POLÍTICAS DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN

Políticas de Seguridad de Tecnologías de Información Gerencia de Operaciones de TI

Este documento es propiedad del Centro Universitario del Fútbol y Ciencias del Deporte Clave: STI-DO-166 //V1.0

Pág. 1/33

POLÍTICAS DE SEGURIDAD DE

TECNOLOGÍAS DE INFORMACIÓN



Pág. 2/33

Información del Documento

Nombre del Documento: Políticas de Seguridad de Tecnologías de Información

Última modificación: Abril de 2007 Última impresión: Abril de 2007 Versión: 1.0 Elaboró: Lic. Ali Vela manzano

Gerente de Operaciones

Aprobó: Mtro. Alejandro Acevedo Hidalgo Director de Tecnologías de Información

Revisó: Ing. Vicente Moreno Calva Director de Calidad



Pág. 3/33

INTRODUCCIÓN Las Instrucciones, Normas y Procedimientos de Seguridad de la Información han de basarse en los principios desarrollados en este documento. La implementación de la seguridad informática en cada equipo de cómputo se regirá por estos principios y por la relación costo / beneficio entre los riesgos existentes y las medidas de seguridad a adoptarse. Para ello, será responsabilidad de las Direcciones de todas las Unidades de Negocio informar a todo el personal a su cargo, con o sin relación de dependencia, acerca del contenido de las presentes políticas de seguridad informática y de las Normas y Procedimientos, instruyendo la obligatoriedad de su cumplimiento, reconocimiento y aceptación formal. Estas políticas incluyen las siguientes exigencias básicas:

• Proteger la información del Grupo Pachuca, es responsabilidad de todos sus miembros, quienes comparten el interés de prevenir que la información sea mal utilizada, perdida o deteriorada, ya sea en forma intencional o accidental.

• Utilizar el buen criterio y los medios puestos a disposición para prevenir el indebido

acceso o la divulgación de los recursos de información de la organización.

• Los recursos de información son activos propios de la organización que sólo pueden ser empleados para propósitos oficiales, aprobados por directivos del Grupo Pachuca y de ningún modo para beneficio personal. El intento de acceso, el acceso o el uso de la información más allá del nivel autorizado, está prohibido.



Pág. 4/33

ROLES Y RESPONSABILIDADES RELATIVOS A LA SEGURIDAD DE LA INFORMACIÓN Objetivo

Definir los roles a desempeñar para el cumplimiento de los objetivos relacionados con la seguridad informática del Grupo Pachuca.

Ámbito de aplicación Todos los recursos informáticos del Grupo Pachuca.

Responsable Los responsables de garantizar la seguridad de los recursos informáticos del Grupo Pachuca son todos aquellos alcanzados por la asignación de roles de acuerdo a lo definido en:

• Las funciones del Grupo Pachuca. • Las Políticas de Seguridad de la Información. • Las Instrucciones, Normas y Procedimientos particulares de la Seguridad de la Información. • Toda disposición complementaria con relación a la materia emanada de las áreas pertinentes.

Política La responsabilidad sobre los recursos informáticos del Grupo Pachuca recaerá sobre todas las áreas que interactúan con los recursos informáticos del Grupo, destacándose las siguientes: Definidores de Procesos y Sistemas: son los responsables de la definición en los aspectos funcionales de los sistemas informáticos. Deben clasificar la información de acuerdo a su criticidad, definir los perfiles de acceso para brindar una seguridad adecuada y elaborar los procedimientos normales y alternativos aplicables ante una denegación de servicio. Definen las pistas de auditoria de los sistemas informáticos. Estructuralmente corresponde a las áreas que definen sistemas informáticos. Custodios de Hardware: son los responsables del control y guarda del hardware a su cargo. Estructuralmente corresponde a las áreas que poseen patrimonialmente bienes informáticos asignados. Custodios del Software de Base: son los responsables de la instalación, configuración y mantenimiento del software base. Estructuralmente corresponde a las áreas de soporte técnico. Desarrolladores de Sistemas: son los responsables del desarrollo y mantenimiento de los sistemas del Grupo Pachuca. Estructuralmente corresponde a las áreas de desarrollo del Grupo.



Pág. 5/33

Homologadores de Sistemas: son los responsables de la prueba y homologación de los sistemas desarrollados en el Grupo Pachuca o por terceros vinculados a esta Dirección. Estructuralmente corresponde a las áreas de Tecnologías de Información. Operadores de Centro de Servicio: son los responsables de recibir y solucionar en forma primaria las incidencias relacionadas con los recursos informáticos del Grupo Pachuca, tanto para usuarios internos o externos. Estructuralmente corresponde al área de soporte del Grupo. Operadores de Sistemas: son los encargados de la operación de los equipos de cómputo instalados en el Centro de Cómputo. Estructuralmente corresponde a las áreas que operan equipos en el Centro de Cómputo. Administradores de Accesos: son los encargados de la administración de los accesos lógicos a la información. Estructuralmente corresponde al área que administra accesos. Administrador de Seguridad Informática: realiza la elaboración, coordinación y actualización de las normas, procedimientos, estándares y manuales relacionados con la seguridad de la información del Grupo, monitoreando su cumplimiento. Impulsa las acciones necesarias para lograr el cumplimiento de la política por parte de los diversos usuarios y para que existan adecuados controles que eviten el acceso no autorizado a los recursos informáticos del Grupo. Participa en la definición de esquemas de seguridad y ejecuta su implementación. Estructuralmente corresponde a las funciones del área de Seguridad Informática.

Usuarios: personas físicas internas o externas al Grupo o contratados por el mismo, que utilizan los recursos informáticos del Grupo Pachuca. Comité de Seguridad: es el encargado de la definición, revisión y actualización de las Políticas de Seguridad de la Información, de la clasificación de la criticidad para administrar aquellos eventos detectados que pongan en riesgo la seguridad informática del Grupo Pachuca, comprendiendo la comunicación oficial de las situaciones producidas, hechos sucedidos y medidas adoptadas o a adoptar. También analiza y define las acciones necesarias en materia de seguridad en casos cuyas características excepcionales ameriten su intervención. No tiene reflejo estructural. Deberá estar conformado por representantes de las áreas informáticas. Responsable de Tecnología: es el responsable de definir los estándares tecnológicos y el software que se utilizará en el Grupo, de registrarlo y de administrar su licencia. Responsable de Monitoreo: es el responsable de verificar y controlar el correcto funcionamiento de la totalidad de los equipos de cómputo instalados en el Centro de Procesamiento de Datos (site), y de los servicios conexos, incluyendo la operación del software de base, aplicaciones y procesos batch que se corren en dichos servidores.



Pág. 6/33

Responsable de Control de Calidad de Sistemas: es el responsable de planificar, coordinar y controlar las actividades que permitan satisfacer los requerimientos vinculados con el control de calidad e implementación de los desarrollos. Responsable de Comunicaciones: es el responsable de administrar la Red de Comunicaciones del Grupo Pachuca. Responsable de Recursos Informáticos: es el responsable del diseño, mantenimiento y operación de los sistemas, como así también de la disposición, administración y coordinación de los recursos informáticos del Grupo Pachuca. Estructuralmente corresponde a las funciones de la Gerencia de Sistemas. Auditor: es el responsable de efectuar las auditorias de los sistemas informáticos, verificando la bondad del control interno. La asignación de estos roles deberá respetar una adecuada segregación de funciones.



Pág. 7/33

ÉTICA EN EL MANEJO Y LA UTILIZACIÓN DE LOS RECURSOS INFORMÁTICOS Objetivo

Establecer que los recursos informáticos del Grupo Pachuca, y en particular la información confidencial o restringida, no sean utilizados para fines ajenos al interés de la misma o contrarios a las normas vigentes.

Ámbito de aplicación Todos los recursos informáticos del Grupo Pachuca. Responsables Todas las personas físicas que interactúan con los recursos informáticos del Grupo son responsables de cumplir con esta Política. Política

Los recursos informáticos del Grupo Pachuca deberán ser utilizados solamente para tareas oficiales y a los fines para los cuales fueron asignados. Todas las personas físicas que interactúan con los recursos informáticos del Grupo deberán cumplir con las siguientes disposiciones, siendo toda violación a las mismas susceptible de las sanciones que correspondan:

• No utilizar la información y/o los recursos informáticos del Grupo Pachuca

para fines ajenos a los intereses del Grupo o contrarios a las normas vigentes.

• No divulgar indebidamente información restringida o confidencial. • No alterar la veracidad de la información.



Pág. 8/33

LEGALIDAD Y AUTORIZACIÓN DE USO DEL SOFTWARE Objetivo

Asegurar que todo el software en uso por el Grupo sea utilizado de acuerdo con las reglamentaciones legales y normativas vigentes.

Ámbito de aplicación

El software aplicativo o de base utilizado por el Grupo tanto en instalaciones propias o de terceros. Esto incluye tanto al software adquirido como al desarrollado internamente o gratuito.

Responsables

Todo el personal del Grupo Pachuca (incluido aquel que fuera contratado), y las personas que interactúen con los recursos informáticos del Grupo, son responsables de cumplir con esta Política. Los Custodios de Software Base de los equipos informáticos asignados y distribuidos son responsables principales por la legalidad del software que ellos instalen en los mismos o que ya venga preinstalado. Los usuarios son responsables de la legalidad del software que instalen en sus máquinas asignadas, el cual será utilizado para el cumplimiento de su actividad laboral. La responsabilidad de la administración de las licencias de uso de software individual y corporativo corresponderá a la unidad de estructura definida por la Dirección de Tecnologías de Información.

Política

Todo software que se utilice en el Grupo, deberá contar con su adecuada licencia legal de uso a nombre de este, o la debida autorización en caso de ser software gratuito. La documentación sobre los derechos de uso de software que se administra bajo la responsabilidad del Grupo Pachuca deberá estar debidamente respaldada y conservada. La utilización de cualquier software cuya licencia de uso sea propiedad de EMPRESA y/o de uso libre o gratuito, deberá ser autorizada por el área que administre las licencias de uso de software. La utilización por parte del Grupo Pachuca de software propiedad de terceros, deberá ser autorizada por el área que administra las licencias de uso de software, contando con el respaldo documental correspondiente. El software desarrollado por agentes o empresas contratados por ella, no podrá ser facilitado a terceros ajenos al Grupo sin la autorización expresa del área que designe la Dirección de Tecnologías de Información.



Pág. 9/33

Deberá existir un registro único de todos los productos de software del Grupo Pachuca. El uso en ambientes de producción de versiones de software ofrecidas por sus proveedores como demostración por tiempo limitado deberá ser autorizado por el área encargada de la administración de las licencias de uso de software. No deberán ser utilizadas en ambiente de producción las versiones de software que son calificadas por sus proveedores como provisorias por considerarse insuficiente el nivel de pruebas y depuraciones realizadas sobre la funcionalidad que proveen (ejemplo: versiones “beta”).



Pág. 10/33

ADMINISTRACIÓN DE ACCESO LÓGICO Objetivo

Regular el acceso lógico de los usuarios a los recursos informáticos del Grupo Pachuca a través de mecanismos adecuados.


Todos los recursos informáticos del Grupo Pachuca. Responsables

Los Definidores de Procesos y Sistemas son responsables de definir perfiles de usuarios compatibles con el principio de segregación de funciones. Los Custodios del Software de Base, los Desarrolladores de Sistemas y el Administrador de Seguridad Informática tendrán a su cargo la definición de los esquemas técnicos para la implementación de los perfiles definidos. El Administrador de Seguridad Informática determinará las pautas mínimas de seguridad que deben cumplir los entes externos autorizados para acceder a los recursos informáticos del Grupo Pachuca, como así también monitorear su implementación. Asimismo establecerá y revisará las pautas para el control de acceso a bibliotecas de programas fuentes. El Responsable de Comunicaciones deberá definir las pautas técnicas para dicha materia, que deberán cumplir los entes externos autorizados para acceder a los recursos informáticos del Grupo. El Comité de Seguridad deberá analizar, definir y revisar periódicamente la autorización de accesos lógicos cuando las características técnicas del mismo pudieran poner en riesgo la seguridad de los sistemas informáticos.

Política

Mecanismos de control de acceso Los usuarios internos o externos, para poder acceder al activo informático requerido por su función, deberán hacerlo a través de mecanismos que los identifiquen en forma unívoca en los registros de control que tengan lugar. Características de las contraseñas Las contraseñas son clasificadas como información confidencial. Contraseñas temporales Las contraseñas asignadas por los Administradores de Accesos deberán ser temporales, válidas para la primera sesión de ingreso de cada usuario, y deberán ser cambiadas obligatoriamente antes de ejecutar cualquier otra acción. Se considera “primera sesión de ingreso”, a aquella que tuviera lugar después de producida cada asignación por parte de los Administradores de Acceso (alta de usuarios y blanqueos de clave).



Pág. 11/33

Habilitación de accesos La habilitación de accesos sólo deberá ser generada para aquellos que lo hubieran solicitado de acuerdo a los procedimientos que se encuentren vigentes en el momento de la solicitud y cuya necesidad de uso esté debidamente justificada por la índole de sus tareas, comprendiendo tanto el uso de las aplicaciones específicas como de cualquier otro programa que permita el acceso a los recursos. Acceso de externos Toda persona física externa debe estar autorizada expresamente por el Grupo a interactuar con los recursos informáticos del Grupo y complementar las pautas y normativas vigentes. Suspensión o baja de accesos Es obligación de las respectivas Direcciones solicitar a las áreas administradoras de accesos la suspensión o baja de un usuario cuando existan causales que así lo justifiquen. Accesos excepcionales Los accesos lógicos con características particulares, incluyendo los casos de modificación directa, quedarán sujetos a justificadas razones sustentadas en la necesidad de uso del área solicitante, debiendo estos ser autorizados previamente a su otorgamiento por el Responsable de los Recursos Informáticos, debiéndose poner en conocimiento del área de Auditoria. Responsabilidades de los usuarios Los mecanismos para el control de accesos, códigos de usuarios y las contraseñas son de uso personal y privado, para ser utilizados por quien los tenga asignados. Toda cuenta de usuario personalizada deberá estar asociada en forma unívoca a una persona física, claramente identificada. Responsabilidades de los administradores de accesos Los Administradores de Accesos deberán crear una contraseña sólo cuando generan un nuevo código de usuario, el usuario haya olvidado la misma, o su código haya quedado bloqueado.



Pág. 12/33

SEGURIDAD FÍSICA Objetivo

Promover las técnicas adecuadas para la protección de la vida y la seguridad de las personas y de toda la información clasificada, como así también de los equipos y medios de procesamiento de la información, a efectos de asegurar razonablemente la integridad, impedir accesos no autorizados, daños e interferencias a la infraestructura institucional y recursos informáticos, teniendo en consideración los riesgos identificados.


Todos los locales u oficinas que alberguen documentación sensitiva.

Todos los Centros de Procesamiento de Datos (C.P.D.) del Grupo Pachuca, independientemente de su nivel de criticidad, como así también, la totalidad del parque informático y sus ambientes ubicados en las distintas áreas del Grupo. Dependiendo de la infraestructura edilicia asignada a los locales informáticos, las características específicas de los equipamientos y la criticidad de la información que se procesen en tales recintos, se definen las siguientes categorías de C.P.D., a saber: • C.P.D. de alto nivel Son los denominados “Centros de Cómputos”, funcionalmente orientados a efectuar actividades de procesamiento de datos y operación de aplicaciones específicas, elevadamente sensitivas y valiosas para el funcionamiento del Grupo. • C.P.D. de mediano nivel Son los ambientes de procesamiento de datos con equipos específicos que siendo usuarios del servicio informático de la Institución y no perteneciendo al Centro de Cómputo, disponen de servidores para los ámbitos informáticos de desarrollo, investigación, producción y homologación; como así también para el proceso de registrar, clasificar y transmitir la información de las operaciones a las dependencias centrales. • C.P.D. de nivel básico Alcanza a aquellas áreas informatizadas de la Institución no incluidas en los niveles anteriormente descritos, y que operan básicamente Computadoras Personales.

Responsables

La Empresa como Institución, es responsable de arbitrar todos los medios necesarios para garantizar y salvaguardar la vida humana y la seguridad personal. El Responsable de Recursos Informáticos será el encargado de definir las estrategias para la ubicación física de los servidores y/o computadores de producción, disponiendo de las modificaciones que entienda conveniente realizar a los efectos de optimizar el servicio informático que presta, como así también establecerá los mecanismos de control preventivos para los distintos activos informáticos del Grupo.



Pág. 13/33

Todas las áreas responsables de administrar la infraestructura edilicia y la instalación, mantenimiento y custodia de los recursos informáticos así como todo el personal que se sirve de los mismos en el Grupo, deberán arbitrar los medios necesarios para dar cumplimiento a las presentes Políticas de Seguridad de la Información. Las áreas encargadas de la administración de inmuebles propios, alquilados y/o arrendados serán responsables de velar por el cumplimiento de las leyes y normas que alcancen y regulen la construcción, alteración, demolición, remoción y mantenimiento de edificios y estructuras, que en momento y lugar se encuentren en vigencia, y de cumplir las pautas relativas a estos aspectos que sean oportunamente establecidas por el Responsable de los Recursos Informáticos. Todas aquellas áreas estructuralmente responsables de proceder en los ámbitos de procesamiento a la provisión e instalación de dispositivos y sistemas, deberán documentar la ejecución, siguiendo para su instalación y puesta en funcionamiento los lineamientos que el Responsable de los Recursos Informáticos establezca. Todos los usuarios que interactúen en locales u oficinas en donde se resguarde o administre información sensitiva.

Política

Ubicación y protección de los recursos informáticos El equipamiento deberá estar ubicado de tal manera de reducir los riesgos provocados por accesos no autorizados o por amenazas o peligros ambientales tales como incendios, explosiones, humo, agua, polvo, vibraciones, radiación electromagnética, etc. En el caso de los equipos albergados en los C.P.D. de nivel alto, estas protecciones deberán ser acrecentadas y monitoreadas por sistemas y dispositivos específicos. Para la selección y diseño de los C.P.D. de nivel alto, se deberán considerar las amenazas a la seguridad que representan los edificios o zonas aledañas, tales como contemplar estructuras antisísmicas en áreas de epicentros sísmicos, evitar instalaciones en plantas bajas en zonas inundables, etc. Se deberá definir el perímetro de seguridad física a efectos de proteger las instalaciones de procesamiento informático. Control de acceso físico Se deberá establecer que el acceso a los locales informáticos, sea restringido al personal autorizado, contándose con un registro de entradas y salidas de visitantes. En particular, para el caso de los C.P.D. de nivel alto, se deberán implementar sistemas inteligentes de control de accesos para la identificación y autenticación de personas.



Pág. 14/33

Protección contra incendios Los materiales peligrosos o combustibles deberán ser almacenados en lugares seguros a una distancia prudencial del área protegida donde estén albergados los equipos informáticos. Para el caso de los C.P.D. de nivel alto, deberán proveerse equipos automáticos de detección, alarma y extinción de incendios. Instalaciones de agua y desagüe Deberán tomarse todos los recaudos necesarios para que los sistemas de agua y desagüe se encuentren a niveles inferiores a los C.P.D. de nivel medio y alto. Instalaciones de aire acondicionado A fin de garantizar las condiciones optimas de funcionamiento de los equipos críticos de procesamiento de datos, se deberán prever la instalación de un equipo de aire acondicionado exclusivo para el local que alberga los mismos. Aislamiento de las áreas de entrega y carga Las áreas de entrega y carga deben ser aisladas y, si es posible, estar aisladas de las instalaciones de procesamiento de información, a fin de impedir accesos no autorizados. El acceso al área de depósito deberá estar limitado a personal que sea previamente identificado y autorizado. El material entrante debe ser inspeccionado para descartar peligros potenciales, antes de ser trasladado desde el área de depósito hasta el lugar de uso. El material entrante debe ser registrado al ingresar al sitio pertinente. Suministro de energía El equipamiento informático deberá protegerse con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas. En particular, se deberá prever para el equipamiento crítico destinado al procesamiento de datos, el empleo de un sistema de energía ininterrumpible (UPS) y de un generador (planta de energía) de respaldo, con el objetivo de poseer un suministro eléctrico alterno propio de larga duración frente a un corte eventual del suministro de energía. Seguridad del cableado El cableado de energía eléctrica y de comunicaciones deberá ser protegido contra interceptación o daño, y deberá ser instalado y mantenido por personal calificado, a efectos de asegurar su integridad. En el caso del cableado correspondiente a los sistemas sensibles o críticos, deberán preverse medidas adicionales de protección, observando a tal efecto estándares nacionales o internacionales.



Pág. 15/33

Medios de almacenamiento Los medios de almacenamiento de información deberán ser identificados unívocamente. Recintos de almacenamiento de resguardos de información Toda vez que se determine que el almacenamiento alternativo de los resguardos informáticos deba efectuarse fuera del ámbito del Grupo Pachuca, el recinto en cuestión deberá contar como mínimo con las condiciones y controles de seguridad existentes y exigidos para el almacenamiento en los locales propios del Grupo Pachuca. Traslado de medios de almacenamiento y equipamientos La distribución o traslado de medios de almacenamiento, y de equipamiento informático desde o hacia centros de procesamiento, deberá efectuarse de acuerdo a las Normas y Procedimientos que se dispongan. Asimismo, debe ser llevado un registro actualizado de ingresos y egresos de dichos elementos. Recintos de almacenamiento de documentación sensitiva Toda aquella documentación que resulte sensitiva o que de acuerdo al análisis de riesgo realizado ponga en riesgo su integridad y/o confidencialidad, deberá ser resguardada en oficinas o locales debidamente cerrados, y con las medidas de seguridad necesarias para evitar el acceso no autorizado.



Pág. 16/33

PROTECCIÓN DE LA INFORMACIÓN CONTRA EL USO NO AUTORIZADO Objetivo

Asegurar que la información sea clasificada, rotulada y protegida de acuerdo con su grado de reserva, criticidad, sensitividad y valor, independientemente del medio en el cual esté archivada, de su procesamiento manual o mecanizado, y del método de distribución.


Toda la información propiedad del Grupo Pachuca, almacenada, procesada o a procesar en equipos propios o de terceros, como así también la perteneciente a entes externos que resida o sea procesada en equipos propios del Grupo.

Responsables

Los Definidores de Procesos y Sistemas son las responsables de la clasificación de la información, y de los distintos tratamientos a seguir para cada clase. Los Desarrolladores de Sistemas y los Custodios del Hardware deberán implementar los esquemas tendientes a asegurar el cumplimiento de la clasificación de la información en relación con el acceso y protección de la misma. Los Custodios del Software de Base son los responsables de la instalación, configuración y distribución de las actualizaciones y parches de los sistemas antivirus y software. Los distintos usuarios de sistemas son responsables de rotular la información de acuerdo a su clasificación, y las direcciones de su guarda y protección.

Política

Clasificación de la Información Toda la información almacenada, procesada o a procesar será clasificada por los Definidores de Procesos y Sistemas, de acuerdo con su grado de criticidad. Esta clasificación se basará en el análisis de los riesgos asociados a la divulgación, exposición a la pérdida, o alteración indebida de la información y al valor estratégico de la misma, y determinará las medidas de protección a ser adoptadas. Protección de la Información contra el uso no autorizado Toda información debe ser clasificada en una de las siguientes categorías, de acuerdo al grado de reserva, siendo la de menor nivel la mencionada como información pública, y la más alta la denominada información confidencial. • Información pública: Toda aquella puesta a disposición del público en general por personal debidamente autorizado. • Información restringida:



Pág. 17/33

Toda aquella que no es explícitamente clasificada como pública. La divulgación no autorizada de la información restringida puede ocasionar pérdidas importantes a la EMPRESA. • Información confidencial: Toda aquella cuya divulgación pueda poner en riesgo el desenvolvimiento del Grupo Pachuca u ocasionar serios problemas a la misma o al Estado Nacional, o que afecte la privacidad de los contribuyentes o del personal del Grupo Pachuca. Por su naturaleza, la información confidencial es de conocimiento de un número reducido de personas, unívocamente identificado y deberán tomarse los recaudos que permitan que la misma se encuentre protegida y preservada por algún medio. La información deberá protegerse mediante la implementación de esquemas tendientes a garantizar que el acceso de utilización concuerde con la clasificación otorgada a la misma, y deberá efectuarse una identificación clara de la información clasificada, incluso cuando la misma tenga como destino Entes o personas ajenas a la EMPRESA. Se deberá informar inmediatamente al Administrador de Seguridad informática, cualquier situación en la que se advierta o suponga que en forma accidental o intencional, se ha perdido, o divulgado a terceros no autorizados información clasificada como restringida o confidencial. Políticas de escritorios y pantallas limpias. Los distintos usuarios que tengan acceso a la información, deberán adoptar una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles, y una política de pantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de acceso no autorizado, perdida y daño de la información durante el horario normal de trabajo y fuera del mismo. La información deberá ser resguardada en muebles apropiados, bajo llave. Se deben contemplar las clasificaciones de la información, los riesgos correspondientes y los aspectos culturales de la organización. Toda la información clasificada como restringida y confidencial que no se utilice, deberá ser destruida, para el caso de soporte papel, o borrada, para el caso de soportes magnéticos u ópticos. Las funciones y el equipamiento de soporte, por ej. fotocopiadoras, máquinas de fax, deben estar ubicados adecuadamente dentro de áreas protegidas. Protección de la Información contra virus informáticos Todos los recursos informáticos deberán estar protegidos por un software actualizado de detección de virus, además de contar con las actualizaciones y parches de software determinadas con carácter de obligatoriedad por el área responsable de su distribución. Protección de medios de almacenamiento



Pág. 18/33

Deberá asegurarse que los medios de almacenamiento que contengan material sensible, sean destruidos físicamente o sobrescritos en forma segura en lugar de utilizar las funciones de borrado. Deberá controlarse que los elementos de equipamiento que contengan dispositivos de almacenamiento con datos sensibles y/o software bajo licencia, sean eliminados o sobrescritos antes de su baja. Puede ser necesario realizar un análisis de riesgo a fin de determinar si medios de almacenamiento dañados, conteniendo datos sensibles, deben ser destruidos, reparados o desechados. Protección de computadores portátiles y estaciones de trabajo remotas Se deberá garantizar la seguridad de la información cuando se utilizan computadores portátiles o estaciones de trabajo remotas. Cuando se utiliza equipamiento portátil, se deberá tener especial cuidado en garantizar que no se comprometa la información del Grupo. Se deberá adoptar una política formal que tome en cuenta los riesgos que implica trabajar con herramientas informáticas móviles, en particular en ambientes no protegidos, incluyendo requerimientos de protección física, controles de acceso, técnicas criptográficas, resguardos y protección contra virus.



Pág. 19/33

DESARROLLO, HOMOLOGACION Y PUESTA EN PRODUCCION DE SISTEMAS INFORMÁTICOS Objetivo

Lograr que las diversas acciones que conforman la dinámica interrelación de funciones y áreas que intervienen en el ciclo de vida del desarrollo de sistemas, observen una apropiada segregación de funciones de sus respectivos roles, y una adecuada separación de ambientes, para no comprometer a la seguridad de la información.


Todos los recursos informáticos del Grupo Pachuca. Responsables

Será responsabilidad de las áreas encargadas del desarrollo, control de calidad, homologación y puesta en producción de sistemas informáticos el cumplimiento de esta política. El Administrador de Seguridad Informática participará en la definición de los esquemas de desarrollo y puesta en producción de los sistemas a efectos que éstas se ajusten al presente. Las áreas encargadas de contratar o intervenir en la adquisición de programas a medida.

Política

Ambientes de trabajo Las actividades de desarrollo, homologación y producción tendrán lugar en el marco de los siguientes ambientes: • Ambiente de Desarrollo: Ambiente de trabajo de uso exclusivo de los grupos de desarrollo y mantenimiento. Abarca todos los recursos informáticos necesarios para efectuar los desarrollos, las modificaciones y la revisión del código generado. • Ambiente de Prueba (Control de Calidad y Homologación): Ambiente de trabajo donde se ejecutarán las distintas pruebas de la aplicación, de uso exclusivo del equipo de prueba y del personal asignado al aseguramiento de la calidad. • Ambiente de Producción: Ambiente de trabajo donde residen las aplicaciones aprobadas para su operación. Desarrollo de sistemas informáticos Deberá evitarse el uso de información en producción para realizar actividades de prueba de los sistemas. Todo requerimiento de desarrollo o mantenimiento de software deberá ser solicitado y aprobado formalmente por las Definidores de Procesos y Sistemas y realizarse conforme a la metodología de desarrollo / mantenimiento vigente en el Grupo.



Pág. 20/33

Control de Calidad de sistemas informáticos Finalizado el proceso de desarrollo, el sistema deberá satisfacer los requerimientos relacionados con el control de calidad de los mismos, tarea a cargo de los Responsables de Control de Calidad. Homologación de sistemas informáticos Finalizado el proceso descrito en el punto anterior, el sistema deberá ser homologado, a efectos de respaldar su implementación y verificar que este satisface los requerimientos documentados. Puesta en producción de sistemas informáticos Previo al pase al ambiente de Producción, todo programa deberá ser sometido a un proceso de pruebas a efectos de verificar sus condiciones de uso. La metodología de puesta en producción de las aplicaciones deberá contemplar que la misma se realice por personal de las áreas de operaciones informáticas, mediante programas ejecutables y/o procesos productivos previamente autorizados por el área de homologación correspondiente. La aprobación final de la puesta en producción de sistemas informáticos estará a cargo de las áreas Definidoras de Procesos y Sistemas. Controles de autorización y acceso El esquema de control de accesos definido para una aplicación deberá entrar en vigencia en el mismo momento de su pase al ambiente de Producción. Procedimiento de control de cambios Todo cambio que se realice sobre un sistema informático deberá cumplir con todas las pautas establecidas para un desarrollo nuevo, empleándose para ello un procedimiento de control de cambios que verifique y asegure que sólo se realizan los cambios autorizados. Cambios de emergencia Se deberá determinar procedimientos de cambios de emergencia que posibiliten solucionar problemas y brindar continuidad de procesamiento, sin comprometer la integridad del sistema. Proceso de migración de datos El proceso de migración de datos deberá ser acotado en el tiempo en función de la disponibilidad de la información y de la continuidad del procesamiento. Este proceso deberá estar autorizado por los Definidores de Procesos y Sistemas, cuando se trate de modificación relacionada a la estructura de datos o cambios sustanciales en los sistemas, y su resultado deberá ser aprobado por los mismos. Cuando se trate de un cambio tecnológico, el mismo será autorizado por la Dirección de Tecnologías de Información.



Pág. 21/33

Adquisición de programas a medida Cuando se realicen procesos de adquisición de programas a medidas, se deberá incluir en las cláusulas contractuales la entrega de todo el software y documentación necesaria que permita al Grupo la independencia del proveedor, incluidos los programas fuentes.



Pág. 22/33

AUDITABILIDAD, CONTROL DE EVENTOS Y CONTROL DE INCIDENTES DE SEGURIDAD Objetivo

Asegurar la adecuada registración, y control de eventos para todos los servidores y aplicaciones del Grupo y la posterior revisión con el objeto de detectar anomalías y tomar las acciones correctivas necesarias.


Servidores de datos y aplicaciones del Grupo Pachuca. Responsables

Los Definidores de Procesos y Sistemas son responsables de definir las pistas de auditoría, las transacciones y los datos críticos de las aplicaciones. El Administrador de Seguridad Informática con la intervención de las áreas pertinentes es responsable de coordinar para aquellos sistemas en que se determine, las rutinas de creación, revisión, eliminación, modificación y resguardo de registros de eventos de usuarios, como así también rutinas de alertas automáticas de seguridad informática. Asimismo deberá monitorear el cumplimiento de esta política.

Política Auditabilidad Todo software aplicativo o de base utilizado por el Grupo contará con mecanismos de registro de las incidencias que se definan como críticas. Control de incidentes de seguridad Ante todo indicio de la ocurrencia de un incidente de seguridad o de la existencia de algún riesgo de seguridad de la información, todos los usuarios están obligados a informarlo, con carácter confidencial, a los Operadores de Sistemas, quienes harán lo propio con el Jefe inmediato superior, el Administrador de Seguridad Informática y al Auditor. El Director de Tecnologías de Información, en función de las características de los incidentes determinará los cursos de acción a seguir. El Administrador de Seguridad Informática deberá intervenir en la prevención, detección y seguimiento de incidentes, poniendo en conocimiento al Gerente de Operaciones, quien determinará el curso de acción a seguir en cada caso.



Pág. 23/33

TRANSMISIÓN ELECTRÓNICA DE DATOS Y CIFRADO Objetivo

Asegurar la integridad y disponibilidad de los datos transmitidos, y la confidencialidad cuando corresponda.


Todas las transmisiones de datos entre, desde y hacia los equipos del Grupo Pachuca. Responsables

El Responsable de Comunicaciones será responsable de monitorear y controlar el correcto funcionamiento de los mecanismos de transmisión de datos a través de la red interna y externa. Las áreas que tienen a su cargo el desarrollo de los procesos de transmisión de datos deberán implementar para ello esquemas que garanticen la confidencialidad e integridad de los mismos, como así también los procedimientos para las notificaciones tanto de envío como de recepción de la información. El Administrador de Seguridad Informática deberá establecer los estándares técnicos mínimos para el armado de paquetes, la autenticación y la transmisión de los datos, coordinar la implementación de los mecanismos destinados a controlar, autorizar y restringir el tráfico y los accesos a los servicios autorizados; y coordinar la implementación de las técnicas de cifrado en aquellos casos en que así sea requerido. Asimismo es responsable de proteger las claves privadas y mantener la integridad de las claves públicas del Grupo. Las áreas de soporte técnico serán responsables de garantizar la disponibilidad de los activos de transmisión de datos y de los servicios que administran. No deberán implementarse mecanismos de transmisión de datos que no hayan sido aprobados por el Administrador de Seguridad Informática y el Gerente de Operaciones de TI. Los Definidores de Procesos y Sistemas deberán definir según la naturaleza del dato, si la transmisión del mismo tiene o no que ser encriptada. Política

Todas las transmisiones de datos de los sistemas del Grupo Pachuca deberán poseer mecanismos que garanticen razonablemente la confidencialidad, integridad y disponibilidad de los datos trasmitidos. Toda conexión de la red interna a otras redes externas, sean públicas o privadas, deberá estar autorizada expresamente por el área que la Dirección de Tecnologías de Información designe, y monitoreada por el Responsable de Comunicaciones, y



Pág. 24/33

con las medidas pertinentes de seguridad establecidas, incluyendo un sistema de protección configurado de manera tal que el tráfico entrante y saliente sea sólo el autorizado. Cuando los medios disponibles lo permitan, deberán arbitrarse mecanismos automáticos de control que posibiliten la autentificación del usuario que remite la información, como así también garanticen la integridad y detecten alteraciones realizadas en la misma. El Director de Tecnologías de Información deberá dictar los procedimientos necesarios para la implementación de firma digital y cifrado en las comunicaciones, cuando las circunstancias así lo requieran.



Pág. 25/33

PREVENCIÓN DE INTERRUPCIONES Y CONTINUIDAD DE PROCESAMIENTO Objetivo

Desarrollar mecanismos de prevención y metodologías alternativas de procedimientos operacionales para los sistemas informáticos críticos, que permitan acciones estratégicamente planificadas a fin de asegurar la continuidad de los procesos en caso de una eventual interrupción o degradación de los servicios.


Todos aquellos sistemas informáticos cuya operatoria se considera indispensable para poder cumplir con las tareas habituales del Grupo Pachuca.

Responsables

El Gerente de Operaciones de TI será quien deba tener a su cargo la coordinación y toma de decisiones ante la ocurrencia de una contingencia o desastre, a efectos de encarar las acciones correctivas para la recuperación y continuidad de procesamiento. Los Definidores de Procesos y Sistemas son las responsables de la elaboración, actualización y publicación de los procedimientos alternativos de los sistemas y procesos informáticos por ellos definidos, capaces de suplir los procesos normales de operación frente a una eventual denegación de servicio. Los Custodios de Software de Base serán responsables de instrumentar y actualizar los procesos tendientes a permitir un adecuado resguardo y recuperación de la información de acuerdo a las pautas establecidas. Los Desarrolladores de Sistemas serán responsables de establecer y actualizar procedimientos para el resguardo y la efectiva recuperación de los programas fuentes, como así también, de la documentación de las aplicaciones. Será responsabilidad de los Operadores de Sistemas arbitrar los medios necesarios para que las copias de respaldo se generen en tiempo y forma, debiendo verificar la confiabilidad de la operatoria realizada a los fines de su efectiva recuperación. Será responsabilidad de las áreas estructurales del Grupo Pachuca con funciones de contratar servicios de terceros en los que se encuentren comprometidos recursos informáticos, incluir adecuados resguardos contractuales para garantizar la disponibilidad, continuidad y auditabilidad de la prestación de tales servicios y ponerlos en conocimiento de los Custodios del Hardware. Se deberán establecer cláusulas que aseguren el cumplimiento de los estándares determinados por el Director de Tecnologías de Información del Grupo Pachuca, y corresponderá dar el debido conocimiento de las pautas celebradas entre las partes a las áreas informáticas abarcadas por lo convenido.



Pág. 26/33

El Responsable de Monitoreo deberá implementar mecanismos que permitan establecer el nivel de servicio, y en forma temprana detectar interrupciones. El Administrador de Seguridad Informática establecerá las pautas generales orientadas a los resguardos de información y las estrategias de recuperación a implementar en los planes de recuperación ante desastres; asimismo, coordinará a las áreas informáticas involucradas y a los Definidores de Procesos y Sistemas, en la determinación de los responsables de la generación, actualización y prueba del plan de contingencia, y efectuará el monitoreo de su cumplimiento. El Responsable de Comunicaciones arbitrará los medios necesarios para proveer los servicios de transporte de voz, datos e imágenes entre los enlaces de la red.

Política

Mantenimiento preventivo sobre los equipos informáticos. Deberán establecerse procedimientos para la realización de tareas periódicas de mantenimiento preventivo del equipamiento informático, a fin de reducir la frecuencia y el impacto de posibles fallas. Detección y monitoreo de servicios. Se deberán implementar mecanismos de monitoreo de servicios informáticos y conexos, que permitan establecer el nivel de servicio, y en forma temprana detectar interrupciones, a los efectos de iniciar los mecanismos de recuperación de servicios o de contingencia que se establezcan. Cobertura de seguros. Se deberá proveer cobertura a la instalación de procesamiento de información y equipo de propiedad del Grupo Pachuca, como así también de los equipamientos arrendados, en lo relacionado a la sustracción de los mismos. Registración única de activos informáticos. Se debe mantener actualizado un registro único donde sean incluidos todos los activos informáticos, tangibles e intangibles, pertenecientes al Grupo. Generación y recuperación de copias de respaldo. Para garantizar la continuidad del procesamiento ante un eventual contingente se deberá prever el resguardo periódico de la información necesaria para restaurar la operatoria normal, debiéndose disponer los mecanismos necesarios orientados a tales fines, los cuales deberán incluir la frecuencia de resguardo, el almacenamiento periódico fuera del ámbito de procesamiento y los medios de protección física para las copias correspondientes. Vías de comunicaciones alternativas. El área de Comunicaciones deberá diseñar los enlaces de las redes de transferencia de datos pertenecientes a los C.P.D. de medio y alto nivel, previendo rutas físicas



Pág. 27/33

alternativas, de forma tal que ante la falla de un vínculo o nodo, tanto aislado como central, los sistemas informáticos no queden fuera de servicio. Planes alternativos ante contingencias o desastres. Los Definidores de Procesos y Sistemas deberán disponer, en forma documentada, los planes alternativos de operación de los sistemas y procesos críticos del Grupo Pachuca aplicables ante una eventual denegación de servicio, como así también establecerán las circunstancias bajo las cuales el plan ha de ser activado, considerándose la duración probable de la falta de servicio, y la pérdida total o parcial de la capacidad de procesamiento en una o varias instalaciones. Evaluación de riesgos El Oficial de Seguridad Informática deberá establecer y documentar, conjuntamente con las áreas involucradas, las amenazas ambientales, tecnológicas y humanas, su grado de exposición, probabilidad de ocurrencia e impacto asociado a los fines de determinar la efectividad de los procedimientos y medidas que se disponen, tendientes a contrarrestarlos o mitigar su incidencia sobre los activos del Organismo. Planificación estratégica El Comité de Seguridad deberá definir el lapso crítico de recuperación aceptable ante la ocurrencia de una contingencia o desastre, basándose para ello en las necesidades de la EMPRESA y los costos ocasionados. Planes de recuperación ante contingencias o desastres El Gerente de Operaciones de Tecnologías de Información deberá ejecutar los procedimientos para la recuperación de la continuidad de procesamiento de los sistemas informáticos críticos del Grupo Pachuca ante interrupciones no programadas, los cuales deberán ser establecidos por las áreas que esta autoridad determine.



Pág. 28/33

SEGURIDAD DEL PERSONAL Objetivo

Reducir los riesgos de error humano, robo de información, fraude o uso inadecuado de instalaciones, y concientizar a los usuarios de las amenazas e incumbencias en materia de seguridad de la información.


Todos los recursos humanos que interactúan con la EMPRESA. Responsables

El Director de Tecnologías de Información es quien deberá procurar que el personal conozca las políticas de seguridad de la información, como así también que se firmen los acuerdos de confidencialidad correspondientes. El Administrador de Seguridad Informática es el responsable de coordinar las actividades de concientización de los usuarios, tendientes a informarlo sobre las amenazas e incumbencias en materia de seguridad informática.

Política

Todos los empleados y usuarios de las instalaciones de procesamiento de información deben firmar un acuerdo de confidencialidad. Se deben llevar a cabo evaluaciones del personal en el momento de su ingreso y/o de nombramiento en algún cargo de estructura. Se deberán organizar charlas o actividades tendientes a informar al personal acerca de las amenazas e incumbencias en materia de seguridad de la información.



Pág. 29/33

SEGURIDAD EN EL CORREO ELECTRÓNICO Objetivo

Salvaguardar el servicio de correo electrónico del Grupo Pachuca de ataques maliciosos o denegación del servicio, como así también controlar y proteger el tráfico de archivos adjuntos.


Toda la información que ingresa o egresa a través del servidor de correos del Grupo Pachuca.

Responsables

El Comité de Seguridad es responsable de dictar las políticas de utilización del correo electrónico en el ámbito del Grupoo, las cuales deberán contemplar, como mínimo, las siguientes: • Prevención de ataques al correo electrónico • Protección y control de envío de archivos adjuntos • Control del acceso de usuarios remotos a las cuentas de correo electrónico • Responsabilidad de los agentes que hacen uso del correo electrónico • Resguardo de mensajes para el caso de litigios

Política

Todas las personas que tengan una cuenta de correo electrónico del Grupo Pachuca, deben conocer y aceptar las normas que se dicten sobre el particular. Se deben llevar a cabo controles tendientes a proteger la información que ingresa y egresa del Grupo a través del servidor de correo, especialmente los archivos que se adjuntan.



Pág. 30/33

SEGURIDAD EN LOS SISTEMAS DE APLICACIÓN Objetivo

Prevenir la pérdida, modificación o uso inadecuado de los datos del usuario en los sistemas de aplicación.


Todos los sistemas de aplicación desarrollados o adquiridos por la EMPRESA. Responsables

Los desarrolladores de sistemas son responsables de incluir en los sistemas de aplicación sentencias que permitan la validación de la información de entrada, como así también rutinas que permitan efectuar controles de procesamiento interno.

Política

Los datos de entrada en sistemas de aplicación deberán ser validados para asegurar que son correctos y apropiados. Los controles deberán ser aplicados a las entradas de las transacciones de negocios, datos permanentes y tablas de parámetros. El diseño de aplicaciones debe asegurar que las restricciones se implementen para minimizar los riesgos de fallas de procesamiento, conducentes a una pérdida de la integridad. La salida de datos de un sistema de aplicación debe ser validada para garantizar que el procesamiento de la información almacenada sea correcto y adecuado a las circunstancias.



Pág. 31/33

GLOSARIO Término /Concepto Acceso lógico Procedimiento mediante el cual un usuario a través de mecanismos preestablecidos ingresa a un sistema, en el cual se valida, a los fines de procesar información. Acceso remoto Proceso de lectura o escritura de datos, con la connotación de que dicho proceso de lectura o escritura es efectuado desde una estación de trabajo a otra ubicada en otro punto diferente. Área de comunicaciones Área responsable de proveer los servicios de transporte de voz, datos e imágenes en todo la EMPRESA, utilizando las tecnologías de comunicación más apropiadas para el cumplimiento de los niveles de servicios requeridos por las áreas usuarias de la organización. Área de riesgo Funciones / tareas dentro de la operatoria del Grupo Pachuca que se encuentran vinculadas por un fenómeno común que les puede afectar adversamente. Centro de Procesamiento de Datos de nivel alto Son los que funcionalmente dependen de áreas informáticas especializadas, orientadas a efectuar actividades centralizadoras de procesamiento de datos y operación de aplicaciones específicas, sensitivas y valiosas para la EMPRESA. Centro de Procesamiento de Datos de nivel medio Son los ambientes de procesamiento de datos con equipos específicos que siendo usuarios del servicio informático del Grupo y no perteneciendo al C. P. D. de nivel alto, disponen de servidores para los ámbitos informáticos de desarrollo, investigación, producción y homologación; como así también para el proceso de registrar, clasificar y transmitir la información de las operaciones de sus dependencias respectivas. Centro de Procesamiento de Datos de nivel bajo Alcanza a aquellas áreas informatizadas de la EMPRESA no incluidas en los niveles anteriormente descriptos, y que operan básicamente Computadoras Personales. Confidencialidad Objetivo de la seguridad de la información que se cumple cuando los recursos informáticos están protegidos contra uso no autorizado o revelaciones accidentales. Contingencia Situación (eventual, inesperada) que dificulta o impide el desarrollo de las tareas habituales. Término Concepto Contraseña Conjunto confidencial de caracteres (usualmente ingresado por teclado) utilizado por un sistema informático para autenticar la identidad de un usuario o autorizar el acceso a los datos. También denominada “password”. Criticidad Característica de la información que denota la importancia de los riesgos asociados a su divulgación, disponibilidad o exactitud.



Pág. 32/33

Cuenta de usuario Conjunto único de caracteres usado por un sistema informático para identificar el acceso de un usuario específico. Custodia Cuidado o guarda de alguna persona u objeto. Desastre Situación grave que imposibilita cumplir con las tareas habituales. Disponibilidad Objetivo de la seguridad de la información que se cumple cuando los recursos informáticos pueden ser accedidos cuando se necesitan, sin retardos inapropiados. Dominio de Seguridad Conjunto lógico de ambientes de procesamiento agrupados de acuerdo a la criticidad y confidencialidad de los datos. Emergencia Situación inesperada que demanda atención inmediata. Encripción Proceso mediante el cual un remitente convierte un mensaje inteligible para receptores autorizados e ininteligible para otras personas no autorizadas. Equipo / Equipo de procesamiento Unidad de hardware que es usada en la obtención, almacenamiento, manipulación, administración, control, conmutación, intercambio, transmisión o recepción de datos. Denegación de servicio Situación que impide el acceso a los datos o a los servicios de un sistema, ya sea en forma total o parcial. Grado de reserva Característica de la información que denota la importancia de los riesgos asociados a su uso o divulgación no autorizada. Hardware Componentes físicos que integran un sistema de computación, incluyendo elementos de comunicación. Incidente de seguridad Ataque (exitoso o no) perpetuado contra los recursos informáticos de la EMPRESA. Información pública Es aquella información puesta a disposición del público en general por personal debidamente autorizado. Información restringida Es aquella de uso interno inherente a la operatoria del Grupo Pachuca, que no debe ser divulgada sin autorización. Información confidencial Aquella cuya divulgación no autorizada afecte la privacidad, del personal del Grupo Pachuca. Legalidad Principio que establece que los actos estén conformes con las leyes y normativas vigentes.



Pág. 33/33

Integridad Objetivo de la seguridad de la información que se cumple cuando la información no carece de ninguna de sus partes. Mecanismo Conjunto de procesos y controles, manuales, automatizados o mixtos, para llevar a cabo ciertas funciones o tareas. Migración Traslado de información o aplicaciones de un servidor a otro en condiciones de compatibilidad. Perfil de acceso Conjunto de información que caracteriza las preferencias, el entorno de trabajo y el nivel de acceso a los datos de un usuario. Perfil de usuario Conjunto de autorizaciones agrupadas para aquellos usuarios que realizan una misma tarea. Privacidad Derecho que les asiste a los individuos con relación a la divulgación de su información privada. Riesgo Probabilidad de que ocurra un evento o acción adversa. Segregación de funciones Es no permitir que una misma persona (usuario) o un grupo de personas que dependen de un área que genere, autorice, modifique, verifique y/o distribuya la información. Recursos informáticos Aquellos elementos de hardware, software, datos (sin importar el soporte en el que se encuentren) y personal involucrado que componen un sistema informático. Sistema Conjunto de personas, computadoras, papeles, medios de almacenamiento digital junto con sus interacciones, en un entorno determinado con una finalidad en común. Software Conjunto de programas que ejecutándose en un equipo de cómputo cumplen una o varias tareas o funciones. Software aplicativo Software que se ejecuta en un equipo de cómputo y provee funciones relacionadas con la operatoria del Grupo Pachuca. Software de base Software que se ejecuta en un equipo de cómputo y provee funciones de infraestructura para el correcto funcionamiento del software aplicativo y de los recursos del sistema. Usuario Persona física que utiliza los recursos informáticos de la EMPRESA.

POLÍTICAS DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN

Documents

Transcript of POLÍTICAS DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN