Libre. Partiendo del decreto 3390, el Servicio Médico Nacional de Empleados Públicos por ser un ente perteneciente a la Administración Pública Nacional empleará Software Libre desarrollado con estándares abiertos, en sus sistemas, proyectos y servicios informáticos. 3.1.2 Instalación de Software.
  • 17. Los usuarios que requieran la instalación de software, deberán justificar su uso y solicitar su autorización a su jefe directo, a través de un oficio firmado, indicando el equipo donde se instalará el software y el período de tiempo que permanecerá dicha instalación. 3.2. PROTECCIÓN CONTRA SOFTWARE MALICIOSO 3.2.1 Prevenir Contaminaciones por Virus Informáticos. Los usuarios del Servicio Médico Nacional de Empleados Publicose sólo utilizarán el software que se le haya sido asignado. 3.2.2 Todos los archivos de computadora que sean proporcionados por personal interno o externo, considerando bases de datos, documentos y hojas de cálculo que tengan que ser descomprimidos, deberán ser verificadas para evitar que contenga algún tipo de virus antes de su ejecución. 3.3. CONTROL DE ACCESO A USUARIOS 3.3.1 El uso de Nombres de Usuarios y contraseñas. Cada empleado del Servicio Médico Nacional de Empleados Públicos se le La asignara un nombre de usuario y una contraseña, esta debe ser realizada de forma individual, por lo que el uso de contraseñas compartidas está prohibida. 3.3.2 Cuando un usuario olvide, bloquee o extravíe su contraseña deberá levantar un reporte dirigido a su jefe directo, para que este gestione el cambio de contraseña, una vez que lo reciba deberá cambiarlo en el momento en que acceda nuevamente a la infraestructura tecnológica.
  • 18. Si el empleado olvida su contraseña más de tres veces, esta acción será tomada como una falta moderada, y se le aplicará una sanción. (Ver Página 7). 3.3.3. Esta prohibido que las contraseñas de acceso se encuentren de forma legible en cualquier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlas. 3.3.4. Todos los usuarios deberán observar los siguientes lineamientos para la construcción de sus contraseñas: • Deben estar compuestos por lo menos por seis (6) caracteres y máximo diez (10), estos caracteres deben ser alfanuméricos. • Deben ser difíciles de adivinar, esto implica que las contraseñas no deben relacionarse con el trabajo o la vida personal del empleado. • No deben ser idénticos o similares a contraseñas que hayan usado previamente. 3.3.5. La contraseña tendrá una vigencia de 30 días, finalizando este periodo el usuario recibe una solicitud electrónica para el cambio de contraseña. 3.4 ADMINISTRACIÓN DE PRIVILEGIOS O ROLES 3.4.1 Cambio de Privilegios o Roles Cualquier cambio en los roles y responsabilidades de los usuarios que modifique sus privilegios de acceso a la red del servicio Médico Nacional, deberán ser notificados a los jefes directo o a el personal encargado de los sistemas.
  • 19. Nivel 4. POLÍTICA DE CONCIENTIZACIÓN PARA EL CUMPLIMIENTO DE LA SEGURIDAD INFORMÁTICA 4.1 CUMPLIMIENTO DE LAS POLÍTICAS Y NORMAS DE SEGURIDAD 4.1.1 Revisiones del cumplimiento. La máxima autoridad del Servicio Médico Nacional Empleados públicos, y los jefes de cada departamento deberán realizar acciones de verificación del cumplimiento del Manual de Políticas y Normas de Seguridad Informática semestralmente. 4.1.2 Los Planes de Continuidad de la Gestión Se deberán elaborar respectivos Planes de Continuidad de la Gestión y de procesos alternos de tecnologías de información. La utilización de propagandas impresas, carteleras de concientización donde se incluyan controles y procedimientos destinados a identificar el buen uso del Manual y de las Políticas y Normas de Seguridad ayudando así a reducir riesgos.
  • 20. GLOSARIO A Acceso: Tipo específico de interacción entre un sujeto y un objeto que resulta en el flujo de información de uno a otro. Es el privilegio de un sujeto para utilizar un objeto. Aplicación: En informática, las aplicaciones son los programas con los cuales el usuario final interactúa a través de una interfaz y que realizan tareas útiles para éste. Conjunto completo y auto contenido de instrucciones que se utilizan para realizar una determinada tarea, como procesamiento de texto, contabilidad o administración de datos. Autorización: Es el proceso de asignar a los usuarios permisos para realizar actividades de acuerdo a su perfil o puesto. B Bases de Datos: Colección almacenada de datos relacionados, requeridos por las organizaciones e individuos para que cumplan con los requerimientos de proceso de información y recuperación de datos. C CD
  • 21. Medio de almacenamiento de información. Computadora Es un conjunto de dispositivos electrónicos que forman una máquina electrónica capaz de procesar información siguiendo instrucciones almacenadas en programas. Confidencialidad Se refiere a que la información no sea divulgada a personal no autorizado para su conocimiento. Contraseña: Palabra de paso compuesta por la combinación de caracteres alfabéticos, numéricos y especiales; la cuál es requerida para tener acceso a los sistemas de información, componentes de hardware, bases de datos y otros componentes electrónicos. Control de Acceso Es un mecanismo de seguridad diseñado para prevenir, salvaguardar y detectar acceso no autorizado y permitir acceso autorizado a un activo tecnológico. Correo Electrónico: Herramienta informática que permite el trasiego de mensajes entre usuarios de computadoras. Permite además la incorporación de archivos de documentos, imágenes y voz. Cuentas de Usuario:
  • 22. Es un identificador, el cual es asignado a un usuario del sistema para el acceso y uso de la computadora, sistemas, aplicaciones, red, etc. D Descargar: Acción de transferir información computarizada de una computadora a otra. Descomprimir: Acción que se lleva a cabo después de haber comprimido un archivo para regresarlo a su estado original. Disco Duro: Dispositivo encargado de almacenar información de forma permanente en una computadora. Disco de metal cubierto con una superficie de grabación magnética Disponibilidad: Se refiere a que la información esté disponible en el momento que se requiera Dispositivo: Se puede definir Dispositivo como un aparato, artificio, mecanismo, artefacto, órgano o elemento de un sistema. Dispositivo de telecomunicaciones: Un dispositivo de telecomunicación es uno de los varios dispositivos de hardware, que permiten que ocurra la comunicación electrónica o que se lleve a cabo en forma eficiente. Casi todos los sistemas de telecomunicaciones usan uno o más de estos dispositivos para transmitir o convertir señales.
  • 23. E Estación de trabajo: Es un ordenador o computador que facilita a los usuarios el acceso a los servidores y periféricos de la red. Estándar: Los estándares son actividades, acciones, reglas o regulaciones obligatorias diseñadas para proveer a las políticas de la estructura y dirección que requieren para ser efectivas y significativas. F Falta: Es la consecuencia que resulta del incumplimiento de la normatividad, pueden ser faltas moderadas o graves. H Hardware: Se refiere a las características técnicas y físicas de las computadoras. Herramientas de seguridad: Son mecanismos de seguridad automatizados que sirven para proteger o salvaguardar a la infraestructura tecnológica. I Información:
  • 24. En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje sobre un determinado ente o fenómeno. Información confidencial: Se define como cualquier información ya sea en forma electrónica, escrita o verbal, relacionada con el cumplimiento de las funciones, los asuntos u operaciones de la institución. Internet: Es un sistema a nivel mundial de computadoras conectadas a una misma red, conocida como la red de redes en donde cualquier usuarios consulta información de otra computadora conectada a esta red e incluso sin tener permisos necesarios acceder a dichos activos. Integridad: Se refiere a las medidas de salvaguarda que se incluyen en un sistema de información para evitar la pérdida accidental de los datos. M Maltrato, descuido o negligencia: Son todas aquellas acciones que de manera voluntaria o involuntaria el usuario ejecuta y como consecuencia daña los recursos tecnológicos propiedad del Servicio Médico Nacional de Empleados públicos. Mecanismos de seguridad o de control Es un control manual o automático para proteger la información, activos tecnológicos, instalaciones, etc. Módem Inalámbrico:
  • 25. Es un aparato electrónico que se adapta una Terminal o computadora y se conecta a una red de comunicaciones. N Norma o Normatividad: Conjunto de lineamientos que deberán seguirse de manera obligatoria para cumplir un fin dentro de una organización. P Políticas de Seguridad Es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad Planes de Continuidad de la Gestión: Se elaborar con el fin de reducir la discontinuidad de los servicios que pueda ser ocasionada por debilidades o fallas de seguridad que pueden materializarse luego de desastres naturales, accidentes, fallas en los equipos y acciones deliberadas como vandalismo. R Respaldo Archivos, equipo, datos y procedimientos disponibles para el uso en caso de una falla o pérdida, si los originales se destruyen o quedan fuera de servicio. Riesgo: Es el potencial de que una amenaza tome ventaja de una debilidad de seguridad (vulnerabilidad) asociadas con un activo, comprometiendo la
  • 26. seguridad de éste. Usualmente el riesgo se mide por el impacto que tiene y su probabilidad de ocurrencia. S Seguridad informática: Es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Servidor: Computadora que responde peticiones o comandos de una computadora cliente. El cliente y el servidor trabajan conjuntamente para llevar a cabo funciones de aplicaciones distribuidas. El servidor es el elemento que cumple con la colaboración en la arquitectura cliente-servidor. Sistema de Información: Se denomina Sistema de Información al conjunto de procedimientos manuales y/o automatizados que están orientados a proporcionar información para la toma de decisiones. Software: Programas y documentación de respaldo que permite y facilita el uso de la computadora. El software controla la operación del hardware. Switch: Dispositivo de red que filtra y direcciona paquetes a las direcciones destinatarias. El switch opera en la capa de enlace de datos del modelo OSI.
  • 27. U Usuario: Este término es utilizado para distinguir a cualquier persona que utiliza algún sistema, computadora personal, o dispositivo (hardware). V Virus: Programas o códigos maliciosos diseñados para esparcirse y copiarse de una computadora a otra por medio de los enlaces de telecomunicaciones o al compartir archivos o diskettes de computadoras. Vulnerabilidad: Es una debilidad de seguridad o hueco de seguridad, el cual indica que el activo es susceptible a recibir un daño a través de un ataque, ya sea intencionado o accidental.