Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion

Fabián Descalzo

SGSI/GRC

PLAN DE ASEGURAMIENTO Y

GOBIERNO DE LA INFORMACIÓN

SGSI/GRC PLAN DE ASEGURAMIENTO Y GOBIERNO DE

LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

1

Objetivo y alcance del Plan de Aseguramiento y Gobierno de la Información .................................................... 4

Terminología básica .............................................................................................................................................. 5

Gestión de la seguridad de la información ........................................................................................................... 8

Metas y objetivos ............................................................................................................................................. 8

Objetivos estratégicos del Negocio y su relación con TI / SI ............................................................................ 8

Instrucciones de interpretación ....................................................................................................................... 9

Integrantes y funciones del Comité de Seguridad ............................................................................................ 9

Dominios de competencia de la Seguridad de la Información en el Negocio ................................................ 10

Seguridad Organizacional ........................................................................................................................... 10

Seguridad Lógica ......................................................................................................................................... 10

Seguridad Física .......................................................................................................................................... 11

Seguridad Legal ........................................................................................................................................... 11

Nivel de cumplimiento de seguridad en relación a los controles y brecha a las metas de los objetivos del

Negocio ............................................................................................................................................................... 11

Identificación de alcances legales y regulatorios del Negocio ........................................................................... 12

Riesgos asociados al Negocio y metodología de tratamiento ............................................................................ 13

Definición ........................................................................................................................................................ 13

Comprensión y conceptos .............................................................................................................................. 13

Proceso ....................................................................................................................................................... 13

Riesgo de TI ................................................................................................................................................. 14

Riesgo Operacional ..................................................................................................................................... 14

Riesgo Inherente ......................................................................................................................................... 14

Riesgo Residual ........................................................................................................................................... 14

Factor .......................................................................................................................................................... 14

Probabilidad de ocurrencia ........................................................................................................................ 15

Impacto ....................................................................................................................................................... 15

Rating de riesgo inherente ......................................................................................................................... 15

Ranking de riesgo residual .......................................................................................................................... 15

Medición Cualitativa ................................................................................................................................... 15

Controles / Mecanismos de Mitigación ...................................................................................................... 15

Efectividad .................................................................................................................................................. 15

Frecuencia .................................................................................................................................................. 15

Plan de acción o Plan de Tratamiento del Riesgo....................................................................................... 15

Metodología y tratamiento ............................................................................................................................ 15

Evaluación de Activos de Información........................................................................................................ 15


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

2

Nivel de Sensibilidad del Activo .............................................................................................................. 16

Cálculo del Nivel de Sensibilidad ............................................................................................................ 16

Cálculo del Nivel de Criticidad ................................................................................................................ 17

Valor Total del Activo ............................................................................................................................. 17

Metodología ............................................................................................................................................... 17

Identificación de los procesos ................................................................................................................ 17

Identificación de riesgos ......................................................................................................................... 17

Herramientas y técnicas ......................................................................................................................... 18

Análisis de riesgos ................................................................................................................................... 18

Evaluación del riesgo .............................................................................................................................. 20

Tratamiento del riesgo ........................................................................................................................... 21

Control y revisión .................................................................................................................................... 21

Comunicación y consulta ........................................................................................................................ 21

Documentación de las Matrices de Riesgo ............................................................................................. 22

Definiciones de documentación del Marco Normativo ..................................................................................... 22

Plan de Seguridad de la Información .............................................................................................................. 22

Políticas de Seguridad de la Información ....................................................................................................... 22

Norma de Seguridad de la Información ......................................................................................................... 23

Procedimiento Administrativo ....................................................................................................................... 23

Estándar Técnico ............................................................................................................................................ 23

Instructivos, Checklist y Formularios .............................................................................................................. 23

Definiciones para Políticas y Normas por Dominio ............................................................................................ 23

SEGURIDAD ORGANIZACIONAL ...................................................................................................................... 23

POLÍTICAS DE SEGURIDAD .......................................................................................................................... 23

CLASIFICACIÓN Y CONTROL DE ACTIVOS .................................................................................................... 24

Responsabilidad por los activos ............................................................................................................. 24

Clasificación de la información ............................................................................................................... 24

SEGURIDAD LIGADA AL PERSONAL ............................................................................................................. 24

CAPACITACIÓN DE USUARIOS .................................................................................................................... 25

RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD ....................................................................... 25

SEGURIDAD LÓGICA ........................................................................................................................................ 25

CONTROL DE ACCESOS ............................................................................................................................... 25

ADMINISTRACIÓN DEL ACCESO DE USUARIOS ........................................................................................... 26

RESPONSABILIDADES DEL USUARIO ........................................................................................................... 27


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

3

Uso de correo electrónico ...................................................................................................................... 27

SEGURIDAD EN ACCESO DE TERCEROS ....................................................................................................... 28

CONTROL DE ACCESO A LA RED .................................................................................................................. 28

CONTROL DE ACCESO AL SISTEMA OPERATIVO ......................................................................................... 29

CONTROL DE ACCESO A LAS APLICACIONES ............................................................................................... 29

MONITOREO DEL ACCESO Y USO DEL SISTEMA ......................................................................................... 29

GESTIÓN DE OPERACIONES Y COMUNICACIONES ...................................................................................... 30

PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS ............................................................................................ 30

PROTECCIÓN CONTRA SOFTWARE MALICIOSO.......................................................................................... 31

MANTENIMIENTO ....................................................................................................................................... 31

MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO ..................................................................... 31

SEGURIDAD FÍSICA Y AMBIENTAL ................................................................................................................... 32

SEGURIDAD DE LOS EQUIPOS ..................................................................................................................... 32

CONTROLES GENERALES ............................................................................................................................. 32

SEGURIDAD LEGAL .......................................................................................................................................... 33

CUMPLIMIENTO DE REQUISITOS LEGALES ................................................................................................. 33

Licenciamiento de Software ................................................................................................................... 33

Revisión de políticas de seguridad y cumplimiento técnico ................................................................... 34

Consideraciones sobre auditorias de sistemas....................................................................................... 34

Excepciones de responsabilidad ......................................................................................................................... 35


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

4

Objetivo y alcance del Plan de Aseguramiento y Gobierno de la Información Este plan define el objetivo, dirección, principios y reglas básicas para el aseguramiento de la información en favor de los objetivos del Negocio, aplicado en forma Corporativa ya que los usuarios de este documento son todos los empleados de la Organización, como también todos los participantes externos que cumplan alguna función en el Sistema de Gestión de Seguridad (SGSI) y en sus relaciones asociadas al Sistema de Gestión de Calidad (SGC) y de Gobierno de IT (SGTI). En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar, no solo por razones técnicas sino también por razones organizativas. Coordinar todos los esfuerzos encaminados para asegurar un entorno informático organizacional requiere un adecuado control que integre los esfuerzos y conocimientos tanto de los recursos humanos como tecnológicos, empleando mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de los empleados de la Organización. Este documento integra estos esfuerzos de una manera conjunta, que luego se representarán en el Marco Normativo a través de las Políticas y Normas de Seguridad de la Información, y es el medio de comunicación en el cual se establecen las reglas y controles que se reflejarán en los diferentes procedimientos de la Organización, para asegurar la Confidencialidad, Integridad y Disponibilidad de la información previniendo y manejando los riesgos de seguridad en diversas circunstancias. Toda persona que utilice los servicios informáticos que ofrece la Organización, deberá conocer y aceptar este Plan, las Políticas de Seguridad de la Información publicadas o a publicarse, y el Marco Normativo que regula las actividades de todos los empleados. El desconocimiento de los elementos antes mencionados no exonera de responsabilidad al usuario, ante cualquier eventualidad que involucre la seguridad de la información o de la red organizacional.

Fabián Descalzo Director de Seguridad de la Información

Gerente de Gobierno, Riesgo y Cumplimiento Buenos Aires, Enero de 2014


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

5

Terminología básica Eficacia Garantizar que toda información que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y útil para el desarrollo de las actividades. Eficiencia Asegurar que el tratamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales. Confiabilidad Garantizar que los sistemas informáticos brinden información correcta para ser utilizada en la operatoria de cada uno de los procesos. Integridad Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informatizados y procesos transaccionales. Exactitud Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo. Disponibilidad Garantizar que la información y la capacidad de su tratamiento manual y automático, sean resguardadas y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las actividades. Legalidad Asegurar que toda la información y los medios físicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada ámbito. Confidencialidad Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, espionaje, violación de la privacidad y otras acciones similares de accesos de terceros no permitidos. Autorización Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorización correspondientes para su utilización y divulgación. Protección Física Garantizar que todos los medios de procesamiento y/o conservación de información cuenten con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado. Propiedad Asegurar que todos los derechos de propiedad sobre la información utilizada en el desarrollo de las tareas, estén adecuadamente establecidos a favor de sus propietarios. No Repudio Garantizar los medios necesarios para que el receptor de una comunicación pueda corroborar fehacientemente la autenticidad del emisor. Activo / Activo de Información Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el ambiente informático llámese activo a los bienes de información y procesamiento, que posee la Organización. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

6

Administración Remota Forma de administrar los equipos informáticos o servicios de la Organización, a través de terminales o equipos remotos, físicamente separados de la Organización. Amenaza Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Archivo Log Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.) Ataque Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Cuenta Mecanismo de identificación de un usuario, llámese de otra manera, al método de acreditación o autenticación del usuario mediante procesos lógicos dentro de un sistema informático. Desastre o Contingencia Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Encriptación Es el proceso mediante el cual cierta información o "texto plano" es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Impacto Consecuencia de la materialización de una amenaza. ISO (Organización Internacional de Estándares) Organización mundialmente reconocida y acreditada para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente reconocidas. IEC (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional. Outsourcing Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la Organización. Responsabilidad En términos de seguridad, significa determinar que individuo en la Organización, es responsable directo de mantener seguros los activos de cómputo e información. Servicio Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los procesos diarios que demanden información o comunicación de la Organización. Soporte Técnico Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la Organización. Riesgo Posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda la Organización.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

7

Terceros Investigadores/Profesores, instituciones educativas o de investigación, proveedores de software, que tengan convenios educativos o profesionales con la Organización. Usuario Cualquier persona jurídica o natural, que utilice los servicios informáticos de la red organizacional y tenga una especie de vinculación académica o laboral con la Organización. Vulnerabilidad Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. Seguridad de la información Es la preservación de la confidencialidad, integridad y disponibilidad de la información. Sistema de Gestión de la Seguridad de la Información (SGSI) Es esa parte del sistema global de gestión, basada en un enfoque de riesgo del negocio, que se utiliza para establecer, implementar, hacer funcionar, supervisar, mantener y mejorar la seguridad de la información.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

8

Gestión de la seguridad de la información

Metas y objetivos El objetivo del Sistema de Gestión de Seguridad de la Información asociado a los conceptos del GRC es el crear una mejor imagen de mercado y reducir los daños ocasionados por los potenciales incidentes; estos objetivos están alineados con los objetivos comerciales de la Organización y conforman un Plan de Aseguramiento y Gobernabilidad orientado al Negocio. El CSO es el responsable de supervisar los objetivos actuales del SGSI y, al mismo tiempo, de establecer nuevas metas. Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por el Comité de Seguridad y son aprobados por la Dirección en la Declaración de Aplicabilidad; estos objetivos deben ser revisados al menos una vez al año.

Objetivos estratégicos del Negocio y su relación con TI / SI De acuerdo a lo planteado por la Dirección, se pueden definir los siguientes Objetivos Estratégicos del Negocio, los cuales deben ser asegurados desde los servicios prestados por las áreas de tecnología y seguridad de la información, compartiendo la responsabilidad operativa por garantizar las condiciones de Confidencialidad, Integridad y Disponibilidad para el entorno físico y tecnológico de los datos y todo componente que participe en cualquier proceso de tratamiento de los mismos. Para cada objetivo se ha identificado al menos un servicio y actividad que al desarrollarse asegura la calidad y soporte necesario al Objetivo Estratégico del Negocio:

Relación Objetivos Estratégicos - Servicios IT / SI Financiera Aumentar la Rentabilidad

Incrementar la cartera con Clientes Nuevos

Aumentar Venta Crear Nuevos Servicios

Servicios IT Optimización de la gestión de

licenciamiento

Mejora de los presupuestos de IT

Gestión de Proveedores Planificación e Implementación

de Servicios Nuevos o Modificados

Servicios SI Cumplimiento Organización interna Gestión de la entrega de servicio

a terceras partes

Procedimientos y responsabilidades operativas

Clientes Minimizar los tiempos de atención a solicitudes del

cliente

Funcionalidad, Adaptación de Servicios a sus

Necesidades Precio competitivos

Imagen, Desarrollar la Marca como sinónimo de

confiabilidad, Prestigio, Reconocimiento

Servicios IT Implementación de

herramientas tecnológicas de atención al público

Gestión de Nivel de Servicio Gestión de la operación de

CPD y aplicaciones

Gestión de continuidad y disponibilidad del servicio

Servicios SI Correcto procesamiento en

las aplicaciones

Clasificación de la información

Terceras Partes

Aspectos de la seguridad de la información en la gestión

de la continuidad del negocio

Procesos Internos

Acelerar la atención de los reclamos, Gestión del

cliente, Atención al cliente, Post-Venta

Proceso Mercadeo y Ventas,

Identificar necesidades de los clientes

Actividades de Mejora

Continua para la operación del negocio

Mejorar los costos a partir de la selección de

proveedores de productos de tecnología de punta

Servicios IT Gestión de Nivel de Servicio Software de gestión CRM +

ERP

Gestión de Incidentes Gestión de Problemas

Monitorización de servicios

de IT

Servicios SI Gestión de Resguardos

Magnéticos

Planificación y aceptación de sistemas

Gestión de los incidentes de

la seguridad de la información

Gestión de las

vulnerabilidades técnicas


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

9

Relación Objetivos Estratégicos - Servicios IT / SI

Aprendizaje y Crecimiento

Capacitación y Certificación del Personal

Implementación y Capacitación de Software de

Gestión CRM - ERP

Adquisición y actualización

tecnológica

Adopción de estándares para el Gobierno

Corporativo

Servicios IT Gestión del Conocimiento Calidad de Servicios de IT Evaluaciones y Auditorías Sistema de Gestión de

Servicios TI ISO20000

Servicios SI Seguridad de los Recursos

Humanos

Protección Física y Ambiental

Evaluaciones y Auditorías Sistema de Gestión de

Seguridad de la Información ISO27000

Instrucciones de interpretación La normativa de seguridad, ha sido organizada de manera sencilla para que pueda ser interpretada por cualquier persona que ostente un cargo de empleado o terceros con un contrato de trabajo por servicios en la Organización, con conocimientos informáticos o sin ellos. Las políticas fueron creadas según el contexto de aplicación, organizadas por niveles de seguridad y siguiendo un entorno de desarrollo, sobre la problemática de la Organización o previniendo futuras rupturas en la seguridad, aplicada sobre los diferentes recursos o activos de la Organización. Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situación real de la Organización a través del análisis de brecha de cumplimiento de los controles especificados en la ISO/IEC 27002 y relacionando sus objetivos estratégicos de negocio con las necesidades de servicios de seguridad necesarios para obtener las metas de Negocio establecidas por la Dirección. Cada uno de los empleados y colaboradores deberá enmarcar sus esfuerzos por cumplir todas las políticas pertinentes a su entorno de trabajo, utilización de los activos o recursos informáticos en los que éste se desenvuelve sin importar el nivel organizacional en el que se encuentre dentro de la Organización.

Integrantes y funciones del Comité de Seguridad El Comité de Seguridad de la Información está destinado a garantizar el apoyo manifiesto de la Dirección a las iniciativas de seguridad. Sus principales funciones son:

1. Revisar y proponer a la Dirección para su consideración y posterior aprobación, las políticas de seguridad de la información y las funciones generales en materia de seguridad de la información que fueran convenientes y apropiadas para la Organización.

2. Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de la Organización frente a posibles amenazas, sean internas o externas.

3. Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el ámbito de la Organización.

4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada sector, así como acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

10

5. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios de esta Organización, sean preexistente o nuevos.

6. Promover la difusión y apoyo a la seguridad de la información dentro de la Organización, como así coordinar el proceso de administración de la continuidad del negocio.

Los integrantes y sus funciones dentro del Comité de Seguridad de la Información son las siguientes:

CSO – Chief Security Officer Responsable máximo de la Seguridad de la Información, de todos los procesos que integran el SGSI y de la Política de Seguridad de la Información y su Marco Normativo de la Organización.

Gerente de Tecnología y Sistemas Responsable de disponibilizar y gestionar los sistemas de tratamiento y procesamiento de información, así como los recursos tecnológicos asociados y comunicaciones.

Gerente de Administración y Finanzas

Responsable de velar por la gestión financiera y económica, tanto en lo preventivo como correctivo relacionado a cualquier actividad del SGSI.

Gerente de Recursos Humanos Responsable de velar por el cumplimiento del código de ética de la Organización, y de brindar asesoramiento en el alcance de medidas relacionadas con lo laboral acorde a la regulación impuesta por el Ministerio de Trabajo

Gerente de Mantenimiento e Intendencia

Responsable de velar por el cumplimiento de las condiciones físicas del entorno de la información, tanto en su infraestructura como en los controles físicos de acceso y ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con medidas preventivas o correctivas edilicias relacionadas con la seguridad de la información y las personas acorde a la regulación de las entidades Municipales y Nacionales que corresponda.

Representante Legal Representante del Directorio y responsable de velar por el cumplimiento legal y regulatorio, a nivel Nacional e Internacional, en cada una de las actividades desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de medidas relacionadas con la realización de contratos de todo tipo, mediaciones, juicios y definiciones técnico-legales relacionadas a cualquier actividad del SGSI.

Dominios de competencia de la Seguridad de la Información en el Negocio El Plan y Política de Seguridad de la Información, engloban los procedimientos más adecuados, tomando como lineamientos principales cuatro dominios relacionados con el Gobierno Corporativo:

Seguridad Organizacional

Establece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

Seguridad Lógica

Establece e integra los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

11

Seguridad Física

Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.

Seguridad Legal

Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red corporativa bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos de la Organización en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas. Cada uno de los criterios anteriores, sustenta un entorno de administración de suma importancia, para la seguridad de la información dentro de la red corporativa de la Organización.

Nivel de cumplimiento de seguridad en relación a los controles y brecha a las metas de los objetivos del Negocio La ilustración 1 representa el nivel de cumplimiento de los objetivos de control relacionados con la seguridad de la información, basados en la Norma ISO/IEC 27002, y que se describen individualmente en el Anexo I - Control de Gestión de la Seguridad de la Información. La ilustración 2 representa la brecha entre las metas establecidas por el Negocio y el nivel actual de cumplimiento de objetivos estratégicos y servicios de TI /SI, y que se describen individualmente en el Anexo II - Brecha a las metas de los objetivos del Negocio.

Ilustración 1


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

12

Ilustración 2

Identificación de alcances legales y regulatorios del Negocio La Organización se encuentra legislada y regulada por:

Ley N° 25.326 Protección de Datos Personales

Alcanza a las bases de datos de Clientes, Proveedores y Empleados, y el Spam que es ilegal bajo el art. 27. Su objeto es la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal.

Ley N° 26.388 Delitos Informáticos

Contempla los siguientes tipos de delitos:


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

13

• Distribución y tenencia con fines de distribución de pornografía infantil • Violación de correo electrónico • Acceso ilegítimo a sistemas informáticos • Daño informático y distribución de virus • Daño informático agravado • Interrupción de comunicaciones y envío masivo de correos que obstruya un sistema

informático

ISO 9001:2008

Sistema de Gestión de la Calidad que perfila los campos de autoridad, las relaciones y los deberes del personal responsable del desempeño de la Organización. La Organización actualmente se encuentra en proceso de implementación de este estándar para su proceso de Atención al Cliente. La gestión de seguridad de la información como servicio al Negocio garantiza la disponibilidad e integridad necesaria para acompañar al Sistema de Gestión de Calidad en el cumplimiento de sus objetivos.

Riesgos asociados al Negocio y metodología de tratamiento

Definición Un riesgo es la posibilidad que se produzca un evento determinado y éste influya negativamente en el logro o cumplimiento de los objetivos de la Organización.

Comprensión y conceptos La metodología y actividades establecidas con relación al proceso de Administración de Riesgos cubren las siguientes etapas que llevan a completar su tratamiento:

• Identificación de los procesos de Negocio y servicios de IT y SI que lo soportan • Identificación de riesgos de Negocio y servicios de IT y SI que lo soportan • Análisis de riesgos de Negocio y servicios de IT y SI que lo soportan • Evaluación de riesgos de Negocio y servicios de IT y SI que lo soportan • Tratamiento de riesgos de Negocio y servicios de IT y SI que lo soportan • Control y revisión • Comunicación y consulta • Documentación

Para identificar y evaluar de la forma más certera los diferentes riesgos a los activos de información de la Organización, se definen a continuación los principales conceptos a tener en cuenta:

Proceso

Conjunto de actividades relacionadas entre sí de forma ordenada y consecutiva que se ejecuta para obtener un objetivo o producto cuyo normal funcionamiento es susceptible de ser afectado por los riesgos y factores identificados. Los procesos pueden involucrar a una o más unidades de negocio. A modo de ejemplo se mencionan los siguientes procesos considerados:


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

14

• Continuidad del procesamiento electrónico de datos • Desarrollos y cambios a sistemas aplicativos • Gestión de resguardos de datos • Administración de Seguridad Informática • Contratación de servicios tercerizados • Procesamiento y Operaciones

Riesgo de TI

Un riesgo de TI es la posibilidad de que se produzca un evento determinado que influya negativamente en el normal funcionamiento y operación de los procesos de TI de la Organización, afectando de esta forma el logro de los objetivos de la función de TI y por ende su apoyo al funcionamiento de los procesos y al logro de los objetivos de la Organización. La Organización considera dentro de la definición de Riesgos de TI, eventos relacionados con los sistemas de información propios, con la infraestructura de TI que soporta el funcionamiento de dichos sistemas, y con cualquier otro recurso relacionado empleado por la función de TI de la Organización para brindar sus servicios.

Riesgo Operacional

Es el riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas, o bien de aquellas que sean producto de eventos externos. La Organización considera a los Riesgos de TI como un componente importante del conjunto de Riesgos Operacionales. Por lo tanto, independientemente de las normas y procedimientos específicos para la administración de riesgos, se debe aplicar un esquema en el cual las salidas del proceso de administración de riesgos se integren con el conjunto de la documentación de los riesgos operacionales, con el fin de poder disponer de documentación acerca del perfil de riesgos operacionales que enfrenta la Organización en forma integrada y completa.

Riesgo Inherente

Son aquellos riesgos que por su naturaleza no se pueden separar de la situación donde existen. Son propios del trabajo a realizar, inseparables de la ejecución y operación de cualquiera de los procesos generales de la Organización.

Riesgo Residual

Son aquellos riesgos que la Organización enfrenta una vez que se han tomado ya acciones de mitigación de riesgo.

Factor

Un factor es un incidente o evento particular proveniente de fuentes internas o externas que en caso de producirse, implica la ocurrencia del riesgo con el cual está relacionado. Los siguientes son ejemplos de factores externos:

• Nuevas tecnologías para captar transacciones de clientes por medios electrónicos • Incendios, inundaciones, y desastres naturales en general • Cambios en leyes y regulaciones vigentes


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

15

Los siguientes son ejemplos de factores internos: • Inadecuadas normas y procedimientos que regulan el funcionamiento de las operaciones • Inadecuados mecanismos de pruebas ante cambios en los sistemas • Falta de redundancia en la infraestructura tecnológica de la Organización

Probabilidad de ocurrencia

Es la estimación de la frecuencia con la que podría ocurrir el factor identificado, sin considerar los controles mitigantes existentes.

Impacto

Es el daño que ocasionaría el factor identificado en caso de ocurrir.

Rating de riesgo inherente

Es una medida de la significatividad de los riesgos inherentes, que surge de analizar el impacto y la probabilidad de ocurrencia del factor asociado al riesgo, antes de considerar los controles mitigantes existentes.

Ranking de riesgo residual

Es una medida de la significatividad de los riesgos residuales, que surge de analizar el impacto y la probabilidad de ocurrencia del factor asociado al riesgo luego de considerar los controles mitigantes existentes.

Medición Cualitativa

Es una técnica que provee a la Organización una forma de comparar prioridades, importancia o criticidad del riesgo. Habitualmente, esta técnica se utiliza cuando no existe suficiente información para aplicar un método cuantitativo, a través del diseño de matrices y escalas de probabilidad de ocurrencia / impacto, el rating de riesgo inherente y el ranking de riesgo residual.

Controles / Mecanismos de Mitigación

Son las medidas implantadas por la Organización para mitigar los riesgos identificados.

Efectividad

Es una indicación de la capacidad del control para disminuir la probabilidad de ocurrencia o para disminuir el impacto del factor asociado al riesgo analizado.

Frecuencia

Es la periodicidad con que se ejecuta el control.

Plan de acción o Plan de Tratamiento del Riesgo

Es un proyecto o un conjunto de tareas a desarrollar con el fin de diseñar e implantar controles que mitiguen los riesgos, mediante la reducción de la probabilidad de ocurrencia, del impacto, o de ambos.

Metodología y tratamiento

Evaluación de Activos de Información

Para cada activo de información incluido en el alcance del proyecto, se calculará un “Valor Total” en base al Nivel de Sensibilidad y al Nivel de Criticidad del Activo, tal como se detalla a continuación:


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

16

Nivel de Sensibilidad del Activo

El Nivel de Sensibilidad del Activo se obtendrá en base al análisis de los siguientes parámetros: Confidencialidad: Evaluación del impacto en el negocio que ocasionaría la divulgación de la

información administrada por el activo. Variables a considerar: Desventajas Competitivas, Pérdidas Directas en el Negocio, Privacidad de los

Clientes, Costos Adicionales, Responsabilidad Legal, Fraude.

Valores a asignar:

1 2 3

Bajo Impacto

Medio Impacto

Alto Impacto

Integridad: Evaluación del impacto en el negocio que ocasionaría la corrupción de la información administrada por el activo.

Variables a considerar: Decisiones Gerenciales, Pérdidas Directas del Negocio, Fraude, Confidencialidad de Clientes, Costos Adicionales, Responsabilidades Legales, Interrupción del Negocio.

Valores a asignar:

1 2 3

Bajo Impacto

Medio Impacto

Alto Impacto

Disponibilidad: Evaluación del impacto en el negocio que ocasionaría la indisponibilidad de la información administrada por el activo.

Variables a considerar: Decisiones Gerenciales Pérdidas Directas del Negocio, Confidencialidad de Clientes, Costos Adicionales, Responsabilidades Legales, Recuperación, Fraude, Interrupción del Negocio.

Valores a asignar:

1 2 3

Bajo Impacto

Medio Impacto

Alto Impacto

Cálculo del Nivel de Sensibilidad

Para calcular el valor del Nivel de Sensibilidad del Activo, efectuamos un promedio en base a los valores de los parámetros “Confidencialidad” e “Integridad” de la siguiente manera:

Nivel de Sensibilidad = (Confidencialidad + Integridad) / 2

Rango de valores

1 2 3

Poco Sensible

Muy

Sensible


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

17

Cálculo del Nivel de Criticidad

El Nivel de Criticidad del Activo es obtenido en base al valor del parámetro “Disponibilidad”, como se muestra a continuación:

Nivel de Criticidad = Disponibilidad

Rango de valores

1 2 3

Poco Crítico

Muy

Crítico

Valor Total del Activo

En base a los niveles de Sensibilidad y Criticidad obtenidos previamente, se calcula el Valor Total del Activo, de la siguiente manera:

Valor Total del Activo = (Nivel de Sensibilidad + Nivel de Criticidad) / 2 Rango de valores

1 2 3

Bajo Medio Alto

Metodología El procedimiento de administración de riesgos adoptado por la Organización está compuesto por las actividades que se presentan en el siguiente gráfico. Es importante destacar que si bien se lo describe en etapas separadas encadenadas secuencialmente, el proceso de administración de riesgos es un todo continuo, de manera que en forma simultánea pueden estar identificándose nuevos riesgos, analizando otros riesgos previamente identificados, y definiendo planes de acción para otros riesgos ya identificados y analizados.

IDENTIFICAR LOS RIESGOS

ANALIZAR LOS

RIESGOS

EVALUAR LOS RIESGOS

TRATAR LOS RIESGOS

COMUNICAR Y

CONSULTAR

CONTROLAR Y REVISAR

IDENTIFICAR LOS PROCESOS

Los resultados de la ejecución de este proceso serán reportados al Directorio de la Organización como mínimo en forma anual, lo cual implica que las etapas previstas en el presente procedimiento deberán ser llevadas a cabo al menos dos veces al año.

Identificación de los procesos

Los responsables de las áreas de negocio determinarán los procesos / productos críticos de la compañía, para luego definir los subprocesos asociados. A partir de esta información, se determinan los activos de información que están relacionados

Identificación de riesgos

En esta etapa se identificarán los riesgos a los que está expuesta la Organización. La identificación incluirá todos los aspectos de los riesgos, estén o no bajo control de la Entidad. ¿Qué puede suceder, dónde y cuándo?

Los Responsables generarán una lista de fuentes de riesgos y factores que podrían tener un impacto en el logro de cada uno de los objetivos estratégicos, de negocio o de proyecto. Estos factores podrían impedir,


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

18

degradar, demorar o mejorar el logro de dichos objetivos. Estos riesgos serán considerados para identificar lo que puede suceder. ¿Cómo y por qué puede suceder?

Una vez identificado lo que podría suceder, es necesario considerar las causas y escenarios posibles. Hay muchas formas en que puede suceder un evento. Es importante que no se omita ninguna causa significativa.

Herramientas y técnicas

Los Responsables definidos para esta tarea serán los encargados de identificar los riesgos y factores relacionados. Los enfoques utilizados para identificar riesgos y factores incluyen pero no se limitan a lo siguiente:

• Criterio profesional del Responsable • Juicios basados en la experiencia y conocimiento de la Organización y de los procesos y funciones de

TI con los cuales está involucrado • Observaciones formuladas en informes de Auditoría Interna, Auditoría Externa, y otras auditorías a

las que esté sometido la Organización. • Resultados de estudios de vulnerabilidad llevados a cabo por la Organización, ya sea en forma

interna como mediante la contratación de terceros especializados. • Conocimiento de incidentes registrados en el área • Conocimiento de incidentes ocurridos en otras entidades del sistema financiero argentino • Aporte de las áreas usuarias • Nuevos proyectos encarados por la Organización, mediante los cuales se afecte la infraestructura de

TI, los sistemas de información, o cualquier recurso de TI relacionado. • Cambios organizacionales, tales como reestructuración de áreas tecnológicas o funcionales, o la

tercerización de actividades vinculadas con la administración y / o procesamiento de los sistemas de información o cualquier tipo de tratamiento de información de la Organización.

• Clasificación de activos: En la clasificación de activos de información se define la criticidad de los activos en base a su disponibilidad, confidencialidad e integridad. Esta información es de gran utilidad a la hora de identificar riesgos en relación a los activos críticos.

• Incidentes registrados en Mesa de Ayuda: La mesa de ayuda registra los incidentes tecnológicos que surgen en la Entidad, el seguimiento de los mismos desde su detección hasta su corrección. Brinda información de incidentes concretos sucedidos en la Entidad, el tiempo que se demoró la solución, la recurrencia del error, los recursos afectados, la efectividad de las correcciones, entre otros.

• Listados de control. Estas fuentes de información serán utilizadas por los Responsables de Gestión y Control de Riesgos tanto para la revisión de la evaluación de los factores vigentes como para la identificación y evaluación de nuevos factores.

Análisis de riesgos

En esta etapa se realizarán estimaciones y evaluaciones que respalden la toma de decisiones sobre si los riesgos necesitan ser tratados y sobre las estrategias más apropiadas y costo eficaces de tratamiento de los riesgos. El análisis de riesgo implica considerar las fuentes de riesgo, sus impactos positivos y negativos, las probabilidades de que esos impactos puedan ocurrir, y los controles mitigantes. Impacto y probabilidad.

La magnitud del impacto de un factor, en el caso de que este ocurriera, y la probabilidad del mismo y sus impactos asociados, se evalúan en el contexto del riesgo inherente (riesgo propio). El impacto y probabilidad determina el nivel de riesgo (Rating).


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

19

Probabilidad de Ocurrencia

Nivel Descriptor Probabilidad de ocurrencia

Escenario

1 Improbable Bajo La situación descripta en el riesgo se ha concretado en la Organización en forma aislada.

2 Eventual Medio La situación descripta en el riesgo se ha concretado pocas veces en la Organización.

3 Probable Alto La situación descripta en el riesgo se ha concretado frecuentemente en la Organización.

Niveles de Impacto

El Nivel de impacto es producido por la ocurrencia de la amenaza. Grado de compromiso de la información en su confidencialidad, integridad y / o disponibilidad.

Unidades de Medida

Pérdida de rendimiento Daños materiales (elevación de costos, pérdida monetaria, entre otros, daños físicos)

Nivel Impacto relativo Medidas

1 Menor • Incremento de costos menor

• pérdida de ingresos baja

• pago de multas menores

• una mínima pérdida de imagen

2 Moderado • incremento de costos considerable

• pérdida de ingresos moderada

• pago de multas considerables

• impacto negativo medio a la imagen de la Entidad

3 Mayor • incremento de costos alto

• pérdida de ingresos alta

• pago de multas altas

• sustancial pérdida de la imagen de la Entidad

Para analizar el impacto es recomendable la utilización de métricas tales como:

• El porcentaje de objetivos de TI y SI que dan soporte al plan estratégico del Negocio • Cantidad de escalamientos o problemas sin resolver debido a la carencia o insuficiencia de

asignaciones de responsabilidad • Frecuencia de revisiones / actualizaciones de las normas • Cantidad de ocasiones en que se puso en riesgo la información confidencial • Cantidad de interrupciones al negocio debidas a interrupciones en el servicio de TI • Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura • Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y

tecnología • Cantidad de componentes de infraestructura obsoletos (o que lo serán en el futuro cercano) • Cantidad de incidentes provocados por deficiencias en la documentación y entrenamiento de usuario

y de operación • Porcentaje de cambios registrados y rastreados con herramientas automatizadas • Porcentaje de cambios que siguen procesos de control de cambio formales • Promedio de solicitudes de cambio aceptadas y rechazadas • Cantidad de errores encontrados durante auditorías internas o externas • Tiempo perdido de aplicación o reparaciones de datos provocadas por pruebas inadecuadas • Tasa de falla de transacciones


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

20

• Cantidad de procesos de negocio críticos no cubiertos por un plan definido de disponibilidad de servicios

• Entre Otras

Nota: Por niveles de tolerancia se entiende al promedio del impacto y probabilidad del riesgo residual, que resultan después de implementar los controles mitigantes. Cuando el promedio resulte BAJO se considera aceptable. Los niveles de tolerancia del riesgo residual serán evaluados por los Gerentes de las áreas involucradas en el proceso, y la participación del administrador de riesgo para cada factor de riesgo en particular.

Evaluación del riesgo

En esta etapa se tomarán decisiones basadas en los resultados del análisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades. En la evaluación de riesgos se establecerán para su tratamiento las prioridades y la forma en función de su ubicación dentro del mapa de riesgos de la entidad, estableciendo si:

• Se evita, en función de su alta exposición: Por ejemplo si se determina que un sistema presenta debilidades de seguridad y se decide no implementarlo en producción

• Se reduce, por medio de controles e infraestructura de seguridad: Por ejemplo la definición y control de perfiles de accesos a fin de reducir la cantidad de accesos no autorizados

• Se transfiere, por medio de seguros o tercerización de servicios: Por ejemplo si se contrata a un seguro para cubrir las pérdidas materiales resultantes de la ocurrencia de un acto de robo de hardware

• Se asume, en función de su baja exposición: Por ejemplo si por algún motivo se perdió la documentación técnica de una aplicación que está pronta a ser reemplazada y la Entidad decide no rearmarla por razones de costo-beneficio

A partir de una clara identificación de los riesgos, el objetivo del mapeo de riesgos de sistemas es que se puedan priorizar los mismos en base a su severidad y frecuencia de forma tal de establecer así los niveles de riesgo, Alto, Medio o Bajo y el tratamiento a dar a cada uno de ellos. La confección del Mapa de Riesgos o Matriz de análisis y Evaluación del Riesgo, dependerá del trabajo conjunto de los Responsables, y el administrador de riesgos de TI, respondiendo a su conocimiento de la entidad. El mapa de riesgo permitirá:

• Identificar los riesgos inherentes de cada proceso de Negocio y de los servicios de TI y SI asociados • Analizar la efectividad y relación costo-beneficio de las respuestas al riesgo existente • Identificar estrategias más efectivas en respuesta al riesgo • Seleccionar negocios en base a su relación riesgo / beneficio • Implementar una cultura de concientización de riesgos de TI en la entidad

Para realizar el mapa de riesgo, una vez finalizada la etapa anterior, se actualizará automáticamente el mismo acorde a los valores resultantes de la evaluación.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

21

El mapa de riesgo permite graficar los riesgos según el nivel de impacto y ocurrencia en base a cual se ha clasificado:

Rojo: Los factores que se ubican en estos cuadrantes requieren una definición inmediata de controles/respuestas que mitiguen los mismos. El objetivo de definir controles es reducir la probabilidad de impacto y probabilidad de ocurrencia.

Amarillo: Los factores que se ubican en estos cuadrantes requieren de la definición de un plan de acción que permita controlar la probabilidad de ocurrencia y/o el impacto de los mismos.

Verde: Los factores que se ubican en estos cuadrantes deben ser considerados luego de haber sido considerados los riesgos ubicados en los cuadrantes amarillos y rojos.

Tratamiento del riesgo

En esta etapa se generarán los planes de acción, o planes de tratamiento de riesgos necesarios para tomar las acciones correctivas y preventivas. Las matrices utilizadas para la gestión de riesgos permitirán realizar un seguimiento del cumplimiento de los planes de acción identificados.

Control y revisión

Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades. Para ello se realizarán las siguientes acciones:

• Utilizar Indicadores de Riesgo a los efectos de tener un seguimiento del funcionamiento adecuado de los controles en relación con el volumen y el grado de riesgo asociado a los sistemas

• Actualizar semestralmente las matrices de riesgo y análisis de los procedimientos • Realizar un seguimiento de la observaciones de Auditoria Interna / Externa de sistemas y otras

entidades de control • Participar en el desarrollo de nuevos productos, procesos o modificación de ellos que puedan afectar

a los sistemas de información El proceso de control y revisión también involucra aprender de los eventos y de sus resultados.

Comunicación y consulta

La comunicación y consulta son consideraciones importantes en cada etapa mencionada anteriormente. La comunicación y consulta involucra un diálogo entre los Responsables de las áreas tecnológicas, de seguridad y funcionales para ayudar a que los riesgos sean identificados eficazmente, para reunir distintas áreas de especialidad en el análisis de riesgos y así asegurar que se consideran distintos puntos de vista en la evaluación de los riesgos y para una administración apropiada de cambios durante el tratamiento de los mismos.

Alto

Medio

Bajo

Baja Media Alta

Impa

cto

Probabilidad


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

22

Presentación al Directorio

Concluidas las etapas anteriores del procedimiento, el administrador de riesgos de TI unificará los resultados de los trabajos realizados por los Responsables. Luego se presentará formalmente al Comité de Sistemas y al Directorio la siguiente información:

• “Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos.

• “Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo.

• “Administración de Riesgos (Actualización al DD/MM/AAAA)”, en el cual se detallan los cambios resultantes del proceso de revisión / actualización: o Detalle de nuevos riesgos y factores incorporados o Detalle de riesgos y factores dados de baja, con la correspondiente justificación de esta acción o Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación

anterior, la evaluación actual y la justificación del cambio realizado.

Documentación de las Matrices de Riesgo

Se documentarán los trabajos realizados en la matriz utilizada para la gestión de riesgos acompañada de los registros necesarios que avalen lo relevado, que servirá como soporte a este proceso.

Definiciones de documentación del Marco Normativo La Organización cuenta con los siguientes niveles de documentos:

• Plan de Seguridad de la Información

• Políticas de Seguridad de la Información

• Normas de Seguridad de la Información

• Procedimientos Administrativos

• Estándares Técnicos

• Instructivos, Checklist y Formularios

Plan de Seguridad de la Información Es el documento que presenta a la Organización el SGSI, declara su estructura interna, define los servicios que presta y las pautas funcionales y documentales con las que desarrolla sus actividades. Está compaginado según la estructura planteada en la Norma ISO/IEC 27.001, los objetivos de control normativos especificados en su Anexo A y en la Norma ISO/IEC 27.002 como guía práctica para elaborar normas de seguridad de la organización y desarrollar prácticas efectivas de la gestión de la seguridad, brindando asimismo, confianza en las actividades llevadas a cabo entre las organizaciones.

Políticas de Seguridad de la Información Las Políticas brindan la información necesaria en el más amplio nivel de detalle a los usuarios de la Organización, de las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red organizacional de la Organización, así como la información que es procesada y almacenada en estos.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

23

Norma de Seguridad de la Información Documento que fija los propósitos generales dentro de un marco o política regulatoria, definiendo lo que DEBE hacerse para su cumplimiento de acuerdo al entorno de gestión y alcances establecidos por la Organización.

Procedimiento Administrativo Es el documento que define tareas específicas de tipo operativo-administrativo mencionando el COMO se lleva a cabo una actividad o un proceso describiendo con alto grado de detalle el modo de realizar las actividades principales del SGSI y la parametrización de los componentes integrantes del proceso que describen.

Estándar Técnico Es el documento desarrollado como guía para la configuración de valores, reglas, condiciones o características en productos de hardware y software que integran la arquitectura de procesos alcanzados por los requerimientos normativos, regulativos y legales relacionados con las actividades del Negocio.

Instructivos, Checklist y Formularios Documentación anexa a los procedimientos y que sirven como guía de paso a paso, documento de control y/o registros que presentan resultados obtenidos o proporcionan evidencia de actividades realizadas.

Definiciones para Políticas y Normas por Dominio

SEGURIDAD ORGANIZACIONAL

POLÍTICAS DE SEGURIDAD

Los servicios de la red organizacional son de exclusivo uso laboral. La Organización nombrará un comité de seguridad de acuerdo a lo mencionado en el Capítulo “Integrantes y funciones del Comité de Seguridad”, que dé seguimiento al cumplimiento de la normativa, propicie el entorno necesario de gestión para el SGSI y asegure que a través de las Políticas se represente la intención de la Dirección por:

a) Velar por la seguridad de los activos informáticos b) Propiciar una buena gestión y procesamiento de información. c) Fomentar el cumplimiento de políticas. d) Establecer la aplicación de sanciones. e) Asegurar la elaboración de planes de seguridad. f) Asegurar la capacitación de usuarios en temas de seguridad. g) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o

solución, a problemas de seguridad dentro de la Organización. h) Establecer los medios de información necesarios sobre problemas de seguridad a la Alta

Gerencia.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

24

i) Disponibilizar los medios de comunicación necesarios para que los usuarios de la red organizacional puedan emitir sugerencias o quejas con respecto al funcionamiento de los activos de información.

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Responsabilidad por los activos

• Cada Gerencia tendrá un responsable por el/los activo/s crítico/s o de mayor importancia para sus procesos de Negocio y unidades organizativas propias intervinientes en el proceso.

• La persona o entidad responsable de los activos de cada unidad organizativa o área de trabajo, velará por la salvaguarda de los activos físicos (hardware y medios magnéticos, aires acondicionados, mobiliario.), activos de información (Bases de Datos, Archivos, Documentación de sistemas, Procedimientos Operativos, configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)

• Los administradores de los sistemas son los responsables de la seguridad de la información almacenada en esos recursos.

Clasificación de la información

• De forma individual, cada Gerencia de la Organización, es responsable de clasificar de acuerdo al nivel de importancia, la información que en ella se procese.

• Se tomarán como base, los siguientes criterios, como niveles de importancia, para clasificar la información:

a) Pública b) Interna c) Confidencial

• Los formularios a tener en cuenta para la registración de esta actividad son

• Formulario Clasificación de Activos

• Formularios Control de Software y Hardware

• Formulario Clasificación de Activos

• Los activos de información de mayor importancia para la Organización deberán clasificarse por su nivel de exposición o vulnerabilidad.

SEGURIDAD LIGADA AL PERSONAL

• Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro de la Organización, en el momento en que se dé por establecido su contrato laboral.

• La información procesada, manipulada o almacenada por el empleado es propiedad exclusiva de la Organización. El empleado no tiene ningún derecho sobre la información que procese dentro de las instalaciones de la red organizacional.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

25

• La Organización no se hace responsable por daños causados provenientes de sus empleados a la información o activos de procesamiento desde sus instalaciones de red a equipos informáticos externos.

• La información que maneja o manipula el empleado, no puede ser divulgada a terceros o fuera del ámbito de laboral.

• El usuario se norma por las disposiciones de seguridad informática de la Organización y son responsables de las acciones causadas por sus operaciones con el equipo de la red organizacional.

CAPACITACIÓN DE USUARIOS

• Los usuarios de la red organizacional, serán capacitados en cuestiones de seguridad de la información según sea el área operativa y en función de las actividades que se desarrollan.

• Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitación a personal ajeno o propio de la Organización, siempre y cuando se vea implicada la utilización de los servicios de red o se exponga material de importancia considerable para la Organización.

RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD

• Se realizarán respaldos de la información diariamente para los activos de mayor importancia o críticos, un respaldo semanal que se utilizará en caso de fallas y un tercer respaldo efectuado mensualmente, el cual deberá ser guardado y evitar su utilización a menos que sea estrictamente necesaria.

• Las solicitudes de asistencia, efectuados por dos o más empleados o áreas de proceso, con problemas en las estaciones de trabajo, deberá dárseles solución en el menor tiempo posible.

• El CSO deberá elaborar un documento donde deba explicar los pasos que se deberán seguir en situaciones contraproducentes a la seguridad y explicarlo detalladamente en una reunión ante el personal de respuesta a incidentes.

• Cualquier situación anómala y contraria a la seguridad deberá ser documentada, posterior revisión de los registros o Log de sistemas con el objetivo de verificar la situación y dar una respuesta congruente y acorde al problema, ya sea ésta en el ámbito legal, regulatorio o cualquier situación administrativa.

SEGURIDAD LÓGICA

CONTROL DE ACCESOS

• La Gerencia de Seguridad de la Información proporcionará toda la documentación necesaria para agilizar la utilización de los sistemas, referente a formularios, guías, controles, otros.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

26

• Cualquier petición de información, servicio o acción proveniente de un determinado usuario o departamento, se deberá efectuar siguiendo los canales de gestión formalmente establecidos por la Organización, para realizar dicha acción; no dar seguimiento a esta política implica:

a) Negar por completo la ejecución de la acción o servicio. b) Informe completo dirigido a comité de seguridad, mismo será

realizado por la persona o el departamento al cual le es solicitado el servicio.

c) Sanciones aplicables por autoridades de nivel superior, previamente discutidas con el comité de seguridad.

ADMINISTRACIÓN DEL ACCESO DE USUARIOS

• Son usuarios de la red organizacional todo aquel empleado y tercera parte autorizada que utilice los servicios de la red organizacional de la Empresa.

• Se asignará una cuenta de acceso a los sistemas y recursos informáticos a todo usuario de la red organizacional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario.

• Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relación con la Organización fuera del ámbito de empleado y siempre que tenga una vinculación con los servicios de la red organizacional.

• El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente mediante firma impresa y documentación de aceptación de confidencialidad hacia la Organización y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso.

• Las terceras partes son usuarios limitados, estos tendrán acceso únicamente a los servicios y recursos compartidos de la red organizacional necesarios para cumplir las funciones por las que fueron contratados. Cualquier cambio sobre los servicios a los que estos tengan acceso será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones.

• No se proporcionará el servicio solicitado por un usuario, unidad organizativa o Gerencia, sin antes haberse completado todos los procedimientos de autorización necesarios para su ejecución.

• La longitud mínima de caracteres permisibles en una contraseña se establece en 6 caracteres y la longitud máxima de caracteres permisibles se establece en 12 caracteres, los cuales tendrán una combinación alfanumérica, incluida en estos caracteres especiales y con una combinación de mayúsculas y minúsculas.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

27

RESPONSABILIDADES DEL USUARIO

• El usuario es responsable exclusivo de mantener a salvo su contraseña.

• El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios.

• Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.

• El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por la Gerencia de Seguridad de la Información que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario.

• El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con alguna característica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaños o alguna otra fecha importante.

• El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la información almacenada en él, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contraseña, el cual deberá activarse en el preciso momento en que el usuario deba ausentarse.

• Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos de la Organización, está obligado a reportarlo a los administradores del sistema o a la Gerencia de Seguridad de la Información.

Uso de correo electrónico

• Se debe hacer uso del servicio de correo electrónico acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a la red organizacional.

• El correo electrónico es de uso exclusivo, para los empleados de la Organización y terceras partes autorizadas que brinden servicios a la misma y por sus funciones requieran este servicios.

• Todo uso indebido del servicio de correo electrónico, será motivo de sanciones disciplinarias de acuerdo a las Políticas de recursos Humanos de la Organización y acorde a lo indicado por la Ley N° 26.388 de Delitos Informáticos.

• El usuario será responsable de la información que sea enviada con su cuenta.

• El comité de seguridad, se reservará el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red organizacional.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

28

• El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para distribuir de forma ilegal licencias de software o reproducir información sin conocimiento del autor.

SEGURIDAD EN ACCESO DE TERCEROS

• El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de seguridad establecidos en el contrato de trabajo o asociación para el servicio, el cual deberá estar firmado por las Gerencias involucradas en el mismo.

• Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio que le fue asignado, y acatar las responsabilidades que devengan de la utilización del mismo.

• Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por el personal interno de la Organización, además de los requisitos expuestos en su contrato con la Organización.

CONTROL DE ACCESO A LA RED

• El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de seguridad necesarios, y éste será permitido mediante un mecanismo de autenticación.

• Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del usuario o el equipo implicado en el proceso.

• Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la red, será motivo de verificación y tendrá como resultado directo la realización de una auditoria de seguridad.

• Se deberán emplear dispositivos de red para el bloqueo, enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde la red interna hacia el exterior.

• Los accesos a la red interna o local desde una red externa de la Organización o extranet, se harán mediante un mecanismo de autenticación seguro y el tráfico entre ambas redes o sistemas será cifrado con una encriptación de 128 bit.

• Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log, de los dispositivos que provean estos accesos.

• Se efectuara una revisión de Log de los dispositivos de acceso a la red ya sea en forma manual o a través de herramientas que permitan identificar errores o acciones sospechasos en forma automática.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

29

CONTROL DE ACCESO AL SISTEMA OPERATIVO

• Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema.

• Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la estación de trabajo.

• El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador.

• Los administradores de servicios, tendrán acceso único a los módulos de configuración de las respectivas aplicaciones que tienen bajo su responsabilidad.

• Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente.

CONTROL DE ACCESO A LAS APLICACIONES

• Las aplicaciones deberán estar correctamente diseñadas con funciones de acceso específicas para cada usuario del entorno operativo de la aplicación.

• Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis en los derechos de escritura, lectura, modificación, ejecución o borrado de información.

• Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria y sobre distintas fases antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de información u otras anomalías.

• Las salidas de información de las aplicaciones en un entorno de red deberán ser documentadas y especificar la terminal por la que deberá ejecutarse exclusivamente la salida de información.

• Se deberá llevar un registro mediante Log de aplicaciones sobre las actividades de los usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen información relevante y revisable posteriormente.

MONITOREO DEL ACCESO Y USO DEL SISTEMA

• Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de información y uso de la red, mediante archivos de Log o bitácoras de sistemas.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

30

• Los archivos de Log almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada, aplicación implicada en el proceso, intentos de conexión fallidos o acertados, archivos a los que se tuvo acceso, entre otros.

• Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra terminal o servidor, evitando se guarde la copia localmente donde se produce.

GESTIÓN DE OPERACIONES Y COMUNICACIONES

• El personal administrador de algún servicio, es el responsable absoluto por mantener en óptimo funcionamiento ese servicio, coordinar esfuerzos con la Gerencia de Seguridad de la Información, para fomentar una cultura de administración segura y servicios óptimos.

• Las configuraciones y puesta en marcha de servicios, son normadas por el departamento de informática, y el comité de seguridad.

• El personal responsable de los servicios, llevará archivos de registro de fallas de seguridad del sistema y revisara estos archivos de forma frecuente y en especial después de ocurrida una falla.

PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

• La unidad de informática, o personal de la misma dedicado o asignado en el área de programación o planificación y desarrollo de sistemas, efectuará todo el proceso propio de la planificación, desarrollo, adquisición, comparación y adaptación del software necesario para la Organización.

• La aceptación del software se hará efectiva previo análisis y pruebas efectuadas por el personal de Tecnología y Seguridad de la Información.

• Únicamente se utilizará software certificado o en su defecto software previamente revisado y aprobado, por personal calificado en el área de seguridad.

• La aceptación y uso de los sistemas no exonera de responsabilidad alguna sobre la Gerencia de Seguridad de la Información, para efectuar pruebas o diagnósticos a la seguridad de los mismos.

• El software diseñado localmente y desarrollado por programadores internos, deberá ser analizado y aprobado por la Gerencia de Seguridad de la Información, antes de su implementación.

• Es tarea de programadores el realizar pruebas de validación de entradas, en cuanto a: o Valores fuera de rango. o Caracteres inválidos, en los campos de datos. o Datos incompletos. o Datos con longitud excedente o valor fuera de rango.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

31

o Datos no autorizados o inconsistentes. o Procedimientos operativos de validación de errores o Procedimientos operativos para validación de caracteres. o Procedimientos operativos para validación de la integridad de los datos. o Procedimientos operativos para validación e integridad de las salidas.

• Toda prueba de las aplicaciones o sistemas, se deberá hacer teniendo en cuenta las medidas de protección de los archivos de producción reales.

• Cualquier prueba sobre los sistemas del ámbito a la que esta se refiera deberá ser documentada y cualquier documento o archivo que haya sido necesario para su ejecución deberá ser borrado de los dispositivos físicos, mediante tratamiento electrónico.

PROTECCIÓN CONTRA SOFTWARE MALICIOSO

• Se adquirirá y utilizará software únicamente de fuentes confiables.

• En caso de ser necesaria la adquisición de software de fuentes no confiables, este se adquirirá en código fuente.

• Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real.

MANTENIMIENTO

• El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informática o del personal de soporte técnico.

• El cambio de archivos de sistema no es permitido sin una justificación aceptable y verificable por la Gerencia de Seguridad de la Información.

• Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalación.

MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO

• Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información de la Organización, serán etiquetados de acuerdo a la información que almacenan u objetivo que suponga su uso detallando o haciendo alusión a su contenido.

• Los medios de almacenamiento con información crítica o copias de respaldo deberán ser manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda.

• Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja especial a la cual tendrá acceso únicamente, la Gerencia de Seguridad de la Información o la


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

32

gerencia administrativa. Esta caja no debería ser removible, una segunda copia será resguardada por un tercero, entidad financiera o afín.

• Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar información y su uso.

SEGURIDAD FÍSICA Y AMBIENTAL

SEGURIDAD DE LOS EQUIPOS

• El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables, llámese a estos de corriente o energía eléctrica, para evitar interferencias.

• Los servidores con problemas de hardware sin importar al grupo al que estos pertenezcan, deberán ser reparados localmente. De no cumplirse lo anterior, deberán ser retirados sus medios de almacenamiento.

• Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por la Gerencia de Seguridad de la Información y las personas responsables por esos activos, quienes deberán poseer su debida identificación.

CONTROLES GENERALES

• Las estaciones o terminales de trabajo con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles que puedan facilitar el robo o manipulación de la información por terceros o personal que no deba tener acceso a esta información.

• En ningún momento se deberá dejar información sensible de robo, manipulación o acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta información.

• Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento correctivo que se les haga a los equipos.

• Toda oficina o área de trabajo debe poseer entre sus inventarios herramientas auxiliares (extintores, alarmas contra incendios, lámpara de emergencia), necesarias para salvaguardar los recursos tecnológicos y la información.

• Toda visita a las oficinas de tratamiento de datos críticos e información (unidad de informática, sala de servidores entre otros) deberá ser registrada mediante el formulario de accesos a las salas de procesamiento crítico, para posteriores análisis del mismo.

• La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas o cualquier otra unidad, departamento o sala de recepción del personal, mediante una división en la unidad de informática, recubierta de material aislante o protegido contra


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

33

el fuego, Esta sala deberá ser utilizada únicamente por las estaciones prestadoras de servicios y/o dispositivos a fines.

• El suministro de energía eléctrica debe hacerse a través de un circuito exclusivo para los equipos de cómputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demandan grandes cantidades de energía.

• El suministro de energía eléctrica debe estar debidamente polarizado, no siendo conveniente la utilización de polarizaciones locales de tomas de corriente, sino que debe existir una red de polarización.

• Las instalaciones de las áreas de trabajo deben contar con una adecuada instalación eléctrica, y proveer del suministro de energía mediante una estación de alimentación ininterrumpida o UPS para poder proteger la información.

• Las salas o instalaciones físicas de procesamiento de información deberán poseer información en carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la seguridad de la misma o de la información que ahí se procesa.

SEGURIDAD LEGAL

CUMPLIMIENTO DE REQUISITOS LEGALES

Licenciamiento de Software

• La Organización se reserva el derecho de respaldo a cualquier empleado ante cualquier asunto legal relacionado a infracciones a las leyes de copyright o piratería de software.

• Todo el software comercial que utilice la Organización deberá estar legalmente registrado en los contratos de arrendamiento de software con sus respectivas licencias.

• La adquisición de software por parte de personal que trabaje en la Organización sin el expreso consentimiento de ella, la instalación del mismo no garantiza responsabilidad alguna para la Organización, por ende ésta no se hace responsable de las actividades de sus empleados.

• Tanto el software comercial como el software libre son propiedad intelectual exclusiva de sus desarrolladores, la Organización respeta la propiedad intelectual y se rige por el contrato de licencia de sus autores.

• El software comercial licenciado a la Organización es propiedad exclusiva de ésta, y la misma se reserva el derecho de reproducción de éste sin el permiso de sus autores respetando el esquema de cero piratería y/o distribución a terceros.

• En caso de transferencia de software comercial a terceros, se harán las gestiones necesarias para su efecto y se acataran las medidas de licenciamiento relacionadas con la propiedad intelectual.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

34

• Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad absoluta de la Organización.

• Cualquier cambio en la política de utilización de software comercial o software libre, se hará documentado y en base a las disposiciones de la respectiva licencia.

• El software desarrollado internamente, por el personal que trabaja en la Organización es propiedad exclusiva de la Organización.

• La adquisición del software libre o comercial deberá ser gestionado con las autoridades competentes y acatando sus disposiciones legales; en ningún momento se obtendrá software de forma fraudulenta.

• Los contratos con terceros en la gestión o prestación de un servicio deberán especificar las medidas necesarias de seguridad, nivel de prestación del servicio, y/o el personal involucrado en tal proceso.

Revisión de políticas de seguridad y cumplimiento técnico

• Toda violación a las políticas de licenciamiento de software, será motivo de sanciones aplicables al personal que incurra en la violación.

• El documento de seguridad será elaborado y actualizado por la Gerencia de Seguridad de la Información, junto al comité de seguridad, su aprobación y puesta en ejecución será responsabilidad de la gerencia administrativa.

• Cualquier violación a la seguridad por parte del personal que trabaja para la Organización, así como terceros que tengan relación o alguna especie de contrato con la Organización se harán acreedores a sanciones aplicables de ley.

Consideraciones sobre auditorias de sistemas

• Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red en forma semestral, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas por personal técnico especializado o en su defecto personal capacitado en el área de seguridad.

• Toda auditoria a los sistemas, estará debidamente aprobada, y tendrá el sello y firma de la Gerencia de Seguridad de la Información.

• Cualquier acción que amerite la ejecución de una auditoria a los sistemas informáticos deberá ser documentada y establecida su aplicabilidad y objetivos de la misma, así como razones para su ejecución, personal involucrada en la misma y sistemas implicados.


LA INFORMACIÓN

fa

bi

an

de

sc

al

zo

@y

ah

oo

.c

om

.a

r

35

• La auditoría no deberá modificar en ningún momento el sistema de archivos de los sistemas implicados, en caso de haber necesidad de modificar algunos, se deberá hacer un respaldo formal del sistema o sus archivos.

• Las herramientas utilizadas para la auditoria deberán estar separadas de los sistemas de producción y en ningún momento estas se quedaran al alcance de personal ajeno a la elaboración de la auditoria.

Excepciones de responsabilidad

• La Organización debe establecer con sus empleados un contrato de confidencialidad de común acuerdo.

• Toda acción debe seguir los canales de gestión necesarios para su ejecución.

• El comité de seguridad proveerá la documentación necesaria para aprobar un acuerdo de no responsabilidad por acciones que realicen dentro de la red organizacional.

• Las gestiones para las excepciones de responsabilidad son acordadas bajo común acuerdo de la Gerencia involucrada y el comité de seguridad.

Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion

Business

Transcript of Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion