-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
1. OBJETIVO
Establecer requisitos, polticas, reas de control y controles de
seguridad para les redes de APLISALUD / APLITICS. 2. ALCANCE Este
documento aplica para la administracin de la seguridad las redes
WAN y LAN de APLISALUD / APLITICS 3. DEFINICIONES 3.1 Seguridad de
la informacin: Preservar la disponibilidad, integridad y
confidencialidad de la informacin y de los servicios de
procesamiento de la informacin. 4. REQUISITOS GENERALES
Requisitos (Anexo ISO 27001)
Recursos Necesarios
Productos o resultados esperados
A.6.1.7 Contacto con los grupos de inters
Dispositivos de red
Software y
hardware de seguridad
Servicios de
red
Operacin continua y
segura de la red
A.10.1.4 Separacin de instalaciones de desarrollo, ensayo y
operacin
A.10.4.1 Controles contra cdigos maliciosos
A.10.4.2 Controles contra cdigos mviles
A.10.6.1 Controles de las redes
A.10.6.2 Seguridad de los servicios de red
A.10.8.4 Mensajera electrnica
A.10.8.5 Sistema de informacin del negocio
A.10.9.3 Informacin disponible al publico
A.10.10.6 Sincronizacin de relojes
A.11.2.3 Gestin de contraseas
A.11.3.2 Equipo de usuario desatendido
A.11.3.3 Poltica de escritorio y pantalla despejados
A.11.4.1 Poltica de uso de los servicios de la red
A.11.4.2 Autenticacin de usuarios para conexiones externas
A.11.4.3 Identificacin de equipos de las redes
A.11.4.4 Proteccin de puertos de configuracin y diagnstico
remoto
A.11.4.5 Separacin de la redes
A.11.4.6 Control de conexin a las redes
A.11.4.7 Control de enrutamiento en la red
A.11.5.1 Procedimientos de registro e inicio seguro
A.11.5.2 Identificacin y autenticacin de usuarios
A.11.5.3 Sistema de gestin de contraseas
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Requisitos (Anexo ISO 27001)
Recursos Necesarios
Productos o resultados esperados
A.11.5.4 Uso de las utilidades del sistema
A.11.5.5 Tiempo de inactividad de la sesin
A.11.5.6 Limitacin de tiempo de conexin
A.11.6.1 Restriccin de acceso a la informacin
A.11.6.2 Aislamiento de sistemas sensibles
A.12.4.1 Control de software operativo
A.12.4.3 Control de acceso al cdigo fuente de los programas
A.12.5.3 Restricciones en cambios en paquetes de software
A.12.5.4 Fuga de informacin
5. POLTICAS Y REQUISITOS DE SEGURIDAD 5.1 Requisitos de
seguridad para la red Los requisitos de seguridad para Aplitics /
Aplisalud, se definen con base en: - Poltica de seguridad de la
informacin - Requisitos de los clientes del sector salud 5.2
Polticas de seguridad en la red Tomando como base los requisitos de
seguridad Aplitics / Aplisalud ha definido las siguientes polticas
para el uso de sus servicios en la red:
- Se debe garantizar la oportunidad en la entrega de informes de
auditora de salud de acuerdo con las necesidades del cliente y de
los entes de control
- La informacin solo debe ser entregada a los usuarios
autorizados
- No se debe entregar informacin del cliente a terceros sin su
autorizacin
- Las conexiones desde y hacia la red, deben ser autorizadas por
el administrador
- El acceso a aplicativos y al dominio de Aplisalud se realiza
mediante contraseas individuales. Se prohbe el uso compartido de
contraseas.
- Los usuarios de aplicativos al ausentarse del puesto de
trabajo debern cerrar el aplicativo.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
- Se debe controlar la procedencia del correo electrnico y el
tipo de archivos en los
adjuntos mediante la configuracin del servidor de correo para
evitar la entrada de correo Spam. Actualmente ste control lo
realiza Microsoft.
- Para evitar la congestin en la red y mantener la
disponibilidad se limita el tamao de los archivos anexos al correo
a 25 MB, este caso no aplica para correos masivos ya que para estos
los adjuntos deben ser inferiores a 2 megas. En caso de requerirse
mayor capacidad debe ser autorizada por el Director de Sistemas y
estar sujeto a la disponibilidad del canal. Para los correos
masivos solo se permite enviar a 500 personas por correo. Estn
directrices se encuentran alineadas con la plataforma de correo de
Microsoft (Outlook 365).
- Se debe restringir el acceso a pginas de internet de acuerdo a
polticas del Proxy Ver
Anexo 8 Restriccin de Proxy asegurando que el uso solo est
relacionado con actividades laborales. En caso de requerirse
accesos especiales debe ser autorizado por escrito por el director
de rea.
- La restriccin de acceso a pginas de internet debe enfocarse en
prevenir descarga de msica, videos, acceder a emisoras y/o
televisin en el equipo, ejecutar archivos sospechosos, sitios con
contenidos pornogrficos u ofensivos, redes sociales y cualquier
actividad que ponga en riesgo el buen funcionamiento de la red
incluyendo la congestin del canal, de encontrase a algn funcionario
violando esta poltica de inmediato se iniciara un proceso
disciplinario.
- La informacin corporativa o empresarial que es administrada
por los usuarios debe almacenarse en una carpeta compartida en el
servidor de archivos con acceso directo desde el escritorio de cada
equipo, con excepcin de los equipos del rea administrativa y tendr
por nombre: Nombre del usuario. (Sede principal).
- Se cuenta con programas de antivirus actualizados a la fecha,
PANDA actualizado y
debidamente licenciado, dispuesto en todos los equipos de cmputo
los cuales sern sometidos a revisin peridica (mensual). Ver Anexo 2
Monitoreo y Soporte de Panda.
- El Analista Administrador de la Red es el responsable de
administrar el antivirus, mantenerlo actualizado y evitar que
cualquier virus se propague en la red y eso se hace mediante un
monitoreo segn Anexo 2 Monitoreo y Soporte de Panda.
- - Los analistas de soporte son los administradores de las
estaciones de trabajo y deben
configurarlas restringiendo la instalacin de programas y las
modificaciones a la configuracin, aplica solo para sede
principal.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
- Los analistas de soporte son los encargados de administrar los
inventarios de todos los
equipos que estn relacionados en la red de Aplisalud
- Todas las conexiones a Internet deben hacerse a travs del
Proxy. Se cuenta con dos proxy y segn nivel de restriccin se le
configura uno u otro Ver Anexo 8 Restriccin de Proxy.
- Como medida de proteccin todas las comunicaciones deben
realizarse a travs del
Firewall el cual es administrado por el analista encargado de
administrar la red.
- Las polticas de configuracin del Firewall son:
Configuracin de internet Configuracin de usuario de las VPN
Configuracin de puerto de los servidores Configuracin de zonas
desmilitarizadas (DMZ) Configuracin de LAN Configuracin de rutas
estticas Ver II-10 Configuracin de Polticas del Firewall.
- Debe utilizarse los puertos que autorice y configure sistemas
para cualquier tipo de
conexin externa es configuracin se especifica en el II-10
Configuracin de Polticas
del Firewall.
- Es responsabilidad del administrador de la red, garantizar la
disponibilidad del acceso a los aplicativos y a la navegacin en
internet al personal autorizado.
- Es responsabilidad de los analistas de desarrollo garantizar
que en caso de falla los aplicativos permanezcan en un estado
seguro.
- Es responsabilidad del administrador de la red asignar a cada
usuario por medio de polticas en el dominio el mnimo de accesos y
privilegios que necesite en los servicios, para minimizar los daos
en caso de que la cuenta de un usuario sea invadida o quiera
realizar actividades diferentes a las autorizadas ver Anexo 4
Configuracin Polticas de Seguridad.
- Es responsabilidad del administrador de la red verificar
diariamente, el porcentaje de utilizacin del canal de
comunicaciones y de internet Ver II-09 Instructivo Monitoreo
Monowall; solo es vlido para la sede donde est configurado un
firewall, para las
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
dems sucursales solo se puede monitorear el ancho de banda del
canal. En caso de encontrarse una falla, se debe registrar en el
FI-56 Reporte de Fallas Sistema de Gestin de Seguridad de la
Informacin.
- Dentro del proceso de mejoramiento continuo, permanentemente
se hace renovacin de la plataforma tecnolgica segn necesidades de
la empresa para garantizar eficiencia y evitar problemas de
continuidad.
- El licenciamiento de software comercial y aplicaciones es
responsabilidad de la Direccin de Sistemas.
- Todo los equipos que ingresen a Aplisalud sea por compra o
alquiler deben tener licencia de sistema operativo. Para el caso de
office se cuentan con 30 licencias de office 2007, 55 de office 365
y para los dems libre office.
6. ARQUITECTURA Y APLICACIONES DE LAS REDES
6.1 Arquitectura de la red - Tipo de red: LAN y/o WAN
dependiendo del cliente
- Protocolo de red utilizado y caractersticas de seguridad
TCP/IP y Firewall
- Aplicaciones de la red y requisitos de seguridad:
Nombre Tipo Descripcin Requisitos de seguridad
LAN Configuracin de red local
Interconexin de reas fsicas conectadas mediante canales
dedicados. Los canales dedicados unen el centro de cmputo del 4
piso con
Existe toda la seguridad fsica que requiere un centro de cmputo
como lo son el acceso restringido, aire acondicionado y soportados
por UPS. El centro de cmputo y los dos cuartos de cableado
ubicados
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
los cuartos de cableado del 2 y 4 piso en la sede principal.
en la sede principal cuentan con certificacin de todos los
puntos.
WAN Configuracin de red global
Interconexin de todas las sedes a nivel nacional por medio del
uso de internet
El firewall en Aplisalud restringe el acceso a la red. Los
Aplicativos tienen control de acceso mediante grupos de trabajo
definidos y autorizados por el director del rea correspondiente y
controlada por usuario y contrasea.
TCP/IP Protocolo de comunicacin
Es el protocolo ms utilizado por los niveles de seguridad que
este tiene
Configuracin mediante direccionamiento IP.
Firewall Configuracin de seguridad de red
Es el software que comprueba la informacin procedente de
Internet o de una red y, a continuacin, bloquea o permite el paso
de sta a los equipos de Aplisalud, en funcin de la configuracin
hecha.
Requiere validacin de usuario y contrasea para la modificacin.
Se mantiene un backup de la configuracin programada y el medio de
instalacin.
Centros de Computo
Infraestructura Son los centros dedicados para el almacenamiento
de equipos, cables de comunicacin y servidores
Cumple con todas las normas requeridas para un centro de cmputo
como lo es: energa regulada, UPS para los proteccin de equipos,
ventilacin adecuada, acceso restringido
Aplisys Coosalud Aplicacin cliente- servidor para el cliente
Coosalud
Aplicativo genrico donde se registra todo el proceso de Auditora
de Cuentas desde la recepcin de la factura hasta el informe que se
le entrega al cliente Coosalud.
Existe una base de datos centralizada en la sede principal, con
control de accesos y privilegios por usuario dependiendo del tipo
de usuario. Conexin mediante acceso remoto o por VPN desde las
sucursales. Requiere internet para la conexin en las sucursales.
Requiere autorizacin y validacin de usuario y contrasea.
Disponibilidad permanente
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Aplisys Emssanar Aplicacin cliente-
servidor para el cliente Emssanar
Aplicativo genrico donde se registra todo el proceso de Auditora
de Cuentas desde la recepcin de la factura hasta el informe que se
le entrega al cliente.
Existe una base de datos centralizada en la sede principal de
Emssanar en Cali, control de accesos y privilegios por usuario
diferentes dependiendo del perfil del usuario. Conexin tipo LAN
para el ingreso al aplicativo Requiere autorizacin y validacin de
usuario y contrasea. Disponibilidad permanente
Aplisys Asmetsalud
Aplicacin cliente- servidor para el cliente Asmetsalud
Aplicativo genrico donde se registra todo el proceso de Auditora
de Cuentas desde la recepcin de la factura hasta el informe que se
le entrega al cliente Asmetsalud.
Existe una base de datos centralizada en la sede principal, con
control de accesos y privilegios por usuario dependiendo del tipo
de usuario. Conexin mediante acceso remoto o por VPN desde las
sucursales. Requiere internet para la conexin en las sucursales.
Requiere autorizacin y validacin de usuario y contrasea.
Disponibilidad permanente
Aplisys Concurrencia
Aplicativo tipo WEB
Aplicativo donde se registra todo el proceso de Auditora
Concurrente, toda la informacin queda registraba en una base de
datos con motor Oracle y est ubicada en el centro de cmputo y de
esta se generan los informes que requieren Aplisalud o el
Cliente.
Existe una base de datos centralizada en la sede principal, con
control de accesos y privilegios por usuario dependiendo del tipo
de usuario. Conexin mediante ambiente web. Se debe tener instalado
en cada equipo el navegador de Mozilla Firefox. Requiere internet
para la conexin. Requiere autorizacin y validacin de usuario y
contrasea. Disponibilidad permanente
Aplirips
Aplicativo local Aplicativo de suma de indicadores segn la
informacin suministrada en los Rips
N/A
Audirips Aplicacin cliente- servidor
Aplicativo que arma una estructura para
Control de acceso mediante usuario y contrasea.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
actualizar la base de datos de Aplisys partiendo de los RIPS
Conexin LAN
Rips importer web Aplicacin cliente- servidor
Aplicativo que depura y corrige la informacin defectuosa que
llega en los Rips, el proceso se hace registro a registro con
dependencia absoluta del usuario.
Control de acceso mediante usuario y contrasea. Conexin LAN
Definicin de roles de usuarios.
Solution report Aplicacin cliente- servidor
Es el aplicativo que permite generar los diferentes informes
para la empresa y para los diferentes clientes.
Control de acceso mediante usuario y contrasea. Conexin LAN. Se
instala el aplicativo previa autorizacin de la Direccin de cuentas
Mdicas. Accesa la copia del da anterior de la base de datos, para
no interferir con los procesos en lnea.
Ofimtica Escritorio Es el software comercial, que en algunos
casos puede ser libre, el cual sirve como complemento para el
trabajo de los usuarios en la empresa.
Se cuenta con las licencias y los contratos para manejo por
volmenes. Las licencias permanecen custodiadas por el administrador
de la red. Tener la disponibilidad de realizar las actualizaciones
(Las que son con licencia). Los equipos que no requiere trabajo
estricto con ofimtica, cuentan con licencia de libre office.
Escritorios remotos
Emulaciones de terminal
Utilidad que permite acceder remotamente a un equipo mediante
una direccin IP o mediante el nombre del equipo.
Control de acceso mediante usuario y contrasea. Requiere
disponibilidad de internet o de una conexin LAN.
VPN Emulaciones de terminal
Es una conexin que permite trabajar al usuario remoto, como si
perteneciera a la red local a la que se est conectando.
Control de acceso mediante usuario y contrasea. Debe tener una
direccin IP pblica o dominio. Siempre se restringe el acceso a
travs del firewall.
FTP Emulaciones de terminal
Es un protocolo de red para la transferencia de archivos entre
sistemas conectados a un tipo de red, basado en la
Control de acceso mediante usuario y contrasea. Restricciones de
acceso.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
arquitectura cliente-servidor
Servidores de archivos
Almacenamiento local
Servidores que permiten almacenar la informacin relevante de la
empresa manipulada por cada uno de los usuarios.
Control de acceso mediante usuario y contrasea.
Servidor de base de datos Coosalud
cliente servidor: Sirve para almacenar la informacin ingresada
por los usuarios que ingresan al aplicativo (Aplisys- Coosalud)
Control de acceso a la base de datos mediante usuario y
contrasea. Se encuentra Instalada mquinas virtuales con acceso
restringido y con todas las condiciones requeridas para los
servidores. Cumple con roles de usuarios para su acceso
Servidor de base de datos Emssanar
cliente servidor: Sirve para almacenar la informacin ingresada
por los usuarios que ingresan al aplicativo (Aplisys- Emssanar)
Control de acceso a la base de datos mediante usuario y
contrasea. Se encuentra Instalada mquinas virtuales con acceso
restringido y con todas las condiciones requeridas para los
servidores. Cumple con roles de usuarios para su acceso
Servidor de base de datos Asmetsalud
cliente servidor: Sirve para almacenar la informacin ingresada
por los usuarios que ingresan al aplicativo (Aplisys-
Asmetsalud)
Control de acceso a la base de datos mediante usuario y
contrasea. Se encuentra Instalada mquinas virtuales con acceso
restringido y con todas las condiciones requeridas para los
servidores. Cumple con roles de usuarios para su acceso
Servidor de base de datos Aplisys Concurrencia
cliente servidor: Sirve para almacenar la informacin ingresada
por los usuarios que ingresan al aplicativo (Aplisys-
Concurrencia)
Control de acceso a la base de datos mediante usuario y
contrasea. Se encuentra instalada en mquinas virtuales con acceso
restringido y con todas las condiciones requeridas para los
servidores. Cumple con roles de usuarios para su acceso
Correo Mensajera Correo institucional, administrado por
Se cuentan con tres tipos de cuentas
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Exchange de Office 365
Kiosco: con 2 GB de Almacenamiento y no tiene backup. No es
posible la sincronizacin con Outlook E1: con 50 GB de
almacenamiento y con respaldo de 15 das para los correos
eliminados. Se puede sincronizar con Outlook E2: con 50 GB de
almacenamiento y adicional con Archiving para la recuperacin de
correos eliminados con espacio ilimitado. Se puede sincronizar con
Outlook
BD Hmail Server
Base de datos Informacin que contiene las tablas, estructuras y
dems configuracin relevante para el Hmailserver
Se tiene respaldo de la informacin pero ya no se actualiza esta
base de datos.
Intranet Pgina web institucional interna
Es el medio que permite compartir archivos e informacin dentro
de la pgina web Institucional.
Control de acceso mediante usuario y contrasea.
Pgina WEB Pgina web Es el medio que permite a la empresa llegar
de forma electrnica a todos los clientes y usuarios ya sean
internos o externos.
Para la administracin de la pgina la seguridad es mediante
usuario y contrasea. Cumple con los roles de usuario para su acceso
y modificacin
HGI Cliente servidor. Aplicativo del rea financiera donde se
registra toda la informacin financiera, de nomina
Control de acceso al Aplicativo mediante usuario y contrasea. Se
encuentra instalada en una mquina virtual en un servidor del centro
de cmputo. Cumple con roles de usuarios para su acceso.
Activo Cliente servidor. Aplicativo del rea financiera donde se
registraba todo el proceso de contabilidad de la empresa antes del
2013. Este aplicativo solo se utiliza para consulta
Se encuentra Instalado en uno de los equipos de uno de los
funcionarios, pero el control de las actualizaciones e
instalaciones es exclusivo del proveedor. Cumple con roles de
usuarios para su acceso
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Panda Antivirus Software para
garantizar la proteccin de los equipos y la red interna.
La administracin del antivirus se hace mediante la pgina web de
panda (http://mop.pandasecurity.com). Control de acceso mediante
usuario y contrasea.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
6.2 Servicios de la red
Nombre del servicio
Descripcin del servicio
Caractersticas de prestacin
Requisitos de seguridad para el uso del servicio
Tecnologa Aplicada para la
seguridad
Internet Servicio de navegacin en la web para los usuarios de
Aplisalud.
SUCURSAL DESCRIPCIN
INTERNET POR SUCURSAL
CARTAGENA 8MB
CUCUTA 4 MB
SANTA MARTA 4MB
BARRANQUILLA 4MB
VALLEDUPAR 4MB
MONTERIA 2MB
SINCELEJO 4MB
CALI
1 Canal dedicado de 2 MB con Medelln ( 10MB ADSL 1 Canal
dedicado de 1 MB entre MEDELLIN y EMSSANAR Internet de 2 MB va
radio (EMSSANAR)
BUCARAMANGA 10 MB
BOYACA 4MB
ANTIOQUIA
6 MB por Fibra ptica (Sede de la 70) SERVIDOR CORREO 50 MB en la
AV 33 Por Fibra ptica 4 MB adicionales para telefona IP 10 MB FO
sede (TV 39 Casa)
Contrato con un proveedor de Internet. En todas las sucursales
para el uso del servicio se necesita ser un funcionario de
Aplisalud y estar ubicado en la red En Medelln para usar el
servicio requiere un configuracin local del Proxy En Medelln se
requiere la conexin a una VLAN En todas las sucursales para
utilizar el servicio Inalmbrico se requiere la autorizacin del
funcionario encargado de la sede
Conexin mediante autenticacin o contrasea de red inalmbrica.
Trafico autorizado mediante Firewall Control de acceso a pginas y
sitios no autorizados mediante Proxy. Control de acceso. Para el
control de entrada y de salida se maneja un firewall.
Correo Correo Institucional contratado con Microsoft Exchange en
la nube, para todos los usuarios de Aplisalud.
Accesibilidad y Disponibilidad para todos los empleados desde el
ingreso a la empresa. Tamao segn el tipo de cuenta contratada -E2:
50GB con Archiving
Recursos humanos autoriza mediante correo, la creacin de la
cuenta de correo para el nuevo usuario.
Office 365 Soporte de correo para la creacin de cuentas. Para la
cancelacin de cuentas, queda
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
-E1: 50 GB -K: 2Gb Existen cuentas de correo compartidas segn la
necesidad del procedimiento
El usuario utiliza la cuenta de correo hasta el momento de su
retiro. Debe tener conexin a internet. Para el uso de las cuentas
compartidas se requiere una solicitud autorizando la configuracin
en el equipo.
constancia firmada en la carta emitida por Talento Humano. FH-10
Acta de entrega del cargo Se baja la informacin de la cuenta de
correo a un PST y se guarda en la ruta \\172.16.0.61\f$\PST
personal retirado
Pgina web Servicio mediante el cual se comparte informacin
corporativa a clientes internos, externos y visitantes.
Accesibilidad y Disponibilidad para todos aquellos internautas
interesados en acceder a www.aplisalud.com
Exige acceso a Internet. Dependiendo del sitio de la pgina al
que quiera ingresar requiere validacin por usuario y contrasea
Respaldos peridicos en un disco externo, se sobrescribe segn
modificaciones. Se protege mediante usuario y contrasea para
realizar modificaciones en la pgina. La publicacin de informes a
los clientes y usuarios es autorizada y controlada por el director
de planeacin, o del rea correspondiente desde donde se verifica el
informe y se autoriza su publicacin. Esta autorizacin se hace
mediante correo al rea de sistemas.
Intranet Servicio que permite compartir informacin entre todos
los usuarios de APLISALUD
Accesibilidad y Disponibilidad para todos los empleados desde el
momento que ingresan a la empresa.
Requiere validacin por usuario y contrasea Restriccin de copias
y descarga de documentos
Se protege mediante usuario y contrasea para el acceso, para
copia, modificacin e impresin de documentos
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Telefona IP Servicio que
permite mediante una direccin IP compartir la telefona a nivel
local y nacional
Configuracin de todas las lneas telefnicas de la empresa
mediante un servidor Asterisk de voz sobre IP. Sistema operativo
Linux
Configuracin mediante servidor Asterisk y Firewall. Aplicacin de
polticas de contrasea segura para las extensiones. Restriccin de
clave para las llamadas nacionales e internacionales.
La planta de voz se encuentra instalada sobre sistema operativo
Linux Centos 5.8. Firewall configurado sobre Iptables. Asignacin y
cancelacin de claves de acuerdo a las necesidades de los usuarios.
La solicitud se hace mediante correo al encargado de la
administracin del servidor Asterisk. Utiliza internet
independiente, para garantizar seguridad y no interferir con la red
de datos de Aplisalud. No tiene autorizacin de llamadas
internacionales.
- Parmetros tcnicos de conexin: La conexin se hace mediante
acceso remoto o cliente
servidor a los aplicativos.
7. CARACTERSTICAS DE LA RED Y RELACIONES DE CONFIANZA
7.1 Caractersticas de la red - Clase de red: Privada - Tipo de
informacin a intercambiar: datos y voz - Red Empaquetada
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
7.2 Relaciones de confianza Se utiliza un nico dominio. - Medio:
Comunidad conocida de usuarios de varias organizaciones - Entre los
servidores no se han establecido relaciones de confianza. 8. REAS
DE CONTROL Y CONTROLES DE SEGURIDAD EN LA RED 8.1 CONTROLES DE
SEGURIDAD EN LA RED La red est conformada por la Jerarqua de
hardware e instalaciones, servicios y aplicaciones que proporcionen
una solucin completa y un ambiente de seguridad en la red.
Aplisalud tiene establecidas polticas y controles especficos para
cada dimensin de seguridad para las capas y planos de seguridad. A
continuacin se describen los controles de seguridad en la red:
8.2. CAPA DE SEGURIDAD EN EL HARDWARE E INFRAESTRUCTURA DE LA
RED
Este nivel incluye las instalaciones para la transmisin de
datos. Incluyen por ejemplo enrutadores (routers), Switches y
servidores y las conexiones entre estos elementos. El nivel de
infraestructura incluye los planos de administracin, control y
usuario final. Los controles con relacin a las dimensiones de
seguridad son:
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS (QUE)
CONTROLES / CONFIGURACIN DE SEGURIDAD (COMO)
Control de acceso a los equipos
Se cumple con toda la 11.4
11.4.1 Poltica de uso
de servicios de red
11.4.4 Proteccin de los puertos de
configuracin y diagnstico remoto
11.5.4 Uso de
utilidades del sistema.
Plano de Administracin y control: Solo tienen acceso autorizado
a los dispositivos de infraestructura, para actividades de
configuracin, cambios y mantenimiento el Analista Administrador de
la Red de forma local o remotamente (servidores, firewall y equipos
de comunicaciones)
El acceso fsico a servidores est controlado mediante llave y
acceso restringido al cuarto de servidores.
Se cuenta con vigilancia mediante un sistema de CCTV
El acceso a Switches (segundo piso) se controla en gabinetes con
llave bajo responsabilidad del Analista Administrador de Red.
No se tiene acceso lgico a los Switches y enrutadores del
proveedor ya que la administracin se tiene contratada con
ellos.
Para los servidores y equipos en los cuales reside la informacin
crtica de la empresa, se establece control de acceso mediante
usuario y contrasea nicamente por el Analista Administrador de la
Red, para ello Sistemas deber garantizar que toda la informacin
resida en los servidores y se le realicen copias de seguridad
automticamente.
Para el ingreso y retiro de equipos de comunicaciones y
servidores se requiere autorizacin firmada del Analista
Administrador de la red o Director de sistemas. Se lleva un
registro de ingreso y retiro de equipos.
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea.
Se tiene activos los puertos USB, CD/DVD, diskette y dems
perifrico debido a las condiciones de la empresa.
En el firewall estn configurado solamente los puertos que
requieren los servicios necesarios en Aplisalud, los dems puertos
no estn autorizados
Plano de Usuario Final: todos los usuarios en el dominio tienen
acceso nicamente a los servicios autorizados en sus equipos. Para
los equipos porttiles los usuarios son administradores de sus
equipos ya que requieren serlo, por cuestiones administrativas en
los sitios a donde viajan.
Lo mismo para algunos usuarios de la sede Medelln con estaciones
de trabajo fijas, que requieren ser administradores segn los
aplicativos instalados en sus equipos y adems deben tener usuario y
contrasea por ejemplo: Gerencia, Direccin Administrativa y
Financiera, Gestin Talento Humano, Gestin Calidad.
El acceso al edificio se controla mediante registro del personal
en la recepcin.
Para el ingreso y retiro de equipos porttiles de visitantes o
propiedad de empleados, se hace registro de entrada y salida.
Todos los puntos estn habilitador y no genera riesgo para la
informacin ni para los aplicativos ya que el acceso al dominio y a
los aplicativos se controla media usuario y contrasea, al igual
para la navegacin
Autenticacin en los equipos
Plano de Administracin y control: El acceso a los dispositivos
por parte del Analista Administrador de la Red requiere
autenticacin. Para acceso remoto (servidores, firewall y equipos de
comunicaciones) tambin se requiere dicha autenticacin.
El acceso al dispositivo por parte del administrador (servidores
y equipos de comunicaciones) requieren autenticacin mediante ID de
Usuario y Password.
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS (QUE)
CONTROLES / CONFIGURACIN DE SEGURIDAD (COMO)
11.5.2 Identificacin y autenticacin de
usuarios. 11.5.4 Uso de
utilidades del sistema.
11.5.3 Sistema de gestin de
contraseas
Plano de Usuario Final: El acceso a todas las estaciones de
trabajo por parte del Propietario requiere autenticacin de usuario
y contrasea
El acceso al equipo del usuario conectado al dominio (estaciones
de trabajo y equipos porttiles) requieren autenticacin mediante ID
de Usuario y Password. La configuracin de acceso incluye:
Un solo ID por usuario y Password
Se requiere la modificacin del Password inicial y que requiera
cambio peridico de contraseas seguras.
La contrasea requiere mnimo seis caracteres mezclando numricos y
alfanumricos
No se permite reutilizacin consecutiva de contraseas
No repudio (prueba de acceso a los
equipos)
Plano de Administracin y control: Se debe llevar un registro
como prueba de acceso de las actividades en el dispositivo que
identifique al Administrador y/o equipos remotos y la accin
ejecutada.( FI-48 Formato Control de Cambios II-11 Instructivo
Control de Cambios y FI-56 Reporte de Fallas Sistema de Gestin de
Seguridad de la Informacin)
Los Servidores tienen LOGS de eventos que mezcla tareas de
administracin con otros eventos donde se puede identificar el
usuario.
Los Firewall llevan LOGS que identifican la direccin IP y el
nmero de intentos de acceso.
Se hace monitoreo de los LOGS para determinar cambios no
autorizados e intentos de acceso a la red.
Toda solicitud de cambio que se realice a los equipos de
comunicaciones de terceros debe quedar registrada en el FI-48
Formato Control de Cambios. Ya que no se tiene acceso a dichos
equipos.
Plano de Usuario Final: Se debe llevar un registro como prueba
de acceso al equipo que identifique al Propietario y/o equipos
remotos y la accin ejecutada.
Las estaciones de trabajo cuentan con LOG de eventos que
permiten identificar el usuario y el evento
En caso de presentarse fallas, violaciones a la seguridad, entre
otros, el analista de sistemas realizar monitoreo de los LOGS para
determinar cambios no autorizados en el equipo, navegacin, software
descargado, programas ms utilizados, etc.
Confidencialidad de los datos (de la
configuracin de los equipos)
Plano de Administracin y control: Se debe proteger la
confidencialidad de la informacin acerca de la configuracin en los
dispositivos
Solo tienen acceso autorizado a la informacin de la configuracin
de los dispositivos el Analista Administrador de la Red
(servidores, enrutadores, firewall, switches, etc.).
Para el caso de los Switches Capa 3 la administracin se
encuentra restringida slo para el proveedor (UNE).
Solo tiene acceso a la configuracin del Firewall el analista
administrador de la red mediante usuario y password. A la
configuracin del Firewall se le hace un backup cada mes, el cual se
guarda en disco duro protegido mediante usuario y contrasea
Solo tiene acceso a la configuracin de los servidores el
analista administrador de la red mediante usuario y password.
A la configuracin de las aplicaciones en los servidores se le
hace copia de respaldo y se guarda en disco duro protegido mediante
usuario y contrasea bajo responsabilidad del administrador de la
red.
Existe una lista de chequeo para la configuracin de servidores,
la cual est protegida contra consulta mediante password.
La configuracin de Switches y Routers es responsabilidad del
analista administrador de la red y del proveedor (UNE). La
informacin de la configuracin de conectividad es responsabilidad
del administrador de la red (definicin de las VLAN). Anexo 5
Procedimiento Soporte de UNE.
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS (QUE)
CONTROLES / CONFIGURACIN DE SEGURIDAD (COMO)
Plano de Usuario Final: Se debe proteger la confidencialidad de
la informacin de la configuracin de estaciones de trabajo y equipos
porttiles.
Los usuarios del dominio tienen acceso restringido a la
configuracin de las estaciones de trabajo. La configuracin del
equipo solo puede ser modificada por el analista Soporte.
Existe una lista de chequeo para la configuracin de estaciones
de trabajo y porttiles.
Flujo de comunicacin segura
Plano de Administracin y control: La administracin remota de un
dispositivo de la red (si aplica), debe asegurar que la informacin
fluye solamente entre el dispositivo y la administracin remota.
Se debe proteger una posible interceptacin entre puntos.
La administracin remota para servidores, Firewall y equipos de
comunicacin se realiza a travs de conexiones seguras (VPN) por
parte del analista administrador de la red y directora de
sistemas
El cableado va protegido por tuberas, canastilla y canaletas.
Solo el analista administrador de la red, directora de sistemas, y
Directora Administrativa y financiera tienen acceso a los planos de
cableado.
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea.
Plano de Usuario Final: Se debe proteger la informacin de la
configuracin de estaciones de trabajo de posibles interceptaciones
en trnsito o en almacenamiento
La conexin para administracin remota a las estaciones de trabajo
o porttiles por parte del analista de soporte, debe ser autorizada
por el usuario (Team Viewer o VPN).
Para las estaciones de trabajo existe una poltica que impide la
instalacin de programas no autorizados, especialmente descargados
de Internet, esto para los usuarios que son administradores del
equipo. Para los usuarios que no son administradores del equipo y
se validan en el dominio, existe la restriccin desde este
Integridad de los datos (de la
configuracin de los equipos)
Plano de Administracin y control: Se debe proteger la integridad
de los datos de configuracin en los dispositivos de la red para
evitar dao, prdida o modificacin no autorizada
Se mantienen Back Up de la configuracin de los servidores.
Configuracin del firewall, y listas de chequeo de configuracin de
servidores en archivos protegidos y protegidos contra acceso bajo
responsabilidad del analista administrador de la red
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea.
Slo es vlido para estaciones de trabajo fijas. La integridad de
los datos de los equipos porttiles y de su configuracin, es
responsabilidad de cada usuario.
Plano de Usuario Final: Se debe proteger la informacin de la
configuracin de las estaciones de trabajo de dao, prdida o
modificacin no autorizada en el dispositivo
Existen listas de chequeo de la configuracin estaciones de
trabajo y porttiles, estas listas se entregan al proveedor del
equipo en el momento que se requiere la configuracin.
Al momento de dao en la configuracin, el proveedor es el
encargado de realizar nuevamente la configuracin segn las listas de
chequeo del equipo.
Slo es vlido para estaciones de trabajo fijas. La integridad de
los datos de los equipos porttiles y de su configuracin, es
responsabilidad de cada usuario.
Disponibilidad (de los equipos)
Plano de Administracin y control: El Analista Administrador de
la Red debe tener disponibilidad de acceso a los dispositivos para
su administracin. Se deben evitar ataques de negacin o adulteracin
de informacin de autenticacin y acceso
El acceso fsico a los servidores y al Firewall est restringido a
todo el personal, solamente tiene acceso mediante llave el
administrador de la red. (Medelln y Cali)
El acceso lgico a los servidores est restringido a los
administradores de red mediante usuario y contraseas, se realizan
cambios de contrasea peridicamente.
El Firewall se tiene configurado para prevenir ataques de
negacin del servicio.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS (QUE)
CONTROLES / CONFIGURACIN DE SEGURIDAD (COMO)
Plano de Usuario Final: Se debe asegurar la disponibilidad a los
datos en los equipos a los usuarios finales y personal autorizado.
Se deben evitar ataques de negacin o adulteracin de informacin de
autenticacin y acceso
La informacin relevante no es almacenada localmente en los
equipos. Estos se almacenan en los servidores para mantener su
disponibilidad e integridad.
La disponibilidad de los equipos se garantiza mediante el acceso
al sistema por medio de un usuario y contrasea.
El usuario no tiene perfil de administrador en la Red, por lo
tanto no puede hacer cambios de contraseas y/o perfiles.
Los ataques de negacin en el equipo se previenen mediante el
antivirus configurado para actualizacin automtica en la nube, en el
momento de conexin a la red.
La disponibilidad de la informacin local en los equipos se
asegura mediante polticas de respaldo.
Algunos usuarios tienen el rol de Administrador de su equipo de
trabajo. Esto implica que pueden alterar la informacin de
autenticacin, acceso, configuracin y perfiles.
Privacidad (de la informacin del
equipo)
11.4.3 Identificacin de los equipos en las
redes
Plano de Administracin y control: La informacin que se usa para
identificar los dispositivos (nombre del dominio DNS) no puede
estar disponible para personal no autorizado.
Los servidores y firewall se identifican en la red mediante el
nombre y la direccin IP fija.
Los equipos de comunicaciones estn identificados por direcciones
IP, pero solo tienen acceso mdiate usuario y contrasea, los
administradores (incluyendo proveedores en los casos
requeridos)
La identificacin de los equipos no puede ser visualizada desde
redes externas. Este control se hace con el FIREWALL
Se cuenta con listados electrnicos de los nombres de los equipos
y esta informacin est disponible solo para los Analista
Administrador de la Red y protegida contra acceso no
autorizado.
Se realizan pruebas de vulnerabilidad para comprobar la eficacia
de los controles establecidos para cada dimensin de seguridad
ejemplo pruebas con ingreso con direcciones IP, se verifica si pide
usuario y contrasea
Plano de Usuario Final: Se debe asegurar que no se tiene acceso
no autorizado a la informacin del usuario (nombre, localizacin) o
las actividades realizadas por el usuario (sitios web visitados)
con la estacin de trabajo
Los equipos de usuario final se identifican en la red mediante
el nombre del equipo. La direccin IP puede ser fija o asignada por
el DHCP.
La informacin del usuario que se encuentra en el equipo solo se
puede consultar por el usuario o por el administrador con usuario y
password.
Desde el interior de la red se puede conocer el nombre del
equipo por su identificacin en la red.
Por defecto los equipos se configuran para impedir acceso
remoto. Solo se permite acceso a las carpetas compartidas por el
usuario-administrador
El firewall no permite la conexin externa no autorizada.
Para los equipos en los cuales el usuario es administrador del
equipo, la responsabilidad de la informacin que maneja es
estrictamente de l (Se debe tener algunas restricciones y
sensibilizar al personal con este rol)
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
8.3. SEGURIDAD EN LOS SERVICIOS DE LA RED
Este nivel incluye la seguridad de los servicios que se proveen
a los usuarios de la red. Estos servicios van desde conectividad,
los requeridos para dar acceso a Internet (autenticacin,
autorizacin, host, servicios de configuracin, servicio de dominio
de nombres), hasta servicios de valor agregado como telefona por
internet, VPN, mensajera instantnea etc.
Los controles con relacin a las dimensiones de seguridad se
enfocan en la configuracin de los servicios y la definicin de
niveles de autorizacin. Los controles aplican a servicios como:
Correo, Internet, VPN, Mensajera instantnea, Enlaces de datos o Voz
IP (VoIP).
El nivel de servicios incluye los planos de administracin,
control y usuario final. Los controles con relacin a las
dimensiones de seguridad son:
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Control de acceso a los servicios de
la red
11.4.1 Poltica de
uso de servicios de red
11.4.6 Control de conexin a las
redes
11.7.1 Computacin y comunicaciones
mviles.
11.7.2 Trabajo de
remoto
Plano de Administracin y Control: Solo tienen acceso autorizado
a los servicios de red, para actividades de configuracin, cambios y
mantenimiento el Analista Administrador de la Red
El control de acceso a las actividades administrativas de los
servicios se hace mediante Usuario y Password. El servicio de VoIP
se tiene contratado con un tercero y es el nico que tiene acceso
mediante Usuario y Password para este servicio. Este proveedor
entrega soporte de informe mensual de lo que se realiza para la
administracin de la red y es responsable de la seguridad de ella.
Todas las solicitudes para la creacin, modificacin o soporte de
extensiones, son autorizadas por el director del rea
correspondiente y se hacen al proveedor mediante correo. Las nicas
personas autorizadas para solicitar servicios de soporte son: La
encargada de recepcin, el director de tecnologa, el funcionario de
sistemas encargado de administrar la red.
Plano de Usuario Final: Solo tienen acceso a los servicios de
red los usuarios autorizados. La conexin a los servicios de la red
solo puede realizase desde el interior de la misma o con conexiones
externas autorizadas por la direccin de sistemas.
(Internet, Correo, VPN, Mensajera Instantnea, Conectividad)
Se tiene establecido un mtodo de autenticacin nico e
intransferible por usuario para los servicios de procesamiento de
informacin.
Mediante el procedimiento de PI-13 Control de acceso, se definen
permisos de acceso a los servicios por propietario con la
autorizacin del director de rea.
Las conexiones a la red para trabajo remoto, requieren hacerlo
mediante el servicio de VPN o por Terminal server.
Las conexiones para visitantes y proveedores requieren
autorizacin del administrador de la red, mediante usuario y
contrasea.
La Red de telefona IP, funciona en la sede principal, por un
canal de internet separado del canal local, con el fin de no
compartir la red de datos con la de voz.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Autenticacin
11.4.2 Autenticacin de
usuarios para conexiones externas.
11.4.7 Control de enrutamiento en la
red
11.5.2 Identificacin y
autenticacin de usuarios.
Plano de Administracin y control: El acceso a los servicios de
red por parte del Analista Administrador de la Red requiere
verificacin de identidad de la persona.
El control de autenticacin para acceso a las actividades
administrativas de los servicios se hace mediante Usuario y
Password asignado a los administradores del activo.
Plano de Usuario Final: El acceso a los servicio de red por
parte del Usuario requiere autenticacin
Todo usuario requiere autenticacin para acceso a los servicios
de la red mediante usuario y Password.
Para asegurar el correcto enrutamiento se adicionan los
segmentos de red vlidos del dominio de la empresa.
Se cuenta con bases de datos de autenticacin para los diferentes
servicios de red. (Ej. Active Directory), bajo responsabilidad de
los administradores que son los nicos usuarios con privilegios de
modificacin.
No repudio
Plano de Administracin y control: Se debe llevar un registro
como prueba de acceso de las actividades del servicio de red que
identifique al Administrador y/o equipos remotos y la accin
ejecutada.(FI-48 para los cambios y FI-56 para fallas)
En los LOGS de eventos de los servidores se registran las
actividades de administracin de los servicios. Formatos: FI-48
Formato Control de Cambios, FI-56 Reporte de Fallas Sistema de
Gestin de Seguridad de la Informacin.
Plano de Usuario Final: Se debe llevar un control que garantice
que todos los usuarios puedan acceder a los servicios de la red que
estn autorizados
En caso de falla se lleva se registra en el formato FI-56
Reporte de Fallas Sistema de Gestin de Seguridad de la Informacin y
se ejecutan los procedimientos de contingencia para solucionar los
inconvenientes de los usuarios.
Confidencialidad de los datos
10.8.4 Mensajera electrnica
Plano de Administracin y control: Se debe proteger la
confidencialidad de la informacin acerca de la configuracin de los
servicios de la red ya sea en la red o medio de almacenamiento.
Las instrucciones especficas de configuracin de servicios, se
encuentran en archivos de texto bajo responsabilidad del Analista
Administrador de la Red con acceso controlado. Anexo 6 Configurar
cuenta de correo electrnico en Outlook.
Plano de Usuario Final: Se debe proteger la confidencialidad de
la informacin de actividades del usuario procesada, almacenada o
transportada por el servicio de red
El flujo de informacin en los dems servicios (correo, Internet y
Mensajera) no es encriptada pero se protege mediante los controles
de acceso de los usuarios a los servicios mediante ID de Usuario y
Password.
Se limita el tamao de los archivos adjuntos en el servicio de
correo electrnico para entrada y salida mximo 25 megas. En cuanto a
los correos masivos se limita a 500 cuentas de correo.
Es de aclarar que las restricciones del tamao del correo
dependen en muchas ocasiones del destinatario y de las
restricciones de otras plataformas de correo externas.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Flujo de comunicacin
segura
10.8.4 Mensajera electrnica
Plano de Administracin y control: La administracin remota de un
servicio de red (si aplica), debe asegurar que la informacin fluye
solamente entre el dispositivo y la administracin remota. Se debe
proteger una posible interceptacin entre puntos
Se tiene acceso restringido a los equipos donde corren los
servicios (servidores, comunicacin, firewall).
Se tiene acceso restringido a los centros de cableado bajo
responsabilidad del Analista Administrador de la Red
La configuracin de los servicios se hace sobre los servidores y
equipos en los que corren, o a travs de la red bajo responsabilidad
de los administradores.
Los cambios en configuracin solo se pueden hacer por
administradores con control de acceso (usuario y password) y por la
red LAN, VPN o directamente en el servidor que provee el
servicio.
Plano de Usuario Final: Se debe proteger la Informacin
procesada, almacenada o transportada por el servicio de red de
posibles interceptaciones
La informacin que fluye en los servicios est protegida por los
controles de acceso mediante ID y Password para:
- Correo - Internet - VPN - Mensajera instantnea (SKYPE,
LYNC))
Integridad de los datos
Plano de Administracin y control: Se debe proteger la integridad
de la informacin acerca de la configuracin de los servicios de la
red para evitar dao, prdida o modificacin no autorizada, ya sea que
la informacin se encuentre en el dispositivo o en cualquier otro
punto de almacenamiento.
Se tiene los soportes de la configuracin que entregan todos los
proveedores de la red con cada uno de los servicios contratados.
Estn almacenados los correos e impresos los reportes en el archivo
de sistemas
Plano de Usuario Final: Se debe proteger la informacin del
usuario final procesada, almacenada o transportada por el servicio
de red de dao, prdida o modificacin no autorizada
Se tiene integridad de los datos en las bases de datos de los
aplicativos ya que estos estn protegidos por usuario y
contrasea.
La informacin que viaja a travs del correo electrnico no tiene
la seguridad para garantizar la integridad de los datos enviados y
recibidos.
La informacin que se almacena en el servidor de respaldos
corresponde a los PST que se descargan de los usuarios que ya no
laboran en la empresa. Est protegida por las polticas de acceso y
respaldo (Ver MI-05 Polticas de seguridad de la informacin).
Para la informacin en las estaciones de trabajo el usuario debe
aplicar las reglas definidas en el MP-02 Manual de polticas
Institucionales - Uso de las tecnologas de la Informacin
Disponibilidad
Plano de Administracin y control: El Analista Administrador de
la Red debe tener disponibilidad a los servicios de red para su
administracin. Se deben evitar ataques de negacin o adulteracin de
informacin de autenticacin y acceso.
El acceso fsico a los equipos donde corren los servicios est
restringido a los administradores y el lgico mediante
contraseas
El Firewall se tiene configurado para prevenir ataques de
negacin del servicio
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
11.5.5 Tiempo de inactividad de la
sesin
11.5.6 Limitacin del tiempo de
conexin
Plano de Usuario Final: Se debe asegurar la disponibilidad al
servicio de red a los usuarios finales y personal autorizado. Se
deben evitar ataques de negacin o adulteracin de informacin de
autenticacin y acceso
Se cuenta con la certificacin de cableado estructurado de la red
que garantiza la comunicacin.
La mayor parte de la plataforma tecnolgica se tiene contrata con
terceros para garantizar la renovacin permanente y evitar problemas
de continuidad
El Firewall se tiene configurado para prevenir ataques de
negacin del servicio.
La configuracin de los equipos del dominio asegura que los
servicios de red en sesiones inactivas se suspenden despus de 15
minutos, pero no se establece limitacin de tiempo de conexin.
Privacidad
Plano de Administracin y control: La informacin que se usa para
identificar los servicios de red (direcciones IP, nombre del
dominio DNS) no puede estar disponible para personal no
autorizado.
Los servidores se identifican en la red mediante el nombre y la
direccin IP fija, mediante direccionamiento IP Privado. Los
switches administrables, routers, mdems, solo se identifican con la
direccin IP. Las estaciones de trabajo se identifican por el nombre
del equipo, el nombre del usuario y en algunos casos por la
direccin IP para los que la tienen fija.
La identificacin de los equipos no puede ser visualizada desde
redes externas. Este control se hace con el FIREWALL
Se cuenta con listados electrnicos de los nombres de los
equipos.
Plano de Usuario Final: Se debe asegurar que no se tiene acceso
no autorizado a la informacin del usuario (nombre, localizacin) o
las actividades realizadas por el usuario (sitios web visitados) en
el servicio de red
Los equipos de usuario final se identifican en la red mediante
el nombre y la direccin IP.
La informacin del equipo est protegida por el control de acceso
con usuario y Password.
Los administradores tienen la facultad de realizar control
remoto (Licencia de TeamViewer) a las estaciones de trabajo
mediante aplicativos que requieren autorizacin por parte del
usuario.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
8.4 SEGURIDAD EN LAS APLICACIONES
Este nivel incluye la seguridad de las aplicaciones que operan
en la red. Incluyen correo electrnico (email), mensajes de voz,
CRM, Comercio electrnico / mvil, aplicaciones corporativas etc.
El nivel de aplicaciones incluye los planos de administracin,
control y usuario final. Los controles con relacin a las
dimensiones de seguridad son:
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Control de acceso
10.8.5 Sistemas de informacin del
negocio
11.5.4 Uso de utilidades del
sistema.
11.7.1 Computacin y comunicaciones
mviles.
11.7.2 Trabajo de remoto
12.4.3 Control de acceso al cdigo
fuente de los programas
Plano de Administracin y control: Solo tienen acceso autorizado
a las aplicaciones en red, para actividades de configuracin,
cambios y mantenimiento el Administrador de la Red.
Para tener acceso a las actividades administrativas de las
aplicaciones, el administrador de la red y desarrollo deben tener
un usuario y contrasea. Para acceder a los cdigos fuentes se deber
solicitar autorizacin al administrador de la red o al director de
sistemas y desarrollo. Los analistas de desarrollo deben solicitar
autorizacin al Administrador de la Red y al Director de Sistemas
para realizar los pasos a produccin. En la fase de pruebas y
desarrollo deben tener acompaamiento del Administrador de la
Red.
Plano de Usuario Final: Solo tienen acceso a las aplicaciones en
red los usuarios autorizados. El acceso a uso de las aplicaciones
solo debe realizarse en la red de la ORGANIZACIN o por conexiones
seguras autorizadas por la Direccin de Sistemas.
Mediante el procedimiento de PI-13 Control de acceso, se definen
permisos de acceso a las aplicaciones por propietario con la
autorizacin del director de rea y el visto bueno de la direccin de
tecnologa y comunicaciones.
Para todos los aplicativos y accesos a los sistemas en Red, cada
uno de los usuarios tienen su propio usuario y contraseas.
Las conexiones para trabajo remoto por fuera del permetro de
seguridad a las aplicaciones en la red o para equipos porttiles
fuera de la red, solo se pueden realizar mediante el servicio de
VPN.
Si un equipo porttil se conecta a otras redes por fuera del
permetro de seguridad, en su reconexin asume las polticas de
seguridad.
Autenticacin
11.5.2 Identificacin y
Plano de Administracin y control: El acceso a las aplicaciones
en red por parte de los Analista Administrador de la Red requiere
verificacin de identidad tanto de la persona como de los
dispositivos usados para acceso remoto
El control de autenticacin para acceso a las actividades
administrativas de las aplicaciones se hace mediante Usuario y
Password asignado a los administradores propietarios de los
activos, para acceso a los equipos en que se encuentran instaladas
las aplicaciones.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
autenticacin de usuarios.
Plano de Usuario Final: El acceso a las aplicaciones en red por
parte del Usuario requiere autenticacin
Para todos los aplicativos y accesos a los sistemas en Red, cada
uno de los usuarios tienen su propio usuario y contraseas.
No repudio
Plano de Administracin y control: Se debe llevar un registro
como prueba de acceso de las actividades en las aplicaciones en red
que identifique al Administrador y/o equipos remotos y la accin
ejecutada.
Switches y enrutadores no cuentan con almacenamiento de LOGS.
Los Servidores tiene LOGS de eventos que mezcla tareas de
administracin con otros eventos donde se puede identificar el
usuario. Los Firewall llevan LOGS que identifican el usuario pero
no la accin ejecutada
Todos los aplicativos tienen un sistema de auditoria para
controlar y llevar seguimiento a las actividades que los usuarios
realizan dentro de los aplicativos.
Plano de Usuario Final: : Se debe llevar un registro como prueba
de acceso que identifique al usuario que accede a las aplicaciones
en red
Todos los aplicativos tienen un sistema de auditoria para
controlar y llevar seguimiento a las actividades que los usuarios
realizan dentro de los aplicativos.
Mensualmente se generan informes de productividad por usuario
para las reas de auditora.
Confidencialidad de los datos
Plano de Administracin y control: Se debe proteger la
confidencialidad de la informacin acerca de la configuracin de las
aplicaciones en red ya sea en la red o medio de almacenamiento.
Se tienen instrucciones especficas de configuracin de
aplicaciones en archivos de texto bajo responsabilidad del
propietario del activo con acceso controlado y back Up. A la
informacin administrada en los sistemas de informacin solamente
tiene acceso el administrador de las bases de datos. A su vez, el
administrador de la base de datos tiene un convenio de
confidencialidad de la informacin manipulada por este.
Plano de Usuario Final: Se debe proteger la confidencialidad de
la informacin de actividades del usuario procesada, almacenada o
transportada por las aplicaciones en red
La confidencialidad de la informacin en las aplicaciones se
controla por la gestin de acceso a las mismas aplicaciones.
Los datos registrados por el usuario mediante el uso de las
aplicaciones, estn almacenados en bases de datos y solo pueden ser
accesados mediante los aplicativos.
Flujo de comunicacin
segura
Plano de Administracin y control: La administracin remota de las
aplicaciones en red (si aplica), debe asegurar que la informacin
fluye solamente entre el dispositivo y la administracin remota. Se
debe proteger una posible interceptacin entre puntos
Se tiene acceso restringido a los equipos donde corren los
servicios (servidores, comunicacin, firewall).
Se tiene acceso restringido a los centros de cableado bajo
responsabilidad del Analista Administrador de la Red
La configuracin de los servicios se hace sobre los servidores y
equipos en los que corren, o a travs de la red bajo responsabilidad
de los administradores.
Los cambios en configuracin solo se pueden hacer por
administradores con control de acceso (usuario y password) y por la
red LAN, VPN o directamente en el servidor que provee el
servicio.
Plano de Usuario Final: Se debe proteger los datos del usuario
final procesados, almacenados o transportados por las aplicaciones
en red de posibles interceptaciones
La confidencialidad de la informacin en las aplicaciones se
controla por la gestin de acceso a las mismas.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Integridad de los datos
Plano de Administracin y control: Se debe proteger la integridad
de la informacin acerca de la configuracin de las aplicaciones en
red para evitar dao, prdida o modificacin no autorizada, ya sea que
la informacin se encuentre en el dispositivo o en cualquier otro
punto de almacenamiento.
Se tienen instrucciones especficas de configuracin de
aplicaciones en archivos de texto bajo responsabilidad del
propietario del activo con acceso controlado y back Up.
Plano de Usuario Final: Se debe proteger la informacin del
usuario final procesada, almacenada o transportada por las
aplicaciones en red de dao, prdida o modificacin no autorizada
La informacin del usuario en las aplicaciones es almacenada en
el servidor y est protegida por las polticas de acceso y respaldo
(ver MI-05 Polticas de seguridad de la informacin.)
Para la informacin en las estaciones de trabajo el usuario debe
aplicar las reglas definidas en el MP-02 Manual de polticas
Institucionales - Uso de las tecnologas de la Informacin.
Disponibilidad
11.5.5 Tiempo de inactividad de la
sesin
11.5.6 Limitacin del tiempo de
conexin
Plano de Administracin y control: Los Analista Administrador de
la Red deben tener disponibilidad a las aplicaciones en red para su
administracin. Se deben evitar ataques de negacin o adulteracin de
informacin de autenticacin y acceso
El acceso fsico a los equipos donde corren las aplicaciones est
restringido a los administradores y el lgico mediante
contraseas
El Firewall se tiene configurado para prevenir ataques de
negacin del servicio
Plano de Usuario Final: Se debe asegurar la disponibilidad de
las aplicaciones en red a los usuarios finales y personal
autorizado. Se deben evitar ataques de negacin o adulteracin de
informacin de autenticacin y acceso
Se cuenta con la certificacin de cableado estructurado de la red
que garantiza la comunicacin.
El Firewall se tiene configurado para prevenir ataques de
negacin del servicio.
La configuracin de los equipos del dominio asegura que los
servicios de red en sesiones inactivas se suspenden despus de 15
minutos, pero no se establece limitacin de tiempo de conexin.
Los nuevos aplicativos estn diseados para que, al tener una
inactividad por ms de 15 minutos por los usuarios se cierren las
sesiones del sistema. (El Aplisys II no tiene restriccin de tiempo
para el cierre de sesin)
Privacidad
Plano de Administracin y control: La informacin que se usa para
identificar las aplicaciones en red (direcciones IP, nombre del
dominio DNS) no puede estar disponible para personal no
autorizado.
Los servidores se identifican en la red mediante el nombre y la
direccin IP fija, mediante direccionamiento IP Privado. Los
switches administrables, routers, mdems, solo se identifican con la
direccin IP. Las estaciones de trabajo se identifican por el nombre
del equipo, el nombre del usuario y en algunos casos por la
direccin IP para los que la tienen fija.
La identificacin de los equipos no puede ser visualizada desde
redes externas. Este control se hace mediante el firewall.
Se cuenta con listados electrnicos de los nombres de los
equipos.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
Dimensin de
seguridad POLTICAS CONTROLES / CONFIGURACIN DE SEGURIDAD
Plano de Usuario Final: Se debe asegurar que no se tiene acceso
no autorizado a la informacin del usuario (nombre, localizacin) o
las actividades realizadas por el usuario (sitios web visitados) en
las aplicaciones en red
Los equipos de usuario final se identifican en la red mediante
el nombre y la direccin IP.
La informacin del equipo est protegida por el control de acceso
con usuario y Password.
Los administradores tienen la facultad de realizar control
remoto a las estaciones de trabajo mediante aplicativos que
requieren autorizacin por parte del usuario (Ej.: Team Viewer).
8.5 PREVENCION CONTRA AMENAZAS A LA RED Un ataque a la red
consiste en aprovechar una vulnerabilidad del sistema con propsitos
desconocidos que, por lo general, causan un dao. Los ataques
normalmente se producen desde Internet, en su mayora, lanzados
automticamente desde equipos infectados (a travs de virus,
troyanos, gusanos, etc.) sin que el propietario sepa lo que est
ocurriendo. Tambin son ejecutados por piratas informticos. Los
ataques pueden ejecutarse por diversos motivos:
Para obtener acceso al sistema
Para robar informacin, como secretos industriales o propiedad
intelectual
Para recopilar informacin personal acerca de un usuario
Para obtener informacin de cuentas bancarias
Para obtener informacin acerca de una organizacin (la compaa del
usuario, etc.)
Para afectar el funcionamiento normal de un servicio
Para utilizar el sistema de un usuario como un "rebote" para un
ataque
Para usar los recursos del sistema del usuario La prevencin
contra ataques informticos mediante la aplicacin de herramientas de
tecnologa de la informacin adecuada, es responsabilidad del
administrador de la red. Considerando la importancia para la
seguridad de la informacin el tener implementados mecanismos
apropiados para la prevencin de ataques se establecen los
siguientes mtodos de control para cada tipo de ataque.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
TIPO DE ATAQUE DEFINICIN CONTROLES
NEGACIN DEL SERVICIO FLOODING
Ataque cuya meta fundamental es la de negar el acceso del
atacado a un recurso. Incluye: JAMMING FLOODING: Desactivar o
saturar los recursos del sistema. Ejemplo: consumir toda la memoria
o espacio en disco disponible, o enviar tanto trfico a la red que
nadie ms pueda utilizarla. SYN FLOOD: Se basa en un "saludo"
incompleto entre dos hosts. El Cliente enva un paquete SYN pero no
responde al paquete ACK ocasionando que la pila TCP/IP espere
cierta cantidad de tiempo a que el host hostil responda antes de
cerrar la conexin. Si se crean muchas peticiones incompletas de
conexin (no se responde a ninguna), el Servidor estar inactivo
mucho tiempo esperando respuesta. CONNECTION FLOOD: Cuando un
atacante establece mil conexiones y no realiza ninguna peticin
sobre ellas, monopolizar la capacidad del servidor. Las conexiones
van caducando por inactividad poco a poco, pero el atacante slo
necesita intentar nuevas conexiones, (como ocurre con el caso del
Syn Flood) para mantener fuera de servicio el servidor. NET FLOOD:
El atacante enva tantos paquetes de solicitud de conexin que las
conexiones autnticas simplemente no pueden competir
Cierre de puertos y control de protocolos mediante IPS y
FIREWALL - Por regla general en el firewall todos los puertos de la
red estn bloqueados - El Analista Administrador de la Red concede
accesos solicitados considerando como criterios: Verificar riesgos
de implementar la regla Validar la justificacin del usuario Debe
estar autorizada por la direccin de Sistemas
CRACKING DE PASSWORDS
Entrar al servidor violando el control de acceso. Este mtodo
comprende la obtencin por fuerza de claves (por ejemplo mediante
diccionarios) que permiten ingresar a los sistemas, aplicaciones, y
cuentas atacados.
Mediante el FIREWALL se detectan, se restringen y se bloquean
intentos de intrusin desde redes y puertos externos no autorizados
Internamente el administrador de red establece el uso de contraseas
seguras por parte del usuario y polticas de cambio de
contrasea.
IP SPLICING-HIJACKING
Se produce cuando un atacante consigue interceptar una sesin ya
establecida. El atacante espera a que la vctima se identifique ante
el sistema y tras ello le suplanta como usuario autorizado.
Mediante el FIREWALL se detectan y restringen intentos de
intrusin desde redes y puertos externos no autorizados Internamente
el administrador de red establece el uso de contraseas seguras por
parte del usuario, claves encriptadas y polticas de cambio de
contrasea
UTILIZACIN DE BACKDOORS
"Las puertas traseras son trozos de cdigo en un programa que
permiten a quien las conoce saltarse los mtodos usuales de
autentificacin para realizar ciertas tareas. Habitualmente son
insertados por los programadores del sistema para agilizar la tarea
de probar cdigo durante la fase de desarrollo
En el desarrollo de aplicaciones se controla la seguridad de la
misma mediante pruebas. Una vez probado, validado y puesto en
produccin el aplicativo, se restringe el acceso al desarrollador y
solo queda habilitado el administrador.
UTILIZACIN DE EXPLOITS
Los programas para explotar "agujeros". Consiste en ingresar a
un sistema explotando agujeros en los algoritmos de encriptacin
utilizados, en la administracin de las claves por parte la empresa,
o simplemente encontrado un error en los programas utilizados.
Mediante el FIREWALL se detectan y restringen intentos de
intrusin desde redes y puertos externos no autorizados El
administrador de red establece el uso de filtro de correo,
contraseas seguras por parte del usuario
E-MAIL BOMBING: Consiste en enviar muchas veces un mensaje
idntico a una misma direccin, saturando as el mail box del
destinatario.
La plataforma de correo cuenta con tecnologa anti-spam. Se
divulgan las polticas para uso de tecnologas de la informacin para
que los usuarios no propaguen spam
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
TIPO DE ATAQUE DEFINICIN CONTROLES
SPAMMING:
Variante del e-mail bombing, se refiere a enviar el email a
centenares o millares de usuarios e, inclusive, a listas de inters.
El Spamming puede resultar an ms perjudicial si los destinatarios
contestan el mail, haciendo que todos reciban la respuesta.
La plataforma de correo cuenta con tecnologa anti-spam. Se
aplican las polticas para uso de tecnologas de la informacin para
que los usuarios no propaguen spam
VIRUS:
Malware que tiene por objeto alterar el normal funcionamiento
del equipo sin el permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros infectados
con el cdigo de este. Los virus pueden destruir, de manera
intencionada, los almacenados, aunque tambin existen otros ms
inofensivos, que solo se caracterizan por ser molestos.
Programa antivirus centralizado en la red con contrato de
actualizacin automtica de versiones y lista de definiciones tenemos
PANDA Polticas de dominio para el control de instalacin
restringiendo a los usuarios el uso de programas no autorizados con
posibilidad de propagar virus Polticas de uso de medios removibles
donde se exige el escaneo por parte del usuario
CDIGOS MVILES: Software obtenido de sistemas alejados,
transferido a travs de una red, y despus descargado y ejecutado en
un sistema local sin la instalacin o la ejecucin explcita del
recipiente
Sistema de poltica de dominio que impida la instalacin de
aplicativos no autorizados.
SCANNING (BSQUEDA)
Mtodo de descubrir canales de comunicacin susceptibles de ser
explotados. La idea es recorrer (escanear) tantos puertos de
escucha como sea posible, y guardar informacin de aquellos que sean
receptivos o de utilidad para cada necesidad en particular.
Cierre de puertos y control de protocolos mediante IPS, Firewall
y monitoreo permanente de los canales de VOZ
EAVESDROPPING - PACKET SNIFFING
Programas de intercepcin pasiva (sin modificacin) del trfico de
red, los cuales monitorean los paquetes que circulan por la
red.
Sistema de poltica de dominio que impida la instalacin de
aplicativos. Control de acceso fsico a la red (puntos de conexin)
Software Antivirus Cierre de puertos y control de protocolos
mediante IPS y Firewall
SNOOPING -DOWNLOADING
Programas para obtener la informacin sin modificarla. donde
adems de interceptar el trfico de red, el atacante ingresa a los
documentos, mensajes de correo electrnico y otra informacin
guardada, realizando en la mayora de los casos un downloading
(copia de documentos) de esa informacin
Sistema de poltica de dominio que impida la instalacin de
aplicativos. Capacitacin de usuarios y sensibilizacin
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
TIPO DE ATAQUE DEFINICIN CONTROLES
ATAQUES DE AUTENTICACIN
SPOOFING: "hacerse pasar por otro". Este tipo de ataque tiene
como objetivo engaar al sistema de la vctima para ingresar al
mismo. Generalmente se realiza tomando las sesiones ya establecidas
por la vctima u obteniendo su nombre de usuario y password o el
envo de falsos e-mails es otra forma de Spoofing que las redes
permiten. IP SPOOFING: Ataques (sobre protocolos). Con el IP
Spoofing, el atacante genera paquetes de Internet con una direccin
de red falsa en el campo From, pero que es aceptada por el
destinatario del paquete. Su utilizacin ms comn es enviar los
paquetes con la direccin de un tercero, de forma que la vctima "ve"
un ataque proveniente de esa tercera red, y no la direccin real del
intruso. DNS SPOOFING: Ataque se consigue mediante la manipulacin
de paquetes UDP para comprometer el servidor de nombres de dominios
(Domain Name Server-DNS) de Windows NT(c). WEB SPOOFING: El
atacante crea un sitio web completo (falso) similar al que la
vctima desea entrar. Los accesos a este sitio estn dirigidos por el
atacante, permitindole monitorizar todas las acciones de la vctima,
desde sus datos hasta los passwords, nmeros de tarjeta de crditos,
etc.
Capacitacin de usuarios y sensibilizacin sobre riesgos de
seguridad.
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
CONTROLES DE LA NORMA ISO 27002 PARA SEGURIDAD EN LA RED
NUMERAL DESCRIPCIN CONTROL
10.9.1
Comercio electrnico. La informacin involucrada en el comercio
electrnico que se transmite por las redes pblicas debera estar
protegida contra actividades fraudulentas, disputas por contratos y
divulgacin o modificacin no autorizada.
No aplica Aplisalud y Aplitics no realiza actividades de
comercio electrnico con sus clientes.
10.9.2
Transacciones en lnea. La informacin involucrada en las
transacciones en lnea debera estar protegida para evitar transmisin
incompleta, enrutamiento inadecuado, alteracin, divulgacin,
duplicacin o repeticin no autorizada del mensaje.
No aplica para Aplisalud y Aplitics porque no se realizan
transacciones a travs de las aplicaciones desarrolladas.
9. CONTROL DEL PROCEDIMIENTO
Actividad que se controla
Como se controla
Quien lo controla
Frecuencia Responsable
Cumplimiento de las polticas por parte de los
usuarios
Auditoras internas e
inspecciones
Monitoreo de uso de los
recursos de TI
Ingenieros de soporte
Mensual Director de sistemas
10. CONTROL DE REGISTROS
Cdigo Nombre Responsable Ubicacin y
archivo Tiempo de retencin
Disposicin
N/A N/A N/A N/A N/A N/A
-
MANUAL DE SEGURIDAD DE LA RED
Cdigo: MI-03
Versin: 01
Fecha: 24/11/2014
11. CONTROL DE CAMBIOS
Versin Fecha Descripcin Elabor Revis Aprob
00 2012-04-30 Versin inicial del
documento Director de
Calidad Director de Planeacin
Gerente
01 24-11-2014 Actualizacin general
del documento
Camilo Morales
Administrador de la Red
Virginia Restrepo
Director de Sistemas
Gerente