Professional Documents
Culture Documents
A fin de garanti ar la autora e integridad del !resente documento" se lo #a firmado utili ando un certificado digital emitido !or la Autoridad $ertificante de la %ficina &acional de 'ecnologas de (nformacin)
TERMINOS
*l uso de este +Modelo de Poltica de ,eguridad de la (nformacin !ara %rganismos del ,ector Pblico &acional- .en adelante +Poltica Modelo-/ se rige !or los t0rminos 1 condiciones 2ue a continuacin se mencionan) 3uien acceda a esta +Poltica Modelo- conoce" entiende 1 ace!ta los t0rminos relati4os a su utili acin 1 2ue a continuacin se detallan5 6a !resente +Poltica Modelo- fue a!robada !or la %7($(&A &A$(%&A6 D* '*$&%6%89A, D* (&7%:MA$(;& .%&'(/ de la ,<=,*$:*'A:9A D* 8*,'(;& P>=6($A de la J*7A'<:A D* 8A=(&*'*, D* M(&(,':%," en 4irtud de las facultades conferidas !or la Decisin Administrati4a &? @@AB200C 1 !or la :esolucin ,8P &? C5B2005" con el obDeto de facilitar a los %rganismos de la Administracin Pblica &acional la redaccin o bien adecuacin de su !ro!ia Poltica de ,eguridad de la (nformacin) *l teEto de la +Poltica Modelo- fue redactado !or la %&'( con la asistencia de es!ecialistas en seguridad de la informacin del ,ector Pblico 1 sometido a re4isin de otras Freas de com!etencia de organismos !blicos) 6a +Poltica Modelo- es clasificada !or la %&'( como documento +Pblico-) 6as Administraciones Pro4inciales 1 Munici!ales 1 otros Poderes del *stado !odrFn ad#erir a la +Poltica ModeloG" ace!tando los mismos t0rminos 1 condiciones 2ue rigen la !resente en sus res!ecti4as Durisdicciones) 3ueda eE!resamente !ro#ibido su uso !ara fines comerciales) 6as !ersonas autori adas !ara usar la +Poltica Modelo- la !ueden co!iar" modificar 1 re!roducir nicamente !ara a2uellos fines a los cuales estF destinada) 6a +Poltica Modelo- de ninguna manera sustitu1e o modifica la normati4a 4igente a!licable a cada organismo) 6a %&'(" conforme lo dis!uesto !or la :esolucin &? C5B2005 de la ,<=,*$:*'A:9A D* 8*,'(;& P>=6($A de la J*7A'<:A D* 8A=(&*'*, D* M(&(,':%," estF facultada !ara dictar las normas aclaratorias 1 com!lementarias 2ue re2uiera la a!licacin de la Decisin Administrati4a &? @@AB200C)
9ndice Poltica Modelo Documento Pblico PFgina H
$ndice
%& INTRO"#!!I'N&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (
%&%& Alcance&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (
)& T*RMINOS
"E+INI!IONES&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,
)&%& Seguridad de la Informacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& , )&)& E-aluacin de Riesgos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&/& Administracin de Riesgos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&0& !omit1 de Seguridad de la Informacin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&2& Responsable de Seguridad Inform3tica&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&4& Incidente de Seguridad&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %.
2& !5ASI+I!A!I'N
2&%& In-entario de acti-os&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )/ 2&)& !lasificacin de la informacin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )/ 2&/& Rotulado de la Informacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )0
4&%& Seguridad en la "efinicin de Puestos de Traba:o ; la Asignacin de Recursos )< @)1)1) (ncor!oracin de la ,eguridad en los Puestos de 'rabaDo)))))))))))))))))))))))))))))))))))) 2I @)1)2) $ontrol 1 Poltica del Personal )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2I @)1)H) $om!romiso de $onfidencialidad)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2I @)1)C) '0rminos 1 $ondiciones de *m!leo)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2J 4&)& !apacitacin del #suario &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )( @)2)1) 7ormacin 1 $a!acitacin en Materia de ,eguridad de la (nformacin)))))))))))))))) 2J 4&/& Respuesta a Incidentes ; Anomalas en Materia de Seguridad &&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ), @)H)1) $omunicacin de (ncidentes :elati4os a la ,eguridad ))))))))))))))))))))))))))))))))))))))))) 2A @)H)2) $omunicacin de Debilidades en Materia de ,eguridad )))))))))))))))))))))))))))))))))))))) 2A @)H)H) $omunicacin de Anomalas del ,oftKare)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2A @)H)C) A!rendiendo de los (ncidentes )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2A @)H)5) Procesos Disci!linarios ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) H0
AM=IENTA5&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /%
<&%& Permetro de Seguridad +sica &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /) <&)& !ontroles de Acceso +sico &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& // <&/& Proteccin de Oficinas> Recintos e Instalaciones &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& // <&0& "esarrollo de Tareas en ?reas Protegidas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /0 <&2& Aislamiento de las ?reas de Recepcin ; "istribucin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /2 <&4& #bicacin ; Proteccin del E@uipamiento ; !opias de Seguridad &&&&&&&&&&&&&&&&&&&&&&&& /2 <&<& Suministros de Energa &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /4 <&(& Seguridad del !ableado &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /4 <&,& Mantenimiento de E@uipos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%.& Seguridad de los E@uipos +uera de las Instalaciones&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%%& "esafectacin o Reutili8acin Segura de los E@uipos& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%)& Polticas de Escritorios ; Pantallas 5impias&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%/& Retiro de los =ienes &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /(
OPERA!IONES &&&&&&&&&&&&&&&&&&&&&&& 0.
(&%& Procedimientos ; Responsabilidades Operati-as&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0% J)1)1) Documentacin de los Procedimientos %!erati4os))))))))))))))))))))))))))))))))))))))))))))))) C1 J)1)2) $ontrol de $ambios en las %!eraciones))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C2 J)1)H) Procedimientos de ManeDo de (ncidentes ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C2
J)1)C) ,e!aracin de 7unciones)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CH J)1)5) ,e!aracin entre (nstalaciones de Desarrollo e (nstalaciones %!erati4as ))))))))))) CC J)1)@) 8estin de (nstalaciones *Eternas )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CC (&)& Planificacin ; Aprobacin de Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 02 J)2)1) Planificacin de la $a!acidad ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5 J)2)2) A!robacin del ,istema))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5
9ndice Poltica Modelo Documento Pblico PFgina 5
(&/& Proteccin !ontra SoftAare Malicioso &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 02 J)H)1) $ontroles $ontra ,oftKare Malicioso )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5 (&0& Mantenimiento &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 04 J)C)1) :esguardo de la (nformacin )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C@ J)C)2) :egistro de Acti4idades del Personal %!erati4o ))))))))))))))))))))))))))))))))))))))))))))))))))) CI J)C)H) :egistro de 7allas)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CI (&2& Administracin de la Red &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0< J)5)1) $ontroles de :edes))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CI (&4& Administracin ; Seguridad de los Medios de Almacenamiento &&&&&&&&&&&&&&&&&&&&&&&&&&& 0( J)@)1) Administracin de Medios (nformFticos :emo4ibles))))))))))))))))))))))))))))))))))))))))))))) CJ J)@)2) *liminacin de Medios de (nformacin)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CJ J)@)H) Procedimientos de ManeDo de la (nformacin ))))))))))))))))))))))))))))))))))))))))))))))))))))))) CA J)@)C) ,eguridad de la Documentacin del ,istema ))))))))))))))))))))))))))))))))))))))))))))))))))))))) CA (&<& Intercambios de Informacin ; SoftAare&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0, J)I)1) Acuerdos de (ntercambio de (nformacin 1 ,oftKare)))))))))))))))))))))))))))))))))))))))))))) CA J)I)2) ,eguridad de los Medios en 'rFnsito )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 50 J)I)H) ,eguridad del 8obierno *lectrnico)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 50 J)I)C) ,eguridad del $orreo *lectrnico)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)C)1) :iesgos de ,eguridad))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)C)2) Poltica de $orreo *lectrnico))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)5) ,eguridad de los ,istemas *lectrnicos de %ficina)))))))))))))))))))))))))))))))))))))))))))))) 52 J)I)@) ,istemas de Acceso Pblico ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 52 J)I)I) %tras 7ormas de (ntercambio de (nformacin))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5H
A)5)2) Procedimientos de $oneEin de 'erminales))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @C A)5)H) (dentificacin 1 Autenticacin de los <suarios )))))))))))))))))))))))))))))))))))))))))))))))))))))) @5 A)5)C) ,istema de Administracin de $ontraseLas ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @5 A)5)5) <so de <tilitarios de ,istema )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @@ A)5)@) Alarmas ,ilenciosas !ara la Proteccin de los <suarios )))))))))))))))))))))))))))))))))))))) @@ A)5)I) DesconeEin de 'erminales !or 'iem!o Muerto )))))))))))))))))))))))))))))))))))))))))))))))))) @@ A)5)J) 6imitacin del Norario de $oneEin))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @@ ,&4& !ontrol de Acceso a las Aplicaciones &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 4< A)@)1) :estriccin del Acceso a la (nformacin)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @I A)@)2) Aislamiento de los ,istemas ,ensibles ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @I ,&<& Monitoreo del Acceso ; #so de los Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 4( A)I)1) :egistro de *4entos )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2) Monitoreo del <so de los ,istemas))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2)1) Procedimientos 1 Mreas de :iesgo ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2)2) 7actores de :iesgo ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @A A)I)2)H) :egistro 1 :e4isin de *4entos )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @A A)I)H) ,incroni acin de :eloDes ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I0 ,&(& !omputacin M-il ; Traba:o Remoto&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <. A)J)1) $om!utacin M4il )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I0 A)J)2) 'rabaDo :emoto))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I1
%.& "ESARRO55O
%.&%& Re@uerimientos de Seguridad de los Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <0 10)1)1) AnFlisis 1 *s!ecificaciones de los :e2uerimientos de ,eguridad )))))))))))))))))))))))) IC %.&)& Seguridad en los Sistemas de Aplicacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <0 10)2)1) Validacin de Datos de *ntrada )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I5 10)2)2) $ontroles de Procesamiento (nterno ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I5 10)2)H) Autenticacin de MensaDes)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I@ 10)2)C) Validacin de Datos de ,alidas))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I@ %.&/& !ontroles !riptogr3ficos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <4 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)))))))))))))))))))))))))))))))))))))))))))))))) I@ 10)H)2) $ifrado ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) II 10)H)H) 7irma Digital))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) II 10)H)C) ,er4icios de &o :e!udio ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5) Administracin de $la4es )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5)1) Proteccin de $la4es $ri!togrFficas ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5)2) &ormas" Procedimientos 1 M0todos ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ %.&0& Seguridad de los ArcBi-os del Sistema &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <, 10)C)1) $ontrol del ,oftKare %!erati4o ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IA 10)C)2) Proteccin de los Datos de Prueba del ,istema))))))))))))))))))))))))))))))))))))))))))))))))))) J0 10)C)H) $ontrol de $ambios a Datos %!erati4os))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J0 10)C)C) $ontrol de Acceso a las =ibliotecas de Programas 7uentes )))))))))))))))))))))))))))))))) J0 %.&2& Seguridad de los Procesos de "esarrollo ; Soporte&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (% 10)5)1) Procedimiento de $ontrol de $ambios)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J1 10)5)2) :e4isin '0cnica de los $ambios en el ,istema %!erati4o)))))))))))))))))))))))))))))))))) J2 10)5)H) :estriccin del $ambio de Pa2uetes de ,oftKare )))))))))))))))))))))))))))))))))))))))))))))))) J2 10)5)C) $anales %cultos 1 $digo Malicioso))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J2 10)5)5) Desarrollo *Eterno de ,oftKare))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) JH
9ndice Poltica Modelo Documento Pblico PFgina I
%%&/& Elaboracin e Implementacin de los Planes de !ontinuidad de las Acti-idades del Organismo &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (< %%&0& Marco para la Planificacin de la !ontinuidad de las Acti-idades del Organismo&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (( %%&2& Ensa;o> Mantenimiento ; Ree-aluacin de los Planes de !ontinuidad del Organismo&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (,
%)& !#MP5IMIENTO&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,%
%)&%& !umplimiento de Re@uisitos 5egales&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,) 12)1)1) (dentificacin de la 6egislacin A!licable )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)2) Derec#os de Pro!iedad (ntelectual ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)2)1) Derec#o de Pro!iedad (ntelectual del ,oftKare)))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)H) Proteccin de los :egistros del %rganismo )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AH 12)1)C) Proteccin de Datos 1 Pri4acidad de la (nformacin Personal ))))))))))))))))))))))))))))) AC 12)1)5) Pre4encin del <so (nadecuado de los :ecursos de Procesamiento de (nformacin))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A5 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa))))))))))))))))))))))))))))))))))))))))))) A@ 12)1)I) :ecoleccin de *4idencia ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A@ %)&)& Re-isiones de la Poltica de Seguridad ; la !ompatibilidad T1cnica &&&&&&&&&&&&&&&& ,< 12)2)1) $um!limiento de la Poltica de ,eguridad )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AI 12)2)2) Verificacin de la $om!atibilidad '0cnica))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AI %)&/& !onsideraciones de Auditoras de Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,( 12)H)1) $ontroles de Auditora de ,istemas)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AJ 12)H)2) Proteccin de los *lementos <tili ados !or la Auditora de ,istemas)))))))))))))))))) AA %)&0& Sanciones Pre-istas por Incumplimiento &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,,
(ntroduccin Poltica Modelo Documento Pblico PFgina J
%& Introduccin
*n se!tiembre de 200H" la %ficina &acional de 'ecnologas de (nformacin .%&'(/ con4oc a es!ecialistas en seguridad informFtica de di4ersos %rganismos !blicos" con el fin de conocer sus o!iniones res!ecto a una estrategia de seguridad informFtica !ara el ,ector Pblico &acional) De estas reuniones surgi la necesidad de 2ue todos los %rganismos del ,ector Pblico &acional cuenten con una Poltica de ,eguridad de la (nformacin" im!lementada 1 documentada) *n consecuencia" se conform un gru!o de trabaDo con el obDeto de formular un modelo de Poltica de ,eguridad de la (nformacin 2ue sir4iera de !unto de !artida !ara la elaboracin de las !olticas corres!ondientes en cada %rganismo) Dic#o gru!o de trabaDo decidi basar el modelo en la norma (,%B(:AM 1IIAA" como un marco de referencia !ara la gestin de la seguridad de la informacin en una entidad) *l modelo fue sometido a la consideracin de los %rganismos de la Administracin Pblica 1 de las Autoridades &acionales !ara su a!robacin) $abe aclarar 2ue no se busca" ni se re2uiere con ello la certificacin en la norma (,%B(:AM 1IIAA !or !arte de los %rganismos 2ue desarrollen e im!lementen su !oltica basada en el !resente modelo) *l !resente modelo !odrF sufrir modificaciones futuras" de acuerdo a las no4edades 2ue se registren en la materia 2ue trata" las cuales serFn debidamente a!robadas 1 comunicadas)
%&%& Alcance
6a !resente Poltica de ,eguridad de la (nformacin se dicta en cum!limiento de las dis!osiciones legales 4igentes" con el obDeto de gestionar adecuadamente la seguridad de la informacin" los sistemas informFticos 1 el ambiente tecnolgico del %rganismo) Debe ser conocida 1 cum!lida !or toda la !lanta de !ersonal del %rganismo" tanto se trate de funcionarios !olticos como t0cnicos" 1 sea cual fuere su ni4el DerFr2uico 1 su situacin de re4ista)
'0rminos 1 Definiciones Poltica Modelo Documento Pblico PFgina A
una funcin !ro!ia del %rganismo" sin tener en cuenta la tecnologa utili ada" 1a se trate de com!utacin de datos" telecomunicaciones u otro ti!o)
*s la !ersona 2ue cum!le la funcin de su!er4isar el cum!limiento de la !resente Poltica 1 de asesorar en materia de seguridad de la informacin a los integrantes del %rganismo 2ue as lo re2uieran)
Objetivo
Proteger los recursos de informacin del %rganismo 1 la tecnologa utili ada !ara su !rocesamiento" frente a amena as" internas o eEternas" deliberadas o accidentales" con el fin de asegurar el cum!limiento de la confidencialidad" integridad" dis!onibilidad" legalidad 1 confiabilidad de la informacin) Asegurar la im!lementacin de las medidas de seguridad com!rendidas en esta Poltica" identificando los recursos 1 las !artidas !resu!uestarias corres!ondientes" sin 2ue ello im!li2ue necesariamente la asignacin de !artidas adicionales) Mantener la Poltica de ,eguridad del %rganismo actuali ada" a efectos de asegurar su 4igencia 1 ni4el de eficacia)
Alcance
*sta Poltica se a!lica en todo el Fmbito del %rganismo" a sus recursos 1 a la totalidad de los !rocesos" 1a sean internos o eEternos 4inculados a la entidad a tra40s de contratos o acuerdos con terceros)
Responsabilidad
'odos los Directores &acionales o 8enerales" 8erentes o e2ui4alentes" titulares de <nidades %rgani ati4as" tanto se trate de autoridades !olticas o !ersonal t0cnico 1 sea cual fuere su ni4el DerFr2uico son res!onsables de la im!lementacin de esta Poltica de ,eguridad de la (nformacin dentro de sus Freas de res!onsabilidad" as como del cum!limiento de dic#a Poltica !or !arte de su e2ui!o de trabaDo) 6a Poltica de ,eguridad de la (nformacin es de a!licacin obligatoria !ara todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista" el Frea a la cual se encuentre afectado 1 cual2uiera sea el ni4el de las tareas 2ue desem!eLe) 6as mFEimas autoridades del %rganismo a!rueban esta Poltica 1 son res!onsables de la autori acin de sus modificaciones) *l !omit1 de Seguridad de la Informacin del %rganismo" !rocederF a re4isar 1 !ro!oner a la mFEima autoridad del %rganismo !ara su a!robacin la Poltica de ,eguridad de la (nformacin 1 las funciones generales en materia de seguridad de la informacinO monitorear cambios significati4os en los riesgos 2ue afectan a los recursos de informacin frente a las
Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 12
los incidentes relati4os a la seguridadO a!robar las !rinci!ales iniciati4as !ara incrementar la seguridad de la informacin " de acuerdo a las com!etencias 1 res!onsabilidades asignadas a cada Frea1" as como acordar 1 a!robar metodologas 1 !rocesos es!ecficos relati4os a seguridad de la informacinO garanti ar 2ue la seguridad sea !arte del !roceso de !lanificacin de la informacinO e4aluar 1 coordinar la im!lementacin de controles es!ecficos de seguridad de la informacin !ara nue4os sistemas o ser4iciosO !romo4er la difusin 1 a!o1o a la seguridad de la informacin dentro del %rganismo 1 coordinar el !roceso de administracin de la continuidad de las acti4idades del %rganismo) *l !oordinador del !omit1 de Seguridad de la Informacin serF el res!onsable de coordinar las acciones del $omit0 de ,eguridad de la (nformacin 1 de im!ulsar la im!lementacin 1 cum!limiento de la !resente Poltica) *l Responsable de Seguridad Inform3tica cum!lirF funciones relati4as a la seguridad de los sistemas de informacin del %rganismo" lo cual inclu1e la su!er4isin de todos los as!ectos in#erentes a los temas tratados en la !resente Poltica) 6os Propietarios de la Informacin ) son res!onsables de clasificarla de acuerdo con el grado de sensibilidad 1 criticidad de la misma" de documentar 1 mantener actuali ada la clasificacin efectuada" 1 de definir 2u0 usuarios deberFn tener !ermisos de acceso a la informacin de acuerdo a sus funciones 1 com!etencia) *l Responsable del ?rea de Recursos Cumanos o 2ui0n desem!eLe esas funciones" cum!lirF la funcin de notificar a todo el !ersonal 2ue ingresa de sus obligaciones res!ecto del cum!limiento de la Poltica de ,eguridad de la (nformacin 1 de todas las normas" !rocedimientos 1 !rFcticas 2ue de ella surDan) Asimismo" tendrF a su cargo la notificacin de la !resente Poltica a todo el !ersonal" de los cambios 2ue en ella se !rodu can" la im!lementacin de la suscri!cin de los $om!romisos de $onfidencialidad .entre otros/ 1 las tareas de ca!acitacin continua en materia de seguridad) *l Responsable del ?rea Inform3tica cum!lirF la funcin de cubrir los re2uerimientos de seguridad informFtica establecidos !ara la o!eracin" administracin 1 comunicacin de los sistemas 1 recursos de tecnologa del %rganismo) Por otra !arte tendrF la funcin de efectuar las tareas de desarrollo 1 mantenimiento de sistemas" siguiendo una metodologa de ciclo de 4ida de sistemas a!ro!iada" 1 2ue contem!le la inclusin de medidas de seguridad en los sistemas en todas las fases) *l Responsable del ?rea 5egal 4erificarF el cum!limiento de la !resente Poltica en la gestin de todos los contratos" acuerdos u otra documentacin del %rganismo con sus em!leados 1 con terceros) Asimismo" asesorarF en materia legal al %rganismo" en lo 2ue se refiere a la seguridad de la informacin) 6os usuarios de la informacin ; de los sistemas utili ados !ara su !rocesamiento son res!onsables de conocer" dar a conocer" cum!lir 1 #acer cum!lir la Poltica de ,eguridad de la (nformacin 4igente) 6a #nidad de Auditora Interna" o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin es res!onsable de !racticar auditoras !eridicas sobre los sistemas 1 acti4idades 4inculadas con la tecnologa de informacin" debiendo informar sobre el cum!limiento de las es!ecificaciones 1 medidas de seguridad de la informacin establecidas !or esta Poltica 1 !or las normas" !rocedimientos 1 !rFcticas 2ue de ella surDan .Ver 12) $um!limiento/)
1 ,e refiere a dar curso a las !ro!uestas !resentadas !or !arte de las Freas de acuerdo a sus com!etencias" ele4Fndolas a la mFEima autoridad" a tra40s del $omit0 de ,eguridad" con relacin a la seguridad de la informacin del %rganismo) Dic#as iniciati4as deberFn ser a!robadas luego !or la mFEima autoridad del %rganismo) 2 *l conce!to +Pro!ietario de la (nformacin- debe ser entendido desde su ace!cin t0cnica" no Durdica) Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 1H
%rientado a administrar la seguridad de la informacin dentro del %rganismo 1 establecer un marco gerencial !ara controlar su im!lementacin) !lasificacin ; !ontrol de Acti-os Destinado a mantener una adecuada !roteccin de los acti4os del %rganismo) Seguridad del Personal %rientado a reducir los riesgos de error #umano" comisin de ilcitos contra el %rganismo o uso inadecuado de instalaciones) Seguridad +sica ; Ambiental Destinado a im!edir accesos no autori ados" daLos e interferencia a las sedes e informacin del %rganismo) 6estin de las !omunicaciones ; las Operaciones Dirigido a garanti ar el funcionamiento correcto 1 seguro de las instalaciones de !rocesamiento de la informacin 1 medios de comunicacin) !ontrol de Acceso %rientado a controlar el acceso lgico a la informacin) "esarrollo ; Mantenimiento de los Sistemas %rientado a garanti ar la incor!oracin de medidas de seguridad en los sistemas de informacin desde su desarrollo 1Bo im!lementacin 1 durante su mantenimiento) Administracin de la !ontinuidad de las Acti-idades del Organismo %rientado a contrarrestar las interru!ciones de las acti4idades 1 !roteger los !rocesos crticos de los efectos de fallas significati4as o desastres) !umplimiento Destinado a im!edir infracciones 1 4iolaciones de las le1es del derec#o ci4il 1 !enalO de las obligaciones establecidas !or le1es" estatutos" normas" reglamentos o contratosO 1 de los re2uisitos de seguridad) A fin de asegurar la im!lementacin de las medidas de seguridad com!rendidas en esta Poltica" el %rganismo identificarF los recursos necesarios e indicarF formalmente las !artidas !resu!uestarias corres!ondientes" como aneEo a la !resente Poltica) 6o eE!resado anteriormente no im!licarF necesariamente la asignacin de !artidas !resu!uestarias adicionales) *l $omit0 de ,eguridad de la (nformacin re4isarF )))))))))))))))))))))))) .indicar !eriodicidad no ma1or a un aLo/ la !resente Poltica" a efectos de mantenerla actuali ada) Asimismo efectuarF toda modificacin 2ue sea necesaria en funcin a !osibles cambios 2ue !uedan afectar su definicin" como ser" cambios tecnolgicos" 4ariacin de los costos de los controles" im!acto de los incidentes de seguridad" etc)
Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 1C
ciertas funciones relacionadas con el !rocesamiento de la informacin) *n estos casos se considerarF 2ue la informacin !uede !onerse en riesgo si el acceso de dic#os terceros se !roduce en el marco de una inadecuada administracin de la seguridad" !or lo 2ue se establecerFn las medidas adecuadas !ara la !roteccin de la informacin)
Objetivo
Administrar la seguridad de la informacin dentro del %rganismo 1 establecer un marco gerencial !ara iniciar 1 controlar su im!lementacin" as como !ara la distribucin de funciones 1 res!onsabilidades) 7omentar la consulta 1 coo!eracin con %rganismos es!eciali ados !ara la obtencin de asesora en materia de seguridad de la informacin) 8aranti ar la a!licacin de medidas de seguridad adecuadas en los accesos de terceros a la informacin del %rganismo)
Alcance
*sta Poltica se a!lica a todos los recursos del %rganismo 1 a todas sus relaciones con terceros 2ue im!li2uen el acceso a sus datos" recursos 1Bo a la administracin 1 control de sus sistemas de informacin)
Responsabilidad
*l $oordinador del $omit0 de ,eguridad de la (nformacin serF el res!onsable de im!ulsar la im!lementacin de la !resente Poltica) *l $omit0 de ,eguridad de la (nformacin tendrF a cargo el mantenimiento 1 la !resentacin !ara la a!robacin de la !resente Poltica" ante la mFEima autoridad del organismo" el seguimiento de acuerdo a las incumbencias !ro!ias de cada Frea de las acti4idades relati4as a la seguridad de la informacin .anFlisis de riesgos" monitoreo de incidentes" su!er4isin de la in4estigacin" im!lementacin de controles" administracin de la continuidad" im!ulsin de !rocesos de concienti acin" etc)/ 1 la !ro!osicin de asignacin de funciones) *l :es!onsable de ,eguridad (nformFtica asistirF al !ersonal del %rganismo en materia de seguridad de la informacin 1 coordinarF la interaccin con %rganismos es!eciali ados) Asimismo" Dunto con los !ro!ietarios de la informacin" anali arF el riesgo de los accesos de
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1@
terceros a la informacin del %rganismo 1 4erificarF la a!licacin de las medidas de seguridad necesarias !ara la !roteccin de la misma) 6os :es!onsables de las <nidades %rgani ati4as cum!lirFn la funcin de autori ar la incor!oracin de nue4os recursos de !rocesamiento de informacin a las Freas de su incumbencia) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin serF res!onsable de reali ar re4isiones inde!endientes sobre la 4igencia 1 el cum!limiento de la !resente Poltica) *l :es!onsable del Mrea de Administracin cum!lirF la funcin de incluir en los contratos con !ro4eedores de ser4icios de tecnologa 1 cual2uier otro !ro4eedor de bienes o ser4icios cu1a acti4idad afecte directa o indirectamente a los acti4os de informacin" la obligatoriedad del cum!limiento de la Poltica de ,eguridad de la (nformacin 1 de todas las normas" !rocedimientos 1 !rFcticas relacionadas) *l :es!onsable del Mrea 6egal !artici!arF en dic#a tarea) Asimismo" notificarF a los !ro4eedores sobre las modificaciones 2ue se efecten a la Poltica de ,eguridad de la (nformacin del %rganismo)
im!ulsar la im!lementacin de la !resente Poltica) $onformacin del $omit0 de ,eguridad de la (nformacin ?rea D "ireccin Representante *ste $omit0 tendrF entre sus funciones5 :e4isar 1 !ro!oner a la mFEima autoridad del %rganismo !ara su a!robacin" la Poltica 1 las funciones generales en materia de seguridad de la informacin) Monitorear cambios significati4os en los riesgos 2ue afectan a los recursos de informacin frente a las amena as mFs im!ortantes) 'omar conocimiento 1 su!er4isar la in4estigacin 1 monitoreo de los incidentes relati4os a la seguridad) A!robar las !rinci!ales iniciati4as !ara incrementar la seguridad de la informacin" de acuerdo a las com!etencias 1 res!onsabilidades asignadas a cada Frea H)
3 ,e refiere a dar curso a las !ro!uestas !resentadas !or !arte de las Freas de acuerdo a sus com!etencias" ele4Fndolas a la mFEima autoridad" a tra40s del $omit0 de ,eguridad" con relacin a la seguridad de la informacin del %rganismo) Dic#as iniciati4as deberFn ser a!robadas luego !or la mFEima autoridad del %rganismo) %rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1I Acordar 1 a!robar metodologas 1 !rocesos es!ecficos relati4os a la seguridad de la
informacin) 8aranti ar 2ue la seguridad sea !arte del !roceso de !lanificacin de la informacin) *4aluar 1 coordinar la im!lementacin de controles es!ecficos de seguridad de la informacin !ara nue4os sistemas o ser4icios) Promo4er la difusin 1 a!o1o a la seguridad de la informacin dentro del %rganismo) $oordinar el !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de la informacin del %rganismo frente a interru!ciones im!re4istas) *l ))))))))))))))))))))))) .,ubsecretario de $oordinacin o e2ui4alente en cada Frea ministerial o ,ecretara de la Presidencia de la &acin o el funcionario designado !or las mFEimas autoridades en cada %rganismo descentrali ado P (ndicar cargo/ coordinarF las acti4idades del $omit0 de ,eguridad de la (nformacin)
Informacin Propietario Recursos asociados Procesos in-olucrados Administrador $ontable ))))))))))))))))) ,istemas de informacin" e2ui!amiento" bases de datos" comunicaciones" ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) Presu!uesto ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) (n4entario ))))))))))))))) )))))))))))))))
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1J
$abe aclarar 2ue" si bien los !ro!ietarios !ueden delegar la administracin de sus funciones a !ersonal idneo a su cargo" conser4arFn la res!onsabilidad del cum!limiento de las mismas) 6a delegacin de la administracin !or !arte de los !ro!ietarios de la informacin serF documentada !or los mismos 1 !ro!orcionada al :es!onsable de ,eguridad (nformFtica)
*n los intercambios de informacin de seguridad" no se di4ulgarF informacin confidencial !erteneciente al %rganismo a !ersonas no autori adas)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1A
*l intercambio de informacin confidencial !ara fines de asesoramiento o de transmisin de eE!eriencias" slo se !ermite cuando se #a1a firmado un $om!romiso de $onfidencialidad !re4io o con a2uellas %rgani aciones es!eciali adas en temas relati4os a la seguridad informFtica cu1o !ersonal estF obligado a mantener la confidencialidad de los temas 2ue trata)
ocurrido algn e4ento 2ue com!rometa los bienes" !or eDem!lo" debido a !0rdida o modificacin de datos) $ontroles !ara garanti ar la recu!eracin o destruccin de la informacin 1 los acti4os al finali ar el contrato o acuerdo" o en un momento con4enido durante la 4igencia del mismo) :estricciones a la co!ia 1 di4ulgacin de informacin) c/ Descri!cin de los ser4icios dis!onibles) d/ &i4el de ser4icio es!erado 1 ni4eles de ser4icio ace!tables)
e/ Permiso !ara la transferencia de !ersonal cuando sea necesario) f/ %bligaciones de las !artes emanadas del acuerdo 1 res!onsabilidades legales) g/ *Eistencia de Derec#os de Pro!iedad (ntelectual) #/ Definiciones relacionadas con la !roteccin de datos) i/ Acuerdos de control de accesos 2ue contem!len5 M0todos de acceso !ermitidos" 1 el control 1 uso de identificadores nicos como identificadores de usuario 1 contraseLas de usuarios) Proceso de autori acin de accesos 1 !ri4ilegios de usuarios) :e2uerimiento !ara mantener actuali ada una lista de indi4iduos autori ados a utili ar los ser4icios 2ue #an de im!lementarse 1 sus derec#os 1 !ri4ilegios con res!ecto a dic#o uso) D/ Definicin de criterios de desem!eLo com!robables" de monitoreo 1 de !resentacin de informes) S/ Ad2uisicin de derec#o a auditar res!onsabilidades contractuales o surgidas del acuerdo) l/ *stablecimiento de un !roceso !ara la resolucin de !roblemas 1 en caso de corres!onder dis!osiciones con relacin a situaciones de contingencia) m/ :es!onsabilidades relati4as a la instalacin 1 al mantenimiento de #ardKare 1 softKare) n/ *structura de de!endencia 1 del !roceso de elaboracin 1 !resentacin de informes 2ue contem!le un acuerdo con res!ecto a los formatos de los mismos) o/ Proceso claro 1 detallado de administracin de cambios) !/ $ontroles de !roteccin fsica re2ueridos 1 los mecanismos 2ue aseguren la im!lementacin de los mismos) 2/ M0todos 1 !rocedimientos de entrenamiento de usuarios 1 administradores en materia de seguridad) r/ $ontroles 2ue garanticen la !roteccin contra softKare malicioso) s/ *laboracin 1 !resentacin de informes" notificacin e in4estigacin de incidentes 1 4iolaciones relati4os a la seguridad) t/ :elacin entre !ro4eedores 1 subcontratistas)
0&/& Terceri8acin
0&/&%& Re@uerimientos de Seguridad en !ontratos de Terceri8acin
6os contratos o acuerdos de terceri acin total o !arcial !ara la administracin 1 control de sistemas de informacin" redes 1Bo ambientes de P$ del %rganismo" contem!larFn ademFs de los !untos es!ecificados en .+:e2uerimientos de ,eguridad en $ontratos o Acuerdos con 'erceros-" los siguientes as!ectos5 a/ 7orma en 2ue se cum!lirFn los re2uisitos legales a!licables) b/ Medios !ara garanti ar 2ue todas las !artes in4olucradas en la terceri acin" inclu1endo los subcontratistas" estFn al corriente de sus res!onsabilidades en materia de seguridad) c/ 7orma en 2ue se mantendrF 1 com!robarF la integridad 1 confidencialidad de los acti4os del %rganismo) d/ $ontroles fsicos 1 lgicos 2ue se utili arFn !ara restringir 1 delimitar el acceso a la informacin sensible del %rganismo)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 21
e/ 7orma en 2ue se mantendrF la dis!onibilidad de los ser4icios ante la ocurrencia de desastres) f/ &i4eles de seguridad fsica 2ue se asignarFn al e2ui!amiento terceri ado) g/ Derec#o a la auditora !or !arte del %rganismo sobre los as!ectos terceri ados en forma directa o a tra40s de la contratacin de ser4icios ad #oc) ,e debe !re4er la factibilidad de am!liar los re2uerimientos 1 !rocedimientos de seguridad con el acuerdo de las !artes)
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 22
Objetivo
8aranti ar 2ue los acti4os de informacin reciban un a!ro!iado ni4el de !roteccin) $lasificar la informacin !ara seLalar su sensibilidad 1 criticidad) Definir ni4eles de !roteccin 1 medidas de tratamiento es!ecial acordes a su clasificacin)
Alcance
*sta Poltica se a!lica a toda la informacin administrada en el %rganismo" cual2uiera sea el so!orte en 2ue se encuentre)
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 2H
Responsabilidad
6os !ro!ietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad 1 criticidad" de documentar 1 mantener actuali ada la clasificacin efectuada" 1 de definir las funciones 2ue deberFn tener !ermisos de acceso a la informacin) *l :es!onsable de ,eguridad (nformFtica es el encargado de asegurar 2ue los lineamientos !ara la utili acin de los recursos de la tecnologa de informacin contem!len los re2uerimientos de seguridad establecidos segn la criticidad de la informacin 2ue !rocesan) $ada Pro!ietario de la (nformacin su!er4isarF 2ue el !roceso de clasificacin 1 rtulo de
Poltica
2&%& In-entario de acti-os
,e identificarFn los acti4os im!ortantes asociados a cada sistema de informacin" sus res!ecti4os !ro!ietarios 1 su ubicacin" !ara luego elaborar un in4entario con dic#a informacin) *l mismo serF actuali ado ante cual2uier modificacin de la informacin registrada 1 re4isado con una !eriodicidad de ))))))))))) .establecer !erodo no ma1or a @ meses/) *l encargado de elaborar el in4entario 1 mantenerlo actuali ado es cada :es!onsable de <nidad %rgani ati4a)
0- (nformacin cu1a modificacin no autori ada !uede re!ararse fFcilmente" o no afecta la o!eratoria del %rganismo) 1- (nformacin cu1a modificacin no autori ada !uede re!ararse aun2ue !odra ocasionar !0rdidas le4es !ara el %rganismo" el ,ector Pblico &acional o terceros) 2- (nformacin cu1a modificacin no autori ada es de difcil re!aracin 1 !odra ocasionar !0rdidas significati4as !ara el %rganismo" el ,ector Pblico &acional o terceros) H- (nformacin cu1a modificacin no autori ada no !odra re!ararse" ocasionando !0rdidas gra4es al %rganismo" al ,ector Pblico &acional o a terceros) Dis!onibilidad5 0- (nformacin cu1a inaccesibilidad no afecta la o!eratoria del %rganismo) 1- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a una semana/ !odra ocasionar !0rdidas significati4as !ara el %rganismo" el ,ector Pblico &acional o terceros) 2- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a un da/ !odra ocasionar !0rdidas significati4as al %rganismo" al ,ector Pblico &acional o a terceros) H- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a una #ora/ !odra ocasionar !0rdidas significati4as al %rganismo" al
,ector Pblico &acional o a terceros) Al referirse a !0rdidas" se contem!lan a2uellas mesurables .materiales/ 1 no mesurables .imagen" 4alor estrat0gico de la informacin" obligaciones contractuales o !blicas" dis!osiciones legales" etc)/) ,e asignarF a la informacin un 4alor !or cada uno de estos criterios) 6uego" se clasificarF la informacin en una de las siguientes categoras5 !RITI!I"A" =AHA5 ninguno de los 4alores asignados su!eran el 1) !RITI!I"A" ME"IA5 alguno de los 4alores asignados es 2 !RITI!I"A" A5TA 5 alguno de los 4alores asignados es H ,lo el Pro!ietario de la (nformacin !uede asignar o cambiar su ni4el de clasificacin" cum!liendo con los siguientes re2uisitos !re4ios5 Asignarle una fec#a de efecti4idad) $omunicFrselo al de!ositario del recurso) :eali ar los cambios necesarios !ara 2ue los <suarios cono can la nue4a clasificacin) 6uego de clasificada la informacin" el !ro!ietario de la misma identificarF los recursos asociados .sistemas" e2ui!amiento" ser4icios" etc)/ 1 los !erfiles funcionales 2ue deberFn tener acceso a la misma) *n adelante se mencionarF como +informacin clasificada- .o +datos clasificados-/ a a2uella 2ue se encuadre en los ni4eles 1" 2 o H de $onfidencialidad)
- AlmacenamientoO - 'ransmisin !or correo" faE" correo electrnicoO - 'ransmisin oral .telefona fiDa 1 m4il" correo de 4o " contestadores automFticos" etc)/)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2@
Objetivo
:educir los riesgos de error #umano" comisin de ilcitos" uso inadecuado de instalaciones 1 recursos" 1 maneDo no autori ado de la informacin) *E!licitar las res!onsabilidades en materia de seguridad en la eta!a de reclutamiento de
!ersonal e incluirlas en los acuerdos a firmarse 1 4erificar su cum!limiento durante el desem!eLo del indi4iduo como em!leado) 8aranti ar 2ue los usuarios est0n al corriente de las amena as e incumbencias en materia de seguridad de la informacin" 1 se encuentren ca!acitados !ara res!aldar la Poltica de ,eguridad del %rganismo en el transcurso de sus tareas normales) *stablecer $om!romisos de $onfidencialidad con todo el !ersonal 1 usuarios eEternos de las instalaciones de !rocesamiento de informacin) *stablecer las #erramientas 1 mecanismos necesarios !ara !romo4er la comunicacin de debilidades eEistentes en materia de seguridad" as como de los incidentes ocurridos" con el obDeto de minimi ar sus efectos 1 !re4enir su reincidencia)
Alcance
*sta Poltica se a!lica a todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista" 1 al !ersonal eEterno 2ue efecte tareas dentro del Fmbito del %rganismo)
Responsabilidad
*l :es!onsable del Mrea de :ecursos Numanos incluirF las funciones relati4as a la seguridad de la informacin en las descri!ciones de !uestos de los em!leados" informarF a todo el !ersonal 2ue ingresa de sus obligaciones res!ecto del cum!limiento de la Poltica de ,eguridad de la (nformacin" gestionarF los $om!romisos de $onfidencialidad con el !ersonal 1 coordinarF las tareas de ca!acitacin de usuarios res!ecto de la !resente Poltica)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2I
*l :es!onsable de ,eguridad (nformFtica tiene a cargo el seguimiento" documentacin 1 anFlisis de los incidentes de seguridad re!ortados as como su comunicacin al $omit0 de ,eguridad de la (nformacin" a los !ro!ietarios de la informacin 1 a la $oordinacin de *mergencias en :edes 'eleinformFticas .Ar$*:'/) *l $omit0 de ,eguridad de la (nformacin serF res!onsable de im!lementar los medios 1 canales necesarios !ara 2ue el :es!onsable de ,eguridad (nformFtica maneDe los re!ortes de incidentes 1 anomalas de los sistemas) Asimismo" dic#o $omit0" tomarF conocimiento" efectuarF el seguimiento de la in4estigacin" controlarF la e4olucin e im!ulsarF la resolucin de los incidentes relati4os a la seguridad) *l :es!onsable del Mrea 6egal !artici!arF en la confeccin del $om!romiso de $onfidencialidad a firmar !or los em!leados 1 terceros 2ue desarrollen funciones en el organismo" en el asesoramiento sobre las sanciones a ser a!licadas !or incum!limiento de la !resente Poltica 1 en el tratamiento de incidentes de seguridad 2ue re2uieran de su inter4encin) 'odo el !ersonal del %rganismo es res!onsable del re!orte de debilidades e incidentes de seguridad 2ue o!ortunamente se detecten)
Poltica
4&%& Seguridad en la "efinicin de Puestos de Traba:o ; la Asignacin de Recursos
4&%&%& Incorporacin de la Seguridad en los Puestos de Traba:o
6as funciones 1 res!onsabilidades en materia de seguridad serFn incor!oradas en la descri!cin de las res!onsabilidades de los !uestos de trabaDo) Rstas incluirFn las res!onsabilidades generales relacionadas con la im!lementacin 1 el mantenimiento de la Poltica de ,eguridad" 1 las res!onsabilidades es!ecficas 4inculadas a la !roteccin de cada uno de los acti4os" o la eDecucin de !rocesos o acti4idades de seguridad determinadas)
su situacin de re4ista" firmarFn un $om!romiso de $onfidencialidad o no di4ulgacin" en lo 2ue res!ecta al tratamiento de la informacin del %rganismo) 6a co!ia firmada del $om!romiso deberF ser retenida en forma segura !or el Mrea de :ecursos Numanos u otra com!etente) Asimismo" mediante el $om!romiso de $onfidencialidad el em!leado declararF conocer 1 ace!tar la eEistencia de determinadas acti4idades 2ue !ueden ser obDeto de control 1 monitoreo) *stas acti4idades deben ser detalladas a fin de no 4iolar el derec#o a la !ri4acidad del em!leado)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2J
,e desarrollarF un !rocedimiento !ara la suscri!cin del $om!romiso de $onfidencialidad donde se incluirFn as!ectos sobre5 a/ ,uscri!cin inicial del $om!romiso !or !arte de la totalidad del !ersonal) b/ :e4isin del contenido del $om!romiso cada Q).indicar !erodo no ma1or al aLo/) c/ M0todo de resuscri!cin en caso de modificacin del teEto del $om!romiso)
,e establecerF un !rocedimiento formal de comunicacin 1 de res!uesta a incidentes" indicando la accin 2ue #a de em!renderse al recibir un informe sobre incidentes) Dic#o !rocedimiento deberF contem!lar 2ue ante la deteccin de un su!uesto incidente o 4iolacin de la seguridad" el :es!onsable de ,eguridad (nformFtica sea informado tan !ronto como se #a1a tomado conocimiento) *ste indicarF los recursos necesarios !ara la in4estigacin 1 resolucin del incidente" 1 se encargarF de su monitoreo) Asimismo" mantendrF al $omit0 de ,eguridad al tanto de la ocurrencia de incidentes de seguridad) ,in !erDuicio de informar a otros %rganismos de com!etencia" el :es!onsable de ,eguridad (nformFtica" comunicarF a la $oordinacin de *mergencias en :edes 'eleinformFticas Ar$*:'1 todo incidente o 4iolacin de la seguridad" 2ue in4olucre recursos informFticos) 'odos los em!leados 1 contratistas deben conocer el !rocedimiento de comunicacin de incidentes de seguridad" 1 deben informar de los mismos tan !ronto #a1an tomado conocimiento de su ocurrencia)
es una unidad de res!uesta ante incidentes en redes" 2ue centrali a 1 coordina los esfuer os !ara el maneDo de los incidentes de seguridad 2ue afecten a los recursos informFticos de la Administracin Pblica &acional .AP&/" es decir" cual2uier ata2ue o intento de !enetracin a tra40s de sus redes de informacin) ,eguridad del Personal Poltica Modelo Documento Pblico PFgina H0
,e definirF un !roceso 2ue !ermita documentar" cuantificar 1 monitorear los ti!os" 4olmenes 1 costos de los incidentes 1 anomalas) *sta informacin se utili arF !ara identificar a2uellos 2ue sean recurrentes o de alto im!acto) *sto serF e4aluado a efectos de establecer la necesidad de meDorar o agregar controles !ara limitar la frecuencia" daLo 1 costo de casos futuros)
controles tendientes a !roteger las instalaciones de !rocesamiento de informacin crtica o sensible del %rganismo" de accesos fsicos no autori ados) *l control de los factores ambientales !ermite garanti ar el correcto funcionamiento de los e2ui!os de !rocesamiento 1 minimi ar las interru!ciones de ser4icio) Deben contem!larse tanto los riesgos en las instalaciones del %rganismo como en instalaciones !rEimas a la sede del mismo 2ue !uedan interferir con las acti4idades) *l e2ui!amiento donde se almacena informacin es susce!tible de mantenimiento !eridico" lo cual im!lica en ocasiones su traslado 1 !ermanencia fuera de las Freas !rotegidas del %rganismo) Dic#os !rocesos deben ser eDecutados baDo estrictas normas de seguridad 1 de !reser4acin de la informacin almacenada en los mismos) As tambi0n se tendrF en cuenta la a!licacin de dic#as normas en e2ui!amiento !erteneciente al %rganismo !ero situado fsicamente fuera del mismo .+#ousing-/ as como en e2ui!amiento aDeno 2ue albergue sistemas 1Bo !reste ser4icios de !rocesamiento de informacin al %rganismo .+#osting-/) 6a informacin almacenada en los sistemas de !rocesamiento 1 la documentacin contenida en diferentes medios de almacenamiento" son susce!tibles de ser recu!eradas mientras no estFn siendo utili ados) *s !or ello 2ue el trans!orte 1 la dis!osicin final !resentan riesgos 2ue deben ser e4aluados) 8ran cantidad de informacin maneDada en las oficinas se encuentra almacenada en !a!el" !or lo 2ue es necesario establecer !autas de seguridad !ara la conser4acin de dic#a documentacin)
Objetivo
Pre4enir e im!edir accesos no autori ados" daLos e interferencia a las sedes" instalaciones e informacin del %rganismo) Proteger el e2ui!amiento de !rocesamiento de informacin crtica del %rganismo ubicFndolo en Freas !rotegidas 1 resguardadas !or un !ermetro de seguridad definido" con medidas de seguridad 1 controles de acceso a!ro!iados) Asimismo" contem!lar la !roteccin del mismo en su traslado 1 !ermanencia fuera de las Freas !rotegidas" !or moti4os de mantenimiento u otros) $ontrolar los factores ambientales 2ue !odran !erDudicar el correcto funcionamiento del e2ui!amiento informFtico 2ue alberga la informacin del %rganismo) (m!lementar medidas !ara !roteger la informacin maneDada !or el !ersonal en las oficinas" en el marco normal de sus labores #abituales) Pro!orcionar !roteccin !ro!orcional a los riesgos identificados)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina H2
Alcance
*sta Poltica se a!lica a todos los recursos fsicos relati4os a los sistemas de informacin del %rganismo5 instalaciones" e2ui!amiento" cableado" eE!edientes" medios de almacenamiento" etc)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica definirF Dunto con el :es!onsable del Mrea (nformFtica 1 los Pro!ietarios de (nformacin" segn corres!onda" las medidas de seguridad fsica 1 ambiental !ara el resguardo de los acti4os crticos" en funcin a un anFlisis de riesgos" 1 controlarF su im!lementacin) Asimismo" 4erificarF el cum!limiento de las dis!osiciones sobre seguridad fsica 1 ambiental indicadas en el !resente $a!tulo) *l :es!onsable del Mrea (nformFtica asistirF al :es!onsable de ,eguridad (nformFtica en la definicin de las medidas de seguridad a im!lementar en Freas !rotegidas" 1 coordinarF su im!lementacin) Asimismo" controlarF el mantenimiento del e2ui!amiento informFtico de acuerdo a las indicaciones de !ro4eedores tanto dentro como fuera de las instalaciones del %rganismo) 6os :es!onsables de <nidades %rgani ati4as definirFn los ni4eles de acceso fsico del !ersonal del organismo a las a las Freas restringidas baDo su res!onsabilidad) 6os Pro!ietarios de la (nformacin autori arFn formalmente el trabaDo fuera de las instalaciones con informacin de su incumbencia a los em!leados del %rganismo cuando lo crean con4eniente)
6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin re4isarF los registros de acceso a las Freas !rotegidas) 'odo el !ersonal del %rganismo es res!onsable del cum!limiento de la !oltica de !antallas 1 escritorios lim!ios" !ara la !roteccin de la informacin relati4a al trabaDo diario en las oficinas)
Poltica
<&%& Permetro de Seguridad +sica
6a !roteccin fsica se lle4arF a cabo mediante la creacin de di4ersas barreras o medidas de control fsicas alrededor de las sedes del %rganismo 1 de las instalaciones de !rocesamiento de informacin) *l %rganismo utili arF !ermetros de seguridad !ara !roteger las Freas 2ue contienen instalaciones de !rocesamiento de informacin" de suministro de energa el0ctrica" de aire acondicionado" 1 cual2uier otra Frea considerada crtica !ara el correcto funcionamiento de los sistemas de informacin) <n !ermetro de seguridad estF delimitado !or una barrera" !or eDem!lo una !ared" una !uerta de acceso controlado !or dis!ositi4o de autenticacin o un escritorio u oficina de rece!cin atendidos !or !ersonas) *l em!la amiento 1 la fortale a de cada barrera estarFn definidas !or el :es!onsable del Mrea (nformFtica con el asesoramiento del :es!onsable de ,eguridad (nformFtica" de acuerdo a la e4aluacin de riesgos efectuada) ,e considerarFn e im!lementarFn los siguientes lineamientos 1 controles" segn corres!onda5 a/ Definir 1 documentar claramente el !ermetro de seguridad) b/ <bicar las instalaciones de !rocesamiento de informacin dentro del !ermetro de un edificio o Frea de construccin fsicamente slida .!or eDem!lo no deben eEistir aberturas en el !ermetro o Freas donde !ueda !roducirse fFcilmente una irru!cin/) 6as !aredes eEternas del Frea deben ser slidas 1 todas las !uertas 2ue comunican
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HH
con el eEterior deben estar adecuadamente !rotegidas contra accesos no autori ados" !or eDem!lo mediante mecanismos de control" 4allas" alarmas" cerraduras" etc) c/ Verificar la eEistencia de un Frea de rece!cin atendida !or !ersonal) ,i esto no fuera !osible se im!lementarFn los siguientes medios alternati4os de control de acceso fsico al Frea o edificio5)))))))))))))) .indicar otros medios alternati4os de control/) *l acceso a dic#as Freas 1 edificios estarF restringido eEclusi4amente al !ersonal autori ado) 6os m0todos im!lementados registrarFn cada ingreso 1 egreso en forma !recisa) d/ *Etender las barreras fsicas necesarias desde el !iso .real/ #asta el tec#o .real/" a fin de im!edir el ingreso no autori ado 1 la contaminacin ambiental" !or eDem!lo !or incendio" #umedad e inundacin) e/ (dentificar claramente todas las !uertas de incendio de un !ermetro de seguridad) *l :es!onsable de ,eguridad (nformFtica lle4arF un registro actuali ado de los sitios !rotegidos" indicando5 a/ (dentificacin del *dificio 1 Mrea) b/ Princi!ales elementos a !roteger) c/ Medidas de !roteccin fsica)
.P(&/" etc)/) ,e mantendrF un registro !rotegido !ara !ermitir auditar todos los accesos) c/ (m!lementar el uso de una identificacin un4oca 4isible !ara todo el !ersonal del Frea !rotegida e instruirlo acerca de cuestionar la !resencia de desconocidos no escoltados !or !ersonal autori ado 1 a cual2uier !ersona 2ue no eE#iba una identificacin 4isible) d/ :e4isar 1 actuali ar cada QQ) .definir !erodo no ma1or a @ meses/ los derec#os de acceso a las Freas !rotegidas" los 2ue serFn documentados 1 firmados !or el :es!onsable de la <nidad %rgani ati4a de la 2ue de!enda) e/ :e4isar los registros de acceso a las Freas !rotegidas) *sta tarea la reali arF la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin)
?reas Protegidas )))))))))))))))))))))))))))))))))))))))))))))))))))))))) )))))))))))))))))))))))))))))))))))))))))))))))))))))))) ,e establecen las siguientes medidas de !roteccin !ara Freas !rotegidas5 a/ <bicar las instalaciones crticas en lugares a los cuales no !ueda acceder !ersonal no autori ado) b/ *stablecer 2ue los edificios o sitios donde se realicen acti4idades de !rocesamiento de informacin serFn discretos 1 ofrecerFn un seLalamiento mnimo de su !ro!sito" sin signos ob4ios" eEteriores o interiores) c/ <bicar las funciones 1 el e2ui!amiento de so!orte" !or eDem!lo5 im!resoras" fotoco!iadoras" mF2uinas de faE" adecuadamente dentro del Frea !rotegida !ara e4itar solicitudes de acceso" el cual !odra com!rometer la informacin) d/ *stablecer 2ue las !uertas 1 4entanas !ermanecerFn cerradas cuando no #a1a 4igilancia) ,e agregarF !roteccin eEterna a las 4entanas" en !articular las 2ue se encuentran en !lanta baDa o !resenten riesgos es!eciales) e/ (m!lementar los siguientes mecanismos de control !ara la deteccin de intrusos5 )))))))))))))))))))))) .detallar cuales/) 6os mismos serFn instalados segn estFndares !rofesionales 1 !robados !eridicamente) *stos mecanismos de control com!renderFn todas las !uertas eEteriores 1 4entanas accesibles) f/ ,e!arar las instalaciones de !rocesamiento de informacin administradas !or el %rganismo de a2uellas administradas !or terceros) g/ :estringir el acceso !blico a las guas telefnicas 1 listados de tel0fonos internos 2ue identifican las ubicaciones de las instalaciones de !rocesamiento de informacin sensible) #/ Almacenar los materiales !eligrosos o combustibles en los siguientes lugares seguros a una distancia !rudencial de las Freas !rotegidas del %rganismo5 )))))))))))))))))) .incluir lista de lugares seguros/) 6os suministros" como los tiles de escritorio" no serFn trasladados al Frea !rotegida #asta 2ue sean re2ueridos) i/ Almacenar los e2ui!os redundantes 1 la informacin de resguardo .bacS u!/ en un sitio seguro 1 distante del lugar de !rocesamiento" !ara e4itar daLos ocasionados ante e4entuales contingencias en el sitio !rinci!al5 ))))))))))))))))))))))))) .detallar ubicacin/)
se lle4an a cabo" slo si es necesario !ara el desarrollo de sus funciones) b/ *4itar la eDecucin de trabaDos !or !arte de terceros sin su!er4isin) c/ =lo2uear fsicamente e ins!eccionar !eridicamente las Freas !rotegidas desocu!adas) d/ 6imitar el acceso al !ersonal del ser4icio de so!orte eEterno a las Freas !rotegidas o a las instalaciones de !rocesamiento de informacin sensible) *ste acceso" como el de cual2uier otra !ersona aDena 2ue re2uiera acceder al Frea !rotegida" serF otorgado solamente cuando sea necesario 1 se encuentre autori ado 1 monitoreado) ,e mantendrF un registro de todos los accesos de !ersonas aDenas) e/ Pueden re2uerirse barreras 1 !ermetros adicionales !ara controlar el acceso fsico entre Freas con diferentes re2uerimientos de seguridad" 1 2ue estFn ubicadas dentro del mismo !ermetro de seguridad) f/ (m!edir el ingreso de e2ui!os de com!utacin m4il" fotogrFficos" de 4deo" audio o cual2uier otro ti!o de e2ui!amiento 2ue registre informacin" a menos 2ue #a1an sido formalmente autori adas !or el :es!onsable de dic#o Frea o el :es!onsable del Mrea (nformFtica 1 el :es!onsable de ,eguridad (nformFtica) g/ Pro#ibir comer" beber 1 fumar dentro de las instalaciones de !rocesamiento de la informacin)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina H5
.cortes de suministro" 4ariacin de tensin/ :adiacin electromagn0tica Derrumbes )))))))))))))) e/ :e4isar regularmente las condiciones ambientales !ara 4erificar 2ue las mismas no afecten de manera ad4ersa el funcionamiento de las instalaciones de !rocesamiento de la informacin) *sta re4isin se reali arF cada5 )))))))))))))))))))))))))))).indicar !eriodicidad" no ma1or a seis meses/) f/ $onsiderar asimismo el im!acto de las amena as citadas en el !unto d/ 2ue tengan lugar en onas !rEimas a la sede del %rganismo)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina H@
d/ ,e!arar los cables de energa de los cables de comunicaciones !ara e4itar interferencias) e/ Proteger el tendido del cableado troncal .bacSbone/ mediante la utili acin de ductos blindados) Para los sistemas sensibles o crticos )))))))))))))))" ))))))))))))) 1 )))))))))))))) .detallar cuFles son/" se im!lementarFn los siguientes controles adicionales5
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HI
a/ (nstalar conductos blindados 1 recintos o caDas con cerradura en los !untos terminales 1 de ins!eccin) b/ <tili ar rutas o medios de transmisin alternati4os)
b/ 8uardar baDo lla4e la informacin sensible o crtica del %rganismo .!referentemente en una caDa fuerte o gabinete a !rueba de incendios/ cuando no estF en uso" es!ecialmente cuando no #a1 !ersonal en la oficina) c/ Desconectar de la red B sistema B ser4icio las com!utadoras !ersonales" terminales e
im!resoras asignadas a funciones crticas" cuando estFn desatendidas) 6as mismas deben ser !rotegidas mediante cerraduras de seguridad" contraseLas u otros controles cuando no estFn en uso .como !or eDem!lo la utili acin de !rotectores de !antalla con contraseLa/) 6os res!onsables de cada Frea mantendrFn un registro de las contraseLas o co!ia de las lla4es de seguridad utili adas en el sector a su cargo) 'ales elementos se encontrarFn !rotegidos en sobre cerrado o caDa de seguridad !ara im!edir accesos no autori ados" debiendo deDarse constancia de todo acceso a las mismas" 1 de los moti4os 2ue lle4aron a tal accin) d/ Proteger los !untos de rece!cin 1 en4o de correo !ostal 1 las mF2uinas de faE no atendidas) e/ =lo2uear las fotoco!iadoras .o !rotegerlas de alguna manera del uso no autori ado/ fuera del #orario normal de trabaDo) f/ :etirar inmediatamente la informacin sensible o confidencial" una 4e im!resa)
AneIo
Mantenimiento Pre-enti-o
E@uipo +recuencia de Mantenimiento Responsable Personal Autori8ado
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina C0
Objetivo
8aranti ar el funcionamiento correcto 1 seguro de las instalaciones de !rocesamiento de la informacin 1 comunicaciones) *stablecer res!onsabilidades 1 !rocedimientos !ara su gestin 1 o!eracin" inclu1endo instrucciones o!erati4as" !rocedimientos !ara la res!uesta a incidentes 1 se!aracin de funciones)
Alcance
'odas las instalaciones de !rocesamiento 1 transmisin de informacin del %rganismo)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica tendrF a su cargo" entre otros5 - Definir !rocedimientos !ara el control de cambios a los !rocesos o!erati4os documentados" los sistemas e instalaciones de !rocesamiento de informacin" 1 4erificar su cum!limiento" de manera 2ue no afecten la seguridad de la informacin) - *stablecer criterios de a!robacin !ara nue4os sistemas de informacin" actuali aciones 1 nue4as 4ersiones" contem!lando la reali acin de las !ruebas necesarias antes de su a!robacin definiti4a) Verificar 2ue dic#os !rocedimientos de a!robacin de softKare inclu1an as!ectos de seguridad !ara las a!licaciones de 8obierno *lectrnico) - Definir !rocedimientos !ara el maneDo de incidentes de seguridad 1 !ara la administracin de los medios de almacenamiento) - Definir 1 documentar una norma clara con res!ecto al uso del correo electrnico) - $ontrolar los mecanismos de distribucin 1 difusin de informacin dentro del %rganismo) - Definir 1 documentar controles !ara la deteccin 1 !re4encin del acceso no autori ado" la !roteccin contra softKare malicioso 1 !ara garanti ar la seguridad de los datos 1 los ser4icios conectados en las redes del %rganismo) - Desarrollar !rocedimientos adecuados de concienti acin de usuarios en materia de seguridad" controles de acceso al sistema 1 administracin de cambios) - Verificar el cum!limiento de las normas" !rocedimientos 1 controles establecidos)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina C1
*l :es!onsable del Mrea (nformFtica tendrF a su cargo lo siguiente5 - $ontrolar la eEistencia de documentacin actuali ada relacionada con los !rocedimientos de comunicaciones 1 o!eraciones) - *4aluar el !osible im!acto o!erati4o de los cambios !re4istos a sistemas 1 e2ui!amiento 1 4erificar su correcta im!lementacin" asignando res!onsabilidades) - Administrar los medios t0cnicos necesarios !ara !ermitir la segregacin de los ambientes de !rocesamiento) - Monitorear las necesidades de ca!acidad de los sistemas en o!eracin 1 !ro1ectar las futuras demandas de ca!acidad" a fin de e4itar !otenciales amena as a la seguridad del sistema o a los ser4icios del usuario) - $ontrolar la reali acin de las co!ias de resguardo de informacin" as como la !rueba !eridica de su restauracin) - Asegurar el registro de las acti4idades reali adas !or el !ersonal o!erati4o" !ara su !osterior re4isin) - Desarrollar 1 4erificar el cum!limiento de !rocedimientos !ara comunicar las fallas en el !rocesamiento de la informacin o los sistemas de comunicaciones" 2ue !ermita tomar medidas correcti4as) - (m!lementar los controles de seguridad definidos .softKare malicioso 1 accesos no autori ados/) - Definir e im!lementar !rocedimientos !ara la administracin de medios informFticos de almacenamiento" como cintas" discos" casetes e informes im!resos 1 !ara la eliminacin segura de los mismos) - Partici!ar en el tratamiento de los incidentes de seguridad" de acuerdo a los !rocedimientos establecidos) *l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica 1 el :es!onsable del Mrea 6egal del %rganismo e4aluarFn los contratos 1 acuerdos con terceros !ara garanti ar la incor!oracin de consideraciones relati4as a la seguridad de la informacin in4olucrada en la gestin de los !roductos o ser4icios !restados) $ada Pro!ietario de la (nformacin" Dunto con el :es!onsable de ,eguridad (nformFtica 1 el :es!onsable del Mrea (nformFtica" determinarF los re2uerimientos !ara resguardar la informacin !or la cual es res!onsable) Asimismo" a!robarF los ser4icios de mensaDera autori ados !ara trans!ortar la informacin cuando sea re2uerido" de acuerdo a su ni4el de criticidad) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de
,eguridad de la (nformacin" re4isarF las acti4idades 2ue no #a1an sido !osible segregar) Asimismo" re4isarF los registros de acti4idades del !ersonal o!erati4o)
Poltica
(&%& Procedimientos ; Responsabilidades Operati-as
(&%&%& "ocumentacin de los Procedimientos Operati-os
,e documentarFn 1 mantendrFn actuali ados los !rocedimientos o!erati4os identificados en esta Poltica 1 sus cambios serFn autori ados !or el :es!onsable de ,eguridad (nformFtica) 6os !rocedimientos es!ecificarFn instrucciones !ara la eDecucin detallada de cada tarea" inclu1endo5 a/ Procesamiento 1 maneDo de la informacin) b/ :e2uerimientos de !rogramacin de !rocesos" interde!endencias con otros sistemas" tiem!os de inicio de las !rimeras tareas 1 tiem!os de terminacin de las ltimas tareas) c/ (nstrucciones !ara el maneDo de errores u otras condiciones eEce!cionales 2ue !uedan surgir durante la eDecucin de tareas) d/ :estricciones en el uso de utilitarios del sistema)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina C2
e/ Personas de so!orte a contactar en caso de dificultades o!erati4as o t0cnicas im!re4istas) f/ (nstrucciones es!eciales !ara el maneDo de +salidas-" como el uso de !a!elera es!ecial o la administracin de salidas confidenciales" inclu1endo !rocedimientos !ara la eliminacin segura de salidas fallidas de tareas) g/ :einicio del sistema 1 !rocedimientos de recu!eracin en caso de !roducirse fallas en el sistema) ,e !re!ararF adicionalmente documentacin sobre !rocedimientos referidos a las siguientes acti4idades5 a/ (nstalacin 1 mantenimiento de e2ui!amiento !ara el !rocesamiento de informacin 1 comunicaciones) b/ (nstalacin 1 mantenimiento de las !lataformas de !rocesamiento) c/ Monitoreo del !rocesamiento 1 las comunicaciones) d/ (nicio 1 finali acin de la eDecucin de los sistemas) e/ Programacin 1 eDecucin de !rocesos) f/ 8estin de ser4icios) g/ :esguardo de informacin) #/ 8estin de incidentes de seguridad en el ambiente de !rocesamiento 1 comunicaciones) i/ :eem!la o o cambio de com!onentes del ambiente de !rocesamiento 1 comunicaciones) D/ <so del correo electrnico)
f/ $omunicacin de detalles de cambios a todas las !ersonas !ertinentes) g/ (dentificacin de las res!onsabilidades !or la cancelacin de los cambios fallidos 1 la recu!eracin res!ecto de los mismos)
a/ $ontem!lar 1 definir todos los ti!os !robables de incidentes relati4os a seguridad" inclu1endo 1) 7allas o!erati4as 2) $digo malicioso H) (ntrusiones C) 7raude informFtico 5) *rror #umano @) $atFstrofes naturales b/ $omunicar los incidentes a tra40s de canales gerenciales a!ro!iados tan !ronto como sea !osible" de acuerdo a lo indicado en @)H)1 P +$omunicacin de (ncidentes :elati4os a la ,eguridad-) c/ $ontem!lar los siguientes !untos en los !rocedimientos !ara los !lanes de contingencia normales .diseLados !ara recu!erar sistemas 1 ser4icios tan !ronto como sea !osible/5 1) Definicin de las !rimeras medidas a im!lementar 2) AnFlisis e identificacin de la causa del incidente) H) Planificacin e im!lementacin de soluciones !ara e4itar la re!eticin del mismo" si fuera necesario) C) $omunicacin con las !ersonas afectadas o in4olucradas con la recu!eracin" del incidente) 5) &otificacin de la accin a la autoridad 1Bu %rganismos !ertinentes) d/ :egistrar !istas de auditora 1 e4idencia similar !ara5 1) AnFlisis de !roblemas internos) 2) <so como e4idencia en relacin con una !robable 4iolacin contractual o infraccin normati4a" o en marco de un !roceso Dudicial .Ver 12)1) $um!limiento de :e2uisitos 6egales/) H) &egociacin de com!ensaciones !or !arte de los !ro4eedores de softKare 1 de ser4icios) e/ (m!lementar controles detallados 1 formali ados de las acciones de recu!eracin res!ecto de las 4iolaciones de la seguridad 1 de correccin de fallas del sistema" garanti ando5 1) Acceso a los sistemas 1 datos eEistentes slo al !ersonal claramente identificado 1 autori ado) 2) Documentacin de todas las acciones de emergencia em!rendidas en forma detallada) H) $omunicacin de las acciones de emergencia al titular de la <nidad %rgani ati4a 1 re4isin de su cum!limiento) C) $onstatacin de la integridad de los controles 1 sistemas del %rganismo en un !la o mnimo) *n los casos en los 2ue se considere necesario" se solicitarF la !artici!acin del :es!onsable del Mrea 6egal del %rganismo en el tratamiento de incidentes de seguridad ocurridos)
como5
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CC
a/ Monitoreo de las acti4idades) b/ :egistros de auditora 1 control !eridico de los mismos) c/ ,u!er4isin !or !arte de la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto a tal efecto" siendo inde!endiente al Frea 2ue genera las acti4idades auditadas) Asimismo" se documentarF la Dustificacin formal !or la cual no fue !osible efectuar la segregacin de funciones) ,e asegurarF la inde!endencia de las funciones de auditora de seguridad" tomando recaudos !ara 2ue ninguna !ersona !ueda reali ar acti4idades en Freas de res!onsabilidad nica sin ser monitoreada" 1 la inde!endencia entre el inicio de un e4ento 1 su autori acin" considerando los siguientes !untos5 a/ ,e!arar acti4idades 2ue re2uieren conni4encia !ara defraudar" !or eDem!lo efectuar una orden de com!ra 1 4erificar 2ue la mercadera fue recibida) b/ DiseLar controles" si eEiste !eligro de conni4encia de manera tal 2ue dos o mFs !ersonas est0n in4olucradas" reduciendo la !osibilidad de cons!iracin)
a/ (dentificar las a!licaciones sensibles o crticas 2ue con4enga retener en el %rganismo) b/ %btener la a!robacin de los !ro!ietarios de a!licaciones es!ecficas) c/ (dentificar las im!licancias !ara la continuidad de los !lanes de las acti4idades del %rganismo) d/ *s!ecificar las normas de seguridad 1 el !roceso de medicin del cum!limiento) e/ Asignar funciones es!ecficas 1 !rocedimientos !ara monitorear todas las acti4idades de seguridad)
f/ Definir las funciones 1 !rocedimientos de comunicacin 1 maneDo de incidentes relati4os a la seguridad) Dic#as consideraciones deberFn ser acordadas entre el :es!onsable de ,eguridad (nformFtica" el :es!onsable del Mrea de (nformFtica 1 el :es!onsable del Mrea 6egal del %rganismo)
*l :es!onsable de ,eguridad (nformFtica desarrollarF !rocedimientos adecuados de concienti acin de usuarios en materia de seguridad" controles de acceso al sistema 1 administracin de cambios) *stos controles deberFn considerar las siguientes acciones5 a/ Pro#ibir el uso de softKare no autori ado !or el %rganismo .Ver 12)1)2)1) Derec#o de Pro!iedad (ntelectual del ,oftKare/) b/ :edactar !rocedimientos !ara e4itar los riesgos relacionados con la obtencin de arc#i4os 1 softKare desde o a tra40s de redes eEternas" o !or cual2uier otro medio" seLalando las medidas de !roteccin a tomar) c/ (nstalar 1 actuali ar !eridicamente softKare de deteccin 1 re!aracin de 4irus" eEaminado com!utadoras 1 medios informFticos" como medida !recautoria 1 rutinaria) d/ Mantener los sistemas al da con las ltimas actuali aciones de seguridad dis!onibles .!robar dic#as actuali aciones en un entorno de !rueba !re4iamente si es 2ue constitu1en cambios crticos a los sistemas/) e/ :e4isar !eridicamente el contenido de softKare 1 datos de los e2ui!os de !rocesamiento 2ue sustentan !rocesos crticos del %rganismo" in4estigando
formalmente la !resencia de arc#i4os no a!robados o modificaciones no autori adas) f/ Verificar antes de su uso" la !resencia de 4irus en arc#i4os de medios electrnicos de origen incierto" o en arc#i4os recibidos a tra40s de redes no confiables) g/ :edactar !rocedimientos !ara 4erificar toda la informacin relati4a a softKare malicioso" garanti ando 2ue los boletines de alerta sean eEactos e informati4os) #/ $oncienti ar al !ersonal acerca del !roblema de los falsos 4irus .#oaE/ 1 de cmo !roceder frente a los mismos)
(&0& Mantenimiento
(&0&%& Resguardo de la Informacin
*l :es!onsable del Mrea (nformFtica 1 el de ,eguridad (nformFtica Dunto al :es!onsable del Mrea (nformFtica 1 los Pro!ietarios de (nformacin determinarFn los re2uerimientos !ara resguardar cada softKare o dato en funcin de su criticidad) *n base a ello" se definirF 1 documentarF un es2uema de resguardo de la informacin) *l :es!onsable del Mrea (nformFtica dis!ondrF 1 controlarF la reali acin de dic#as co!ias" as como la !rueba !eridica de su restauracin) Para esto se deberF contar con instalaciones de resguardo 2ue garanticen la dis!onibilidad de toda la informacin 1 del softKare critico del %rganismo) 6os sistemas de resguardo deberFn !robarse !eridicamente" asegurFndose 2ue cum!len con los re2uerimientos de los !lanes de continuidad de las acti4idades del organismo" segn el !unto +*nsa1o" Mantenimiento 1 :ee4aluacin de los Planes de $ontinuidad del %rganismo)- de esta !oltica) ,e definirFn !rocedimientos !ara el resguardo de la informacin" 2ue deberFn considerar los siguientes !untos5 a/ Definir un es2uema de rtulo de las co!ias de resguardo" 2ue !ermita contar con toda la informacin necesaria !ara identificar cada una de ellas 1 administrarlas debidamente) b/ *stablecer un es2uema de reem!la o de los medios de almacenamiento de las co!ias de resguardo" una 4e concluida la !osibilidad de ser reutili ados" de acuerdo a lo indicado !or el !ro4eedor" 1 asegurando la destruccin de los medios desec#ados) .Ver J)@)2) *liminacin de Medios de (nformacin/) c/ Almacenar en una ubicacin remota co!ias recientes de informacin de resguardo Dunto con registros eEactos 1 com!letos de las mismas 1 los !rocedimientos documentados de restauracin" a una distancia suficiente como !ara e4itar daLos !ro4enientes de un desastre en el sitio !rinci!al) ,e deberFn retener al menos tres generaciones o ciclos de informacin de resguardo !ara la informacin 1 el softKare
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CI
esenciales !ara el %rganismo) Para la definicin de informacin mnima a ser resguardada en el sitio remoto" se deberF tener en cuenta el ni4el de clasificacin otorgado a la misma" en t0rminos de dis!onibilidad .Ver 5)2) $lasificacin de la informacin/ 1 re2uisitos legales a los 2ue se encuentre suDeta) d/ Asignar a la informacin de resguardo un ni4el de !roteccin fsica 1 ambiental segn las normas a!licadas en el sitio !rinci!al) *Etender los mismos controles a!licados a los dis!ositi4os en el sitio !rinci!al al sitio de resguardo) e/ Probar !eridicamente los medios de resguardo) f/ Verificar 1 !robar !eridicamente los !rocedimientos de restauracin garanti ando su eficacia 1 cum!limiento dentro del tiem!o asignado a la recu!eracin en los !rocedimientos o!erati4os) 6os !rocedimientos de reali acin de co!ias de resguardo 1 su almacenamiento deberFn res!etar las dis!osiciones del !unto 5) $lasificacin 1 $ontrol de Acti4os 1 12)1)H) Proteccin de los :egistros del %rganismo de la !resente Poltica)
c/ (ntentos de acceso a sistemas" recursos o informacin crtica o acciones restringidas d/ *Decucin de o!eraciones crticas e/ $ambios a informacin crtica 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin contrastarF los registros de acti4idades del !ersonal o!erati4o con relacin a los !rocedimientos o!erati4os)
a/ *stablecer los !rocedimientos !ara la administracin del e2ui!amiento remoto" inclu1endo los e2ui!os en las Freas usuarias" la 2ue serF lle4ada a cabo !or el res!onsable establecido en el !unto +Asignacin de :es!onsabilidades en Materia de ,eguridad de la (nformacin-) b/ *stablecer controles es!eciales !ara sal4aguardar la confidencialidad e integridad del !rocesamiento de los datos 2ue !asan a tra40s de redes !blicas" 1 !ara !roteger los sistemas conectados) (m!lementar controles es!eciales !ara mantener la dis!onibilidad de los ser4icios de red 1 com!utadoras conectadas) c/ 8aranti ar mediante acti4idades de su!er4isin" 2ue los controles se a!lican uniformemente en toda la infraestructura de !rocesamiento de informacin) *l :es!onsable del Mrea (nformFtica im!lementarF dic#os controles)
*l :es!onsable del Mrea (nformFtica" Dunto con el :es!onsable de ,eguridad (nformFtica definirFn !rocedimientos !ara la eliminacin segura de los medios de informacin res!etando la normati4a 4igente) 6os !rocedimientos deberFn considerar 2ue los siguientes elementos re2uerirFn almacenamiento 1 eliminacin segura5 a/ Documentos en !a!el) b/ Voces u otras grabaciones) c/ Pa!el carbnico) d/ (nformes de salida) e/ $intas de im!resora de un solo uso) f/ $intas magn0ticas) g/ Discos o casetes remo4ibles) #/ Medios de almacenamiento !tico .todos los formatos inclu1endo todos los medios de distribucin de softKare del fabricante o !ro4eedor/) i/ 6istados de !rogramas) D/ Datos de !rueba)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CA
S/ Documentacin del sistema) Asimismo" se debe considerar 2ue !odra ser mFs eficiente dis!oner 2ue todos los medios sean recolectados 1 eliminados de manera segura" antes 2ue intentar se!arar los tem sensibles)
e/ :es!onsabilidades 1 obligaciones en caso de !0rdida de datos) f/ <so de un sistema con4enido !ara el rotulado de informacin clasificada" garanti ando 2ue el significado de los rtulos sea inmediatamente com!rendido 1 2ue la informacin sea adecuadamente !rotegida) g/ '0rminos 1 condiciones de la licencia baDo la cual se suministra el softKare)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina 50
#/ (nformacin sobre la !ro!iedad de la informacin suministrada 1 las condiciones de su uso) i/ &ormas t0cnicas !ara la grabacin 1 lectura de la informacin 1 del softKare) D/ $ontroles es!eciales 2ue !uedan re2uerirse !ara !roteger tems sensibles" .cla4es cri!togrFficas" etc)/)
4igente)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina 51
,e darFn a conocer a los usuarios" los t0rminos 1 condiciones a!licables) 'odas las medidas 4inculadas al !lan de gobierno electrnico del organismo deberFn dictarse conforme lo dis!uesto !or el Decreto &? HIJB2005)
*ntender al correo electrnico como una #erramienta mFs de trabaDo !ro4ista al em!leado a fin de ser utili ada conforme el uso al cual estF destinada" faculta al em!leador a im!lementar sistemas de controles destinados a 4elar !or la !roteccin 1 el buen uso de sus recursos) *sta facultad" sin embargo" deberF eDercerse sal4aguardando la dignidad del trabaDador 1 su derec#o a la intimidad) Por tal moti4o" el %rganismos debe informar claramente a sus
em!leados5 a/ cuFl es el uso 2ue el organismo es!era 2ue los em!leados #agan del correo electrnico !ro4isto !or el organismoO 1 b/ baDo 2u0 condiciones los mensaDes !ueden ser obDeto de control 1 monitoreo)
b/ 6a informacin 2ue se ingresa al sistema de !ublicacin" o a2uella 2ue !rocesa el mismo" sea !rocesada en forma com!leta" eEacta 1 o!ortuna) c/ 6a informacin sensible sea !rotegida durante el !roceso de recoleccin 1 su almacenamiento) d/ *l acceso al sistema de !ublicacin no !ermita el acceso accidental a las redes a las cuales se conecta el mismo) e/ ,e registre al res!onsable de la !ublicacin de informacin en sistemas de acceso !blico) f/ 6a informacin se !ubli2ue teniendo en cuenta las normas establecidas al res!ecto) g/ ,e garantice la 4alide 1 4igencia de la informacin !ublicada)
,e im!lementarFn normas" !rocedimientos 1 controles !ara !roteger el intercambio de informacin a tra40s de medios de comunicaciones de 4o " faE 1 4deo" contem!lando las siguientes acciones5 a/ $oncienti ar al !ersonal sobre la toma de debidas !recauciones" !or eDem!lo no re4elar informacin sensible como !ara e4itar ser escuc#ado o interce!tado" al #acer una llamada telefnica" !or5 1) Personas cercanas" en es!ecial al utili ar tel0fonos m4iles) 2) 'erceros 2ue tengan acceso a la comunicacin mediante la (nter4encin de la lnea telefnica" 1 otras formas de escuc#a subre!ticias" a tra40s del acceso fsico al a!arato o a la lnea telefnica" o mediante e2ui!os de barrido de frecuencias al utili ar tel0fonos m4iles anFlogos) H) 'erceros en el lado rece!tor) b/ :ecordar al !ersonal 2ue no sostengan con4ersaciones confidenciales en lugares !blicos u oficinas abiertas 1 lugares de reunin con !aredes delgadas) c/ &o deDar mensaDes en contestadores automFticos !uesto 2ue 0stos !ueden ser escuc#ados !or !ersonas no autori adas" almacenados en sistemas !blicos o almacenados incorrectamente como resultado de un error de discado) d/ :ecordar al !ersonal los !roblemas ocasionados !or el uso de mF2uinas de faE" en !articular5 1) *l acceso no autori ado a sistemas incor!orados de almacenamiento de mensaDes con el obDeto de recu!erarlos) 2) 6a !rogramacin deliberada o accidental de e2ui!os !ara en4iar mensaDes a determinados nmeros) H) *l en4o de documentos 1 mensaDes a un nmero e2ui4ocado !or errores de discado o !or utili ar el nmero almacenado e2ui4ocado)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5C
Objetivo
(m!edir el acceso no autori ado a los sistemas de informacin" bases de datos 1 ser4icios de informacin) (m!lementar seguridad en los accesos de usuarios !or medio de t0cnicas de autenticacin 1 autori acin) $ontrolar la seguridad en la coneEin entre la red del %rganismo 1 otras redes !blicas o !ri4adas) :egistrar 1 re4isar e4entos 1 acti4idades crticas lle4adas a cabo !or los usuarios en los sistemas) $oncienti ar a los usuarios res!ecto de su res!onsabilidad frente a la utili acin de contraseLas 1 e2ui!os) 8aranti ar la seguridad de la informacin cuando se utili a com!utacin m4il e instalaciones de trabaDo remoto)
Alcance
6a Poltica definida en este documento se a!lica a todas las formas de acceso de a2uellos a 2uienes se les #a1a otorgado !ermisos sobre los sistemas de informacin" bases de datos o ser4icios de informacin del %rganismo" cual2uiera sea la funcin 2ue desem!eLe) Asimismo se a!lica al !ersonal t0cnico 2ue define" instala" administra 1 mantiene los !ermisos de acceso 1 las coneEiones de red" 1 a los 2ue administran su seguridad)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica estarF a cargo de5 - Definir normas 1 !rocedimientos !ara5 la gestin de accesos a todos los sistemas" bases de datos 1 ser4icios de informacin multiusuarioO el monitoreo del uso de las instalaciones de !rocesamiento de la informacinO la solicitud 1 a!robacin de accesos
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 55
a (nternetO el uso de com!utacin m4il" trabaDo remoto 1 re!ortes de incidentes relacionadosO la res!uesta a la acti4acin de alarmas silenciosasO la re4isin de registros de acti4idadesO 1 el aDuste de reloDes de acuerdo a un estFndar !reestablecido) - Definir !autas de utili acin de (nternet !ara todos los usuarios) - Partici!ar en la definicin de normas 1 !rocedimientos de seguridad a im!lementar en el ambiente informFtico .eD)5 sistemas o!erati4os" ser4icios de red" enrutadores o gateKa1s" etc)/ 1 4alidarlos !eridicamente) - $ontrolar la asignacin de !ri4ilegios a usuarios) - Anali ar 1 sugerir medidas a ser im!lementadas !ara efecti4i ar el control de acceso a (nternet de los usuarios) - Verificar el cum!limiento de las !autas establecidas" relacionadas con control de accesos" registracin de usuarios" administracin de !ri4ilegios" administracin de contraseLas" utili acin de ser4icios de red" autenticacin de usuarios 1 nodos" uso controlado de utilitarios del sistema" alarmas silenciosas" desconeEin de terminales !or tiem!o muerto" limitacin del #orario de coneEin" registro de e4entos" !roteccin de !uertos" subdi4isin de redes" control de coneEiones a la red" control de ruteo de red" etc) - $oncienti ar a los usuarios sobre el uso a!ro!iado de contraseLas 1 de e2ui!os de trabaDo) - Verificar el cum!limiento de los !rocedimientos de re4isin de registros de auditora) - Asistir a los usuarios 2ue corres!onda en el anFlisis de riesgos a los 2ue se eE!one la informacin 1 los com!onentes del ambiente informFtico 2ue sir4en de so!orte a la misma) 6os Pro!ietarios de la (nformacin estarFn encargados de5 - *4aluar los riesgos a los cuales se eE!one la informacin con el obDeto de5 determinar los controles de accesos" autenticacin 1 utili acin a ser im!lementados en cada caso) definir los e4entos 1 acti4idades de usuarios a ser registrados en los sistemas de !rocesamiento de su incumbencia 1 la !eriodicidad de re4isin de los mismos) - A!robar 1 solicitar la asignacin de !ri4ilegios a usuarios) - 6le4ar a cabo un !roceso formal 1 !eridico de re4isin de los derec#os de acceso a la informacin) - Definir un cronograma de de!uracin de registros de auditora en lnea) 6os Pro!ietarios de la (nformacin Dunto con la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" definirFn un cronograma de de!uracin de registros en lnea en funcin a normas 4igentes 1 a sus !ro!ias necesidades) 6os :es!onsable de las <nidades %rgani ati4as" Dunto con el :es!onsable de ,eguridad (nformFtica" autori arFn el trabaDo remoto del !ersonal a su cargo" en los casos en 2ue se 4erifi2ue 2ue son ado!tadas todas las medidas 2ue corres!ondan en materia de seguridad de la informacin" de modo de cum!lir con las normas 4igentes) Asimismo autori arFn el acceso de los usuarios a su cargo a los ser4icios 1 recursos de red 1 a (nternet)
*l :es!onsable del Mrea (nformFtica cum!lirF las siguientes funciones5 - (m!lementar !rocedimientos !ara la acti4acin 1 desacti4acin de derec#os de acceso a las redes) - Anali ar e im!lementar los m0todos de autenticacin 1 control de acceso definidos en los sistemas" bases de datos 1 ser4icios) - *4aluar el costo 1 el im!acto de la im!lementacin de +enrutadores- o +gateKa1sadecuados !ara subdi4idir la red 1 recomendar el es2uema a!ro!iado) - (m!lementar el control de !uertos" de coneEin a la red 1 de ruteo de red) - (m!lementar el registro de e4entos o acti4idades de usuarios de acuerdo a lo definido !or los !ro!ietarios de la informacin" as como la de!uracin de los mismos) - Definir e im!lementar los registros de e4entos 1 acti4idades corres!ondientes a sistemas o!erati4os 1 otras !lataformas de !rocesamiento) - *4aluar los riesgos sobre la utili acin de las instalaciones de !rocesamiento de informacin" con el obDeto de definir medios de monitoreo 1 tecnologas de
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5@
identificacin 1 autenticacin de usuarios .*D)5 biometra" 4erificacin de firma" uso de autenticadores de #ardKare/) - Definir e im!lementar la configuracin 2ue debe efectuarse !ara cada ser4icio de red" de manera de garanti ar la seguridad en su o!eratoria) - Anali ar las medidas a ser im!lementadas !ara efecti4i ar el control de acceso a (nternet de los usuarios) - %torgar acceso a los ser4icios 1 recursos de red" nicamente de acuerdo al !edido formal corres!ondiente) - *fectuar un control de los registros de auditora generados !or los sistemas o!erati4os 1 de comunicaciones) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" tendrF acceso a los registros de e4entos a fin de colaborar en el control 1 efectuar recomendaciones sobre modificaciones a los as!ectos de seguridad) *l $omit0 de ,eguridad de la (nformacin a!robarF el anFlisis de riesgos de la informacin efectuado) Asimismo" a!robarF el !erodo definido !ara el mantenimiento de los registros de auditora generados)
Poltica
,&%& Re@uerimientos para el !ontrol de Acceso
,&%&%& Poltica de !ontrol de Accesos
*n la a!licacin de controles de acceso" se contem!larFn los siguientes as!ectos5 a/ (dentificar los re2uerimientos de seguridad de cada una de las a!licaciones) b/ (dentificar toda la informacin relacionada con las a!licaciones) c/ *stablecer criterios co#erentes entre esta Poltica de $ontrol de Acceso 1 la Poltica de $lasificacin de (nformacin de los diferentes sistemas 1 redes .Ver 5) $lasificacin 1 $ontrol de Acti4os/) d/ (dentificar la legislacin a!licable 1 las obligaciones contractuales con res!ecto a la !roteccin del acceso a datos 1 ser4icios) e/ Definir los !erfiles de acceso de usuarios estFndar" comunes a cada categora de !uestos de trabaDo) f/ Administrar los derec#os de acceso en un ambiente distribuido 1 de red" 2ue recono can todos los ti!os de coneEiones dis!onibles)
discrecin del usuario .Ver 5) $lasificacin 1 $ontrol de Acti4os/) d/ $ontrolar los cambios en los !ermisos de usuario 2ue son iniciados automFticamente !or el sistema de informacin 1 a2uellos 2ue son iniciados !or el administrador) e/ $ontrolar las reglas 2ue re2uieren la a!robacin del administrador o del Pro!ietario de la (nformacin de 2ue se trate" antes de entrar en 4igencia" 1 a2uellas 2ue no re2uieren a!robacin)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5I
b/ Asignar los !ri4ilegios a indi4iduos sobre la base de la necesidad de uso 1 e4ento !or e4ento" !or eDem!lo el re2uerimiento mnimo !ara su rol funcional)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5J
c/ Mantener un !roceso de autori acin 1 un registro de todos los !ri4ilegios asignados) 6os !ri4ilegios no deben ser otorgados #asta 2ue se #a1a com!letado el !roceso formal de autori acin) d/ *stablecer un !erodo de 4igencia !ara el mantenimiento de los !ri4ilegios .en base a la utili acin 2ue se le darF a los mismos/ luego del cual los mismos serFn re4ocados) e/ Promo4er el desarrollo 1 uso de rutinas del sistema !ara e4itar la necesidad de otorgar !ri4ilegios a los usuarios) 6os Pro!ietarios de (nformacin serFn los encargados de a!robar la asignacin de !ri4ilegios a usuarios 1 solicitar su im!lementacin" lo cual serF su!er4isado !or el :es!onsable de ,eguridad (nformFtica)
contraseLas con un ma1or ni4el de com!leDidad 2ue el #abitual) *l :es!onsable de ,eguridad (nformFtica definirF !rocedimientos !ara la administracin de dic#as contraseLas crticas 2ue contem!len lo siguiente5 a/ ,e definirFn las causas 2ue DustificarFn el uso de contraseLas crticas as como el ni4el de autori acin re2uerido) b/ 6as contraseLas seleccionadas serFn seguras" 1 su definicin serF efectuada como mnimo !or dos !ersonas" de manera 2ue ninguna de ellas cono ca la contraseLa com!leta) c/ 6as contraseLas 1 los nombres de las cuentas crticas a las 2ue !ertenecen serFn resguardadas debidamente) d/ 6a utili acin de las contraseLas crticas serF registrada" documentando las causas 2ue determinaron su uso" as como el res!onsable de las acti4idades 2ue se efecten con la misma) e/ $ada contraseLa crtica se reno4arF una 4e utili ada 1 se definirF un !erodo luego del cual la misma serF reno4ada en caso de 2ue no se la #a1a utili ado) f/ ,e registrarFn todas las acti4idades 2ue se efecten con las cuentas crticas !ara luego ser re4isadas) Dic#o registro serF re4isado !osteriormente !or el :es!onsable de ,eguridad)
H) &o tengan caracteres id0nticos consecuti4os o gru!os totalmente num0ricos o totalmente alfab0ticos) d/ $ambiar las contraseLas cada 4e 2ue el sistema se lo solicite 1 e4itar reutili ar o reciclar 4ieDas contraseLas) e/ $ambiar las contraseLas !ro4isorias en el !rimer inicio de sesin .+log on-/) f/ *4itar incluir contraseLas en los !rocesos automati ados de inicio de sesin" !or eDem!lo" a2uellas almacenadas en una tecla de funcin o macro)
g/ &otificar de acuerdo a lo establecido en @)H)1 P +$omunicacin de (ncidentes :elati4os a la ,eguridad-" cual2uier incidente de seguridad relacionado con sus contraseLas5 !0rdida" robo o indicio de !0rdida de confidencialidad) ,i los usuarios necesitan acceder a mlti!les ser4icios o !lataformas 1 se re2uiere 2ue mantengan mlti!les contraseLas" se notificarF a los mismos 2ue !ueden utili ar una nica contraseLa !ara todos los ser4icios 2ue brinden un ni4el adecuado de !roteccin de las contraseLas almacenadas 1 en trFnsito)
Para ello" se desarrollarFn !rocedimientos !ara la acti4acin 1 desacti4acin de derec#os de acceso a las redes" los cuales com!renderFn5 a/ (dentificar las redes 1 ser4icios de red a los cuales se !ermite el acceso) b/ :eali ar normas 1 !rocedimientos de autori acin !ara determinar las !ersonas 1 las redes 1 ser4icios de red a los cuales se les otorgarF el acceso) c/ *stablecer controles 1 !rocedimientos de gestin !ara !roteger el acceso a las coneEiones 1 ser4icios de red) *sta Poltica serF co#erente con la Poltica de $ontrol de Accesos del %rganismo .Ver A)1)1) Poltica de $ontrol de Accesos/)
cuales el mismo se encuentra autori ado a acceder" mediante la im!lementacin de controles en diferentes !untos de la misma) A continuacin se enumeran algunos eDem!los a considerar en caso de im!lementar estos controles a los sistemas eEistentes5 a/ Asignar nmeros telefnicos o lneas" en forma dedicada) b/ *stablecer la coneEin automFtica de !uertos a gateKa1s de seguridad o a sistemas de a!licacin es!ecficos) c/ 6imitar las o!ciones de men 1 submen de cada uno de los usuarios) d/ *4itar la na4egacin ilimitada !or la red) e/ (m!oner el uso de sistemas de a!licacin 1Bo gateKa1s de seguridad es!ecficos !ara usuarios eEternos de la red) f/ $ontrolar acti4amente las comunicaciones con origen 1 destino autori ados a tra40s de un gateKa1" !or eDem!lo utili ando fireKalls) g/ :estringir el acceso a redes" estableciendo dominios lgicos se!arados" !or eDem!lo" redes !ri4adas 4irtuales !ara gru!os de usuarios dentro o fuera del %rganismo) 6os re2uerimientos relati4os a caminos for ados se basarFn en la Poltica de $ontrol de Accesos del %rganismo .Ver A)1)1) Poltica de $ontrol de Accesos/) *l :es!onsable de ,eguridad (nformFtica" conDuntamente con el Pro!ietario de la (nformacin de 2ue se trate" reali arFn una e4aluacin de riesgos a fin de determinar los mecanismos de control 2ue corres!onda en cada caso)
a/ <n m0todo de autenticacin fsico .!or eDem!lo toSens de #ardKare/" !ara lo 2ue debe im!lementarse un !rocedimiento 2ue inclu1a5 Asignacin de la #erramienta de autenticacin) :egistro de los !oseedores de autenticadores) Mecanismo de rescate al momento de la des4inculacin del !ersonal al 2ue se le otorg) M0todo de re4ocacin de acceso del autenticador" en caso de com!romiso de seguridad) b/ <n !rotocolo de autenticacin .!or eDem!lo desafo B res!uesta/" !ara lo 2ue debe im!lementarse un !rocedimiento 2ue inclu1a5 *stablecimiento de las reglas con el usuario) *stablecimiento de un ciclo de 4ida de las reglas !ara su reno4acin) c/ 'ambi0n !ueden utili arse lneas dedicadas !ri4adas o una #erramienta de 4erificacin de la direccin del usuario de red" a fin de constatar el origen de la coneEin) 6os !rocedimientos 1 controles de re-llamada" o dial-bacS" !ueden brindar !roteccin contra coneEiones no autori adas a las instalaciones de !rocesamiento de informacin del %rganismo) Al a!licar este ti!o de control" el %rganismo no debe utili ar ser4icios de red 2ue inclu1an des4o de llamadas) ,i !or alguna causa es !reciso mantener el des4o de llamadas" no serF !osible a!licar el control de re-llamada) Asimismo" es im!ortante 2ue el !roceso de re-llamada garantice 2ue se !rodu ca a su t0rmino" una desconeEin real del lado del %rganismo)
del %rganismo) *n el !unto anterior se mencionan algunos eDem!los de autenticacin 1 de cmo !uede lograrse) 6a autenticacin de nodos !uede ser4ir como un medio alternati4o de autenticacin de gru!os de usuarios remotos" cuando 0stos estFn conectados a un ser4icio informFtico seguro 1 com!artido)
6a subdi4isin en dominios de la red tomarF en cuenta criterios como los re2uerimientos de seguridad comunes de gru!os de integrantes de la red" la ma1or eE!osicin de un gru!o a !eligros eEternos" se!aracin fsica" u otros criterios de aglutinamiento o segregacin !reeEistentes) =asFndose en la Poltica de $ontrol de Accesos 1 los re2uerimientos de acceso .Ver A)1) :e2uerimientos !ara el $ontrol de Acceso/" el :es!onsable del Mrea (nformFtica e4aluarF el costo relati4o 1 el im!acto en el desem!eLo 2ue ocasione la im!lementacin de enrutadores o gateKa1s adecuados .Ver A)C)J) $ontrol de $oneEin a la :ed 1 A)C)A) $ontrol de :uteo de :ed/ !ara subdi4idir la red) 6uego decidirF" Dunto con el :es!onsable de ,eguridad (nformFtica" el es2uema mFs a!ro!iado a im!lementar)
%rganismo" se incor!orarFn controles de ruteo" !ara asegurar 2ue las coneEiones informFticas 1 los fluDos de informacin no 4iolen la Poltica de $ontrol de Accesos .Ver A)1)1) Poltica de $ontrol de Accesos/) *stos controles contem!larFn mnimamente la 4erificacin !ositi4a de direcciones de origen 1 destino) Adicionalmente" !ara este obDeti4o !ueden utili arse di4ersos m0todos inclu1endo entre otros autenticacin de !rotocolos de ruteo" ruteo estFtico" traduccin de direcciones 1 listas de control de acceso)
*l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica definirFn las !autas !ara garanti ar la seguridad de los ser4icios de red del %rganismo" tanto !blicos como !ri4ados) Para ello se tendrFn en cuenta las siguientes directi4as5 - Mantener instalados 1 #abilitados slo a2uellos ser4icios 2ue sean utili ados) - $ontrolar el acceso lgico a los ser4icios" tanto a su uso como a su administracin) - $onfigurar cada ser4icio de manera segura" e4itando las 4ulnerabilidades 2ue !udieran !resentar) - (nstalar !eridicamente las actuali aciones de seguridad) Dic#a configuracin serF re4isada !eridicamente !or el :es!onsable de ,eguridad (nformFtica)
Detalles
eEitosa)
c/ 6imitar el uso de utilitarios del sistema a la cantidad mnima 4iable de usuarios fiables 1 autori ados) d/ *4itar 2ue !ersonas aDenas al %rganismo tomen conocimiento de la eEistencia 1 modo de uso de los utilitarios instalados en las instalaciones informFticas) e/ *stablecer autori aciones !ara uso ad #oc de utilitarios de sistema) f/ 6imitar la dis!onibilidad de utilitarios de sistema" !or eDem!lo durante el transcurso de un cambio autori ado) g/ :egistrar todo uso de utilitarios del sistema) #/ Definir 1 documentar los ni4eles de autori acin !ara utilitarios del sistema) i/ :emo4er todo el softKare basado en utilitarios 1 softKare de sistema innecesarios)
*ntre los controles 2ue se deben a!licar" se enuncian5 a/ <tili ar la!sos !redeterminados" !or eDem!lo !ara transmisiones de arc#i4os en lote" o sesiones interacti4as !eridicas de corta duracin) b/ 6imitar los tiem!os de coneEin al #orario normal de oficina" de no eEistir un re2uerimiento o!erati4o de #oras eEtras o eEtensin #oraria) c/ Documentar debidamente los agentes 2ue no tienen restricciones #orarias 1 las ra ones de su autori acin) 'ambi0n cuando el Pro!ietario de la (nformacin autorice eEce!ciones !ara una eEtensin #oraria ocasional)
,e a!licarFn los siguientes controles" !ara brindar a!o1o a los re2uerimientos de limitacin de accesos5 a/ Pro4eer una interfa !ara controlar el acceso a las funciones de los sistemas de a!licacin) *l Pro!ietario de la (nformacin in4olucrada serF res!onsable de la adDudicacin de accesos a las funciones) *n el caso de 2ue las acti4idades in4olucradas en el otorgamiento de acceso re4istan un carFcter t0cnico ele4ado" las mismas serFn lle4adas a cabo !or !ersonal del Frea de sistemas" conforme a una autori acin formal emitida !or el Pro!ietario de la (nformacin) b/ :estringir el conocimiento de los usuarios acerca de la informacin o de las funciones de los sistemas de a!licacin a las cuales no sean autori ados a acceder" con la adecuada edicin de la documentacin de usuario) c/ $ontrolar los derec#os de acceso de los usuarios" !or eDem!lo" lectura" escritura" su!resin 1 eDecucin) d/ 8aranti ar 2ue las salidas de los sistemas de a!licacin 2ue administran informacin sensible" contengan slo la informacin 2ue resulte !ertinente !ara el uso de la salida" 1 2ue la misma se en4e solamente a las terminales 1 ubicaciones autori adas) e/ :e4isar !eridicamente dic#as salidas a fin de garanti ar la remocin de la informacin redundante) f/ :estringir el acceso a la informacin !or fuera del sistema encargado de su !rocesamiento" es decir" la modificacin directa del dato almacenado)
b/ (dentificar 1 acordar con el administrador de la a!licacin sensible cuando la a!licacin #a de eDecutarse en un ambiente com!artido" los sistemas de a!licacin con los cuales 0sta com!artirF los recursos) c/ $oordinar con el :es!onsable del Mrea informFtica" 2u0 ser4icios estarFn dis!onibles en el entorno donde se eDecutarF la a!licacin" de acuerdo a los re2uerimientos de o!eracin 1 seguridad es!ecificados !or el administrador de la a!licacin) d/ $onsiderar la seguridad en la administracin de las co!ias de res!aldo de la informacin 2ue !rocesan las a!licaciones) e/ $onsiderar las mismas !recauciones de seguridad 1 !ri4acidad" en la elaboracin del !lan de continuidad 1Bo contingencia de la eDecucin de la a!licacin) *Dem!lo5 el e2ui!amiento alternati4o o las instalaciones de emergencia donde restablecer la a!licacin)
*n todos los casos" los registros de auditora serFn arc#i4ados !referentemente en un e2ui!o diferente al 2ue los genere 1 conforme los re2uerimientos de la Poltica de :etencin de :egistros .Ver 12)1)I) :ecoleccin de *4idencia/) 6os Pro!ietarios de la (nformacin Dunto con la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" definirFn un cronograma de de!uracin de registros en lnea en funcin a normas 4igentes 1 a sus !ro!ias necesidades)
1) (dentificacin del usuario) 2) 7ec#a 1 #ora de e4entos cla4e) H) 'i!os de e4entos) C) Arc#i4os a los 2ue se accede) 5) <tilitarios 1 !rogramas utili ados) b/ 'odas las o!eraciones con !ri4ilegio" como5 1) <tili acin de cuenta de su!er4isor) 2) (nicio 1 cierre del sistema) H) $oneEin 1 desconeEin de dis!ositi4os de (ngreso 1 ,alida de informacin o 2ue !ermitan co!iar datos) C) $ambio de fec#aB#ora) 5) $ambios en la configuracin de la seguridad) @) Alta de ser4icios) c/ (ntentos de acceso no autori ado" como5 1) (ntentos fallidos) 2) Violaciones de la Poltica de Accesos 1 notificaciones !ara +gateKa1s- de red 1 +fireKalls-) H) Alertas de sistemas de deteccin de intrusiones) d/ Alertas o fallas de sistema como5 1) Alertas o mensaDes de consola) 2) *Ece!ciones del sistema de registro) H) Alarmas del sistema de administracin de redes) C) Accesos remotos a los sistemas)
6a !eriodicidad de dic#as re4isiones serF definida !or los Pro!ietarios de la (nformacin 1 el :es!onsable de ,eguridad (nformFtica" de acuerdo a la e4aluacin de riesgos efectuada) ,i el 4olumen de la informacin contenida en alguno de los registros fuera mu1 grande" el !rocedimiento indicarF cuales de los registros mFs significati4os se co!iarFn automFticamente en registros auEiliares) Por otra !arte" el :es!onsable del Mrea (nformFtica" !odrF dis!oner la utili acin de #erramientas de auditora o utilitarios adecuados !ara lle4ar a cabo el control de los registros) *n la asignacin de funciones en materia de seguridad de la informacin .Ver C)1) (nfraestructura de la ,eguridad de la (nformacin/" se deberF se!arar las funciones entre 2uienes reali an la re4isin 1 a2uellos cu1as acti4idades estFn siendo monitoreadas)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina I0
6as #erramientas de registro deberFn contar con los controles de acceso necesarios" a fin de garanti ar 2ue no ocurra5 a/ 6a desacti4acin de la #erramienta de registro) b/ 6a alteracin de mensaDes registrados) c/ 6a edicin o su!resin de arc#i4os de registro) d/ 6a saturacin de un medio de so!orte de arc#i4os de registro) e/ 6a falla en los registros de los e4entos) f/ 6a sobre escritura de los registros) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" tendrF acceso a los registros de e4entos a fin de colaborar en el control 1 efectuar recomendaciones sobre modificaciones a los as!ectos de seguridad) Adicionalmente !odran e4aluar las #erramientas de registro" !ero no tendrFn libre acceso a ellas)
2ue los utilice) ,e desarrollarFn normas 1 !rocedimientos sobre los cuidados es!eciales a
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina I1
obser4ar ante la !osesin de dis!ositi4os m4iles" 2ue contem!larFn las siguientes recomendaciones5 a/ Permanecer siem!re cerca del dis!ositi4o) b/ &o deDar desatendidos los e2ui!os) c/ &o llamar la atencin acerca de !ortar un e2ui!o 4alioso) d/ &o !oner identificaciones del %rganismo en el dis!ositi4o" sal4o los estrictamente necesarios) e/ &o !oner datos de contacto t0cnico en el dis!ositi4o) f/ Mantener cifrada la informacin clasificada) Por otra !arte" se confeccionarFn !rocedimientos 2ue !ermitan al !ro!ietario del dis!ositi4o re!ortar rF!idamente cual2uier incidente sufrido 1 mitigar los riesgos a los 2ue e4entualmente estu4ieran eE!uestos los sistemas de informacin del %rganismo" los 2ue incluirFn5 a/ :e4ocacin de las credenciales afectadas b/ &otificacin a gru!os de 'rabaDo donde !otencialmente se !udieran #aber com!rometido recursos)
d/ (ncluir seguridad fsica) e/ Definir reglas 1 orientacin res!ecto del acceso de terceros al e2ui!amiento e informacin) f/ Pro4eer el #ardKare 1 el so!orte 1 mantenimiento del softKare) g/ Definir los !rocedimientos de bacSu! 1 de continuidad de las o!eraciones)
#/ *fectuar auditora 1 monitoreo de la seguridad) i/ :eali ar la anulacin de las autori aciones" derec#os de acceso 1 de4olucin del e2ui!o cuando finalicen las acti4idades remotas) D/ Asegurar el reintegro del e2ui!amiento en las mismas condiciones en 2ue fue entregado" en el caso en 2ue cese la necesidad de trabaDar en forma remota) ,e im!lementarFn !rocesos de auditora es!ecficos !ara los casos de accesos remotos" 2ue serFn re4isados regularmente) ,e lle4arF un registro de incidentes a fin de corregir e4entuales fallas en la seguridad de este ti!o de accesos)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IH
Objetivo
Asegurar la inclusin de controles de seguridad 1 4alidacin de datos en el desarrollo de los sistemas de informacin) Definir 1 documentar las normas 1 !rocedimientos 2ue se a!licarFn durante el ciclo de 4ida de los a!licati4os 1 en la infraestructura de base en la cual se a!o1an) Definir los m0todos de !roteccin de la informacin crtica o sensible)
Alcance
*sta Poltica se a!lica a todos los sistemas informFticos" tanto desarrollos !ro!ios o de terceros" 1 a todos los ,istemas %!erati4os 1Bo ,oftKare de =ase 2ue integren cual2uiera de los ambientes administrados !or el %rganismo en donde residan los desarrollos mencionados)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica Dunto con el Pro!ietario de la (nformacin 1 la <nidad de Auditora (nterna" definirFn los controles a ser im!lementados en los sistemas desarrollados internamente o !or terceros" en funcin de una e4aluacin !re4ia de riesgos) *l :es!onsable de ,eguridad (nformFtica" Dunto con el Pro!ietario de la (nformacin" definirFn en funcin a la criticidad de la informacin" los re2uerimientos de !roteccin mediante m0todos cri!togrFficos) 6uego" el :es!onsable de ,eguridad (nformFtica definirF Dunto con el :es!onsable del Mrea de ,istemas" los m0todos de encri!cin a ser utili ados) Asimismo" el :es!onsable de ,eguridad (nformFtica cum!lirF las siguientes funciones5 - Definir los !rocedimientos de administracin de cla4es) - Verificar el cum!limiento de los controles establecidos !ara el desarrollo 1 mantenimiento de sistemas) - 8aranti ar el cum!limiento de los re2uerimientos de seguridad !ara el softKare)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IC
- Definir !rocedimientos !ara5 el control de cambios a los sistemasO la 4erificacin de la seguridad de las !lataformas 1 bases de datos 2ue so!ortan e interactan con los
sistemasO el control de cdigo maliciosoO 1 la definicin de las funciones del !ersonal in4olucrado en el !roceso de entrada de datos) *l :es!onsable del Mrea (nformFtica" !ro!ondrF !ara su a!robacin !or !arte del su!erior DerFr2uico 2ue corres!onda" la asignacin de funciones de +im!lementador- 1 +administrador de !rogramas fuentes- al !ersonal de su Frea 2ue considere adecuado" cu1as res!onsabilidades se detallan en el !resente ca!tulo) Asimismo" 4erificarF el cum!limiento de las definiciones establecidas sobre los controles 1 las medidas de seguridad a ser incor!oradas a los sistemas) *l Mrea de ,istemas !ro!ondrF 2ui0nes reali arFn la administracin de las t0cnicas cri!togrFficas 1 cla4es) *l :es!onsable del Mrea de Administracin incor!orarF as!ectos relacionados con el licenciamiento" la calidad del softKare 1 la seguridad de la informacin en los contratos con terceros !or el desarrollo de softKare) *l :es!onsable del Mrea 6egal !artici!arF en dic#a tarea)
Poltica
%.&%& Re@uerimientos de Seguridad de los Sistemas
%.&%&%& An3lisis ; Especificaciones de los Re@uerimientos de Seguridad
*sta Poltica se im!lementa !ara incor!orar seguridad a los sistemas de informacin .!ro!ios o de terceros/ 1 a las meDoras o actuali aciones 2ue se les incor!oren) 6os re2uerimientos !ara nue4os sistemas o meDoras a los eEistentes es!ecificarFn la necesidad de controles) *stas es!ecificaciones deben considerar los controles automFticos a incor!orar al sistema" como as tambi0n controles manuales de a!o1o) ,e deben tener en cuenta las siguientes consideraciones5 a/ Definir un !rocedimiento !ara 2ue durante las eta!as de anFlisis 1 diseLo del sistema" se incor!oren a los re2uerimientos" los corres!ondientes controles de seguridad) *ste !rocedimiento debe incluir una eta!a de e4aluacin de riesgos !re4ia al diseLo" !ara definir los re2uerimientos de seguridad e identificar los controles a!ro!iados) *n esta tarea deben !artici!ar las Freas usuarias" de sistemas" de seguridad informFtica 1 auditora" es!ecificando 1 a!robando los controles automFticos a incor!orar al sistema 1 las necesidades de controles manuales com!lementarios) 6as Freas in4olucradas !odrFn solicitar certificaciones 1 e4aluaciones inde!endientes !ara los !roductos a utili ar) b/ *4aluar los re2uerimientos de seguridad 1 los controles re2ueridos" teniendo en cuenta 2ue 0stos deben ser !ro!orcionales en costo 1 esfuer o al 4alor del bien 2ue se 2uiere !roteger 1 al daLo !otencial 2ue !udiera ocasionar a las acti4idades reali adas) c/ $onsiderar 2ue los controles introducidos en la eta!a de diseLo" son significati4amente menos costosos de im!lementar 1 mantener 2ue a2uellos incluidos durante o des!u0s de la im!lementacin)
a/ 6a 4alidacin de datos de entrada) b/ *l !rocesamiento interno) c/ 6a autenticacin de mensaDes .interfases entre sistemas/ d/ 6a 4alidacin de datos de salida)
b/ $ontrol de monto lmite !or o!eracin 1 ti!o de usuario) c/ $ontrol del rango de 4alores !osibles 1 de su 4alide " de acuerdo a criterios !redeterminados) d/ $ontrol de !aridad) e/ $ontrol contra 4alores cargados en las tablas de datos) f/ $ontroles !or o!osicin" de forma tal 2ue 2uien ingrese un dato no !ueda autori arlo 1 4ice4ersa) Por otra !arte" se lle4arFn a cabo las siguientes acciones5 a/ ,e definirF un !rocedimiento !ara reali ar re4isiones !eridicas de contenidos de cam!os cla4es o arc#i4os de datos" definiendo 2ui0n lo reali arF" en 2u0 forma" con 2u0 m0todo" 2ui0nes deberFn ser informados del resultado" etc) b/ ,e definirF un !rocedimiento 2ue eE!licite las alternati4as a seguir !ara res!onder a errores de 4alidacin en un a!licati4o) c/ ,e definirF un !rocedimiento 2ue !ermita determinar las res!onsabilidades de todo el !ersonal in4olucrado en el !roceso de entrada de datos)
:$C 12J bits :$2 12J bits 2) $ifrado Asim0trico $asos de <tili acin Algoritmo 6ongitud de $la4e Para certificados utili ados en ser4icios relacionados a la firma digital .sellado de tiem!o" almacenamiento seguro de documentos electrnicos" etc)/ :,A 20CJ bits D,A 20CJ bits *$D,A 210 bits Para certificados de sitio seguro :,A 102C bits Para certificados de $ertificador o de informacin de estado de certificados :,A 20CJ bits D,A 20CJ bits *$D,A 210 bits Para certificados de usuario .!ersonas fsicas o Durdicas/ :,A 102C bits D,A 102C bits *$D,A 1@0 bits Para digesto seguro ,NA-1 25@ bits 6os algoritmos 1 longitudes de cla4e mencionados son los 2ue a la fec#a se consideran seguros) ,e recomienda 4erificar esta condicin !eridicamente con el obDeto de efectuar las actuali aciones corres!ondientes)
%.&/&)& !ifrado
Mediante la e4aluacin de riesgos 2ue lle4arF a cabo el Pro!ietario de la (nformacin 1 el :es!onsable de ,eguridad (nformFtica" se identificarF el ni4el re2uerido de !roteccin" tomando en cuenta el ti!o 1 la calidad del algoritmo de cifrado utili ado 1 la longitud de las cla4es cri!togrFficas a utili ar)
Al im!lementar la Poltica del %rganismo en materia cri!togrFfica" se considerarFn los controles a!licables a la eE!ortacin e im!ortacin de tecnologa cri!togrFfica .Ver 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa/)
Al utili ar firmas 1 certificados digitales" se considerarF la legislacin 4igente .6e1 &W 25)50@" el Decreto &? 2@2JB02 1 el conDunto de normas com!lementarias 2ue fiDan o modifican com!etencias 1 establecen !rocedimientos/ 2ue describa las condiciones baDo las cuales una firma digital es legalmente 4Flida) .Ver 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa/ *n algunos casos !odra ser necesario establecer acuerdos es!eciales !ara res!aldar el uso de las firmas digitales) A tal fin se deberF obtener asesoramiento legal con res!ecto al marco normati4o a!licable 1 la modalidad del acuerdo a im!lementar) .Ver 12) $um!limiento/)
informacin sobre cmo deben acti4arse cuando se reciban) d/ Almacenar cla4es" inclu1endo la forma de acceso a las mismas !or !arte de los usuarios autori ados) e/ $ambiar o actuali ar cla4es" inclu1endo reglas sobre cuFndo 1 cmo deben cambiarse las cla4es)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IA
f/ :e4ocar cla4es" inclu1endo cmo deben retirarse o desacti4arse las mismas" !or eDem!lo cuando las cla4es estFn com!rometidas o cuando un usuario se des4incula del %rganismo .en cu1o caso las cla4es tambi0n deben arc#i4arse/) g/ :ecu!erar cla4es !erdidas o alteradas como !arte de la administracin de la continuidad de las acti4idades del %rganismo" !or eDem!lo !ara la recu!eracin de la informacin cifrada) #/ Arc#i4ar cla4es" !or eDem!lo" !ara la informacin arc#i4ada o resguardada) i/ Destruir cla4es) D/ :egistrar 1 auditar las acti4idades relati4as a la administracin de cla4es) A fin de reducir la !robabilidad de com!romiso" las cla4es tendrFn fec#as de inicio 1 caducidad de 4igencia" definidas de manera 2ue slo !uedan ser utili adas !or el la!so de ))))))))) .indicar la!so no ma1or a 12 meses/) AdemFs de la administracin segura de las cla4es secretas 1 !ri4adas" deberF tenerse en cuenta la !roteccin de las cla4es !blicas) *ste !roblema es abordado mediante el uso de un certificado de cla4e !blica) *ste certificado se generarF de forma 2ue 4incule de manera nica la informacin relati4a al !ro!ietario del !ar de cla4es !blicaB!ri4ada con la cla4e !blica) *n consecuencia es im!ortante 2ue el !roceso de administracin de los certificados de cla4e !blica sea absolutamente confiable) *ste !roceso es lle4ado a cabo !or una entidad denominada Autoridad de $ertificacin .A$/ o $ertificador)
b/ 6le4ar un registro de auditora de las actuali aciones reali adas) c/ :etener las 4ersiones !re4ias del sistema" como medida de contingencia) d/ Definir un !rocedimiento 2ue estable ca los !asos a seguir !ara im!lementar las
autori aciones 1 conformes !ertinentes" las !ruebas !re4ias a reali arse" etc) e/ Denegar !ermisos de modificacin al im!lementador sobre los !rogramas fuentes baDo su custodia) f/ *4itar" 2ue la funcin de im!lementador sea eDercida !or !ersonal 2ue !ertene ca al sector de desarrollo o mantenimiento)
a/ *l :es!onsable del Mrea (nformFtica" !ro!ondrF !ara su a!robacin !or !arte del su!erior DerFr2uico 2ue corres!onda la funcin de +administrador de !rogramas fuentes- al !ersonal de su Frea 2ue considere adecuado" 2uien tendrF en custodia los !rogramas fuentes 1 deberF5 Pro4eer al Mrea de Desarrollo los !rogramas fuentes solicitados !ara su modificacin" manteniendo en todo momento la correlacin !rograma fuente B eDecutable) 6le4ar un registro actuali ado de todos los !rogramas fuentes en uso" indicando nombre del !rograma" !rogramador" Analista :es!onsable 2ue autori " 4ersin" fec#a de ltima modificacin 1 fec#a B #ora de com!ilacin 1
estado .en modificacin" en !roduccin/) Verificar 2ue el Analista :es!onsable 2ue autori a la solicitud de un !rograma fuente sea el designado !ara la a!licacin" rec#a ando el !edido en caso contrario) :egistrar cada solicitud a!robada) Administrar las distintas 4ersiones de una a!licacin) Asegurar 2ue un mismo !rograma fuente no sea modificado simultFneamente !or mFs de un desarrollador) b/ Denegar al +administrador de !rogramas fuentes- !ermisos de modificacin sobre los !rogramas fuentes baDo su custodia) c/ *stablecer 2ue todo !rograma obDeto o eDecutable en !roduccin tenga un nico !rograma fuente asociado 2ue garantice su origen) d/ *stablecer 2ue el im!lementador de !roduccin efectuarF la generacin del !rograma obDeto o eDecutable 2ue estarF en !roduccin .com!ilacin/" a fin de garanti ar tal corres!ondencia) e/ Desarrollar un !rocedimiento 2ue garantice 2ue toda 4e 2ue se migre a !roduccin el mdulo fuente" se cree el cdigo eDecutable corres!ondiente en forma automFtica) f/ *4itar 2ue la funcin de +administrador de !rogramas fuentes- sea eDercida !or !ersonal 2ue !ertene ca al sector de desarrollo 1Bo mantenimiento) g/ Pro#ibir la guarda de !rogramas fuentes #istricos .2ue no sean los corres!ondientes a los !rogramas o!erati4os/ en el ambiente de !roduccin) #/ Pro#ibir el acceso a todo o!erador 1Bo usuario de a!licaciones a los ambientes 1 a las #erramientas 2ue !ermitan la generacin 1Bo mani!ulacin de los !rogramas fuentes) i/ :eali ar las co!ias de res!aldo de los !rogramas fuentes cum!liendo los re2uisitos de seguridad establecidos !or el %rganismo en los !rocedimientos 2ue surgen de la !resente !oltica)
d/ (dentificar todos los elementos 2ue re2uieren modificaciones .softKare" bases de datos" #ardKare/) e/ :e4isar los controles 1 los !rocedimientos de integridad !ara garanti ar 2ue no serFn com!rometidos !or los cambios) f/ %btener a!robacin formal !or !arte del :es!onsable del Mrea (nformFtica !ara las tareas detalladas" antes 2ue comiencen las tareas) g/ ,olicitar la re4isin del :es!onsable de ,eguridad (nformFtica !ara garanti ar 2ue no se 4iolen los re2uerimientos de seguridad 2ue debe cum!lir el softKare) #/ *fectuar las acti4idades relati4as al cambio en el ambiente de desarrollo) i/ %btener la a!robacin !or !arte del usuario autori ado 1 del Frea de !ruebas mediante !ruebas en el ambiente corres!ondiente) D/ Actuali ar la documentacin !ara cada cambio im!lementado" tanto de los manuales de usuario como de la documentacin o!erati4a) S/ Mantener un control de 4ersiones !ara todas las actuali aciones de softKare) l/ 8aranti ar 2ue la im!lementacin se lle4arF a cabo minimi ando la discontinuidad de
las acti4idades 1 sin alterar los !rocesos in4olucrados) m/ (nformar a las Freas usuarias antes de la im!lementacin de un cambio 2ue !ueda afectar su o!eratoria) n/ 8aranti ar 2ue sea el im!lementador 2uien efecte el !asaDe de los obDetos modificados al ambiente o!erati4o" de acuerdo a lo establecido en +$ontrol del ,oftKare %!erati4o-) *n el AneEo al !resente ca!tulo se !resenta un es2uema modelo de segregacin de ambientes de !rocesamiento)
<n canal oculto !uede eE!oner informacin utili ando algunos medios indirectos 1 desconocidos) *l cdigo malicioso estF diseLado !ara afectar a un sistema en forma no autori ada 1 no re2uerida !or el usuario) *n este sentido" se redactarFn normas 1 !rocedimientos 2ue inclu1an5 a/ Ad2uirir !rogramas a !ro4eedores acreditados o !roductos 1a e4aluados) b/ *Eaminar los cdigos fuentes .cuando sea !osible/ antes de utili ar los !rogramas) c/ $ontrolar el acceso 1 las modificaciones al cdigo instalado) d/ <tili ar #erramientas !ara la !roteccin contra la infeccin del softKare con cdigo malicioso)
Ane&o
Para cum!lir con esta Poltica" en lo referente a los !untos +,eguridad de los Arc#i4os del ,istema 1 +,eguridad de los Procesos de Desarrollo 1 ,o!orte-" se sugiere im!lementar un modelo de se!aracin de funciones entre los distintos ambientes in4olucrados) 'oda a!licacin generada en el sector de desarrollo o ad2uirida a un !ro4eedor es" en algn momento" im!lementada en un ambiente de !roduccin) 6os controles de esta transferencia deben ser rigurosos a fin de asegurar 2ue no se instalen !rogramas fraudulentos) *s con4eniente im!lementar algn softKare !ara la administracin de 4ersiones 1 !ara la transmisin de !rogramas entre los ambientes definidos" con un registro asociado !ara su control) A continuacin se !resenta un modelo ideal formado !or tres ambientes 2ue debe ser ada!tado a las caractersticas !ro!ias de cada %rganismo" teniendo en cuenta las ca!acidades instaladas" los recursos 1 el e2ui!amiento eEistente) Ambiente de "esarrollo *s donde se desarrollan los !rogramas fuentes 1 donde se almacena toda la informacin relacionada con el anFlisis 1 diseLo de los sistemas) *l analista o !rogramador .desarrollador/ tiene total dominio sobre el ambiente) Puede recibir algn fuente !ara modificar" 2uedando registrado en el sistema de control de 4ersiones 2ue administra el +administrador de !rogramas fuentes-) *l desarrollador reali a las !ruebas con los datos de la base de desarrollo) $uando considera 2ue el !rograma estF terminado" lo !asa al ambiente de !ruebas Dunto con la documentacin re2uerida 2ue le entregarF al im!lementador de ese ambiente) Ambiente de Pruebas *l im!lementador de este ambiente recibe el !rograma 1 la documentacin res!ecti4a 1 reali a una !rueba general con un lote de datos !ara tal efecto" Dunto con el usuario de ser !osible) *l testeador reali a las !ruebas con los datos de la base de !ruebas) ,i no detectan errores de eDecucin" los resultados de las rutinas de seguridad son correctas de acuerdo a las es!ecificaciones 1 considera 2ue la documentacin !resentada es com!leta" entonces remite el !rograma fuente al im!lementador de !roduccin !or medio del sistema de control de 4ersiones 1 le entrega las instrucciones) $aso contrario" 4uel4e atrFs el ciclo de4ol4iendo el !rograma al desarrollador" Dunto con un detalle de las obser4aciones) Ambiente de Produccin *s donde se eDecutan los sistemas 1 se encuentran los datos !roducti4os) 6os !rogramas fuentes certificados se guardan en un re!ositorio de fuentes de !roduccin" almacenFndolos mediante un sistema de control de 4ersiones 2ue maneDa el +administrador de !rogramas fuentes- 1 donde se deDan los datos del !rogramador 2ue #i o la modificacin" fec#a" #ora 1 tamaLo de los !rogramas fuentes 1 obDetos o eDecutables) *l +im!lementador- com!ila el !rograma fuente dentro del ambiente de !roduccin en el momento de reali ar el !asaDe !ara asegurar de esta forma 2ue #a1 una corres!ondencia biun4oca con el eDecutable en !roduccin 1 luego se elimina" deDFndolo en el re!ositorio !roducti4o de !rogramas fuentes) Deberan a!licarse !rocedimientos de la misma naturale a 1 alcance !ara las modificaciones de cual2uier otro elemento 2ue forme !arte del sistema" !or eDem!lo5 modelo de datos de la base de datos o cambios en los !arFmetros" etc) 6as modificaciones reali adas al softKare de base .,istemas %!erati4os" Motores de bases de datos" Productos middleKare/ deberan cum!lir id0nticos !asos" slo 2ue las im!lementaciones las reali arFn los !ro!ios administradores) $abe aclarar 2ue tanto el !ersonal de desarrollo" como el !ro4eedor de los a!licati4os" no deben tener acceso al ambiente de !roduccin" as como tam!oco a los datos reales !ara la reali acin de las !ruebas en el Ambiente de Prueba) Para casos eEce!cionales" se debe documentar adecuadamente la autori acin" los trabaDos reali ados 1 monitorearlos en todo momento)
Administracin de la $ontinuidad de las Acti4idades del %rganismo
Objetivo
Minimi ar los efectos de las !osibles interru!ciones de las acti4idades normales del %rganismo .sean 0stas resultado de desastres naturales" accidentes" fallas en el e2ui!amiento" acciones deliberadas u otros #ec#os/ 1 !roteger los !rocesos crticos mediante una combinacin de controles !re4enti4os 1 acciones de recu!eracin) Anali ar las consecuencias de la interru!cin del ser4icio 1 tomar las medidas corres!ondientes !ara la !re4encin de #ec#os similares en el futuro) MaEimi ar la efecti4idad de las o!eraciones de contingencia del %rganismo con el establecimiento de !lanes 2ue inclu1an al menos las siguientes eta!as5 a/ Notificacin / Activacin5 $onsistente en la deteccin 1 determinacin del daLo 1 la acti4acin del !lan) b/ Reanudacin5 $onsistente en la restauracin tem!oral de las o!eraciones 1 recu!eracin del daLo !roducido al sistema original) c/ Recuperacin5 $onsistente en la restauracin de las ca!acidades de !roceso del sistema a las condiciones de o!eracin normales) Asegurar la coordinacin con el !ersonal del %rganismo 1 los contactos eEternos 2ue !artici!arFn en las estrategias de !lanificacin de contingencias) Asignar funciones !ara cada acti4idad definida)
Alcance
*sta Poltica se a!lica a todos los !rocesos crticos identificados del %rganismo)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica !artici!arF acti4amente en la definicin" documentacin" !rueba 1 actuali acin de los !lanes de contingencia) 6os Pro!ietarios de la (nformacin .Ver C)1)2) Asignacin de :es!onsabilidades en Materia de ,eguridad de la (nformacin/ 1 el :es!onsable de ,eguridad (nformFtica cum!lirFn las siguientes funciones5
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina J@
- (dentificar las amena as 2ue !uedan ocasionar interru!ciones de los !rocesos 1Bo las acti4idades del %rganismo) - *4aluar los riesgos !ara determinar el im!acto de dic#as interru!ciones) - (dentificar los controles !re4enti4os) - Desarrollar un !lan estrat0gico !ara determinar el enfo2ue global con el 2ue se abordarF la continuidad de las acti4idades del %rganismo) - *laborar los !lanes de contingencia necesarios !ara garanti ar la continuidad de las acti4idades del %rganismo) 6os :es!onsables de Procesos re4isarFn !eridicamente los !lanes baDo su incumbencia" como as tambi0n identificar cambios en las dis!osiciones relati4as a las acti4idades del %rganismo an no refleDadas en los !lanes de continuidad)
6os administradores de cada !lan 4erificarFn el cum!limiento de los !rocedimientos im!lementados !ara lle4ar a cabo las acciones contem!ladas en cada !lan de continuidad) *l $omit0 de ,eguridad de la (nformacin tendrF a cargo la coordinacin del !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de informacin del %rganismo frente a interru!ciones im!re4istas" lo cual inclu1e las siguientes funciones5 - (dentificar 1 !riori ar los !rocesos crticos de las acti4idades del %rganismo) - Asegurar 2ue todos los integrantes del %rganismo com!rendan los riesgos 2ue la misma enfrenta" en t0rminos de !robabilidad de ocurrencia e im!acto de !osibles amena as" as como los efectos 2ue una interru!cin !uede tener en la acti4idad del %rganismo) - *laborar 1 documentar una estrategia de continuidad de las acti4idades del %rganismo consecuente con los obDeti4os 1 !rioridades acordados) - Pro!oner !lanes de continuidad de las acti4idades del %rganismo de conformidad con la estrategia de continuidad acordada) - *stablecer un cronograma de !ruebas !eridicas de cada uno de los !lanes de contingencia" !ro!oniendo una asignacin de funciones !ara su cum!limiento) - $oordinar actuali aciones !eridicas de los !lanes 1 !rocesos im!lementados) - $onsiderar la contratacin de seguros 2ue !odran formar !arte del !roceso de continuidad de las acti4idades del %rganismo) - Pro!oner las modificaciones a los !lanes de contingencia)
Poltica
%%&%& Proceso de la Administracin de la !ontinuidad del Organismo
*l $omit0 de ,eguridad de la (nformacin" serF el res!onsable de la coordinacin del desarrollo de los !rocesos 2ue garanticen la continuidad de las acti4idades del %rganismo) *ste $omit0 tendrF a cargo la coordinacin del !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de informacin del %rganismo frente a interru!ciones im!re4istas" lo cual inclu1e las siguientes funciones5 a/ (dentificar 1 !riori ar los !rocesos crticos de las acti4idades del %rganismo) b/ Asegurar 2ue todos los integrantes del %rganismo com!rendan los riesgos 2ue la misma enfrenta" en t0rminos de !robabilidad de ocurrencia e im!acto de !osibles amena as" as como los efectos 2ue una interru!cin !uede tener en la acti4idad del %rganismo) c/ *laborar 1 documentar una estrategia de continuidad de las acti4idades del %rganismo consecuente con los obDeti4os 1 !rioridades acordados) d/ Pro!oner !lanes de continuidad de las acti4idades del %rganismo de conformidad con la estrategia de continuidad acordada) e/ *stablecer un cronograma de !ruebas !eridicas de cada uno de los !lanes de contingencia" !ro!oniendo una asignacin de funciones !ara su cum!limiento) f/ $oordinar actuali aciones !eridicas de los !lanes 1 !rocesos im!lementados)
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JI
g/ $onsiderar la contratacin de seguros 2ue !odran formar !arte del !roceso de continuidad de las acti4idades del %rganismo) #/ Pro!oner las modificaciones a los !lanes de contingencia)
interru!cin ace!tables o !ermitidos" 1 debe es!ecificar las !rioridades de recu!eracin) (dentificar los controles !re4enti4os" como !or eDem!lo sistemas de su!resin de fuego" detectores de #umo 1 fuego" contenedores resistentes al calor 1 a !rueba de agua !ara los medios de bacSu!" los registros no electrnicos 4itales" etc) *sta acti4idad serF lle4ada a cabo con la acti4a !artici!acin de los !ro!ietarios de los !rocesos 1 recursos de informacin de 2ue se trate 1 el :es!onsable de ,eguridad (nformFtica" considerando todos los !rocesos de las acti4idades del %rganismo 1 no limitFndose a las instalaciones de !rocesamiento de la informacin) ,egn los resultados de la e4aluacin de esta acti4idad" se desarrollarF un !lan estrat0gico !ara determinar el enfo2ue global con el 2ue se abordarF la continuidad de las acti4idades del %rganismo) <na 4e 2ue se #a creado este !lan" el mismo debe ser !ro!uesto !or el $omit0 de ,eguridad de la (nformacin a la mFEima autoridad del %rganismo !ara su a!robacin)
%%&/& Elaboracin e Implementacin de los Planes de !ontinuidad de las Acti-idades del Organismo
6os !ro!ietarios de !rocesos 1 recursos de informacin" con la asistencia del :es!onsable de ,eguridad (nformFtica" elaborarFn los !lanes de contingencia necesarios !ara garanti ar la continuidad de las acti4idades del %rganismo) *stos !rocesos deberFn ser !ro!uestos !or el $omit0 de ,eguridad de la (nformacin *l !roceso de !lanificacin de la continuidad de las acti4idades considerarF los siguientes !untos5 a/ (dentificar 1 acordar res!ecto a todas las funciones 1 !rocedimientos de emergencia) b/ Anali ar los !osibles escenarios de contingencia 1 definir las acciones correcti4as a im!lementar en cada caso) c/ (m!lementar !rocedimientos de emergencia !ara !ermitir la recu!eracin 1 restablecimiento en los !la os re2ueridos) ,e debe dedicar es!ecial atencin a la e4aluacin de las de!endencias de acti4idades eEternas 1 a los contratos 4igentes) d/ Documentar los !rocedimientos 1 !rocesos acordados) e/ (nstruir adecuadamente al !ersonal" en materia de !rocedimientos 1 !rocesos de emergencia acordados" inclu1endo el maneDo de crisis) f/ (nstruir al !ersonal in4olucrado en los !rocedimientos de reanudacin 1 recu!eracin en los siguientes temas5 1) %bDeti4o del !lan) 2) Mecanismos de coordinacin 1 comunicacin entre e2ui!os .!ersonal in4olucrado/) H) Procedimientos de di4ulgacin)
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JJ
C) :e2uisitos de la seguridad) 5) Procesos es!ecficos !ara el !ersonal in4olucrado) @) :es!onsabilidades indi4iduales) g/ Probar 1 actuali ar los !lanes) Asimismo" el !roceso de !lanificacin debe concentrarse en los obDeti4os de las acti4idades del %rganismo re2ueridos" !or eDem!lo" restablecimiento de los ser4icios a los usuarios en un !la o ace!table) Deben considerarse los ser4icios 1 recursos 2ue !ermitirFn 2ue esto ocurra" inclu1endo" dotacin de !ersonal" recursos 2ue no !rocesan informacin" as como acuerdos !ara reanudacin de emergencia en sitios alternati4os de !rocesamiento de la informacin)
*l administrador de cada !lan de continuidad serF el encargado de coordinar las tareas definidas en el mismo) *stas modificaciones deberFn ser !ro!uestas !or el $omit0 de ,eguridad de la (nformacin !ara su a!robacin) *l marco !ara la !lanificacin de la continuidad de las acti4idades del %rganismo" tendrF en cuenta los siguientes !untos5 a/ Pre4er las condiciones de im!lementacin de los !lanes 2ue describan el !roceso a seguir .cmo e4aluar la situacin" 2u0 !ersonas estarFn in4olucradas" etc)/ antes de !oner en marc#a los mismos) b/ Definir los !rocedimientos de emergencia 2ue describan las acciones a em!render una 4e ocurrido un incidente 2ue !onga en !eligro las o!eraciones del %rganismo 1Bo la 4ida #umana) *sto debe incluir dis!osiciones con res!ecto a la gestin de las relaciones !blicas 1 a 4nculos eficaces a establecer con las autoridades !blicas !ertinentes" !or eDem!lo" la !olica" bomberos 1 autoridades locales) c/ :eali ar los !rocedimientos de emergencia 2ue describan las acciones a em!render !ara el traslado de acti4idades esenciales del %rganismo o de ser4icios de so!orte a ubicaciones transitorias alternati4as" 1 !ara el restablecimiento de los !rocesos en los !la os re2ueridos) d/ :edactar los !rocedimientos de recu!eracin 2ue describan las acciones a em!render !ara restablecer las o!eraciones normales del %rganismo) e/ Definir un cronograma de mantenimiento 2ue es!ecifi2ue cmo 1 cuFndo serF !robado el !lan" 1 el !roceso !ara el mantenimiento del mismo) f/ *fectuar acti4idades de concienti acin e instruccin al !ersonal" diseLadas !ara !ro!iciar la com!rensin de los !rocesos de continuidad las acti4idades 1 garanti ar 2ue los !rocesos sigan siendo eficaces) g/ Documentar las res!onsabilidades 1 funciones de las !ersonas" describiendo los res!onsables de la eDecucin de cada uno de los com!onentes del !lan 1 las 4as de contacto !osibles) ,e deben mencionar alternati4as cuando corres!onda) *s de suma im!ortancia definir a un res!onsable de declarar el estado de contingencia" lo cual darF inicio al !lan) 6os administradores de los !lanes de contingencia son5
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JA
Plan de !ontingencia Administrador ))))))))))))))))))))))))))))))))))) ))))))))))))))))))))))))))))))))))) *l cum!limiento de los !rocedimientos im!lementados !ara lle4ar a cabo las acciones contem!ladas en cada !lan de continuidad" deben contarse entre las res!onsabilidades de los administradores de cada !lan) 6as dis!osiciones de emergencia !ara ser4icios t0cnicos alternati4os" como instalaciones de comunicaciones o de !rocesamiento de informacin" normalmente se cuentan entre las res!onsabilidades de los !ro4eedores de ser4icios)
c/ *fectuar !ruebas de recu!eracin t0cnica .garanti ando 2ue los sistemas de informacin !uedan ser restablecidos con eficacia/) d/ :eali ar ensa1os com!letos !robando 2ue el %rganismo" el !ersonal" el e2ui!amiento" las instalaciones 1 los !rocesos !ueden afrontar las interru!ciones) Para las o!eraciones crticas del %rganismo se tomarFn en cuenta" ademFs" los siguientes mecanismos5 a/ *fectuar !ruebas de recu!eracin en un sitio alternati4o .eDecutando los !rocesos de las acti4idades del %rganismo en !aralelo" con o!eraciones de recu!eracin fuera del sitio !rinci!al/) b/ :eali ar !ruebas de instalaciones 1 ser4icios de !ro4eedores .garanti ando 2ue los !roductos 1 ser4icios de !ro4eedores eEternos cum!lan con los com!romisos contrados/) 6os !lanes de continuidad de las acti4idades del %rganismo serFn re4isados 1 actuali ados !eridicamente" !ara garanti ar su eficacia !ermanente) ,e incluirFn !rocedimientos en el !rograma de administracin de cambios del %rganismo !ara garanti ar 2ue se aborden adecuadamente los t!icos de continuidad de las acti4idades) 6a !eriodicidad de re4isin de los !lanes de contingencia es la siguiente5 Plan de !ontingencia Re-isar cada Responsable de Re-isin $ada uno de los :es!onsables de Procesos es el res!onsable de las re4isiones !eridicas de cada uno de los !lanes de continuidad de su incumbencia" como as tambi0n de la
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina A0
identificacin de cambios en las dis!osiciones relati4as a las acti4idades del %rganismo an no refleDadas en dic#os !lanes) DeberF !restarse atencin" es!ecialmente" a los cambios de5 a/ Personal) b/ Direcciones o nmeros telefnicos) c/ *strategia del %rganismo) d/ <bicacin" instalaciones 1 recursos) e/ 6egislacin) f/ $ontratistas" !ro4eedores 1 clientes crticos) g/ Procesos" o !rocesos nue4os B eliminados) #/ 'ecnologas) i/ :e2uisitos o!eracionales) D/ :e2uisitos de seguridad) S/ NardKare" softKare 1 otros e2ui!os .ti!os" es!ecificaciones" 1 cantidad/) l/ :e2uerimientos de los sitios alternati4os) m/ :egistros de datos 4itales) 'odas las modificaciones efectuadas serFn !ro!uestas !or el $omit0 de ,eguridad de la (nformacin !ara su a!robacin !or el su!erior DerFr2uico 2ue corres!onda) Por otra !arte" el resultado de este !roceso serF dado a conocer a fin de 2ue todo el !ersonal in4olucrado tenga conocimiento de los cambios incor!orados)
$um!limiento Poltica Modelo Documento Pblico PFgina A1
Objetivos
$um!lir con las dis!osiciones normati4as 1 contractuales a fin de e4itar sanciones administrati4as al %rganismo 1Bo al em!leado o 2ue incurran en res!onsabilidad ci4il o !enal
como resultado de su incum!limiento) 8aranti ar 2ue los sistemas cum!lan con la !oltica" normas 1 !rocedimientos de seguridad del %rganismo) :e4isar la seguridad de los sistemas de informacin !eridicamente a efectos de garanti ar la adecuada a!licacin de la !oltica" normas 1 !rocedimientos de seguridad" sobre las !lataformas tecnolgicas 1 los sistemas de informacin) %!timi ar la eficacia del !roceso de auditora de sistemas 1 minimi ar los !roblemas 2ue !udiera ocasionar el mismo" o los obstFculos 2ue !udieran afectarlo) 8aranti ar la eEistencia de controles 2ue !roteDan los sistemas en !roduccin 1 las #erramientas de auditora en el transcurso de las auditoras de sistemas) Determinar los !la os !ara el mantenimiento de informacin 1 !ara la recoleccin de e4idencia del %rganismo)
Alcance
*sta Poltica se a!lica a todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista) Asimismo se a!lica a los sistemas de informacin" normas" !rocedimientos" documentacin 1 !lataformas t0cnicas del %rganismo 1 a las auditoras efectuadas sobre los mismos)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica cum!lirF las siguientes funciones5 - Definir normas 1 !rocedimientos !ara garanti ar el cum!limiento de las restricciones legales al uso del material !rotegido !or normas de !ro!iedad intelectual 1 a la conser4acin de registros) - :eali ar re4isiones !eridicas de todas las Freas del %rganismo a efectos de garanti ar el cum!limiento de la !oltica" normas 1 !rocedimientos de seguridad) - Verificar !eridicamente 2ue los sistemas de informacin cum!lan la !oltica" normas 1 !rocedimientos de seguridad establecidos) - 8aranti ar la seguridad 1 el control de las #erramientas utili adas !ara las re4isiones de auditora)
$um!limiento Poltica Modelo Documento Pblico PFgina A2
*l :es!onsable del Mrea 6egal del %rganismo" con la asistencia del :es!onsable de ,eguridad (nformFtica cum!lirFn las siguientes funciones5 - Definir 1 documentar claramente todos los re2uisitos normati4os 1 contractuales !ertinentes !ara cada sistema de informacin) - :edactar un $om!romiso de $onfidencialidad a ser firmado !or todo el !ersonal) 6os :es!onsables de <nidades %rgani ati4as 4elarFn !or la correcta im!lementacin 1 cum!limiento de las normas 1 !rocedimientos de seguridad establecidos en la !resente Poltica" dentro de su Frea de res!onsabilidad) 'odos los em!leados de los mandos medios 1 su!eriores conocerFn" com!renderFn" darFn a conocer" cum!lirFn 1 #arFn cum!lir la !resente Poltica 1 la normati4a 4igente)
Poltica
%)&%& !umplimiento de Re@uisitos 5egales
%)&%&%& Identificacin de la 5egislacin Aplicable
,e definirFn 1 documentarFn claramente todos los re2uisitos normati4os 1 contractuales !ertinentes !ara cada sistema de informacin) Del mismo modo se definirFn 1 documentarFn los controles es!ecficos 1 las res!onsabilidades 1 funciones indi4iduales !ara cum!lir con dic#os re2uisitos)
deri4ar en demandas !enales) ,e deberFn tener !resentes las siguientes normas5 Ley de Propiedad Intelectual N 11.723 5 Protege los derec#os de autor de las obras cientficas" literarias 1 artsticas" inclu1endo los !rogramas de com!utacin fuente 1 obDetoO las com!ilaciones de datos o de otros materiales) Ley de Marca N 22.3!25 Protege la !ro!iedad de una marca 1 la eEclusi4idad de su uso) Ley de Patente de Invencin y Modelo de "tilidad N 2#.#$1 5 Protege el derec#o del titular de la !atente de in4encin a im!edir 2ue terceros utilicen su !roducto o !rocedimiento)
6os !roductos de softKare se suministran normalmente baDo acuerdos de licencia 2ue suelen limitar el uso de los !roductos al e2ui!amiento es!ecfico 1 su co!ia a la creacin de co!ias de resguardo solamente) *l :es!onsable de ,eguridad (nformFtica" con la asistencia del Mrea 6egal" anali arF los t0rminos 1 condiciones de la licencia" e im!lementarF los siguientes controles5 a/ Definir normas 1 !rocedimientos !ara el cum!limiento del derec#o de !ro!iedad intelectual de softKare 2ue defina el uso legal de !roductos de informacin 1 de softKare) b/ Di4ulgar las !olticas de ad2uisicin de softKare 1 las dis!osiciones de la 6e1 de Pro!iedad (ntelectual" 1 notificar la determinacin de tomar acciones disci!linarias contra el !ersonal 2ue las infrinDa) c/ Mantener un adecuado registro de acti4os) d/ $onser4ar !ruebas 1 e4idencias de !ro!iedad de licencias" discos maestros" manuales" etc) e/ (m!lementar controles !ara e4itar el eEceso del nmero mFEimo !ermitido de usuarios) f/ Verificar 2ue slo se instalen !roductos con licencia 1 softKare autori ado) g/ *laborar 1 di4ulgar un !rocedimiento !ara el mantenimiento de condiciones adecuadas con res!ecto a las licencias) #/ *laborar 1 di4ulgar un !rocedimiento relati4o a la eliminacin o transferencia de softKare a terceros) i/ <tili ar #erramientas de auditora adecuadas) D/ $um!lir con los t0rminos 1 condiciones establecidos !ara obtener softKare e informacin en redes !blicas)
.Ver 10)H) $ontroles $ri!togrFficos/) ,e debe considerar la !osibilidad de degradacin de los medios utili ados !ara el almacenamiento de los registros) 6os !rocedimientos de almacenamiento 1 mani!ulacin se im!lementarFn de acuerdo con las recomendaciones del fabricante).Ver 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)/ ,i se seleccionan medios de almacenamiento electrnicos" se incluirFn los !rocedimientos !ara garanti ar la ca!acidad de acceso a los datos .tanto legibilidad de formato como medios/ durante todo el !erodo de retencin" a fin de sal4aguardar los mismos contra e4entuales !0rdidas ocasionadas !or futuros cambios tecnolgicos)
$um!limiento Poltica Modelo Documento Pblico PFgina AC
6os sistemas de almacenamiento de datos serFn seleccionados de modo tal 2ue los datos re2ueridos !uedan recu!erarse de una manera 2ue resulte ace!table !ara un tribunal de Dusticia" !or eDem!lo 2ue todos los registros re2ueridos !uedan recu!erarse en un !la o 1 un formato ace!table) *l sistema de almacenamiento 1 mani!ulacin garanti arF una clara identificacin de los registros 1 de su !erodo de retencin legal o normati4a) Asimismo" se !ermitirF una adecuada destruccin de los registros una 4e transcurrido dic#o !erodo" si 1a no resultan necesarios !ara el %rganismo) A fin de cum!lir con estas obligaciones" se tomarFn las siguientes medidas5 a/ *laborar 1 di4ulgar los lineamientos !ara la retencin" almacenamiento" mani!ulacin 1 eliminacin de registros e informacin) b/ Pre!arar un cronograma de retencin identificando los ti!os esenciales de registros 1 el !erodo durante el cual deben ser retenidos) c/ Mantener un in4entario de !rogramas fuentes de informacin cla4e) d/ (m!lementar adecuados controles !ara !roteger la informacin 1 los registros esenciales contra !0rdida" destruccin 1 falsificacin) *n !articular" se deberFn tener !resente las siguientes normas5 %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 *stablece 2ue las !ersonas 2ue se desem!eLen en la funcin !blica deben !roteger 1 conser4ar la !ro!iedad del *stado 1 slo em!lear sus bienes con los fines autori ados) ,di-o de %tica de la (uncin P)*lica5 Dis!one 2ue el funcionario !blico debe !roteger 1 conser4ar los bienes del *stado 1 utili ar los 2ue le fueran asignados !ara el desem!eLo de sus funciones de manera racional" e4itando su abuso" derroc#e o desa!ro4ec#amiento) ,di-o Penal Art. 2++5 ,anciona a 2uien sustraDere" ocultare" destru1ere o inutili are obDetos destinados a ser4ir de !rueba ante la autoridad com!etente" registros o documentos confiados a la custodia de un funcionario o de otra !ersona en el inter0s del ser4icio !blico) ,i el cul!able fuere el mismo de!ositario" sufrirF ademFs in#abilitacin es!ecial !or doble tiem!o) Ley N 2#.!2#. Art.culo 3/5 Autori a el arc#i4o 1 la conser4acin en so!orte electrnico u !tico indeleble de la documentacin financiera" de !ersonal 1 de control de la Administracin Pblica &acional 1 otorga 4alor Durdico 1 !robatorio a la documentacin eEistente 2ue se incor!ore al Arc#i4o 8eneral de la Administracin" mediante la utili acin de tecnologa 2ue garantice la estabilidad" !erdurabilidad" inmutabilidad e inalterabilidad del so!orte de guarda fsico de la mencionada documentacin) 0eci in Ad1ini trativa #3/2!5 :eglamenta el Art) H0 de la 6e1 2C)@2C) Determina su Fmbito de a!licacin" define conce!tos 1 !recisa los re2uisitos de carFcter general" los relacionados con los documentos en !articular 1 con el so!orte a utili ar en la redaccin" !roduccin o re!roduccin de a2uellos) Ley de Propiedad Intelectual N 11.723 5 Protege los derec#os de autor de las obras cientficas" literarias 1 artsticas" inclu1endo las com!ilaciones de datos o de otros materiales) Ley N 2+.+/!5 *stablece 2ue la eEigencia legal de conser4ar documentos" registros o datos" tambi0n 2ueda satisfec#a con la conser4acin de los corres!ondientes documentos digitales firmados digitalmente" segn los !rocedimientos 2ue determine la reglamentacin" siem!re 2ue sean accesibles !ara su !osterior consulta 1 !ermitan determinar
*l %rganismo redactarF un +$om!romiso de $onfidencialidad-" el cual deberF ser suscrito !or todos los em!leados) 6a co!ia firmada del com!romiso serF retenida en forma segura !or el %rganismo) Mediante este instrumento el em!leado se com!rometerF a utili ar la informacin solamente !ara el uso es!ecfico al 2ue se #a destinado 1 a no comunicar" diseminar o de alguna otra forma #acer !blica la informacin a ninguna !ersona" firma" com!aLa o tercera !ersona" sal4o autori acin !re4ia 1 escrita del :es!onsable del Acti4o de 2ue se trate) A tra40s del +$om!romiso de $onfidencialidad- se deberF ad4ertir al em!leado 2ue determinadas acti4idades !ueden ser obDeto de control 1 monitoreo) *stas acti4idades deben ser detalladas a fin de no 4iolar el derec#o a la !ri4acidad del em!leado .Ver @) ,eguridad del Personal/) *n !articular" se deberFn tener !resente las siguientes normas5 Ley Marco de Re-ulacin de &1pleo P)*lico Nacional. Ley 2+.1!# 5 *stablece 2ue los 7uncionarios Pblicos deben obser4ar el deber de fidelidad 2ue se deri4e de la ndole de las tareas 2ue le fueron asignadas 1 guardar la discrecin corres!ondiente o la reser4a absoluta" en su caso" de todo asunto del ser4icio 2ue as lo re2uiera) ,onvenio ,olectivo de 3ra*a'o 4eneral5 Dis!one 2ue todos los agentes deben obser4ar el deber de fidelidad 2ue se deri4e de la ndole de las tareas 2ue le fueran asignadas 1 guardar la discrecin corres!ondiente" con res!ecto a todos los #ec#os e informaciones de los cuales tenga conocimiento en el eDercicio o con moti4o del eDercicio de sus funciones) %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 %bliga a todas las !ersonas 2ue se desem!eLen en la funcin !blica a abstenerse de utili ar informacin ad2uirida en el cum!limiento de sus funciones !ara reali ar acti4idades no relacionadas con sus tareas oficiales o de !ermitir su uso en beneficio de intereses !ri4ados) ,di-o de %tica de la (uncin P)*lica5 *stablece 2ue el funcionario !blico debe abstenerse de difundir toda informacin 2ue #ubiera sido calificada como reser4ada o secreta conforme a las dis!osiciones 4igentes" ni la debe utili ar" en beneficio !ro!io o de terceros o !ara fines aDenos al ser4icio" informacin de la 2ue tenga conocimiento con moti4o o en ocasin del eDercicio de sus funciones 1 2ue no est0 destinada al !blico en general) Proteccin de 0ato Per onale . Ley 2+.32! 5 *stablece res!onsabilidades !ara a2uellas !ersonas 2ue reco!ilan" !rocesan 1 di4ulgan informacin !ersonal 1 define criterios !ara !rocesar datos !ersonales o cederlos a terceros) ,onfidencialidad. Ley N 2#.7!!5 (m!ide la di4ulgacin a terceros" o su utili acin sin !re4io consentimiento 1 de manera contraria a los usos comerciales #onestos" de informacin secreta 1 con 4alor comercial 2ue #a1a sido obDeto de medidas ra onables !ara mantenerla secreta) ,di-o Penal5 ,anciona a a2uel 2ue teniendo noticias de un secreto cu1a di4ulgacin !ueda causar daLo" lo re4elare sin Dusta causa .Art) 15@/" al funcionario !blico 2ue re4elare #ec#os" actuaciones o documentos 2ue !or la le1 deben 2uedar secretos .Art) 15I/" al 2ue re4elare secretos !olticos o militares concernientes a la seguridad" a los medios de defensa o a las relaciones eEteriores de la &acin" o al 2ue !or im!rudencia o negligencia diere a conocer los secretos mencionados anteriormente" de los 2ue se #allare en !osesin en 4irtud de su em!leo u oficio .Art) 222 1 22H/) Asimismo" deberF considerarse lo establecido en el Decreto 11I2B0H" 2ue regula el acceso a la informacin !blica !or !arte de los ciudadanos)
destino !or el cual fueron !ro4istos debe ser considerada como uso indebido)
$um!limiento Poltica Modelo Documento Pblico PFgina A@
'odos los em!leados deben conocer el alcance !reciso del uso adecuado de los recursos informFticos 1 deben res!etarlo) *n !articular" se debe res!etar lo dis!uesto !or las siguientes normas5 Ley Marco de Re-ulacin de &1pleo P)*lico Nacional. Ley 2+.1!# 5 Pro#be #acer uso indebido o con fines !articulares del !atrimonio estatal) ,onvenio ,olectivo de 3ra*a'o 4eneral5 %bliga a los agentes a no #acer uso indebido o con fines !articulares del !atrimonio estatal) %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 %bliga a las !ersonas 2ue se desem!eLen en la funcin !blica a !roteger 1 conser4ar la !ro!iedad del *stado 1 slo em!lear sus bienes con los fines autori ados) ,di-o de %tica de la (uncin P)*lica5 %bliga al funcionario !blico a !roteger 1 conser4ar los bienes del *stado 1 utili ar los 2ue le fueran asignados !ara el desem!eLo de sus funciones de manera racional" e4itando su abuso" derroc#e o desa!ro4ec#amiento)
$uando se detecta un incidente" !uede no resultar ob4io si 0ste deri4arF en una demanda legal !or lo tanto se deben tomar todos los recaudos establecidos !ara la obtencin 1 !reser4acin de la e4idencia) ,e deberF tener !resente lo dis!uesto !or el :eglamento de (n4estigaciones Administrati4as" !rocedimiento administrati4o es!ecial" de naturale a correcti4a interna 2ue constitu1e garanta suficiente !ara la !roteccin de los derec#os 1 correcto eDercicio de las res!onsabilidades im!uestas a los agentes !blicos) *ste Decreto debe ser com!lementado !or lo dis!uesto en la 6e1 &W 1A)5CA .6e1 de Procedimientos Administrati4os/ 1 !or toda otra normati4a a!licable"
incluido el $digo Penal" el 2ue sanciona a 2uien sustraDere" ocultare" destru1ere o inutili are obDetos destinados a ser4ir de !rueba ante la autoridad com!etente .Art) 255/)
d/ (dentificar claramente los recursos de tecnologas de informacin .'(/ !ara lle4ar a cabo las 4erificaciones" los cuales serFn !uestos a dis!osicin de los auditores) A tal efecto" la <nidad de Auditora o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin com!letarF el siguiente formulario" el cual deberF ser !uesto en conocimiento de las Freas in4olucradas5 Recursos de TI a utili8ar en la 9erificacin ,istemas de informacin )))))))))))))))))))))))))))))))))))))) =ase de datos )))))))))))))))))))))))))))))))))))))) NardKare )))))))))))))))))))))))))))))))))))))) ,oftKare de Auditora )))))))))))))))))))))))))))))))))))))) Medios Magn0ticos )))))))))))))))))))))))))))))))))))))) Personal de Auditora )))))))))))))))))))))))))))))))))))))) (nterlocutores de las Mreas de (nformFtica )))))))))))))))))))))))))))))))))))))) (nterlocutores de las Mreas <suarias )))))))))))))))))))))))))))))))))))))) $oneEiones a :ed )))))))))))))))))))))))))))))))))))))) )))))))))))))))))))))))) )))))))))))))))))))))))))))))))))))))) e/ (dentificar 1 acordar los re2uerimientos de !rocesamiento es!ecial o adicional) f/ Monitorear 1 registrar todos los accesos" a fin de generar una !ista de referencia) 6os datos a resguardar deben incluir como mnimo5 7ec#a 1 #ora) Puesto de trabaDo) <suario) 'i!o de acceso) (dentificacin de los datos accedidos) *stado !re4io 1 !osterior)
$um!limiento Poltica Modelo Documento Pblico PFgina AA Programa 1Bo funcin utili ada)