Política Modelo Documento Público

Poltica Modelo Documento Pblico
Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional

Versin 1 Julio-2005
Poltica Modelo Documento Pblico
A fin de garanti ar la autora e integridad del !resente documento" se lo #a firmado utili ando un certificado digital emitido !or la Autoridad $ertificante de la %ficina &acional de 'ecnologas de (nformacin)
TERMINOS
!ON"I!IONES "E #SO
*l uso de este +Modelo de Poltica de ,eguridad de la (nformacin !ara %rganismos del ,ector Pblico &acional- .en adelante +Poltica Modelo-/ se rige !or los t0rminos 1 condiciones 2ue a continuacin se mencionan) 3uien acceda a esta +Poltica Modelo- conoce" entiende 1 ace!ta los t0rminos relati4os a su utili acin 1 2ue a continuacin se detallan5 6a !resente +Poltica Modelo- fue a!robada !or la %7($(&A &A$(%&A6 D* '*$&%6%89A, D* (&7%:MA$(;& .%&'(/ de la ,<=,*$:*'A:9A D* 8*,'(;& P>=6($A de la J*7A'<:A D* 8A=(&*'*, D* M(&(,':%," en 4irtud de las facultades conferidas !or la Decisin Administrati4a &? @@AB200C 1 !or la :esolucin ,8P &? C5B2005" con el obDeto de facilitar a los %rganismos de la Administracin Pblica &acional la redaccin o bien adecuacin de su !ro!ia Poltica de ,eguridad de la (nformacin) *l teEto de la +Poltica Modelo- fue redactado !or la %&'( con la asistencia de es!ecialistas en seguridad de la informacin del ,ector Pblico 1 sometido a re4isin de otras Freas de com!etencia de organismos !blicos) 6a +Poltica Modelo- es clasificada !or la %&'( como documento +Pblico-) 6as Administraciones Pro4inciales 1 Munici!ales 1 otros Poderes del *stado !odrFn ad#erir a la +Poltica ModeloG" ace!tando los mismos t0rminos 1 condiciones 2ue rigen la !resente en sus res!ecti4as Durisdicciones) 3ueda eE!resamente !ro#ibido su uso !ara fines comerciales) 6as !ersonas autori adas !ara usar la +Poltica Modelo- la !ueden co!iar" modificar 1 re!roducir nicamente !ara a2uellos fines a los cuales estF destinada) 6a +Poltica Modelo- de ninguna manera sustitu1e o modifica la normati4a 4igente a!licable a cada organismo) 6a %&'(" conforme lo dis!uesto !or la :esolucin &? C5B2005 de la ,<=,*$:*'A:9A D* 8*,'(;& P>=6($A de la J*7A'<:A D* 8A=(&*'*, D* M(&(,':%," estF facultada !ara dictar las normas aclaratorias 1 com!lementarias 2ue re2uiera la a!licacin de la Decisin Administrati4a &? @@AB200C)
9ndice Poltica Modelo Documento Pblico PFgina H
$ndice
%& INTRO"#!!I'N&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (
%&%& Alcance&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (
)& T*RMINOS
"E+INI!IONES&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,
)&%& Seguridad de la Informacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& , )&)& E-aluacin de Riesgos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&/& Administracin de Riesgos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&0& !omit1 de Seguridad de la Informacin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&2& Responsable de Seguridad Inform3tica&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %. )&4& Incidente de Seguridad&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %.
/& PO5$TI!A "E SE6#RI"A" "E 5A IN+ORMA!I'N &&&&&&&&&&&&&&&&&&&&&&&&&&& %%

/&%& Aspectos 6enerales&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %/ /&)& Sanciones Pre-istas por Incumplimiento&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %0
0& OR6ANI7A!I'N "E 5A SE6#RI"A" &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %2

0&%& Infraestructura de la Seguridad de la Informacin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %4 C)1)1) $omit0 de ,eguridad de la (nformacin )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 1@ C)1)2) Asignacin de :es!onsabilidades en Materia de ,eguridad de la (nformacin ))) 1I C)1)H) Proceso de Autori acin !ara (nstalaciones de Procesamiento de (nformacin )) 1J C)1)C) Asesoramiento *s!eciali ado en Materia de ,eguridad de la (nformacin)))))))))) 1J C)1)5) $oo!eracin entre %rganismos))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 1J C)1)@) :e4isin (nde!endiente de la ,eguridad de la (nformacin)))))))))))))))))))))))))))))))))) 1A 0&)& Seguridad +rente al Acceso por Parte de Terceros &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %, C)2)1) (dentificacin de :iesgos del Acceso de 'erceras Partes )))))))))))))))))))))))))))))))))))) 1A C)2)2) :e2uerimientos de ,eguridad en $ontratos o Acuerdos con 'erceros)))))))))))))))) 1A 0&/& Terceri8acin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ). C)H)1) :e2uerimientos de ,eguridad en $ontratos de 'erceri acin ))))))))))))))))))))))))))))) 20
2& !5ASI+I!A!I'N
!ONTRO5 "E A!TI9OS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ))
2&%& In-entario de acti-os&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )/ 2&)& !lasificacin de la informacin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )/ 2&/& Rotulado de la Informacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )0
4& SE6#RI"A" "E5 PERSONA5&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )4

9ndice Poltica Modelo Documento Pblico PFgina C
4&%& Seguridad en la "efinicin de Puestos de Traba:o ; la Asignacin de Recursos )< @)1)1) (ncor!oracin de la ,eguridad en los Puestos de 'rabaDo)))))))))))))))))))))))))))))))))))) 2I @)1)2) $ontrol 1 Poltica del Personal )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2I @)1)H) $om!romiso de $onfidencialidad)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2I @)1)C) '0rminos 1 $ondiciones de *m!leo)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2J 4&)& !apacitacin del #suario &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )( @)2)1) 7ormacin 1 $a!acitacin en Materia de ,eguridad de la (nformacin)))))))))))))))) 2J 4&/& Respuesta a Incidentes ; Anomalas en Materia de Seguridad &&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ), @)H)1) $omunicacin de (ncidentes :elati4os a la ,eguridad ))))))))))))))))))))))))))))))))))))))))) 2A @)H)2) $omunicacin de Debilidades en Materia de ,eguridad )))))))))))))))))))))))))))))))))))))) 2A @)H)H) $omunicacin de Anomalas del ,oftKare)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2A @)H)C) A!rendiendo de los (ncidentes )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 2A @)H)5) Procesos Disci!linarios ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) H0
<& SE6#RI"A" +$SI!A
AM=IENTA5&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /%
<&%& Permetro de Seguridad +sica &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /) <&)& !ontroles de Acceso +sico &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& // <&/& Proteccin de Oficinas> Recintos e Instalaciones &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& // <&0& "esarrollo de Tareas en ?reas Protegidas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /0 <&2& Aislamiento de las ?reas de Recepcin ; "istribucin &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /2 <&4& #bicacin ; Proteccin del E@uipamiento ; !opias de Seguridad &&&&&&&&&&&&&&&&&&&&&&&& /2 <&<& Suministros de Energa &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /4 <&(& Seguridad del !ableado &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /4 <&,& Mantenimiento de E@uipos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%.& Seguridad de los E@uipos +uera de las Instalaciones&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%%& "esafectacin o Reutili8acin Segura de los E@uipos& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%)& Polticas de Escritorios ; Pantallas 5impias&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /< <&%/& Retiro de los =ienes &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& /(
(& 6ESTI'N "E !OM#NI!A!IONES
OPERA!IONES &&&&&&&&&&&&&&&&&&&&&&& 0.
(&%& Procedimientos ; Responsabilidades Operati-as&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0% J)1)1) Documentacin de los Procedimientos %!erati4os))))))))))))))))))))))))))))))))))))))))))))))) C1 J)1)2) $ontrol de $ambios en las %!eraciones))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C2 J)1)H) Procedimientos de ManeDo de (ncidentes ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C2
J)1)C) ,e!aracin de 7unciones)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CH J)1)5) ,e!aracin entre (nstalaciones de Desarrollo e (nstalaciones %!erati4as ))))))))))) CC J)1)@) 8estin de (nstalaciones *Eternas )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CC (&)& Planificacin ; Aprobacin de Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 02 J)2)1) Planificacin de la $a!acidad ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5 J)2)2) A!robacin del ,istema))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5
9ndice Poltica Modelo Documento Pblico PFgina 5
(&/& Proteccin !ontra SoftAare Malicioso &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 02 J)H)1) $ontroles $ontra ,oftKare Malicioso )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C5 (&0& Mantenimiento &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 04 J)C)1) :esguardo de la (nformacin )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) C@ J)C)2) :egistro de Acti4idades del Personal %!erati4o ))))))))))))))))))))))))))))))))))))))))))))))))))) CI J)C)H) :egistro de 7allas)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CI (&2& Administracin de la Red &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0< J)5)1) $ontroles de :edes))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CI (&4& Administracin ; Seguridad de los Medios de Almacenamiento &&&&&&&&&&&&&&&&&&&&&&&&&&& 0( J)@)1) Administracin de Medios (nformFticos :emo4ibles))))))))))))))))))))))))))))))))))))))))))))) CJ J)@)2) *liminacin de Medios de (nformacin)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) CJ J)@)H) Procedimientos de ManeDo de la (nformacin ))))))))))))))))))))))))))))))))))))))))))))))))))))))) CA J)@)C) ,eguridad de la Documentacin del ,istema ))))))))))))))))))))))))))))))))))))))))))))))))))))))) CA (&<& Intercambios de Informacin ; SoftAare&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 0, J)I)1) Acuerdos de (ntercambio de (nformacin 1 ,oftKare)))))))))))))))))))))))))))))))))))))))))))) CA J)I)2) ,eguridad de los Medios en 'rFnsito )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 50 J)I)H) ,eguridad del 8obierno *lectrnico)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 50 J)I)C) ,eguridad del $orreo *lectrnico)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)C)1) :iesgos de ,eguridad))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)C)2) Poltica de $orreo *lectrnico))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 51 J)I)5) ,eguridad de los ,istemas *lectrnicos de %ficina)))))))))))))))))))))))))))))))))))))))))))))) 52 J)I)@) ,istemas de Acceso Pblico ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 52 J)I)I) %tras 7ormas de (ntercambio de (nformacin))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5H
,& !ONTRO5 "E A!!ESOS &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 20

,&%& Re@uerimientos para el !ontrol de Acceso&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 24 A)1)1) Poltica de $ontrol de Accesos)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5@ A)1)2) :eglas de $ontrol de Acceso)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5@ ,&)& Administracin de Accesos de #suarios &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 2< A)2)1) :egistracin de <suarios )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5I A)2)2) Administracin de Pri4ilegios))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5I A)2)H) Administracin de $ontraseLas de <suario )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5J A)2)C) Administracin de $ontraseLas $rticas ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5J A)2)5) :e4isin de Derec#os de Acceso de <suarios ))))))))))))))))))))))))))))))))))))))))))))))))))))) 5A ,&/& Responsabilidades del #suario&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 2, A)H)1) <so de $ontraseLas)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 5A A)H)2) *2ui!os Desatendidos en Mreas de <suarios))))))))))))))))))))))))))))))))))))))))))))))))))))))) @0 ,&0& !ontrol de Acceso a la Red&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 4. A)C)1) Poltica de <tili acin de los ,er4icios de :ed ))))))))))))))))))))))))))))))))))))))))))))))))))))) @0 A)C)2) $amino 7or ado )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @1 A)C)H) Autenticacin de <suarios !ara $oneEiones *Eternas ))))))))))))))))))))))))))))))))))))))))) @1 A)C)C) Autenticacin de &odos))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @2 A)C)5) Proteccin de los Puertos .Ports/ de Diagnstico :emoto ))))))))))))))))))))))))))))))))))) @2 A)C)@) ,ubdi4isin de :edes)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @2 A)C)I) Acceso a (nternet))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @H A)C)J) $ontrol de $oneEin a la :ed ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @H A)C)A) $ontrol de :uteo de :ed))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @H A)C)10) ,eguridad de los ,er4icios de :ed ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @H ,&2& !ontrol de Acceso al Sistema Operati-o&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 40
A)5)1) (dentificacin AutomFtica de 'erminales))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @C

9ndice Poltica Modelo Documento Pblico PFgina @
A)5)2) Procedimientos de $oneEin de 'erminales))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @C A)5)H) (dentificacin 1 Autenticacin de los <suarios )))))))))))))))))))))))))))))))))))))))))))))))))))))) @5 A)5)C) ,istema de Administracin de $ontraseLas ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @5 A)5)5) <so de <tilitarios de ,istema )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @@ A)5)@) Alarmas ,ilenciosas !ara la Proteccin de los <suarios )))))))))))))))))))))))))))))))))))))) @@ A)5)I) DesconeEin de 'erminales !or 'iem!o Muerto )))))))))))))))))))))))))))))))))))))))))))))))))) @@ A)5)J) 6imitacin del Norario de $oneEin))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @@ ,&4& !ontrol de Acceso a las Aplicaciones &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 4< A)@)1) :estriccin del Acceso a la (nformacin)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @I A)@)2) Aislamiento de los ,istemas ,ensibles ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @I ,&<& Monitoreo del Acceso ; #so de los Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 4( A)I)1) :egistro de *4entos )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2) Monitoreo del <so de los ,istemas))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2)1) Procedimientos 1 Mreas de :iesgo ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @J A)I)2)2) 7actores de :iesgo ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @A A)I)2)H) :egistro 1 :e4isin de *4entos )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @A A)I)H) ,incroni acin de :eloDes ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I0 ,&(& !omputacin M-il ; Traba:o Remoto&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <. A)J)1) $om!utacin M4il )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I0 A)J)2) 'rabaDo :emoto))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I1
%.& "ESARRO55O
MANTENIMIENTO "E SISTEMAS&&&&&&&&&&&&&&&&&&&&&&&&&& </
%.&%& Re@uerimientos de Seguridad de los Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <0 10)1)1) AnFlisis 1 *s!ecificaciones de los :e2uerimientos de ,eguridad )))))))))))))))))))))))) IC %.&)& Seguridad en los Sistemas de Aplicacin&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <0 10)2)1) Validacin de Datos de *ntrada )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I5 10)2)2) $ontroles de Procesamiento (nterno ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I5 10)2)H) Autenticacin de MensaDes)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I@ 10)2)C) Validacin de Datos de ,alidas))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) I@ %.&/& !ontroles !riptogr3ficos&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <4 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)))))))))))))))))))))))))))))))))))))))))))))))) I@ 10)H)2) $ifrado ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) II 10)H)H) 7irma Digital))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) II 10)H)C) ,er4icios de &o :e!udio ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5) Administracin de $la4es )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5)1) Proteccin de $la4es $ri!togrFficas ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ 10)H)5)2) &ormas" Procedimientos 1 M0todos ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IJ %.&0& Seguridad de los ArcBi-os del Sistema &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& <, 10)C)1) $ontrol del ,oftKare %!erati4o ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) IA 10)C)2) Proteccin de los Datos de Prueba del ,istema))))))))))))))))))))))))))))))))))))))))))))))))))) J0 10)C)H) $ontrol de $ambios a Datos %!erati4os))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J0 10)C)C) $ontrol de Acceso a las =ibliotecas de Programas 7uentes )))))))))))))))))))))))))))))))) J0 %.&2& Seguridad de los Procesos de "esarrollo ; Soporte&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (% 10)5)1) Procedimiento de $ontrol de $ambios)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J1 10)5)2) :e4isin '0cnica de los $ambios en el ,istema %!erati4o)))))))))))))))))))))))))))))))))) J2 10)5)H) :estriccin del $ambio de Pa2uetes de ,oftKare )))))))))))))))))))))))))))))))))))))))))))))))) J2 10)5)C) $anales %cultos 1 $digo Malicioso))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) J2 10)5)5) Desarrollo *Eterno de ,oftKare))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) JH
9ndice Poltica Modelo Documento Pblico PFgina I
%%& A"MINISTRA!I'N "E 5A !ONTIN#I"A" "E 5AS A!TI9I"A"ES "E5 OR6ANISMO&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (2

%%&%& Proceso de la Administracin de la !ontinuidad del Organismo&&&&&&&&&&&&&&&&&&&&&&& (4 %%&)& !ontinuidad de las Acti-idades ; An3lisis de los Impactos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (<
%%&/& Elaboracin e Implementacin de los Planes de !ontinuidad de las Acti-idades del Organismo &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (< %%&0& Marco para la Planificacin de la !ontinuidad de las Acti-idades del Organismo&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (( %%&2& Ensa;o> Mantenimiento ; Ree-aluacin de los Planes de !ontinuidad del Organismo&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (,
%)& !#MP5IMIENTO&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,%
%)&%& !umplimiento de Re@uisitos 5egales&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,) 12)1)1) (dentificacin de la 6egislacin A!licable )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)2) Derec#os de Pro!iedad (ntelectual ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)2)1) Derec#o de Pro!iedad (ntelectual del ,oftKare)))))))))))))))))))))))))))))))))))))))))))))))) A2 12)1)H) Proteccin de los :egistros del %rganismo )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AH 12)1)C) Proteccin de Datos 1 Pri4acidad de la (nformacin Personal ))))))))))))))))))))))))))))) AC 12)1)5) Pre4encin del <so (nadecuado de los :ecursos de Procesamiento de (nformacin))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A5 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa))))))))))))))))))))))))))))))))))))))))))) A@ 12)1)I) :ecoleccin de *4idencia ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) A@ %)&)& Re-isiones de la Poltica de Seguridad ; la !ompatibilidad T1cnica &&&&&&&&&&&&&&&& ,< 12)2)1) $um!limiento de la Poltica de ,eguridad )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AI 12)2)2) Verificacin de la $om!atibilidad '0cnica))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AI %)&/& !onsideraciones de Auditoras de Sistemas&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,( 12)H)1) $ontroles de Auditora de ,istemas)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) AJ 12)H)2) Proteccin de los *lementos <tili ados !or la Auditora de ,istemas)))))))))))))))))) AA %)&0& Sanciones Pre-istas por Incumplimiento &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ,,
(ntroduccin Poltica Modelo Documento Pblico PFgina J
%& Introduccin
*n se!tiembre de 200H" la %ficina &acional de 'ecnologas de (nformacin .%&'(/ con4oc a es!ecialistas en seguridad informFtica de di4ersos %rganismos !blicos" con el fin de conocer sus o!iniones res!ecto a una estrategia de seguridad informFtica !ara el ,ector Pblico &acional) De estas reuniones surgi la necesidad de 2ue todos los %rganismos del ,ector Pblico &acional cuenten con una Poltica de ,eguridad de la (nformacin" im!lementada 1 documentada) *n consecuencia" se conform un gru!o de trabaDo con el obDeto de formular un modelo de Poltica de ,eguridad de la (nformacin 2ue sir4iera de !unto de !artida !ara la elaboracin de las !olticas corres!ondientes en cada %rganismo) Dic#o gru!o de trabaDo decidi basar el modelo en la norma (,%B(:AM 1IIAA" como un marco de referencia !ara la gestin de la seguridad de la informacin en una entidad) *l modelo fue sometido a la consideracin de los %rganismos de la Administracin Pblica 1 de las Autoridades &acionales !ara su a!robacin) $abe aclarar 2ue no se busca" ni se re2uiere con ello la certificacin en la norma (,%B(:AM 1IIAA !or !arte de los %rganismos 2ue desarrollen e im!lementen su !oltica basada en el !resente modelo) *l !resente modelo !odrF sufrir modificaciones futuras" de acuerdo a las no4edades 2ue se registren en la materia 2ue trata" las cuales serFn debidamente a!robadas 1 comunicadas)
%&%& Alcance
6a !resente Poltica de ,eguridad de la (nformacin se dicta en cum!limiento de las dis!osiciones legales 4igentes" con el obDeto de gestionar adecuadamente la seguridad de la informacin" los sistemas informFticos 1 el ambiente tecnolgico del %rganismo) Debe ser conocida 1 cum!lida !or toda la !lanta de !ersonal del %rganismo" tanto se trate de funcionarios !olticos como t0cnicos" 1 sea cual fuere su ni4el DerFr2uico 1 su situacin de re4ista)
'0rminos 1 Definiciones Poltica Modelo Documento Pblico PFgina A
)& T1rminos ; "efiniciones

A los efectos de este documento se a!lican las siguientes definiciones5
)&%& Seguridad de la Informacin

6a seguridad de la informacin se entiende como la !reser4acin de las siguientes caractersticas5 !onfidencialidad5 se garanti a 2ue la informacin sea accesible slo a a2uellas !ersonas autori adas a tener acceso a la misma) Integridad5 se sal4aguarda la eEactitud 1 totalidad de la informacin 1 los m0todos de !rocesamiento) "isponibilidad5 se garanti a 2ue los usuarios autori ados tengan acceso a la informacin 1 a los recursos relacionados con la misma" toda 4e 2ue lo re2uieran) Adicionalmente" deberFn considerarse los conce!tos de5 Autenticidad5 busca asegurar la 4alide de la informacin en tiem!o" forma 1 distribucin) Asimismo" se garanti a el origen de la informacin" 4alidando el emisor !ara e4itar su!lantacin de identidades) Auditabilidad5 define 2ue todos los e4entos de un sistema deben !oder ser registrados !ara su control !osterior) Proteccin a la duplicacin5 consiste en asegurar 2ue una transaccin slo se reali a una 4e " a menos 2ue se es!ecifi2ue lo contrario) (m!edir 2ue se grabe una transaccin !ara luego re!roducirla" con el obDeto de simular mlti!les !eticiones del mismo remitente original) No repudio5 se refiere a e4itar 2ue una entidad 2ue #a1a en4iado o recibido informacin alegue ante terceros 2ue no la en4i o recibi) 5egalidad5 referido al cum!limiento de las le1es" normas" reglamentaciones o dis!osiciones a las 2ue estF suDeto el %rganismo) !onfiabilidad de la Informacin5 es decir" 2ue la informacin generada sea adecuada !ara sustentar la toma de decisiones 1 la eDecucin de las misiones 1 funciones) A los efectos de una correcta inter!retacin de la !resente Poltica" se reali an las siguientes definiciones5 Informacin5 ,e refiere a toda comunicacin o re!resentacin de conocimiento como datos" en cual2uier forma" con inclusin de formas teEtuales" num0ricas" grFficas" cartogrFficas" narrati4as o audio4isuales" 1 en cual2uier medio" 1a sea magn0tico" en !a!el" en !antallas de com!utadoras" audio4isual u otro) Sistema de Informacin5 ,e refiere a un conDunto inde!endiente de recursos de informacin organi ados !ara la reco!ilacin" !rocesamiento" mantenimiento" transmisin 1 difusin de informacin segn determinados !rocedimientos" tanto automati ados como manuales) Tecnologa de la Informacin5 ,e refiere al #ardKare 1 softKare o!erados !or el %rganismo o !or un tercero 2ue !rocese informacin en su nombre" !ara lle4ar a cabo
'0rminos 1 Definiciones Poltica Modelo Documento Pblico PFgina 10
una funcin !ro!ia del %rganismo" sin tener en cuenta la tecnologa utili ada" 1a se trate de com!utacin de datos" telecomunicaciones u otro ti!o)
)&)& E-aluacin de Riesgos

,e entiende !or e4aluacin de riesgos a la e4aluacin de las amena as 1 4ulnerabilidades relati4as a la informacin 1 a las instalaciones de !rocesamiento de la misma" la !robabilidad de 2ue ocurran 1 su !otencial im!acto en la o!eratoria del %rganismo)
)&/& Administracin de Riesgos

,e entiende !or administracin de riesgos al !roceso de identificacin" control 1 minimi acin o eliminacin" a un costo ace!table" de los riesgos de seguridad 2ue !odran afectar a la informacin) Dic#o !roceso es cclico 1 debe lle4arse a cabo en forma !eridica)
)&0& !omit1 de Seguridad de la Informacin

*l $omit0 de ,eguridad de la (nformacin" es un cuer!o integrado !or re!resentantes de todas las Freas sustanti4as del %rganismo" destinado a garanti ar el a!o1o manifiesto de las autoridades a las iniciati4as de seguridad)
)&2& Responsable de Seguridad Inform3tica
*s la !ersona 2ue cum!le la funcin de su!er4isar el cum!limiento de la !resente Poltica 1 de asesorar en materia de seguridad de la informacin a los integrantes del %rganismo 2ue as lo re2uieran)
)&4& Incidente de Seguridad

<n incidente de seguridad es un e4ento ad4erso en un sistema de com!utadoras" o red de com!utadoras" 2ue com!romete la confidencialidad" integridad o dis!onibilidad" la legalidad 1 confiabilidad de la informacin) Puede ser causado mediante la eE!lotacin de alguna 4ulnerabilidad o un intento o amena a de rom!er los mecanismos de seguridad eEistentes)
Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 11
/& Poltica de Seguridad de la Informacin

Generalidades
6a informacin es un recurso 2ue" como el resto de los acti4os" tiene 4alor !ara el %rganismo 1 !or consiguiente debe ser debidamente !rotegida) 6as Polticas de ,eguridad de la (nformacin !rotegen a la misma de una am!lia gama de amena as" a fin de garanti ar la continuidad de los sistemas de informacin" minimi ar los riesgos de daLo 1 asegurar el eficiente cum!limiento de los obDeti4os del %rganismo) *s im!ortante 2ue los !rinci!ios de la Poltica de ,eguridad sean !arte de la cultura organi acional) Para esto" se debe asegurar un com!romiso manifiesto de las mFEimas Autoridades del %rganismo 1 de los titulares de <nidades %rgani ati4as !ara la difusin" consolidacin 1 cum!limiento de la !resente Poltica)
Objetivo
Proteger los recursos de informacin del %rganismo 1 la tecnologa utili ada !ara su !rocesamiento" frente a amena as" internas o eEternas" deliberadas o accidentales" con el fin de asegurar el cum!limiento de la confidencialidad" integridad" dis!onibilidad" legalidad 1 confiabilidad de la informacin) Asegurar la im!lementacin de las medidas de seguridad com!rendidas en esta Poltica" identificando los recursos 1 las !artidas !resu!uestarias corres!ondientes" sin 2ue ello im!li2ue necesariamente la asignacin de !artidas adicionales) Mantener la Poltica de ,eguridad del %rganismo actuali ada" a efectos de asegurar su 4igencia 1 ni4el de eficacia)
Alcance
*sta Poltica se a!lica en todo el Fmbito del %rganismo" a sus recursos 1 a la totalidad de los !rocesos" 1a sean internos o eEternos 4inculados a la entidad a tra40s de contratos o acuerdos con terceros)
Responsabilidad
'odos los Directores &acionales o 8enerales" 8erentes o e2ui4alentes" titulares de <nidades %rgani ati4as" tanto se trate de autoridades !olticas o !ersonal t0cnico 1 sea cual fuere su ni4el DerFr2uico son res!onsables de la im!lementacin de esta Poltica de ,eguridad de la (nformacin dentro de sus Freas de res!onsabilidad" as como del cum!limiento de dic#a Poltica !or !arte de su e2ui!o de trabaDo) 6a Poltica de ,eguridad de la (nformacin es de a!licacin obligatoria !ara todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista" el Frea a la cual se encuentre afectado 1 cual2uiera sea el ni4el de las tareas 2ue desem!eLe) 6as mFEimas autoridades del %rganismo a!rueban esta Poltica 1 son res!onsables de la autori acin de sus modificaciones) *l !omit1 de Seguridad de la Informacin del %rganismo" !rocederF a re4isar 1 !ro!oner a la mFEima autoridad del %rganismo !ara su a!robacin la Poltica de ,eguridad de la (nformacin 1 las funciones generales en materia de seguridad de la informacinO monitorear cambios significati4os en los riesgos 2ue afectan a los recursos de informacin frente a las
Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 12
amena as mFs im!ortantesO tomar conocimiento 1 su!er4isar la in4estigacin 1 monitoreo de
los incidentes relati4os a la seguridadO a!robar las !rinci!ales iniciati4as !ara incrementar la seguridad de la informacin " de acuerdo a las com!etencias 1 res!onsabilidades asignadas a cada Frea1" as como acordar 1 a!robar metodologas 1 !rocesos es!ecficos relati4os a seguridad de la informacinO garanti ar 2ue la seguridad sea !arte del !roceso de !lanificacin de la informacinO e4aluar 1 coordinar la im!lementacin de controles es!ecficos de seguridad de la informacin !ara nue4os sistemas o ser4iciosO !romo4er la difusin 1 a!o1o a la seguridad de la informacin dentro del %rganismo 1 coordinar el !roceso de administracin de la continuidad de las acti4idades del %rganismo) *l !oordinador del !omit1 de Seguridad de la Informacin serF el res!onsable de coordinar las acciones del $omit0 de ,eguridad de la (nformacin 1 de im!ulsar la im!lementacin 1 cum!limiento de la !resente Poltica) *l Responsable de Seguridad Inform3tica cum!lirF funciones relati4as a la seguridad de los sistemas de informacin del %rganismo" lo cual inclu1e la su!er4isin de todos los as!ectos in#erentes a los temas tratados en la !resente Poltica) 6os Propietarios de la Informacin ) son res!onsables de clasificarla de acuerdo con el grado de sensibilidad 1 criticidad de la misma" de documentar 1 mantener actuali ada la clasificacin efectuada" 1 de definir 2u0 usuarios deberFn tener !ermisos de acceso a la informacin de acuerdo a sus funciones 1 com!etencia) *l Responsable del ?rea de Recursos Cumanos o 2ui0n desem!eLe esas funciones" cum!lirF la funcin de notificar a todo el !ersonal 2ue ingresa de sus obligaciones res!ecto del cum!limiento de la Poltica de ,eguridad de la (nformacin 1 de todas las normas" !rocedimientos 1 !rFcticas 2ue de ella surDan) Asimismo" tendrF a su cargo la notificacin de la !resente Poltica a todo el !ersonal" de los cambios 2ue en ella se !rodu can" la im!lementacin de la suscri!cin de los $om!romisos de $onfidencialidad .entre otros/ 1 las tareas de ca!acitacin continua en materia de seguridad) *l Responsable del ?rea Inform3tica cum!lirF la funcin de cubrir los re2uerimientos de seguridad informFtica establecidos !ara la o!eracin" administracin 1 comunicacin de los sistemas 1 recursos de tecnologa del %rganismo) Por otra !arte tendrF la funcin de efectuar las tareas de desarrollo 1 mantenimiento de sistemas" siguiendo una metodologa de ciclo de 4ida de sistemas a!ro!iada" 1 2ue contem!le la inclusin de medidas de seguridad en los sistemas en todas las fases) *l Responsable del ?rea 5egal 4erificarF el cum!limiento de la !resente Poltica en la gestin de todos los contratos" acuerdos u otra documentacin del %rganismo con sus em!leados 1 con terceros) Asimismo" asesorarF en materia legal al %rganismo" en lo 2ue se refiere a la seguridad de la informacin) 6os usuarios de la informacin ; de los sistemas utili ados !ara su !rocesamiento son res!onsables de conocer" dar a conocer" cum!lir 1 #acer cum!lir la Poltica de ,eguridad de la (nformacin 4igente) 6a #nidad de Auditora Interna" o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin es res!onsable de !racticar auditoras !eridicas sobre los sistemas 1 acti4idades 4inculadas con la tecnologa de informacin" debiendo informar sobre el cum!limiento de las es!ecificaciones 1 medidas de seguridad de la informacin establecidas !or esta Poltica 1 !or las normas" !rocedimientos 1 !rFcticas 2ue de ella surDan .Ver 12) $um!limiento/)
1 ,e refiere a dar curso a las !ro!uestas !resentadas !or !arte de las Freas de acuerdo a sus com!etencias" ele4Fndolas a la mFEima autoridad" a tra40s del $omit0 de ,eguridad" con relacin a la seguridad de la informacin del %rganismo) Dic#as iniciati4as deberFn ser a!robadas luego !or la mFEima autoridad del %rganismo) 2 *l conce!to +Pro!ietario de la (nformacin- debe ser entendido desde su ace!cin t0cnica" no Durdica) Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 1H
Poltica /&%& Aspectos 6enerales

*sta Poltica se conforma de una serie de !autas sobre as!ectos es!ecficos de la ,eguridad de la (nformacin" 2ue inclu1en los siguientes t!icos5 Organi8acin de la Seguridad
%rientado a administrar la seguridad de la informacin dentro del %rganismo 1 establecer un marco gerencial !ara controlar su im!lementacin) !lasificacin ; !ontrol de Acti-os Destinado a mantener una adecuada !roteccin de los acti4os del %rganismo) Seguridad del Personal %rientado a reducir los riesgos de error #umano" comisin de ilcitos contra el %rganismo o uso inadecuado de instalaciones) Seguridad +sica ; Ambiental Destinado a im!edir accesos no autori ados" daLos e interferencia a las sedes e informacin del %rganismo) 6estin de las !omunicaciones ; las Operaciones Dirigido a garanti ar el funcionamiento correcto 1 seguro de las instalaciones de !rocesamiento de la informacin 1 medios de comunicacin) !ontrol de Acceso %rientado a controlar el acceso lgico a la informacin) "esarrollo ; Mantenimiento de los Sistemas %rientado a garanti ar la incor!oracin de medidas de seguridad en los sistemas de informacin desde su desarrollo 1Bo im!lementacin 1 durante su mantenimiento) Administracin de la !ontinuidad de las Acti-idades del Organismo %rientado a contrarrestar las interru!ciones de las acti4idades 1 !roteger los !rocesos crticos de los efectos de fallas significati4as o desastres) !umplimiento Destinado a im!edir infracciones 1 4iolaciones de las le1es del derec#o ci4il 1 !enalO de las obligaciones establecidas !or le1es" estatutos" normas" reglamentos o contratosO 1 de los re2uisitos de seguridad) A fin de asegurar la im!lementacin de las medidas de seguridad com!rendidas en esta Poltica" el %rganismo identificarF los recursos necesarios e indicarF formalmente las !artidas !resu!uestarias corres!ondientes" como aneEo a la !resente Poltica) 6o eE!resado anteriormente no im!licarF necesariamente la asignacin de !artidas !resu!uestarias adicionales) *l $omit0 de ,eguridad de la (nformacin re4isarF )))))))))))))))))))))))) .indicar !eriodicidad no ma1or a un aLo/ la !resente Poltica" a efectos de mantenerla actuali ada) Asimismo efectuarF toda modificacin 2ue sea necesaria en funcin a !osibles cambios 2ue !uedan afectar su definicin" como ser" cambios tecnolgicos" 4ariacin de los costos de los controles" im!acto de los incidentes de seguridad" etc)
Poltica de ,eguridad de la (nformacin Poltica Modelo Documento Pblico PFgina 1C
/&)& Sanciones Pre-istas por Incumplimiento

*l incum!limiento de la Poltica de ,eguridad de la (nformacin tendrF como resultado la a!licacin de di4ersas sanciones" conforme a la magnitud 1 caracterstica del as!ecto no cum!lido .Ver 12)C) ,anciones Pre4istas !or (ncum!limiento/)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 15
0& Organi8acin de la Seguridad

Generalidades
6a !resente Poltica de ,eguridad establece la administracin de la seguridad de la informacin" como !arte fundamental de los obDeti4os 1 acti4idades del %rganismo) Por ello" se definirF formalmente un Fmbito de gestin !ara efectuar tareas tales como la a!robacin de la Poltica" la coordinacin de su im!lementacin 1 la asignacin de funciones 1 res!onsabilidades) Asimismo" se contem!larF la necesidad de dis!oner de fuentes con conocimiento 1 eE!erimentadas !ara el asesoramiento" coo!eracin 1 colaboracin en materia de seguridad de la informacin) Por otro lado debe tenerse en cuenta 2ue ciertas acti4idades del %rganismo !ueden re2uerir 2ue terceros accedan a informacin interna" o bien !uede ser necesaria la terceri acin de
ciertas funciones relacionadas con el !rocesamiento de la informacin) *n estos casos se considerarF 2ue la informacin !uede !onerse en riesgo si el acceso de dic#os terceros se !roduce en el marco de una inadecuada administracin de la seguridad" !or lo 2ue se establecerFn las medidas adecuadas !ara la !roteccin de la informacin)
Objetivo
Administrar la seguridad de la informacin dentro del %rganismo 1 establecer un marco gerencial !ara iniciar 1 controlar su im!lementacin" as como !ara la distribucin de funciones 1 res!onsabilidades) 7omentar la consulta 1 coo!eracin con %rganismos es!eciali ados !ara la obtencin de asesora en materia de seguridad de la informacin) 8aranti ar la a!licacin de medidas de seguridad adecuadas en los accesos de terceros a la informacin del %rganismo)
Alcance
*sta Poltica se a!lica a todos los recursos del %rganismo 1 a todas sus relaciones con terceros 2ue im!li2uen el acceso a sus datos" recursos 1Bo a la administracin 1 control de sus sistemas de informacin)
Responsabilidad
*l $oordinador del $omit0 de ,eguridad de la (nformacin serF el res!onsable de im!ulsar la im!lementacin de la !resente Poltica) *l $omit0 de ,eguridad de la (nformacin tendrF a cargo el mantenimiento 1 la !resentacin !ara la a!robacin de la !resente Poltica" ante la mFEima autoridad del organismo" el seguimiento de acuerdo a las incumbencias !ro!ias de cada Frea de las acti4idades relati4as a la seguridad de la informacin .anFlisis de riesgos" monitoreo de incidentes" su!er4isin de la in4estigacin" im!lementacin de controles" administracin de la continuidad" im!ulsin de !rocesos de concienti acin" etc)/ 1 la !ro!osicin de asignacin de funciones) *l :es!onsable de ,eguridad (nformFtica asistirF al !ersonal del %rganismo en materia de seguridad de la informacin 1 coordinarF la interaccin con %rganismos es!eciali ados) Asimismo" Dunto con los !ro!ietarios de la informacin" anali arF el riesgo de los accesos de
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1@
terceros a la informacin del %rganismo 1 4erificarF la a!licacin de las medidas de seguridad necesarias !ara la !roteccin de la misma) 6os :es!onsables de las <nidades %rgani ati4as cum!lirFn la funcin de autori ar la incor!oracin de nue4os recursos de !rocesamiento de informacin a las Freas de su incumbencia) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin serF res!onsable de reali ar re4isiones inde!endientes sobre la 4igencia 1 el cum!limiento de la !resente Poltica) *l :es!onsable del Mrea de Administracin cum!lirF la funcin de incluir en los contratos con !ro4eedores de ser4icios de tecnologa 1 cual2uier otro !ro4eedor de bienes o ser4icios cu1a acti4idad afecte directa o indirectamente a los acti4os de informacin" la obligatoriedad del cum!limiento de la Poltica de ,eguridad de la (nformacin 1 de todas las normas" !rocedimientos 1 !rFcticas relacionadas) *l :es!onsable del Mrea 6egal !artici!arF en dic#a tarea) Asimismo" notificarF a los !ro4eedores sobre las modificaciones 2ue se efecten a la Poltica de ,eguridad de la (nformacin del %rganismo)
Poltica 0&%& Infraestructura de la Seguridad de la Informacin

0&%&%& !omit1 de Seguridad de la Informacin
6a seguridad de la informacin es una res!onsabilidad del %rganismo com!artida !or todas las Autoridades !olticas 1 Directores &acionales o 8enerales" 8erentes o e2ui4alentes" !or lo cual se crea el $omit0 de ,eguridad de la (nformacin" integrado !or re!resentantes de todos los Directores mencionados" destinado a garanti ar el a!o1o manifiesto de las autoridades a las iniciati4as de seguridad) *l mismo contarF con un $oordinador" 2uien cum!lirF la funcin de
im!ulsar la im!lementacin de la !resente Poltica) $onformacin del $omit0 de ,eguridad de la (nformacin ?rea D "ireccin Representante *ste $omit0 tendrF entre sus funciones5 :e4isar 1 !ro!oner a la mFEima autoridad del %rganismo !ara su a!robacin" la Poltica 1 las funciones generales en materia de seguridad de la informacin) Monitorear cambios significati4os en los riesgos 2ue afectan a los recursos de informacin frente a las amena as mFs im!ortantes) 'omar conocimiento 1 su!er4isar la in4estigacin 1 monitoreo de los incidentes relati4os a la seguridad) A!robar las !rinci!ales iniciati4as !ara incrementar la seguridad de la informacin" de acuerdo a las com!etencias 1 res!onsabilidades asignadas a cada Frea H)
3 ,e refiere a dar curso a las !ro!uestas !resentadas !or !arte de las Freas de acuerdo a sus com!etencias" ele4Fndolas a la mFEima autoridad" a tra40s del $omit0 de ,eguridad" con relacin a la seguridad de la informacin del %rganismo) Dic#as iniciati4as deberFn ser a!robadas luego !or la mFEima autoridad del %rganismo) %rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1I Acordar 1 a!robar metodologas 1 !rocesos es!ecficos relati4os a la seguridad de la
informacin) 8aranti ar 2ue la seguridad sea !arte del !roceso de !lanificacin de la informacin) *4aluar 1 coordinar la im!lementacin de controles es!ecficos de seguridad de la informacin !ara nue4os sistemas o ser4icios) Promo4er la difusin 1 a!o1o a la seguridad de la informacin dentro del %rganismo) $oordinar el !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de la informacin del %rganismo frente a interru!ciones im!re4istas) *l ))))))))))))))))))))))) .,ubsecretario de $oordinacin o e2ui4alente en cada Frea ministerial o ,ecretara de la Presidencia de la &acin o el funcionario designado !or las mFEimas autoridades en cada %rganismo descentrali ado P (ndicar cargo/ coordinarF las acti4idades del $omit0 de ,eguridad de la (nformacin)
0&%&)& Asignacin de Responsabilidades en Materia de Seguridad de la Informacin

*l QQQQQQQQQQQQQQQQQQQQQQQQQQQQQ)) .indicar la mFEima autoridad del %rganismo/" asigna las funciones relati4as a la ,eguridad (nformFtica del %rganismo a ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))).indicar cargo/" en adelante el +:es!onsable de ,eguridad (nformFtica-" 2uien tendrF a cargo las funciones relati4as a la seguridad de los sistemas de informacin del %rganismo" lo cual inclu1e la su!er4isin de todos los as!ectos in#erentes a seguridad informFtica tratados en la !resente Poltica) *l $omit0 de ,eguridad de la (nformacin !ro!ondrF a la autoridad 2ue corres!onda !ara su a!robacin la definicin 1 asignacin de las res!onsabilidades 2ue surDan del !resente Modelo) A continuacin se detallan los !rocesos de seguridad" indicFndose en cada caso elBlos res!onsableBs del cum!limiento de los as!ectos de esta Poltica a!licables a cada caso5 Proceso Responsable ,eguridad del Personal )))))))))))))))) ,eguridad 7sica 1 Ambiental )))))))))))))))) ,eguridad en las $omunicaciones 1 las %!eraciones )))))))))))))))) $ontrol de Accesos )))))))))))))))) ,eguridad en el Desarrollo 1 Mantenimiento de ,istemas )))))))))))))))) Planificacin de la $ontinuidad %!erati4a )))))))))))))))) ))))))))))) )))))))))))))))) De igual forma" seguidamente se detallan los !ro!ietarios de la informacin" 2uienes serFn los :es!onsables de las <nidades %rgani ati4as a cargo del maneDo de la misma5
Informacin Propietario Recursos asociados Procesos in-olucrados Administrador $ontable ))))))))))))))))) ,istemas de informacin" e2ui!amiento" bases de datos" comunicaciones" ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) Presu!uesto ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) ))))))))))))))))) (n4entario ))))))))))))))) )))))))))))))))
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1J
$abe aclarar 2ue" si bien los !ro!ietarios !ueden delegar la administracin de sus funciones a !ersonal idneo a su cargo" conser4arFn la res!onsabilidad del cum!limiento de las mismas) 6a delegacin de la administracin !or !arte de los !ro!ietarios de la informacin serF documentada !or los mismos 1 !ro!orcionada al :es!onsable de ,eguridad (nformFtica)
0&%&/& Proceso de Autori8acin para Instalaciones de Procesamiento de Informacin

6os nue4os recursos de !rocesamiento de informacin serFn autori ados !or los :es!onsables de las <nidades %rgani ati4as in4olucradas" considerando su !ro!sito 1 uso" conDuntamente con el :es!onsable de ,eguridad (nformFtica" a fin de garanti ar 2ue se cum!lan todas las Polticas 1 re2uerimientos de seguridad !ertinentes) $uando corres!onda" se 4erificarF el #ardKare 1 softKare !ara garanti ar su com!atibilidad con los com!onentes de otros sistemas del %rganismo) *l uso de recursos !ersonales de !rocesamiento de informacin en el lugar de trabaDo !uede ocasionar nue4as 4ulnerabilidades) *n consecuencia" su uso serF e4aluado en cada caso !or el :es!onsable de ,eguridad (nformFtica 1 deberF ser autori ado !or el :es!onsable del Mrea (nformFtica 1 !or el Director &acional .8eneral" 8erente o e2ui4alente en el %rganismo/ res!onsable del Frea al 2ue se destinen los recursos)
0&%&0& Asesoramiento Especiali8ado en Materia de Seguridad de la Informacin

*l :es!onsable de ,eguridad (nformFtica serF el encargado de coordinar los conocimientos 1 las eE!eriencias dis!onibles en el %rganismo a fin de brindar a1uda en la toma de decisiones en materia de seguridad) Rste !odrF obtener asesoramiento de otros %rganismos .Ver C)1)5) $oo!eracin entre %rganismos/) $on el obDeto de o!timi ar su gestin" se #abilitarF al :es!onsable de ,eguridad (nformFtica el contacto con las <nidades %rgani ati4as de todas las Mreas del %rganismo)
0&%&2& !ooperacin entre Organismos

A efectos de intercambiar eE!eriencias 1 obtener asesoramiento !ara el meDoramiento de las !rFcticas 1 controles de seguridad" se mantendrFn contactos con los siguientes %rganismos es!eciali ados en temas relati4os a la seguridad informFtica5 Oficina Nacional de Tecnologas de Informacin EONTIF> ; particularmente conG - ArCERT Coordinacin de Emergencias en Redes Teleinformticas Ar$*:' es una unidad de res!uesta ante incidentes en redes" 2ue centrali a 1 coordina los esfuer os !ara el maneDo de los incidentes de seguridad 2ue afecten a los recursos informFticos de la Administracin Pblica &acional .AP&/" es decir" cual2uier ata2ue o intento de !enetracin a tra40s de sus redes de informacin) - !nfraestr"ct"ra de #irma $igital% si f"era el caso =rinda ser4icios de emisin de $ertificados digitales !ara agentes 1 funcionarios !blicos" asesoramiento sobre tecnologas relacionadas con la 7irma Digital 1 ca!acitacin) "ireccin Nacional de Proteccin de "atos Personales&
*n los intercambios de informacin de seguridad" no se di4ulgarF informacin confidencial !erteneciente al %rganismo a !ersonas no autori adas)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 1A
*l intercambio de informacin confidencial !ara fines de asesoramiento o de transmisin de eE!eriencias" slo se !ermite cuando se #a1a firmado un $om!romiso de $onfidencialidad !re4io o con a2uellas %rgani aciones es!eciali adas en temas relati4os a la seguridad informFtica cu1o !ersonal estF obligado a mantener la confidencialidad de los temas 2ue trata)
0&%&4& Re-isin Independiente de la Seguridad de la Informacin

6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin reali arF re4isiones inde!endientes sobre la 4igencia e im!lementacin de la Poltica de ,eguridad de la (nformacin" a efectos de garanti ar 2ue las !rFcticas del %rganismo refleDan adecuadamente sus dis!osiciones)
0&)& Seguridad +rente al Acceso por Parte de Terceros

0&)&%& Identificacin de Riesgos del Acceso de Terceras Partes
$uando eEista la necesidad de otorgar acceso a terceras !artes a informacin del %rganismo" el :es!onsable de ,eguridad (nformFtica 1 el Pro!ietario de la (nformacin de 2ue se trate" lle4arFn a cabo 1 documentarFn una e4aluacin de riesgos !ara identificar los re2uerimientos de controles es!ecficos" teniendo en cuenta" entre otros as!ectos5 *l ti!o de acceso re2uerido .fsicoBlgico 1 a 2u0 recurso/) 6os moti4os !ara los cuales se solicita el acceso) *l 4alor de la informacin) 6os controles em!leados !or la tercera !arte) 6a incidencia de este acceso en la seguridad de la informacin del %rganismo) *n todos los contratos cu1o obDeto sea la !restacin de ser4icios a ttulo !ersonal baDo cual2uier modalidad Durdica 2ue deban desarrollarse dentro del %rganismo" se establecerFn los controles" re2uerimientos de seguridad 1 com!romisos de confidencialidad a!licables al caso" restringiendo al mnimo necesario" los !ermisos a otorgar) ,e cita a modo de eDem!lo5 a/ Personal de mantenimiento 1 so!orte de #ardKare 1 softKare) b/ 6im!ie a" GcateringG" guardia de seguridad 1 otros ser4icios de so!orte terceri ados) c/ Pasantas 1 otras designaciones de corto !la o) d/ $onsultores) *n ningn caso se otorgarF acceso a terceros a la informacin" a las instalaciones de !rocesamiento u otras Freas de ser4icios crticos" #asta tanto se #a1an im!lementado los controles a!ro!iados 1 se #a1a firmado un contrato o acuerdo 2ue defina las condiciones !ara la coneEin o el acceso)
0&)&)& Re@uerimientos de Seguridad en !ontratos o Acuerdos con Terceros

,e re4isarFn los contratos o acuerdos eEistentes o 2ue se efecten con terceros" teniendo en cuenta la necesidad de a!licar los siguientes controles5 a/ $um!limiento de la Poltica de seguridad de la informacin del %rganismo) b/ Proteccin de los acti4os del %rganismo" inclu1endo5 Procedimientos !ara !roteger los bienes del %rganismo" abarcando los acti4os fsicos" la informacin 1 el softKare)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 20 Procedimientos !ara determinar si #a
ocurrido algn e4ento 2ue com!rometa los bienes" !or eDem!lo" debido a !0rdida o modificacin de datos) $ontroles !ara garanti ar la recu!eracin o destruccin de la informacin 1 los acti4os al finali ar el contrato o acuerdo" o en un momento con4enido durante la 4igencia del mismo) :estricciones a la co!ia 1 di4ulgacin de informacin) c/ Descri!cin de los ser4icios dis!onibles) d/ &i4el de ser4icio es!erado 1 ni4eles de ser4icio ace!tables)
e/ Permiso !ara la transferencia de !ersonal cuando sea necesario) f/ %bligaciones de las !artes emanadas del acuerdo 1 res!onsabilidades legales) g/ *Eistencia de Derec#os de Pro!iedad (ntelectual) #/ Definiciones relacionadas con la !roteccin de datos) i/ Acuerdos de control de accesos 2ue contem!len5 M0todos de acceso !ermitidos" 1 el control 1 uso de identificadores nicos como identificadores de usuario 1 contraseLas de usuarios) Proceso de autori acin de accesos 1 !ri4ilegios de usuarios) :e2uerimiento !ara mantener actuali ada una lista de indi4iduos autori ados a utili ar los ser4icios 2ue #an de im!lementarse 1 sus derec#os 1 !ri4ilegios con res!ecto a dic#o uso) D/ Definicin de criterios de desem!eLo com!robables" de monitoreo 1 de !resentacin de informes) S/ Ad2uisicin de derec#o a auditar res!onsabilidades contractuales o surgidas del acuerdo) l/ *stablecimiento de un !roceso !ara la resolucin de !roblemas 1 en caso de corres!onder dis!osiciones con relacin a situaciones de contingencia) m/ :es!onsabilidades relati4as a la instalacin 1 al mantenimiento de #ardKare 1 softKare) n/ *structura de de!endencia 1 del !roceso de elaboracin 1 !resentacin de informes 2ue contem!le un acuerdo con res!ecto a los formatos de los mismos) o/ Proceso claro 1 detallado de administracin de cambios) !/ $ontroles de !roteccin fsica re2ueridos 1 los mecanismos 2ue aseguren la im!lementacin de los mismos) 2/ M0todos 1 !rocedimientos de entrenamiento de usuarios 1 administradores en materia de seguridad) r/ $ontroles 2ue garanticen la !roteccin contra softKare malicioso) s/ *laboracin 1 !resentacin de informes" notificacin e in4estigacin de incidentes 1 4iolaciones relati4os a la seguridad) t/ :elacin entre !ro4eedores 1 subcontratistas)
0&/& Terceri8acin
0&/&%& Re@uerimientos de Seguridad en !ontratos de Terceri8acin
6os contratos o acuerdos de terceri acin total o !arcial !ara la administracin 1 control de sistemas de informacin" redes 1Bo ambientes de P$ del %rganismo" contem!larFn ademFs de los !untos es!ecificados en .+:e2uerimientos de ,eguridad en $ontratos o Acuerdos con 'erceros-" los siguientes as!ectos5 a/ 7orma en 2ue se cum!lirFn los re2uisitos legales a!licables) b/ Medios !ara garanti ar 2ue todas las !artes in4olucradas en la terceri acin" inclu1endo los subcontratistas" estFn al corriente de sus res!onsabilidades en materia de seguridad) c/ 7orma en 2ue se mantendrF 1 com!robarF la integridad 1 confidencialidad de los acti4os del %rganismo) d/ $ontroles fsicos 1 lgicos 2ue se utili arFn !ara restringir 1 delimitar el acceso a la informacin sensible del %rganismo)
%rgani acin de la ,eguridad Poltica Modelo Documento Pblico PFgina 21
e/ 7orma en 2ue se mantendrF la dis!onibilidad de los ser4icios ante la ocurrencia de desastres) f/ &i4eles de seguridad fsica 2ue se asignarFn al e2ui!amiento terceri ado) g/ Derec#o a la auditora !or !arte del %rganismo sobre los as!ectos terceri ados en forma directa o a tra40s de la contratacin de ser4icios ad #oc) ,e debe !re4er la factibilidad de am!liar los re2uerimientos 1 !rocedimientos de seguridad con el acuerdo de las !artes)
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 22
2& !lasificacin ; !ontrol de Acti-os Generalidades

*l %rganismo debe tener un acabado conocimiento sobre los acti4os 2ue !osee como !arte im!ortante de la administracin de riesgos) Algunos eDem!los de acti4os son5 :ecursos de informacin5 bases de datos 1 arc#i4os" documentacin de sistemas" manuales de usuario" material de ca!acitacin" !rocedimientos o!erati4os o de so!orte" !lanes de continuidad" informacin arc#i4ada" etc) :ecursos de softKare5 softKare de a!licaciones" sistemas o!erati4os" #erramientas de desarrollo" utilitarios" etc) Acti4os fsicos5 e2ui!amiento informFtico .!rocesadores" monitores" com!utadoras !ortFtiles" mdems/" e2ui!os de comunicaciones .routers" PA=Ts" mF2uinas de faE" contestadores automFticos/" medios magn0ticos .cintas" discos/" otros e2ui!os t0cnicos .relacionados con el suministro el0ctrico" unidades de aire acondicionado/" mobiliario" lugares de em!la amiento" etc) ,er4icios5 ser4icios informFticos 1 de comunicaciones" utilitarios generales .calefaccin" iluminacin" energa el0ctrica" etc)/) 6os acti4os de informacin deben ser clasificados de acuerdo a la sensibilidad 1 criticidad de la informacin 2ue contienen o bien de acuerdo a la funcionalidad 2ue cum!len 1 rotulados en funcin a ello" con el obDeto de seLalar cmo #a de ser tratada 1 !rotegida dic#a informacin) 7recuentemente" la informacin deDa de ser sensible o crtica des!u0s de un cierto !erodo de tiem!o" !or eDem!lo" cuando la informacin se #a #ec#o !blica) *stos as!ectos deben tenerse en cuenta" !uesto 2ue la clasificacin !or eEceso !uede traducirse en gastos adicionales innecesarios !ara el %rganismo) 6as !autas de clasificacin deben !re4er 1 contem!lar el #ec#o de 2ue la clasificacin de un tem de informacin determinado no necesariamente debe mantenerse in4ariable !or siem!re" 1 2ue 0sta !uede cambiar de acuerdo con una Poltica !redeterminada) ,e debe considerar la cantidad de categoras a definir !ara la clasificacin dado 2ue los es2uemas demasiado com!leDos !ueden tornarse engorrosos 1 antieconmicos o resultar !oco !rFcticos) 6a informacin ado!ta muc#as formas" tanto en los sistemas informFticos como fuera de ellos) Puede ser almacenada .en dic#os sistemas o en medios !ortFtiles/" transmitida .a tra40s de redes o entre sistemas/ e im!resa o escrita en !a!el) $ada una de estas formas debe contem!lar todas las medidas necesarias !ara asegurar la confidencialidad" integridad 1 dis!onibilidad de la informacin) Por ltimo" la informacin !uede !asar a ser obsoleta 1 !or lo tanto" ser necesario eliminarla) 6a destruccin de la informacin es un !roceso 2ue debe asegurar la confidencialidad de la misma #asta el momento de su eliminacin)
Objetivo
8aranti ar 2ue los acti4os de informacin reciban un a!ro!iado ni4el de !roteccin) $lasificar la informacin !ara seLalar su sensibilidad 1 criticidad) Definir ni4eles de !roteccin 1 medidas de tratamiento es!ecial acordes a su clasificacin)
Alcance
*sta Poltica se a!lica a toda la informacin administrada en el %rganismo" cual2uiera sea el so!orte en 2ue se encuentre)
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 2H
Responsabilidad
6os !ro!ietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad 1 criticidad" de documentar 1 mantener actuali ada la clasificacin efectuada" 1 de definir las funciones 2ue deberFn tener !ermisos de acceso a la informacin) *l :es!onsable de ,eguridad (nformFtica es el encargado de asegurar 2ue los lineamientos !ara la utili acin de los recursos de la tecnologa de informacin contem!len los re2uerimientos de seguridad establecidos segn la criticidad de la informacin 2ue !rocesan) $ada Pro!ietario de la (nformacin su!er4isarF 2ue el !roceso de clasificacin 1 rtulo de
informacin de su Frea de com!etencia sea cum!limentado de acuerdo a lo establecido en la !resente Poltica)
Poltica
2&%& In-entario de acti-os
,e identificarFn los acti4os im!ortantes asociados a cada sistema de informacin" sus res!ecti4os !ro!ietarios 1 su ubicacin" !ara luego elaborar un in4entario con dic#a informacin) *l mismo serF actuali ado ante cual2uier modificacin de la informacin registrada 1 re4isado con una !eriodicidad de ))))))))))) .establecer !erodo no ma1or a @ meses/) *l encargado de elaborar el in4entario 1 mantenerlo actuali ado es cada :es!onsable de <nidad %rgani ati4a)
2&)& !lasificacin de la informacin

Para clasificar un Acti4o de (nformacin" se e4aluarFn las tres caractersticas de la informacin en las cuales se basa la seguridad5 confidencialidad" integridad 1 dis!onibilidad) A continuacin se establece el criterio de clasificacin de la informacin en funcin a cada una de las mencionadas caractersticas5 $onfidencialidad5 0- (nformacin 2ue !uede ser conocida 1 utili ada sin autori acin !or cual2uier !ersona" sea em!leado del %rganismo o no) P<=6($% 1- (nformacin 2ue !uede ser conocida 1 utili ada !or todos los em!leados del %rganismo 1 algunas entidades eEternas debidamente autori adas" 1 cu1a di4ulgacin o uso no autori ados !odra ocasionar riesgos o !0rdidas le4es !ara el %rganismo" el ,ector Pblico &acional o terceros) :*,*:VADA P <,% (&'*:&% 2- (nformacin 2ue slo !uede ser conocida 1 utili ada !or un gru!o de em!leados" 2ue la necesiten !ara reali ar su trabaDo" 1 cu1a di4ulgacin o uso no autori ados !odra ocasionar !0rdidas significati4as al %rganismo" al ,ector Pblico &acional o a terceros) :*,*:VADA - $%&7(D*&$(A6 H- (nformacin 2ue slo !uede ser conocida 1 utili ada !or un gru!o mu1 reducido de em!leados" generalmente de la alta direccin del %rganismo" 1 cu1a di4ulgacin o uso no autori ados !odra ocasionar !0rdidas gra4es al mismo" al ,ector Pblico &acional o a terceros) :*,*:VADA ,*$:*'A
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 2C (ntegridad5
0- (nformacin cu1a modificacin no autori ada !uede re!ararse fFcilmente" o no afecta la o!eratoria del %rganismo) 1- (nformacin cu1a modificacin no autori ada !uede re!ararse aun2ue !odra ocasionar !0rdidas le4es !ara el %rganismo" el ,ector Pblico &acional o terceros) 2- (nformacin cu1a modificacin no autori ada es de difcil re!aracin 1 !odra ocasionar !0rdidas significati4as !ara el %rganismo" el ,ector Pblico &acional o terceros) H- (nformacin cu1a modificacin no autori ada no !odra re!ararse" ocasionando !0rdidas gra4es al %rganismo" al ,ector Pblico &acional o a terceros) Dis!onibilidad5 0- (nformacin cu1a inaccesibilidad no afecta la o!eratoria del %rganismo) 1- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a una semana/ !odra ocasionar !0rdidas significati4as !ara el %rganismo" el ,ector Pblico &acional o terceros) 2- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a un da/ !odra ocasionar !0rdidas significati4as al %rganismo" al ,ector Pblico &acional o a terceros) H- (nformacin cu1a inaccesibilidad !ermanente durante )))))))))))))) .definir un !la o no menor a una #ora/ !odra ocasionar !0rdidas significati4as al %rganismo" al
,ector Pblico &acional o a terceros) Al referirse a !0rdidas" se contem!lan a2uellas mesurables .materiales/ 1 no mesurables .imagen" 4alor estrat0gico de la informacin" obligaciones contractuales o !blicas" dis!osiciones legales" etc)/) ,e asignarF a la informacin un 4alor !or cada uno de estos criterios) 6uego" se clasificarF la informacin en una de las siguientes categoras5 !RITI!I"A" =AHA5 ninguno de los 4alores asignados su!eran el 1) !RITI!I"A" ME"IA5 alguno de los 4alores asignados es 2 !RITI!I"A" A5TA 5 alguno de los 4alores asignados es H ,lo el Pro!ietario de la (nformacin !uede asignar o cambiar su ni4el de clasificacin" cum!liendo con los siguientes re2uisitos !re4ios5 Asignarle una fec#a de efecti4idad) $omunicFrselo al de!ositario del recurso) :eali ar los cambios necesarios !ara 2ue los <suarios cono can la nue4a clasificacin) 6uego de clasificada la informacin" el !ro!ietario de la misma identificarF los recursos asociados .sistemas" e2ui!amiento" ser4icios" etc)/ 1 los !erfiles funcionales 2ue deberFn tener acceso a la misma) *n adelante se mencionarF como +informacin clasificada- .o +datos clasificados-/ a a2uella 2ue se encuadre en los ni4eles 1" 2 o H de $onfidencialidad)
2&/& Rotulado de la Informacin

,e definirFn !rocedimientos !ara el rotulado 1 maneDo de informacin" de acuerdo al es2uema de clasificacin definido) 6os mismos contem!larFn los recursos de informacin tanto en formatos fsicos como electrnicos e incor!orarFn las siguientes acti4idades de !rocesamiento de la informacin5 - $o!iaO
$lasificacin 1 $ontrol de Acti4os Poltica Modelo Documento Pblico PFgina 25
- AlmacenamientoO - 'ransmisin !or correo" faE" correo electrnicoO - 'ransmisin oral .telefona fiDa 1 m4il" correo de 4o " contestadores automFticos" etc)/)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2@
4& Seguridad del Personal Generalidades

6a seguridad de la informacin se basa en la ca!acidad !ara !reser4ar su integridad" confidencialidad 1 dis!onibilidad" !or !arte de los elementos in4olucrados en su tratamiento5 e2ui!amiento" softKare" !rocedimientos" as como de los recursos #umanos 2ue utili an dic#os com!onentes) *n este sentido" es fundamental educar e informar al !ersonal desde su ingreso 1 en forma continua" cual2uiera sea su situacin de re4ista" acerca de las medidas de seguridad 2ue afectan al desarrollo de sus funciones 1 de las eE!ectati4as de!ositadas en ellos en materia de seguridad 1 asuntos de confidencialidad) De la misma forma" es necesario definir las sanciones 2ue se a!licarFn en caso de incum!limiento) 6a im!lementacin de la Poltica de ,eguridad de la (nformacin tiene como meta minimi ar la !robabilidad de ocurrencia de incidentes) *s !or ello 2ue resulta necesario im!lementar un mecanismo 2ue !ermita re!ortar las debilidades 1 los incidentes tan !ronto como sea !osible" a fin de subsanarlos 1 e4itar e4entuales re!licaciones) Por lo tanto" es im!ortante anali ar las causas del incidente !roducido 1 a!render del mismo" a fin de corregir las !rFcticas eEistentes" 2ue no !udieron !re4enirlo" 1 e4itarlo en el futuro)
Objetivo
:educir los riesgos de error #umano" comisin de ilcitos" uso inadecuado de instalaciones 1 recursos" 1 maneDo no autori ado de la informacin) *E!licitar las res!onsabilidades en materia de seguridad en la eta!a de reclutamiento de
!ersonal e incluirlas en los acuerdos a firmarse 1 4erificar su cum!limiento durante el desem!eLo del indi4iduo como em!leado) 8aranti ar 2ue los usuarios est0n al corriente de las amena as e incumbencias en materia de seguridad de la informacin" 1 se encuentren ca!acitados !ara res!aldar la Poltica de ,eguridad del %rganismo en el transcurso de sus tareas normales) *stablecer $om!romisos de $onfidencialidad con todo el !ersonal 1 usuarios eEternos de las instalaciones de !rocesamiento de informacin) *stablecer las #erramientas 1 mecanismos necesarios !ara !romo4er la comunicacin de debilidades eEistentes en materia de seguridad" as como de los incidentes ocurridos" con el obDeto de minimi ar sus efectos 1 !re4enir su reincidencia)
Alcance
*sta Poltica se a!lica a todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista" 1 al !ersonal eEterno 2ue efecte tareas dentro del Fmbito del %rganismo)
Responsabilidad
*l :es!onsable del Mrea de :ecursos Numanos incluirF las funciones relati4as a la seguridad de la informacin en las descri!ciones de !uestos de los em!leados" informarF a todo el !ersonal 2ue ingresa de sus obligaciones res!ecto del cum!limiento de la Poltica de ,eguridad de la (nformacin" gestionarF los $om!romisos de $onfidencialidad con el !ersonal 1 coordinarF las tareas de ca!acitacin de usuarios res!ecto de la !resente Poltica)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2I
*l :es!onsable de ,eguridad (nformFtica tiene a cargo el seguimiento" documentacin 1 anFlisis de los incidentes de seguridad re!ortados as como su comunicacin al $omit0 de ,eguridad de la (nformacin" a los !ro!ietarios de la informacin 1 a la $oordinacin de *mergencias en :edes 'eleinformFticas .Ar$*:'/) *l $omit0 de ,eguridad de la (nformacin serF res!onsable de im!lementar los medios 1 canales necesarios !ara 2ue el :es!onsable de ,eguridad (nformFtica maneDe los re!ortes de incidentes 1 anomalas de los sistemas) Asimismo" dic#o $omit0" tomarF conocimiento" efectuarF el seguimiento de la in4estigacin" controlarF la e4olucin e im!ulsarF la resolucin de los incidentes relati4os a la seguridad) *l :es!onsable del Mrea 6egal !artici!arF en la confeccin del $om!romiso de $onfidencialidad a firmar !or los em!leados 1 terceros 2ue desarrollen funciones en el organismo" en el asesoramiento sobre las sanciones a ser a!licadas !or incum!limiento de la !resente Poltica 1 en el tratamiento de incidentes de seguridad 2ue re2uieran de su inter4encin) 'odo el !ersonal del %rganismo es res!onsable del re!orte de debilidades e incidentes de seguridad 2ue o!ortunamente se detecten)
Poltica
4&%& Seguridad en la "efinicin de Puestos de Traba:o ; la Asignacin de Recursos
4&%&%& Incorporacin de la Seguridad en los Puestos de Traba:o
6as funciones 1 res!onsabilidades en materia de seguridad serFn incor!oradas en la descri!cin de las res!onsabilidades de los !uestos de trabaDo) Rstas incluirFn las res!onsabilidades generales relacionadas con la im!lementacin 1 el mantenimiento de la Poltica de ,eguridad" 1 las res!onsabilidades es!ecficas 4inculadas a la !roteccin de cada uno de los acti4os" o la eDecucin de !rocesos o acti4idades de seguridad determinadas)
4&%&)& !ontrol ; Poltica del Personal

,e lle4arFn a cabo controles de 4erificacin del !ersonal en el momento en 2ue se solicita el !uesto) *stos controles incluirFn todos los as!ectos 2ue indi2uen las normas 2ue a tal efecto" alcan an al %rganismo .detallar &ormas/
4&%&/& !ompromiso de !onfidencialidad

$omo !arte de sus t0rminos 1 condiciones iniciales de em!leo" los em!leados" cual2uiera sea
su situacin de re4ista" firmarFn un $om!romiso de $onfidencialidad o no di4ulgacin" en lo 2ue res!ecta al tratamiento de la informacin del %rganismo) 6a co!ia firmada del $om!romiso deberF ser retenida en forma segura !or el Mrea de :ecursos Numanos u otra com!etente) Asimismo" mediante el $om!romiso de $onfidencialidad el em!leado declararF conocer 1 ace!tar la eEistencia de determinadas acti4idades 2ue !ueden ser obDeto de control 1 monitoreo) *stas acti4idades deben ser detalladas a fin de no 4iolar el derec#o a la !ri4acidad del em!leado)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2J
,e desarrollarF un !rocedimiento !ara la suscri!cin del $om!romiso de $onfidencialidad donde se incluirFn as!ectos sobre5 a/ ,uscri!cin inicial del $om!romiso !or !arte de la totalidad del !ersonal) b/ :e4isin del contenido del $om!romiso cada Q).indicar !erodo no ma1or al aLo/) c/ M0todo de resuscri!cin en caso de modificacin del teEto del $om!romiso)
4&%&0& T1rminos ; !ondiciones de Empleo

6os t0rminos 1 condiciones de em!leo establecerFn la res!onsabilidad del em!leado en materia de seguridad de la informacin) $uando corres!onda" los t0rminos 1 condiciones de em!leo establecerFn 2ue estas res!onsabilidades se eEtienden mFs allF de los lmites de la sede del %rganismo 1 del #orario normal de trabaDo) 6os derec#os 1 obligaciones del em!leado relati4os a la seguridad de la informacin" !or eDem!lo en relacin con las le1es de Pro!iedad (ntelectual o la legislacin de !roteccin de datos" se encontrarFn aclarados e incluidos en los t0rminos 1 condiciones de em!leo)
4&)& !apacitacin del #suario

4&)&%& +ormacin ; !apacitacin en Materia de Seguridad de la Informacin
'odos los em!leados del %rganismo 1" cuando sea !ertinente" los usuarios eEternos 1 los terceros 2ue desem!eLen funciones en el organismo" recibirFn una adecuada ca!acitacin 1 actuali acin !eridica en materia de la !oltica" normas 1 !rocedimientos del %rganismo) *sto com!rende los re2uerimientos de seguridad 1 las res!onsabilidades legales" as como la ca!acitacin referida al uso correcto de las instalaciones de !rocesamiento de informacin 1 el uso correcto de los recursos en general" como !or eDem!lo su estacin de trabaDo) *l :es!onsable del Mrea de :ecursos Numanos serF el encargado de coordinar las acciones de ca!acitacin 2ue surDan de la !resente Poltica) $ada )))))))))))))))) .indicar !eriodicidad no ma1or a seis meses/ se re4isarF el material corres!ondiente a la ca!acitacin" a fin de e4aluar la !ertinencia de su actuali acin" de acuerdo al estado del arte de ese momento) 6as siguientes Freas serFn encargadas de !roducir el material de ca!acitacin ?reas Responsables del Material de !apacitacin )))))))))))))))))))))))))))))))))))))))))))))))) ))))))))))))))))))))))))))))))))))))))))))))))) *l !ersonal 2ue ingrese al %rganismo recibirF el material" indicFndosele el com!ortamiento es!erado en lo 2ue res!ecta a la seguridad de la informacin" antes de serle otorgados los !ri4ilegios de acceso a los sistemas 2ue corres!ondan) Por otra !arte" se arbitrarFn los medios t0cnicos necesarios !ara comunicar a todo el !ersonal" e4entuales modificaciones o no4edades en materia de seguridad" 2ue deban ser tratadas con un orden !referencial)
,eguridad del Personal Poltica Modelo Documento Pblico PFgina 2A
4&/& Respuesta a Incidentes ; Anomalas en Materia de Seguridad

4&/&%& !omunicacin de Incidentes Relati-os a la Seguridad
6os incidentes relati4os a la seguridad serFn comunicados a tra40s de canales gerenciales a!ro!iados tan !ronto como sea !osible)
,e establecerF un !rocedimiento formal de comunicacin 1 de res!uesta a incidentes" indicando la accin 2ue #a de em!renderse al recibir un informe sobre incidentes) Dic#o !rocedimiento deberF contem!lar 2ue ante la deteccin de un su!uesto incidente o 4iolacin de la seguridad" el :es!onsable de ,eguridad (nformFtica sea informado tan !ronto como se #a1a tomado conocimiento) *ste indicarF los recursos necesarios !ara la in4estigacin 1 resolucin del incidente" 1 se encargarF de su monitoreo) Asimismo" mantendrF al $omit0 de ,eguridad al tanto de la ocurrencia de incidentes de seguridad) ,in !erDuicio de informar a otros %rganismos de com!etencia" el :es!onsable de ,eguridad (nformFtica" comunicarF a la $oordinacin de *mergencias en :edes 'eleinformFticas Ar$*:'1 todo incidente o 4iolacin de la seguridad" 2ue in4olucre recursos informFticos) 'odos los em!leados 1 contratistas deben conocer el !rocedimiento de comunicacin de incidentes de seguridad" 1 deben informar de los mismos tan !ronto #a1an tomado conocimiento de su ocurrencia)
4&/&)& !omunicacin de "ebilidades en Materia de Seguridad

6os usuarios de ser4icios de informacin" al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad" son res!onsables de registrar 1 comunicar las mismas al :es!onsable de ,eguridad (nformFtica) ,e !ro#be a los usuarios la reali acin de !ruebas !ara detectar 1Bo utili ar una su!uesta debilidad o falla de seguridad)
4&/&/& !omunicacin de Anomalas del SoftAare

,e establecerFn !rocedimientos !ara la comunicacin de anomalas de softKare" los cuales deberFn contem!lar5 a/ :egistrar los sntomas del !roblema 1 los mensaDes 2ue a!arecen en !antalla) b/ *stablecer las medidas de a!licacin inmediata ante la !resencia de una anomala) c/ Alertar inmediatamente al :es!onsable de ,eguridad (nformFtica o del Acti4o de 2ue se trate) ,e !ro#be a los usuarios 2uitar el softKare 2ue su!uestamente tiene una anomala" a menos 2ue est0n autori ados formalmente !ara #acerlo) 6a recu!eracin serF reali ada !or !ersonal eE!erimentado" adecuadamente #abilitado)
4&/&0& Aprendiendo de los Incidentes

1 Ar$*:'
es una unidad de res!uesta ante incidentes en redes" 2ue centrali a 1 coordina los esfuer os !ara el maneDo de los incidentes de seguridad 2ue afecten a los recursos informFticos de la Administracin Pblica &acional .AP&/" es decir" cual2uier ata2ue o intento de !enetracin a tra40s de sus redes de informacin) ,eguridad del Personal Poltica Modelo Documento Pblico PFgina H0
,e definirF un !roceso 2ue !ermita documentar" cuantificar 1 monitorear los ti!os" 4olmenes 1 costos de los incidentes 1 anomalas) *sta informacin se utili arF !ara identificar a2uellos 2ue sean recurrentes o de alto im!acto) *sto serF e4aluado a efectos de establecer la necesidad de meDorar o agregar controles !ara limitar la frecuencia" daLo 1 costo de casos futuros)
4&/&2& Procesos "isciplinarios

,e seguirF el !roceso disci!linario formal contem!lado en las normas estatutarias" escalafonarias 1 con4encionales 2ue rigen al !ersonal de la Administracin Publica &acional" !ara los em!leados 2ue 4iolen la Poltica" &ormas 1 Procedimientos de ,eguridad del %rganismo .Ver 12) $um!limiento/)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina H1
<& Seguridad +sica ; Ambiental Generalidades

6a seguridad fsica 1 ambiental brinda el marco !ara minimi ar los riesgos de daLos e interferencias a la informacin 1 a las o!eraciones del %rganismo) Asimismo" !retende e4itar al mFEimo el riesgo de accesos fsicos no autori ados" mediante el establecimiento de !ermetros de seguridad) ,e distinguen tres conce!tos a tener en cuenta5 la !roteccin fsica de accesos" la !roteccin ambiental 1 el trans!orte" !roteccin 1 mantenimiento de e2ui!amiento 1 documentacin) *l establecimiento de !ermetros de seguridad 1 Freas !rotegidas facilita la im!lementacin de
controles tendientes a !roteger las instalaciones de !rocesamiento de informacin crtica o sensible del %rganismo" de accesos fsicos no autori ados) *l control de los factores ambientales !ermite garanti ar el correcto funcionamiento de los e2ui!os de !rocesamiento 1 minimi ar las interru!ciones de ser4icio) Deben contem!larse tanto los riesgos en las instalaciones del %rganismo como en instalaciones !rEimas a la sede del mismo 2ue !uedan interferir con las acti4idades) *l e2ui!amiento donde se almacena informacin es susce!tible de mantenimiento !eridico" lo cual im!lica en ocasiones su traslado 1 !ermanencia fuera de las Freas !rotegidas del %rganismo) Dic#os !rocesos deben ser eDecutados baDo estrictas normas de seguridad 1 de !reser4acin de la informacin almacenada en los mismos) As tambi0n se tendrF en cuenta la a!licacin de dic#as normas en e2ui!amiento !erteneciente al %rganismo !ero situado fsicamente fuera del mismo .+#ousing-/ as como en e2ui!amiento aDeno 2ue albergue sistemas 1Bo !reste ser4icios de !rocesamiento de informacin al %rganismo .+#osting-/) 6a informacin almacenada en los sistemas de !rocesamiento 1 la documentacin contenida en diferentes medios de almacenamiento" son susce!tibles de ser recu!eradas mientras no estFn siendo utili ados) *s !or ello 2ue el trans!orte 1 la dis!osicin final !resentan riesgos 2ue deben ser e4aluados) 8ran cantidad de informacin maneDada en las oficinas se encuentra almacenada en !a!el" !or lo 2ue es necesario establecer !autas de seguridad !ara la conser4acin de dic#a documentacin)
Objetivo
Pre4enir e im!edir accesos no autori ados" daLos e interferencia a las sedes" instalaciones e informacin del %rganismo) Proteger el e2ui!amiento de !rocesamiento de informacin crtica del %rganismo ubicFndolo en Freas !rotegidas 1 resguardadas !or un !ermetro de seguridad definido" con medidas de seguridad 1 controles de acceso a!ro!iados) Asimismo" contem!lar la !roteccin del mismo en su traslado 1 !ermanencia fuera de las Freas !rotegidas" !or moti4os de mantenimiento u otros) $ontrolar los factores ambientales 2ue !odran !erDudicar el correcto funcionamiento del e2ui!amiento informFtico 2ue alberga la informacin del %rganismo) (m!lementar medidas !ara !roteger la informacin maneDada !or el !ersonal en las oficinas" en el marco normal de sus labores #abituales) Pro!orcionar !roteccin !ro!orcional a los riesgos identificados)
Alcance
*sta Poltica se a!lica a todos los recursos fsicos relati4os a los sistemas de informacin del %rganismo5 instalaciones" e2ui!amiento" cableado" eE!edientes" medios de almacenamiento" etc)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica definirF Dunto con el :es!onsable del Mrea (nformFtica 1 los Pro!ietarios de (nformacin" segn corres!onda" las medidas de seguridad fsica 1 ambiental !ara el resguardo de los acti4os crticos" en funcin a un anFlisis de riesgos" 1 controlarF su im!lementacin) Asimismo" 4erificarF el cum!limiento de las dis!osiciones sobre seguridad fsica 1 ambiental indicadas en el !resente $a!tulo) *l :es!onsable del Mrea (nformFtica asistirF al :es!onsable de ,eguridad (nformFtica en la definicin de las medidas de seguridad a im!lementar en Freas !rotegidas" 1 coordinarF su im!lementacin) Asimismo" controlarF el mantenimiento del e2ui!amiento informFtico de acuerdo a las indicaciones de !ro4eedores tanto dentro como fuera de las instalaciones del %rganismo) 6os :es!onsables de <nidades %rgani ati4as definirFn los ni4eles de acceso fsico del !ersonal del organismo a las a las Freas restringidas baDo su res!onsabilidad) 6os Pro!ietarios de la (nformacin autori arFn formalmente el trabaDo fuera de las instalaciones con informacin de su incumbencia a los em!leados del %rganismo cuando lo crean con4eniente)
6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin re4isarF los registros de acceso a las Freas !rotegidas) 'odo el !ersonal del %rganismo es res!onsable del cum!limiento de la !oltica de !antallas 1 escritorios lim!ios" !ara la !roteccin de la informacin relati4a al trabaDo diario en las oficinas)
Poltica
<&%& Permetro de Seguridad +sica
6a !roteccin fsica se lle4arF a cabo mediante la creacin de di4ersas barreras o medidas de control fsicas alrededor de las sedes del %rganismo 1 de las instalaciones de !rocesamiento de informacin) *l %rganismo utili arF !ermetros de seguridad !ara !roteger las Freas 2ue contienen instalaciones de !rocesamiento de informacin" de suministro de energa el0ctrica" de aire acondicionado" 1 cual2uier otra Frea considerada crtica !ara el correcto funcionamiento de los sistemas de informacin) <n !ermetro de seguridad estF delimitado !or una barrera" !or eDem!lo una !ared" una !uerta de acceso controlado !or dis!ositi4o de autenticacin o un escritorio u oficina de rece!cin atendidos !or !ersonas) *l em!la amiento 1 la fortale a de cada barrera estarFn definidas !or el :es!onsable del Mrea (nformFtica con el asesoramiento del :es!onsable de ,eguridad (nformFtica" de acuerdo a la e4aluacin de riesgos efectuada) ,e considerarFn e im!lementarFn los siguientes lineamientos 1 controles" segn corres!onda5 a/ Definir 1 documentar claramente el !ermetro de seguridad) b/ <bicar las instalaciones de !rocesamiento de informacin dentro del !ermetro de un edificio o Frea de construccin fsicamente slida .!or eDem!lo no deben eEistir aberturas en el !ermetro o Freas donde !ueda !roducirse fFcilmente una irru!cin/) 6as !aredes eEternas del Frea deben ser slidas 1 todas las !uertas 2ue comunican
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HH
con el eEterior deben estar adecuadamente !rotegidas contra accesos no autori ados" !or eDem!lo mediante mecanismos de control" 4allas" alarmas" cerraduras" etc) c/ Verificar la eEistencia de un Frea de rece!cin atendida !or !ersonal) ,i esto no fuera !osible se im!lementarFn los siguientes medios alternati4os de control de acceso fsico al Frea o edificio5)))))))))))))) .indicar otros medios alternati4os de control/) *l acceso a dic#as Freas 1 edificios estarF restringido eEclusi4amente al !ersonal autori ado) 6os m0todos im!lementados registrarFn cada ingreso 1 egreso en forma !recisa) d/ *Etender las barreras fsicas necesarias desde el !iso .real/ #asta el tec#o .real/" a fin de im!edir el ingreso no autori ado 1 la contaminacin ambiental" !or eDem!lo !or incendio" #umedad e inundacin) e/ (dentificar claramente todas las !uertas de incendio de un !ermetro de seguridad) *l :es!onsable de ,eguridad (nformFtica lle4arF un registro actuali ado de los sitios !rotegidos" indicando5 a/ (dentificacin del *dificio 1 Mrea) b/ Princi!ales elementos a !roteger) c/ Medidas de !roteccin fsica)
<&)& !ontroles de Acceso +sico

6as Freas !rotegidas se resguardarFn mediante el em!leo de controles de acceso fsico" los 2ue serFn determinados !or el :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica" a fin de !ermitir el acceso slo al !ersonal autori ado) *stos controles de acceso fsico tendrFn" !or lo menos" las siguientes caractersticas5 a/ ,u!er4isar o ins!eccionar a los 4isitantes a Freas !rotegidas 1 registrar la fec#a 1 #orario de su ingreso 1 egreso) ,lo se !ermitirF el acceso mediando !ro!sitos es!ecficos 1 autori ados e instru10ndose al 4isitante en el momento de ingreso sobre los re2uerimientos de seguridad del Frea 1 los !rocedimientos de emergencia) b/ $ontrolar 1 limitar el acceso a la informacin clasificada 1 a las instalaciones de !rocesamiento de informacin" eEclusi4amente a las !ersonas autori adas) ,e utili arFn los siguientes controles de autenticacin !ara autori ar 1 4alidar todos los accesos5)))))))))))))) .!or eDem!lo5 !ersonal de guardia con listado de !ersonas #abilitadas o !or tarDeta magn0tica o inteligente 1 nmero de identificacin !ersonal
.P(&/" etc)/) ,e mantendrF un registro !rotegido !ara !ermitir auditar todos los accesos) c/ (m!lementar el uso de una identificacin un4oca 4isible !ara todo el !ersonal del Frea !rotegida e instruirlo acerca de cuestionar la !resencia de desconocidos no escoltados !or !ersonal autori ado 1 a cual2uier !ersona 2ue no eE#iba una identificacin 4isible) d/ :e4isar 1 actuali ar cada QQ) .definir !erodo no ma1or a @ meses/ los derec#os de acceso a las Freas !rotegidas" los 2ue serFn documentados 1 firmados !or el :es!onsable de la <nidad %rgani ati4a de la 2ue de!enda) e/ :e4isar los registros de acceso a las Freas !rotegidas) *sta tarea la reali arF la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin)
<&/& Proteccin de Oficinas> Recintos e Instalaciones

Para la seleccin 1 el diseLo de un Frea !rotegida se tendrF en cuenta la !osibilidad de daLo !roducido !or incendio" inundacin" eE!losin" agitacin ci4il" 1 otras formas de desastres naturales o !ro4ocados !or el #ombre) 'ambi0n se tomarFn en cuenta las dis!osiciones 1 normas .estFndares/ en materia de sanidad 1 seguridad) Asimismo" se considerarFn las amena as a la seguridad 2ue re!resentan los edificios 1 onas aledaLas" !or eDem!lo" filtracin de agua desde otras instalaciones) ,e definen los siguientes sitios como Freas !rotegidas del %rganismo
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HC
?reas Protegidas )))))))))))))))))))))))))))))))))))))))))))))))))))))))) )))))))))))))))))))))))))))))))))))))))))))))))))))))))) ,e establecen las siguientes medidas de !roteccin !ara Freas !rotegidas5 a/ <bicar las instalaciones crticas en lugares a los cuales no !ueda acceder !ersonal no autori ado) b/ *stablecer 2ue los edificios o sitios donde se realicen acti4idades de !rocesamiento de informacin serFn discretos 1 ofrecerFn un seLalamiento mnimo de su !ro!sito" sin signos ob4ios" eEteriores o interiores) c/ <bicar las funciones 1 el e2ui!amiento de so!orte" !or eDem!lo5 im!resoras" fotoco!iadoras" mF2uinas de faE" adecuadamente dentro del Frea !rotegida !ara e4itar solicitudes de acceso" el cual !odra com!rometer la informacin) d/ *stablecer 2ue las !uertas 1 4entanas !ermanecerFn cerradas cuando no #a1a 4igilancia) ,e agregarF !roteccin eEterna a las 4entanas" en !articular las 2ue se encuentran en !lanta baDa o !resenten riesgos es!eciales) e/ (m!lementar los siguientes mecanismos de control !ara la deteccin de intrusos5 )))))))))))))))))))))) .detallar cuales/) 6os mismos serFn instalados segn estFndares !rofesionales 1 !robados !eridicamente) *stos mecanismos de control com!renderFn todas las !uertas eEteriores 1 4entanas accesibles) f/ ,e!arar las instalaciones de !rocesamiento de informacin administradas !or el %rganismo de a2uellas administradas !or terceros) g/ :estringir el acceso !blico a las guas telefnicas 1 listados de tel0fonos internos 2ue identifican las ubicaciones de las instalaciones de !rocesamiento de informacin sensible) #/ Almacenar los materiales !eligrosos o combustibles en los siguientes lugares seguros a una distancia !rudencial de las Freas !rotegidas del %rganismo5 )))))))))))))))))) .incluir lista de lugares seguros/) 6os suministros" como los tiles de escritorio" no serFn trasladados al Frea !rotegida #asta 2ue sean re2ueridos) i/ Almacenar los e2ui!os redundantes 1 la informacin de resguardo .bacS u!/ en un sitio seguro 1 distante del lugar de !rocesamiento" !ara e4itar daLos ocasionados ante e4entuales contingencias en el sitio !rinci!al5 ))))))))))))))))))))))))) .detallar ubicacin/)
<&0& "esarrollo de Tareas en ?reas Protegidas

Para incrementar la seguridad de las Freas !rotegidas" se establecen los siguientes controles 1 lineamientos adicionales) *sto inclu1e controles !ara el !ersonal 2ue trabaDa en el Frea !rotegida" as como !ara las acti4idades de terceros 2ue tengan lugar all5 a/ Dar a conocer al !ersonal la eEistencia del Frea !rotegida" o de las acti4idades 2ue all
se lle4an a cabo" slo si es necesario !ara el desarrollo de sus funciones) b/ *4itar la eDecucin de trabaDos !or !arte de terceros sin su!er4isin) c/ =lo2uear fsicamente e ins!eccionar !eridicamente las Freas !rotegidas desocu!adas) d/ 6imitar el acceso al !ersonal del ser4icio de so!orte eEterno a las Freas !rotegidas o a las instalaciones de !rocesamiento de informacin sensible) *ste acceso" como el de cual2uier otra !ersona aDena 2ue re2uiera acceder al Frea !rotegida" serF otorgado solamente cuando sea necesario 1 se encuentre autori ado 1 monitoreado) ,e mantendrF un registro de todos los accesos de !ersonas aDenas) e/ Pueden re2uerirse barreras 1 !ermetros adicionales !ara controlar el acceso fsico entre Freas con diferentes re2uerimientos de seguridad" 1 2ue estFn ubicadas dentro del mismo !ermetro de seguridad) f/ (m!edir el ingreso de e2ui!os de com!utacin m4il" fotogrFficos" de 4deo" audio o cual2uier otro ti!o de e2ui!amiento 2ue registre informacin" a menos 2ue #a1an sido formalmente autori adas !or el :es!onsable de dic#o Frea o el :es!onsable del Mrea (nformFtica 1 el :es!onsable de ,eguridad (nformFtica) g/ Pro#ibir comer" beber 1 fumar dentro de las instalaciones de !rocesamiento de la informacin)
<&2& Aislamiento de las ?reas de Recepcin ; "istribucin

,e controlarFn las Freas de :ece!cin 1 Distribucin" las cuales estarFn aisladas de las instalaciones de !rocesamiento de informacin" a fin de im!edir accesos no autori ados) Para ello se establecerFn controles fsicos 2ue considerarFn los siguientes lineamientos5 a/ 6imitar el acceso a las Freas de de!sito" desde el eEterior de la sede del %rganismo" slo al !ersonal !re4iamente identificado 1 autori ado) b/ DiseLar el Frea de de!sito de manera tal 2ue los suministros !uedan ser descargados sin 2ue el !ersonal 2ue reali a la entrega acceda a otros sectores del edificio) c/ Proteger todas las !uertas eEteriores del de!sito cuando se abre la !uerta interna) d/ (ns!eccionar el material entrante !ara descartar !eligros !otenciales antes de ser trasladado desde el Frea de de!sito #asta el lugar de uso) e/ :egistrar el material entrante al ingresar al sitio !ertinente)
<&4& #bicacin ; Proteccin del E@uipamiento ; !opias de Seguridad

*l e2ui!amiento serF ubicado 1 !rotegido de tal manera 2ue se redu can los riesgos ocasionados !or amena as 1 !eligros ambientales" 1 las o!ortunidades de acceso no autori ado" teniendo en cuenta los siguientes !untos5 a/ <bicar el e2ui!amiento en un sitio donde se minimice el acceso innecesario 1 !ro4ea un control de acceso adecuado) b/ <bicar las instalaciones de !rocesamiento 1 almacenamiento de informacin 2ue maneDan datos clasificados" en un sitio 2ue !ermita la su!er4isin durante su uso) c/ Aislar los elementos 2ue re2uieren !roteccin es!ecial !ara reducir el ni4el general de !roteccin re2uerida) d/ Ado!tar controles adecuados !ara minimi ar el riesgo de amena as !otenciales" !or5 Amena8as Potenciales !ontroles :obo o #urto (ncendio *E!losi4os Numo (nundaciones o filtraciones de agua .o falta de suministro/ Pol4o Vibraciones *fectos 2umicos (nterferencia en el suministro de energa el0ctrica
.cortes de suministro" 4ariacin de tensin/ :adiacin electromagn0tica Derrumbes )))))))))))))) e/ :e4isar regularmente las condiciones ambientales !ara 4erificar 2ue las mismas no afecten de manera ad4ersa el funcionamiento de las instalaciones de !rocesamiento de la informacin) *sta re4isin se reali arF cada5 )))))))))))))))))))))))))))).indicar !eriodicidad" no ma1or a seis meses/) f/ $onsiderar asimismo el im!acto de las amena as citadas en el !unto d/ 2ue tengan lugar en onas !rEimas a la sede del %rganismo)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina H@
<&<& Suministros de Energa

*l e2ui!amiento estarF !rotegido con res!ecto a las !osibles fallas en el suministro de energa u otras anomalas el0ctricas) *l suministro de energa estarF de acuerdo con las es!ecificaciones del fabricante o !ro4eedor de cada e2ui!o) Para asegurar la continuidad del suministro de energa" se contem!larFn las siguientes medidas de control5 a/ Dis!oner de mlti!les enc#ufes o lneas de suministro !ara e4itar un nico !unto de falla en el suministro de energa) b/ $ontar con un suministro de energa ininterrum!ible .<P,/ !ara asegurar el a!agado regulado 1 sistemFtico o la eDecucin continua del e2ui!amiento 2ue sustenta las o!eraciones crticas del %rganismo) 6a determinacin de dic#as o!eraciones crticas" serF el resultado del anFlisis de im!acto reali ado !or el :es!onsable de ,eguridad (nformFtica conDuntamente con los Pro!ietarios de la (nformacin con incumbencia) 6os !lanes de contingencia contem!larFn las acciones 2ue #an de em!renderse ante una falla de la <P,) 6os e2ui!os de <P, serFn ins!eccionados 1 !robados !eridicamente !ara asegurar 2ue funcionan correctamente 1 2ue tienen la autonoma re2uerida) c/ Montar un generador de res!aldo !ara los casos en 2ue el !rocesamiento deba continuar ante una falla !rolongada en el suministro de energa) DeberF reali arse un anFlisis de im!acto de las !osibles consecuencias ante una interru!cin !rolongada del !rocesamiento" con el obDeto de definir 2u0 com!onentes serF necesario abastecer de energa alternati4a) Dic#o anFlisis serF reali ado !or el :es!onsable de ,eguridad (nformFtica conDuntamente con los Pro!ietarios de la (nformacin) ,e dis!ondrF de un adecuado suministro de combustible !ara garanti ar 2ue el generador !ueda funcionar !or un !erodo !rolongado) $uando el encendido de los generadores no sea automFtico" se asegurarF 2ue el tiem!o de funcionamiento de la <P, !ermita el encendido manual de los mismos) 6os generadores serFn ins!eccionados 1 !robados !eridicamente !ara asegurar 2ue funcionen segn lo !re4isto) Asimismo" se !rocurarF 2ue los interru!tores de emergencia se ubi2uen cerca de las salidas de emergencia de las salas donde se encuentra el e2ui!amiento" a fin de facilitar un corte rF!ido de la energa en caso de !roducirse una situacin crtica) ,e !ro4eerF de iluminacin de emergencia en caso de !roducirse una falla en el suministro !rinci!al de energa) ,e im!lementarF !roteccin contra descargas el0ctricas en todos los edificios 1 lneas de comunicaciones eEternas de acuerdo a las normati4as 4igentes)
<&(& Seguridad del !ableado

*l cableado de energa el0ctrica 1 de comunicaciones 2ue trans!orta datos o brinda a!o1o a los ser4icios de informacin estarF !rotegido contra interce!cin o daLo" mediante las siguientes acciones5 a/ $um!lir con los re2uisitos t0cnicos 4igentes de la :e!blica Argentina) b/ <tili ar !isoducto o cableado embutido en la !ared" siem!re 2ue sea !osible" cuando corres!onda a las instalaciones de !rocesamiento de informacin) *n su defecto estarFn suDetas a la siguiente !roteccin alternati4a5 ))))))))))))))))))))).indicar !roteccin alternati4a del cableado/ c/ Proteger el cableado de red contra interce!cin no autori ada o daLo mediante los siguientes controles5 )))))) .eDem!lo5 el uso de conductos o e4itando tra1ectos 2ue atra4iesen Freas !blicas/)
d/ ,e!arar los cables de energa de los cables de comunicaciones !ara e4itar interferencias) e/ Proteger el tendido del cableado troncal .bacSbone/ mediante la utili acin de ductos blindados) Para los sistemas sensibles o crticos )))))))))))))))" ))))))))))))) 1 )))))))))))))) .detallar cuFles son/" se im!lementarFn los siguientes controles adicionales5
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HI
a/ (nstalar conductos blindados 1 recintos o caDas con cerradura en los !untos terminales 1 de ins!eccin) b/ <tili ar rutas o medios de transmisin alternati4os)
<&,& Mantenimiento de E@uipos

,e reali arF el mantenimiento del e2ui!amiento !ara asegurar su dis!onibilidad e integridad !ermanentes) Para ello se debe considerar5 a/ ,ometer el e2ui!amiento a tareas de mantenimiento !re4enti4o" de acuerdo con los inter4alos de ser4icio 1 es!ecificaciones recomendados !or el !ro4eedor 1 con la autori acin formal del :es!onsables del Mrea (nformFtica) *l Mrea de (nformFtica mantendrF un listado actuali ado del e2ui!amiento con el detalle de la frecuencia en 2ue se reali arF el mantenimiento !re4enti4o .4er formulario en el AneEo adDunto/) b/ *stablecer 2ue slo el !ersonal de mantenimiento autori ado !uede brindar mantenimiento 1 lle4ar a cabo re!araciones en el e2ui!amiento) c/ :egistrar todas las fallas su!uestas o reales 1 todo el mantenimiento !re4enti4o 1 correcti4o reali ado) d/ :egistrar el retiro de e2ui!amiento de la sede del %rganismo !ara su mantenimiento) e/ *liminar la informacin confidencial 2ue contenga cual2uier e2ui!amiento 2ue sea necesario retirar" reali Fndose !re4iamente las res!ecti4as co!ias de resguardo)
<&%.& Seguridad de los E@uipos +uera de las Instalaciones&

*l uso de e2ui!amiento destinado al !rocesamiento de informacin" fuera del Fmbito del %rganismo" serF autori ado !or el res!onsable !atrimonial) *n el caso de 2ue en el mismo se almacene informacin clasificada" deberF ser a!robado ademFs !or el Pro!ietario de la misma) 6a seguridad !ro4ista debe ser e2ui4alente a la suministrada dentro del Fmbito del %rganismo !ara un !ro!sito similar" teniendo en cuenta los riesgos de trabaDar fuera de la misma) ,e res!etarFn !ermanentemente las instrucciones del fabricante res!ecto del cuidado del e2ui!amiento) Asimismo" se mantendrF una adecuada cobertura de seguro !ara !roteger el e2ui!amiento fuera del Fmbito del %rganismo" cuando sea con4eniente)
<&%%& "esafectacin o Reutili8acin Segura de los E@uipos&

6a informacin !uede 4erse com!rometida !or una desafectacin o una reutili acin descuidada del e2ui!amiento) 6os medios de almacenamiento conteniendo material sensible" !or eDem!lo discos rgidos no remo4ibles" serFn fsicamente destruidos o sobrescritos en forma segura en lugar de utili ar las funciones de borrado estFndar" segn corres!onda)
<&%)& Polticas de Escritorios ; Pantallas 5impias&

,e ado!ta una !oltica de escritorios lim!ios !ara !roteger documentos en !a!el 1 dis!ositi4os de almacenamiento remo4ibles 1 una !oltica de !antallas lim!ias en las instalaciones de !rocesamiento de informacin" a fin de reducir los riesgos de acceso no autori ado" !0rdida 1 daLo de la informacin" tanto durante el #orario normal de trabaDo como fuera del mismo) ,e a!licarFn los siguientes lineamientos5 a/ Almacenar baDo lla4e" cuando corres!onda" los documentos en !a!el 1 los medios informFticos" en gabinetes 1Bu otro ti!o de mobiliario seguro cuando no estFn siendo utili ados" es!ecialmente fuera del #orario de trabaDo)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HJ
b/ 8uardar baDo lla4e la informacin sensible o crtica del %rganismo .!referentemente en una caDa fuerte o gabinete a !rueba de incendios/ cuando no estF en uso" es!ecialmente cuando no #a1 !ersonal en la oficina) c/ Desconectar de la red B sistema B ser4icio las com!utadoras !ersonales" terminales e
im!resoras asignadas a funciones crticas" cuando estFn desatendidas) 6as mismas deben ser !rotegidas mediante cerraduras de seguridad" contraseLas u otros controles cuando no estFn en uso .como !or eDem!lo la utili acin de !rotectores de !antalla con contraseLa/) 6os res!onsables de cada Frea mantendrFn un registro de las contraseLas o co!ia de las lla4es de seguridad utili adas en el sector a su cargo) 'ales elementos se encontrarFn !rotegidos en sobre cerrado o caDa de seguridad !ara im!edir accesos no autori ados" debiendo deDarse constancia de todo acceso a las mismas" 1 de los moti4os 2ue lle4aron a tal accin) d/ Proteger los !untos de rece!cin 1 en4o de correo !ostal 1 las mF2uinas de faE no atendidas) e/ =lo2uear las fotoco!iadoras .o !rotegerlas de alguna manera del uso no autori ado/ fuera del #orario normal de trabaDo) f/ :etirar inmediatamente la informacin sensible o confidencial" una 4e im!resa)
<&%/& Retiro de los =ienes

*l e2ui!amiento" la informacin 1 el softKare no serFn retirados de la sede del %rganismo sin autori acin formal) Peridicamente" se lle4arFn a cabo com!robaciones !untuales !ara detectar el retiro no autori ado de acti4os del %rganismo" las 2ue serFn lle4adas a cabo !or )))))))))) .indicar el Mrea res!onsable/) *l !ersonal serF !uesto en conocimiento de la !osibilidad de reali acin de dic#as com!robaciones)
,eguridad 7sica 1 Ambiental Poltica Modelo Documento Pblico PFgina HA
AneIo
Mantenimiento Pre-enti-o
E@uipo +recuencia de Mantenimiento Responsable Personal Autori8ado
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina C0
(& 6estin de !omunicaciones ; Operaciones Generalidades

6a !roliferacin de softKare malicioso" como 4irus" tro1anos" etc)" #ace necesario 2ue se ado!ten medidas de !re4encin" a efectos de e4itar la ocurrencia de tales amena as) *s con4eniente se!arar los ambientes de desarrollo" !rueba 1 o!eraciones de los sistemas del %rganismo" estableciendo !rocedimientos 2ue aseguren la calidad de los !rocesos 2ue se im!lementen en el Fmbito o!erati4o" a fin de minimi ar los riesgos de incidentes !roducidos !or la mani!ulacin de informacin o!erati4a) 6os sistemas de informacin estFn comunicados entre si" tanto dentro del %rganismo como con terceros fuera de 0l) Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones 2ue se estable can) 6as comunicaciones establecidas !ermiten el intercambio de informacin" 2ue deberF estar regulado !ara garanti ar las condiciones de confidencialidad" integridad 1 dis!onibilidad de la informacin 2ue se emite o recibe !or los distintos canales)
Objetivo
8aranti ar el funcionamiento correcto 1 seguro de las instalaciones de !rocesamiento de la informacin 1 comunicaciones) *stablecer res!onsabilidades 1 !rocedimientos !ara su gestin 1 o!eracin" inclu1endo instrucciones o!erati4as" !rocedimientos !ara la res!uesta a incidentes 1 se!aracin de funciones)
Alcance
'odas las instalaciones de !rocesamiento 1 transmisin de informacin del %rganismo)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica tendrF a su cargo" entre otros5 - Definir !rocedimientos !ara el control de cambios a los !rocesos o!erati4os documentados" los sistemas e instalaciones de !rocesamiento de informacin" 1 4erificar su cum!limiento" de manera 2ue no afecten la seguridad de la informacin) - *stablecer criterios de a!robacin !ara nue4os sistemas de informacin" actuali aciones 1 nue4as 4ersiones" contem!lando la reali acin de las !ruebas necesarias antes de su a!robacin definiti4a) Verificar 2ue dic#os !rocedimientos de a!robacin de softKare inclu1an as!ectos de seguridad !ara las a!licaciones de 8obierno *lectrnico) - Definir !rocedimientos !ara el maneDo de incidentes de seguridad 1 !ara la administracin de los medios de almacenamiento) - Definir 1 documentar una norma clara con res!ecto al uso del correo electrnico) - $ontrolar los mecanismos de distribucin 1 difusin de informacin dentro del %rganismo) - Definir 1 documentar controles !ara la deteccin 1 !re4encin del acceso no autori ado" la !roteccin contra softKare malicioso 1 !ara garanti ar la seguridad de los datos 1 los ser4icios conectados en las redes del %rganismo) - Desarrollar !rocedimientos adecuados de concienti acin de usuarios en materia de seguridad" controles de acceso al sistema 1 administracin de cambios) - Verificar el cum!limiento de las normas" !rocedimientos 1 controles establecidos)
*l :es!onsable del Mrea (nformFtica tendrF a su cargo lo siguiente5 - $ontrolar la eEistencia de documentacin actuali ada relacionada con los !rocedimientos de comunicaciones 1 o!eraciones) - *4aluar el !osible im!acto o!erati4o de los cambios !re4istos a sistemas 1 e2ui!amiento 1 4erificar su correcta im!lementacin" asignando res!onsabilidades) - Administrar los medios t0cnicos necesarios !ara !ermitir la segregacin de los ambientes de !rocesamiento) - Monitorear las necesidades de ca!acidad de los sistemas en o!eracin 1 !ro1ectar las futuras demandas de ca!acidad" a fin de e4itar !otenciales amena as a la seguridad del sistema o a los ser4icios del usuario) - $ontrolar la reali acin de las co!ias de resguardo de informacin" as como la !rueba !eridica de su restauracin) - Asegurar el registro de las acti4idades reali adas !or el !ersonal o!erati4o" !ara su !osterior re4isin) - Desarrollar 1 4erificar el cum!limiento de !rocedimientos !ara comunicar las fallas en el !rocesamiento de la informacin o los sistemas de comunicaciones" 2ue !ermita tomar medidas correcti4as) - (m!lementar los controles de seguridad definidos .softKare malicioso 1 accesos no autori ados/) - Definir e im!lementar !rocedimientos !ara la administracin de medios informFticos de almacenamiento" como cintas" discos" casetes e informes im!resos 1 !ara la eliminacin segura de los mismos) - Partici!ar en el tratamiento de los incidentes de seguridad" de acuerdo a los !rocedimientos establecidos) *l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica 1 el :es!onsable del Mrea 6egal del %rganismo e4aluarFn los contratos 1 acuerdos con terceros !ara garanti ar la incor!oracin de consideraciones relati4as a la seguridad de la informacin in4olucrada en la gestin de los !roductos o ser4icios !restados) $ada Pro!ietario de la (nformacin" Dunto con el :es!onsable de ,eguridad (nformFtica 1 el :es!onsable del Mrea (nformFtica" determinarF los re2uerimientos !ara resguardar la informacin !or la cual es res!onsable) Asimismo" a!robarF los ser4icios de mensaDera autori ados !ara trans!ortar la informacin cuando sea re2uerido" de acuerdo a su ni4el de criticidad) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de
,eguridad de la (nformacin" re4isarF las acti4idades 2ue no #a1an sido !osible segregar) Asimismo" re4isarF los registros de acti4idades del !ersonal o!erati4o)
Poltica
(&%& Procedimientos ; Responsabilidades Operati-as
(&%&%& "ocumentacin de los Procedimientos Operati-os
,e documentarFn 1 mantendrFn actuali ados los !rocedimientos o!erati4os identificados en esta Poltica 1 sus cambios serFn autori ados !or el :es!onsable de ,eguridad (nformFtica) 6os !rocedimientos es!ecificarFn instrucciones !ara la eDecucin detallada de cada tarea" inclu1endo5 a/ Procesamiento 1 maneDo de la informacin) b/ :e2uerimientos de !rogramacin de !rocesos" interde!endencias con otros sistemas" tiem!os de inicio de las !rimeras tareas 1 tiem!os de terminacin de las ltimas tareas) c/ (nstrucciones !ara el maneDo de errores u otras condiciones eEce!cionales 2ue !uedan surgir durante la eDecucin de tareas) d/ :estricciones en el uso de utilitarios del sistema)
e/ Personas de so!orte a contactar en caso de dificultades o!erati4as o t0cnicas im!re4istas) f/ (nstrucciones es!eciales !ara el maneDo de +salidas-" como el uso de !a!elera es!ecial o la administracin de salidas confidenciales" inclu1endo !rocedimientos !ara la eliminacin segura de salidas fallidas de tareas) g/ :einicio del sistema 1 !rocedimientos de recu!eracin en caso de !roducirse fallas en el sistema) ,e !re!ararF adicionalmente documentacin sobre !rocedimientos referidos a las siguientes acti4idades5 a/ (nstalacin 1 mantenimiento de e2ui!amiento !ara el !rocesamiento de informacin 1 comunicaciones) b/ (nstalacin 1 mantenimiento de las !lataformas de !rocesamiento) c/ Monitoreo del !rocesamiento 1 las comunicaciones) d/ (nicio 1 finali acin de la eDecucin de los sistemas) e/ Programacin 1 eDecucin de !rocesos) f/ 8estin de ser4icios) g/ :esguardo de informacin) #/ 8estin de incidentes de seguridad en el ambiente de !rocesamiento 1 comunicaciones) i/ :eem!la o o cambio de com!onentes del ambiente de !rocesamiento 1 comunicaciones) D/ <so del correo electrnico)
(&%&)& !ontrol de !ambios en las Operaciones

,e definirFn !rocedimientos !ara el control de los cambios en el ambiente o!erati4o 1 de comunicaciones) 'odo cambio deberF ser e4aluado !re4iamente en as!ectos t0cnicos 1 de seguridad) *l :es!onsable de ,eguridad (nformFtica controlarF 2ue los cambios en los com!onentes o!erati4os 1 de comunicaciones no afecten la seguridad de los mismos ni de la informacin 2ue so!ortan) *l :es!onsable del Mrea (nformFtica e4aluarF el !osible im!acto o!erati4o de los cambios !re4istos 1 4erificarF su correcta im!lementacin) ,e retendrF un registro de auditora 2ue contenga toda la informacin rele4ante de cada cambio im!lementado) 6os !rocedimientos de control de cambios contem!larFn los siguientes !untos5 a/ (dentificacin 1 registro de cambios significati4os) b/ *4aluacin del !osible im!acto de dic#os cambios) c/ A!robacin formal de los cambios !ro!uestos) d/ Planificacin del !roceso de cambio) e/ Prueba del nue4o escenario)
f/ $omunicacin de detalles de cambios a todas las !ersonas !ertinentes) g/ (dentificacin de las res!onsabilidades !or la cancelacin de los cambios fallidos 1 la recu!eracin res!ecto de los mismos)
(&%&/& Procedimientos de Mane:o de Incidentes

,e establecerFn funciones 1 !rocedimientos de maneDo de incidentes garanti ando una res!uesta rF!ida" efica 1 sistemFtica a los incidentes relati4os a seguridad .Ver tambi0n @)H)1) $omunicacin de (ncidentes :elati4os a la ,eguridad/) ,e deben considerar los siguientes tems5
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CH
a/ $ontem!lar 1 definir todos los ti!os !robables de incidentes relati4os a seguridad" inclu1endo 1) 7allas o!erati4as 2) $digo malicioso H) (ntrusiones C) 7raude informFtico 5) *rror #umano @) $atFstrofes naturales b/ $omunicar los incidentes a tra40s de canales gerenciales a!ro!iados tan !ronto como sea !osible" de acuerdo a lo indicado en @)H)1 P +$omunicacin de (ncidentes :elati4os a la ,eguridad-) c/ $ontem!lar los siguientes !untos en los !rocedimientos !ara los !lanes de contingencia normales .diseLados !ara recu!erar sistemas 1 ser4icios tan !ronto como sea !osible/5 1) Definicin de las !rimeras medidas a im!lementar 2) AnFlisis e identificacin de la causa del incidente) H) Planificacin e im!lementacin de soluciones !ara e4itar la re!eticin del mismo" si fuera necesario) C) $omunicacin con las !ersonas afectadas o in4olucradas con la recu!eracin" del incidente) 5) &otificacin de la accin a la autoridad 1Bu %rganismos !ertinentes) d/ :egistrar !istas de auditora 1 e4idencia similar !ara5 1) AnFlisis de !roblemas internos) 2) <so como e4idencia en relacin con una !robable 4iolacin contractual o infraccin normati4a" o en marco de un !roceso Dudicial .Ver 12)1) $um!limiento de :e2uisitos 6egales/) H) &egociacin de com!ensaciones !or !arte de los !ro4eedores de softKare 1 de ser4icios) e/ (m!lementar controles detallados 1 formali ados de las acciones de recu!eracin res!ecto de las 4iolaciones de la seguridad 1 de correccin de fallas del sistema" garanti ando5 1) Acceso a los sistemas 1 datos eEistentes slo al !ersonal claramente identificado 1 autori ado) 2) Documentacin de todas las acciones de emergencia em!rendidas en forma detallada) H) $omunicacin de las acciones de emergencia al titular de la <nidad %rgani ati4a 1 re4isin de su cum!limiento) C) $onstatacin de la integridad de los controles 1 sistemas del %rganismo en un !la o mnimo) *n los casos en los 2ue se considere necesario" se solicitarF la !artici!acin del :es!onsable del Mrea 6egal del %rganismo en el tratamiento de incidentes de seguridad ocurridos)
(&%&0& Separacin de +unciones

,e se!ararF la gestin o eDecucin de ciertas tareas o Freas de res!onsabilidad" a fin de reducir el riesgo de modificaciones no autori adas o mal uso de la informacin o los ser4icios !or falta de inde!endencia en la eDecucin de funciones crticas) ,i este m0todo de control no se !udiera cum!lir en algn caso" se im!lementarFn controles
como5
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CC
a/ Monitoreo de las acti4idades) b/ :egistros de auditora 1 control !eridico de los mismos) c/ ,u!er4isin !or !arte de la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto a tal efecto" siendo inde!endiente al Frea 2ue genera las acti4idades auditadas) Asimismo" se documentarF la Dustificacin formal !or la cual no fue !osible efectuar la segregacin de funciones) ,e asegurarF la inde!endencia de las funciones de auditora de seguridad" tomando recaudos !ara 2ue ninguna !ersona !ueda reali ar acti4idades en Freas de res!onsabilidad nica sin ser monitoreada" 1 la inde!endencia entre el inicio de un e4ento 1 su autori acin" considerando los siguientes !untos5 a/ ,e!arar acti4idades 2ue re2uieren conni4encia !ara defraudar" !or eDem!lo efectuar una orden de com!ra 1 4erificar 2ue la mercadera fue recibida) b/ DiseLar controles" si eEiste !eligro de conni4encia de manera tal 2ue dos o mFs !ersonas est0n in4olucradas" reduciendo la !osibilidad de cons!iracin)
(&%&2& Separacin entre Instalaciones de "esarrollo e Instalaciones Operati-as

6os ambientes de desarrollo" !rueba 1 o!eraciones" siem!re 2ue sea !osible" estarFn se!arados !referentemente en forma fsica" 1 se definirFn 1 documentarFn las reglas !ara la transferencia de softKare desde el estado de desarrollo #acia el estado o!erati4o) Para ello" se tendrFn en cuenta los siguientes controles5 a/ *Decutar el softKare de desarrollo 1 de o!eraciones" en diferentes ambientes de o!eraciones" e2ui!os" o directorios) b/ ,e!arar las acti4idades de desarrollo 1 !rueba" en entornos diferentes) c/ (m!edir el acceso a los com!iladores" editores 1 otros utilitarios del sistema en el ambiente o!erati4o" cuando no sean indis!ensables !ara el funcionamiento del mismo) d/ <tili ar sistemas de autenticacin 1 autori acin inde!endientes !ara los diferentes ambientes" as como !erfiles de acceso a los sistemas) Pro#ibir a los usuarios com!artir contraseLas en estos sistemas) 6as interfaces de los sistemas identificarFn claramente a 2u0 instancia se estF reali ando la coneEin) e/ Definir !ro!ietarios de la informacin !ara cada un de los ambientes de !rocesamiento eEistentes) f/ *l !ersonal de desarrollo no tendrF acceso al ambiente o!erati4o) De ser eEtrema dic#a necesidad" se establecerF un !rocedimiento de emergencia !ara la autori acin" documentacin 1 registro de dic#os accesos) Para el caso 2ue no !uedan mantener se!arados los distintos ambientes en forma fsica" deberFn im!lementarse los controles indicados en el !unto +,e!aracin de 7unciones-) *n el AneEo al ca!tulo 5 se !resenta un es2uema modelo de segregacin de ambientes de !rocesamiento)
(&%&4& 6estin de Instalaciones EIternas

*n el caso de terceri ar la administracin de las instalaciones de !rocesamiento" se acordarFn controles con el !ro4eedor del ser4icio 1 se incluirFn en el contrato" contem!lando las siguientes cuestiones es!ecficas .Ver C)H)1) :e2uerimientos de ,eguridad en $ontratos de 'erceri acin/5
a/ (dentificar las a!licaciones sensibles o crticas 2ue con4enga retener en el %rganismo) b/ %btener la a!robacin de los !ro!ietarios de a!licaciones es!ecficas) c/ (dentificar las im!licancias !ara la continuidad de los !lanes de las acti4idades del %rganismo) d/ *s!ecificar las normas de seguridad 1 el !roceso de medicin del cum!limiento) e/ Asignar funciones es!ecficas 1 !rocedimientos !ara monitorear todas las acti4idades de seguridad)
f/ Definir las funciones 1 !rocedimientos de comunicacin 1 maneDo de incidentes relati4os a la seguridad) Dic#as consideraciones deberFn ser acordadas entre el :es!onsable de ,eguridad (nformFtica" el :es!onsable del Mrea de (nformFtica 1 el :es!onsable del Mrea 6egal del %rganismo)
(&)& Planificacin ; Aprobacin de Sistemas

(&)&%& Planificacin de la !apacidad
*l :es!onsable del Mrea (nformFtica" o el !ersonal 2ue 0ste designe" efectuarF el monitoreo de las necesidades de ca!acidad de los sistemas en o!eracin 1 !ro1ectar las futuras demandas" a fin de garanti ar un !rocesamiento 1 almacenamiento adecuados) Para ello tomarF en cuenta ademFs los nue4os re2uerimientos de los sistemas as como las tendencias actuales 1 !ro1ectadas en el !rocesamiento de la informacin del %rganismo !ara el !erodo esti!ulado de 4ida til de cada com!onente) Asimismo" informarF las necesidades detectadas a las autoridades com!etentes !ara 2ue !uedan identificar 1 e4itar !otenciales cuellos de botella" 2ue !odran !lantear una amena a a la seguridad o a la continuidad del !rocesamiento" 1 !uedan !lanificar una adecuada accin correcti4a)
(&)&)& Aprobacin del Sistema

*l :es!onsable del Mrea (nformFtica 1 el :es!onsable de ,eguridad (nformFtica sugerirFn criterios de a!robacin !ara nue4os sistemas de informacin" actuali aciones 1 nue4as 4ersiones" solicitando la reali acin de las !ruebas necesarias antes de su a!robacin definiti4a) ,e deben considerar los siguientes !untos5 a/ Verificar el im!acto en el desem!eLo 1 los re2uerimientos de ca!acidad de las com!utadoras) b/ 8aranti ar la recu!eracin ante errores) c/ Pre!arar 1 !oner a !rueba los !rocedimientos o!erati4os de rutina segn normas definidas) d/ 8aranti ar la im!lementacin de un conDunto acordado de controles de seguridad) e/ $onfeccionar dis!osiciones relati4as a la continuidad de las acti4idades del %rganismo) f/ Asegurar 2ue la instalacin del nue4o sistema no afectarF negati4amente los sistemas eEistentes" es!ecialmente en los !erodos !ico de !rocesamiento) g/ $onsiderar el efecto 2ue tiene el nue4o sistema en la seguridad global del %rganismo) #/ Dis!oner la reali acin de entrenamiento en la o!eracin 1Bo uso de nue4os sistemas)
(&/& Proteccin !ontra SoftAare Malicioso

(&/&%& !ontroles !ontra SoftAare Malicioso
*l :es!onsable de ,eguridad (nformFtica definirF controles de deteccin 1 !re4encin !ara la !roteccin contra softKare malicioso) *l :es!onsable del Mrea (nformFtica" o el !ersonal designado !or 0ste" im!lementarF dic#os controles)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina C@
*l :es!onsable de ,eguridad (nformFtica desarrollarF !rocedimientos adecuados de concienti acin de usuarios en materia de seguridad" controles de acceso al sistema 1 administracin de cambios) *stos controles deberFn considerar las siguientes acciones5 a/ Pro#ibir el uso de softKare no autori ado !or el %rganismo .Ver 12)1)2)1) Derec#o de Pro!iedad (ntelectual del ,oftKare/) b/ :edactar !rocedimientos !ara e4itar los riesgos relacionados con la obtencin de arc#i4os 1 softKare desde o a tra40s de redes eEternas" o !or cual2uier otro medio" seLalando las medidas de !roteccin a tomar) c/ (nstalar 1 actuali ar !eridicamente softKare de deteccin 1 re!aracin de 4irus" eEaminado com!utadoras 1 medios informFticos" como medida !recautoria 1 rutinaria) d/ Mantener los sistemas al da con las ltimas actuali aciones de seguridad dis!onibles .!robar dic#as actuali aciones en un entorno de !rueba !re4iamente si es 2ue constitu1en cambios crticos a los sistemas/) e/ :e4isar !eridicamente el contenido de softKare 1 datos de los e2ui!os de !rocesamiento 2ue sustentan !rocesos crticos del %rganismo" in4estigando
formalmente la !resencia de arc#i4os no a!robados o modificaciones no autori adas) f/ Verificar antes de su uso" la !resencia de 4irus en arc#i4os de medios electrnicos de origen incierto" o en arc#i4os recibidos a tra40s de redes no confiables) g/ :edactar !rocedimientos !ara 4erificar toda la informacin relati4a a softKare malicioso" garanti ando 2ue los boletines de alerta sean eEactos e informati4os) #/ $oncienti ar al !ersonal acerca del !roblema de los falsos 4irus .#oaE/ 1 de cmo !roceder frente a los mismos)
(&0& Mantenimiento
(&0&%& Resguardo de la Informacin
*l :es!onsable del Mrea (nformFtica 1 el de ,eguridad (nformFtica Dunto al :es!onsable del Mrea (nformFtica 1 los Pro!ietarios de (nformacin determinarFn los re2uerimientos !ara resguardar cada softKare o dato en funcin de su criticidad) *n base a ello" se definirF 1 documentarF un es2uema de resguardo de la informacin) *l :es!onsable del Mrea (nformFtica dis!ondrF 1 controlarF la reali acin de dic#as co!ias" as como la !rueba !eridica de su restauracin) Para esto se deberF contar con instalaciones de resguardo 2ue garanticen la dis!onibilidad de toda la informacin 1 del softKare critico del %rganismo) 6os sistemas de resguardo deberFn !robarse !eridicamente" asegurFndose 2ue cum!len con los re2uerimientos de los !lanes de continuidad de las acti4idades del organismo" segn el !unto +*nsa1o" Mantenimiento 1 :ee4aluacin de los Planes de $ontinuidad del %rganismo)- de esta !oltica) ,e definirFn !rocedimientos !ara el resguardo de la informacin" 2ue deberFn considerar los siguientes !untos5 a/ Definir un es2uema de rtulo de las co!ias de resguardo" 2ue !ermita contar con toda la informacin necesaria !ara identificar cada una de ellas 1 administrarlas debidamente) b/ *stablecer un es2uema de reem!la o de los medios de almacenamiento de las co!ias de resguardo" una 4e concluida la !osibilidad de ser reutili ados" de acuerdo a lo indicado !or el !ro4eedor" 1 asegurando la destruccin de los medios desec#ados) .Ver J)@)2) *liminacin de Medios de (nformacin/) c/ Almacenar en una ubicacin remota co!ias recientes de informacin de resguardo Dunto con registros eEactos 1 com!letos de las mismas 1 los !rocedimientos documentados de restauracin" a una distancia suficiente como !ara e4itar daLos !ro4enientes de un desastre en el sitio !rinci!al) ,e deberFn retener al menos tres generaciones o ciclos de informacin de resguardo !ara la informacin 1 el softKare
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CI
esenciales !ara el %rganismo) Para la definicin de informacin mnima a ser resguardada en el sitio remoto" se deberF tener en cuenta el ni4el de clasificacin otorgado a la misma" en t0rminos de dis!onibilidad .Ver 5)2) $lasificacin de la informacin/ 1 re2uisitos legales a los 2ue se encuentre suDeta) d/ Asignar a la informacin de resguardo un ni4el de !roteccin fsica 1 ambiental segn las normas a!licadas en el sitio !rinci!al) *Etender los mismos controles a!licados a los dis!ositi4os en el sitio !rinci!al al sitio de resguardo) e/ Probar !eridicamente los medios de resguardo) f/ Verificar 1 !robar !eridicamente los !rocedimientos de restauracin garanti ando su eficacia 1 cum!limiento dentro del tiem!o asignado a la recu!eracin en los !rocedimientos o!erati4os) 6os !rocedimientos de reali acin de co!ias de resguardo 1 su almacenamiento deberFn res!etar las dis!osiciones del !unto 5) $lasificacin 1 $ontrol de Acti4os 1 12)1)H) Proteccin de los :egistros del %rganismo de la !resente Poltica)
(&0&)& Registro de Acti-idades del Personal Operati-o

*l :es!onsable del Mrea (nformFtica asegurarF el registro de las acti4idades reali adas en los sistemas" inclu1endo segn corres!onda5 a/ 'iem!os de inicio 1 cierre del sistema) b/ *rrores del sistema 1 medidas correcti4as tomadas)
c/ (ntentos de acceso a sistemas" recursos o informacin crtica o acciones restringidas d/ *Decucin de o!eraciones crticas e/ $ambios a informacin crtica 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin contrastarF los registros de acti4idades del !ersonal o!erati4o con relacin a los !rocedimientos o!erati4os)
(&0&/& Registro de +allas

*l :es!onsable del Mrea (nformFtica desarrollarF 1 4erificarF el cum!limiento de !rocedimientos !ara comunicar las fallas en el !rocesamiento de la informacin o los sistemas de comunicaciones" 2ue !ermita tomar medidas correcti4as) ,e registrarFn las fallas comunicadas" debiendo eEistir reglas claras !ara el maneDo de las mismas" con inclusin de5 a/ :e4isin de registros de fallas !ara garanti ar 2ue las mismas fueron resueltas satisfactoriamente) b/ :e4isin de medidas correcti4as !ara garanti ar 2ue los controles no fueron com!rometidos" 1 2ue las medidas tomadas fueron autori adas) c/ Documentacin de la falla con el obDeto de !re4enir su re!eticin o facilitar su resolucin en caso de reincidencia)
(&2& Administracin de la Red

(&2&%& !ontroles de Redes
*l :es!onsable de ,eguridad (nformFtica definirF controles !ara garanti ar la seguridad de los datos 1 los ser4icios conectados en las redes del %rganismo" contra el acceso no autori ado" considerando la eDecucin de las siguientes acciones5
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CJ
a/ *stablecer los !rocedimientos !ara la administracin del e2ui!amiento remoto" inclu1endo los e2ui!os en las Freas usuarias" la 2ue serF lle4ada a cabo !or el res!onsable establecido en el !unto +Asignacin de :es!onsabilidades en Materia de ,eguridad de la (nformacin-) b/ *stablecer controles es!eciales !ara sal4aguardar la confidencialidad e integridad del !rocesamiento de los datos 2ue !asan a tra40s de redes !blicas" 1 !ara !roteger los sistemas conectados) (m!lementar controles es!eciales !ara mantener la dis!onibilidad de los ser4icios de red 1 com!utadoras conectadas) c/ 8aranti ar mediante acti4idades de su!er4isin" 2ue los controles se a!lican uniformemente en toda la infraestructura de !rocesamiento de informacin) *l :es!onsable del Mrea (nformFtica im!lementarF dic#os controles)
(&4& Administracin ; Seguridad de los Medios de Almacenamiento

(&4&%& Administracin de Medios Inform3ticos Remo-ibles
*l :es!onsable del Mrea (nformFtica" con la asistencia del :es!onsable de ,eguridad (nformFtica" im!lementarF !rocedimientos !ara la administracin de medios informFticos remo4ibles" como cintas" discos" casetes e informes im!resos) *l cum!limiento de los !rocedimientos se #arF de acuerdo al ca!tulo A P +$ontrol de Accesos-) ,e deberFn considerar las siguientes acciones !ara la im!lementacin de los !rocedimientos5 a/ *liminar de forma segura los contenidos" si 1a no son re2ueridos" de cual2uier medio reutili able 2ue #a de ser retirado o reutili ado !or el %rganismo) .Ver I)11) Desafectacin o :eutili acin ,egura de los *2ui!os)/) b/ :e2uerir autori acin !ara retirar cual2uier medio del %rganismo 1 reali ar un control de todos los retiros a fin de mantener un registro de auditora) c/ Almacenar todos los medios en un ambiente seguro 1 !rotegido" de acuerdo con las es!ecificaciones de los fabricantes o !ro4eedores) ,e documentarFn todos los !rocedimientos 1 ni4eles de autori acin" en concordancia con el ca!tulo 5) $lasificacin 1 $ontrol de Acti4os)
(&4&)& Eliminacin de Medios de Informacin
*l :es!onsable del Mrea (nformFtica" Dunto con el :es!onsable de ,eguridad (nformFtica definirFn !rocedimientos !ara la eliminacin segura de los medios de informacin res!etando la normati4a 4igente) 6os !rocedimientos deberFn considerar 2ue los siguientes elementos re2uerirFn almacenamiento 1 eliminacin segura5 a/ Documentos en !a!el) b/ Voces u otras grabaciones) c/ Pa!el carbnico) d/ (nformes de salida) e/ $intas de im!resora de un solo uso) f/ $intas magn0ticas) g/ Discos o casetes remo4ibles) #/ Medios de almacenamiento !tico .todos los formatos inclu1endo todos los medios de distribucin de softKare del fabricante o !ro4eedor/) i/ 6istados de !rogramas) D/ Datos de !rueba)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina CA
S/ Documentacin del sistema) Asimismo" se debe considerar 2ue !odra ser mFs eficiente dis!oner 2ue todos los medios sean recolectados 1 eliminados de manera segura" antes 2ue intentar se!arar los tem sensibles)
(&4&/& Procedimientos de Mane:o de la Informacin

,e definirFn !rocedimientos !ara el maneDo 1 almacenamiento de la informacin de acuerdo a la clasificacin establecida en el ca!tulo 5 P +$lasificacin 1 $ontrol de Acti4os-) *n los !rocedimientos se contem!larFn las siguientes acciones5 a/ (ncluir en la !roteccin a documentos" sistemas informFticos" redes" com!utacin m4il" comunicaciones m4iles" correo" correo de 4o " comunicaciones de 4o en general" multimedia" ser4icios e instalaciones !ostales" uso de mF2uinas de faE 1 cual2uier otro tem !otencialmente sensible) b/ :estringir el acceso solo al !ersonal debidamente autori ado c/ Mantener un registro formal de los rece!tores autori ados de datos d/ 8aranti ar 2ue los datos de entrada son com!letos" 2ue el !rocesamiento se lle4a a cabo correctamente 1 2ue se 4alida las salidas) e/ Proteger los datos en es!era .GcolasG/) f/ $onser4ar los medios de almacenamiento en un ambiente 2ue concuerde con las es!ecificaciones de los fabricantes o !ro4eedores)
(&4&0& Seguridad de la "ocumentacin del Sistema

6a documentacin del sistema !uede contener informacin sensible" !or lo 2ue se considerarFn los siguientes recaudos !ara su !roteccin5 a/ Almacenar la documentacin del sistema en forma segura) b/ :estringir el acceso a la documentacin del sistema al !ersonal estrictamente necesario) Dic#o acceso serF autori ado !or el Pro!ietario de la (nformacin relati4a al sistema)
(&<& Intercambios de Informacin ; SoftAare

(&<&%& Acuerdos de Intercambio de Informacin ; SoftAare
$uando se realicen acuerdos entre organi aciones !ara el intercambio de informacin 1 softKare" se es!ecificarFn el grado de sensibilidad de la informacin del %rganismo in4olucrada 1 las consideraciones de seguridad sobre la misma) ,e tendrFn en cuenta los siguientes as!ectos5 a/ :es!onsabilidades gerenciales !or el control 1 la notificacin de transmisiones" en4os 1 rece!ciones) b/ Procedimientos de notificacin de emisin" transmisin" en4o 1 rece!cin) c/ &ormas t0cnicas !ara el em!a2uetado 1 la transmisin) d/ Pautas !ara la identificacin del !restador del ser4icio de correo)
e/ :es!onsabilidades 1 obligaciones en caso de !0rdida de datos) f/ <so de un sistema con4enido !ara el rotulado de informacin clasificada" garanti ando 2ue el significado de los rtulos sea inmediatamente com!rendido 1 2ue la informacin sea adecuadamente !rotegida) g/ '0rminos 1 condiciones de la licencia baDo la cual se suministra el softKare)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina 50
#/ (nformacin sobre la !ro!iedad de la informacin suministrada 1 las condiciones de su uso) i/ &ormas t0cnicas !ara la grabacin 1 lectura de la informacin 1 del softKare) D/ $ontroles es!eciales 2ue !uedan re2uerirse !ara !roteger tems sensibles" .cla4es cri!togrFficas" etc)/)
(&<&)& Seguridad de los Medios en Tr3nsito

6os !rocedimientos de trans!orte de medios informFticos entre diferentes !untos .en4os !ostales 1 mensaDera/ deberFn contem!lar5 a/ 6a utili acin de medios de trans!orte o ser4icios de mensaDera confiables) *l Pro!ietario de la (nformacin a trans!ortar determinarF 2u0 ser4icio de mensaDera se utili arF conforme la criticidad de la informacin a transmitir) b/ ,uficiente embalaDe !ara en4o de medios a tra40s de ser4icios !ostales o de mensaDera" siguiendo las es!ecificaciones de los fabricantes o !ro4eedores) c/ 6a ado!cin de controles es!eciales" cuando resulte necesario" a fin de !roteger la informacin sensible contra di4ulgacin o modificacin no autori adas) *ntre los eDem!los se inclu1en5 1) <so de reci!ientes cerrados) 2) *ntrega en mano) H) *mbalaDe a !rueba de a!ertura no autori ada .2ue re4ele cual2uier intento de acceso/) C) *n casos eEce!cionales" di4isin de la mercadera a en4iar en mFs de una entrega 1 en4o !or diferentes rutas)
(&<&/& Seguridad del 6obierno Electrnico

*l :es!onsable de ,eguridad (nformFtica 4erificarF 2ue los !rocedimientos de a!robacin de ,oftKare del !unto +A!robacin del ,istema- inclu1an los siguientes as!ectos !ara las a!licaciones de 8obierno *lectrnico5 a/ Autenticacin5 &i4el de confian a rec!roca suficiente sobre la identidad del usuario 1 el %rganismo) b/ Autori8acin5 &i4eles de Autori acin adecuados !ara establecer dis!osiciones" emitir o firmar documentos cla4e" etc)) 7orma de comunicarlo al otro !artici!ante de la transaccin electrnica) c/ Procesos de oferta ; contratacin pblica5 :e2uerimientos de confidencialidad" integridad 1 !rueba de en4o 1 rece!cin de documentos cla4e 1 de no re!udio de contratos) d/ Tr3mites en lnea5 $onfidencialidad" integridad 1 no re!udio de los datos suministrados con res!ecto a trFmites 1 !resentaciones ante el *stado 1 confirmacin de rece!cin) e/ 9erificacin5 8rado de 4erificacin a!ro!iado !ara constatar la informacin suministrada !or los usuarios) f/ !ierre de la transaccin5 7orma de interaccin mFs adecuada !ara e4itar fraudes) g/ Proteccin a la duplicacin5 Asegurar 2ue una transaccin slo se reali a una 4e " a menos 2ue se es!ecifi2ue lo contrario) #/ No repudio5 Manera de e4itar 2ue una entidad 2ue #a1a en4iado o recibido informacin alegue 2ue no la en4i o recibi) i/ Responsabilidad5 Asignacin de res!onsabilidades ante el riesgo de e4entuales !resentaciones" tramitaciones o transacciones fraudulentas) 6as consideraciones mencionadas se im!lementarFn mediante la a!licacin de las t0cnicas cri!togrFficas enumeradas en el !unto +Poltica de <tili acin de $ontroles $ri!togrFficos)+ 1 tomando en cuenta el cum!limiento de los re2uisitos legales emanados de toda la normati4a
4igente)
,e darFn a conocer a los usuarios" los t0rminos 1 condiciones a!licables) 'odas las medidas 4inculadas al !lan de gobierno electrnico del organismo deberFn dictarse conforme lo dis!uesto !or el Decreto &? HIJB2005)
(&<&0& Seguridad del !orreo Electrnico

(&<&0&%& Riesgos de Seguridad
,e im!lementarFn controles !ara reducir los riesgos de incidentes de seguridad en el correo electrnico" contem!lando5 a/ 6a 4ulnerabilidad de los mensaDes al acceso o modificacin no autori ados o a la negacin de ser4icio) b/ 6a !osible interce!cin 1 el consecuente acceso a los mensaDes en los medios de transferencia 2ue inter4ienen en la distribucin de los mismos) c/ 6as !osibles 4ulnerabilidades a errores" !or eDem!lo" consignacin incorrecta de la direccin o direccin errnea" 1 la confiabilidad 1 dis!onibilidad general del ser4icio) d/ 6a !osible rece!cin de cdigo malicioso en un mensaDe de correo" el cual afecte la seguridad de la terminal rece!tora o de la red a la 2ue se encuentra conectada) e/ *l im!acto de un cambio en el medio de comunicacin en los !rocesos del %rganismo) f/ 6as consideraciones legales" como la necesidad !otencial de contar con !rueba de origen" en4o" entrega 1 ace!tacin) g/ 6as im!licancias de la !ublicacin eEterna de listados de !ersonal" accesibles al !blico) #/ *l acceso de usuarios remotos a las cuentas de correo electrnico) i/ *l uso inadecuado !or !arte del !ersonal)
(&<&0&)& Poltica de !orreo Electrnico

*l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica definirFn 1 documentarFn normas 1 !rocedimientos claros con res!ecto al uso del correo electrnico" 2ue inclu1a al menos los siguientes as!ectos5 a/ Proteccin contra ata2ues al correo electrnico" !or eDem!lo 4irus" interce!cin" etc) b/ Proteccin de arc#i4os adDuntos de correo electrnico) c/ <so de t0cnicas cri!togrFficas !ara !roteger la confidencialidad e integridad de los mensaDes electrnicos .Ver 10)H) $ontroles $ri!togrFficos/) d/ :etencin de mensaDes 2ue" si se almacenaran" !udieran ser usados en caso de litigio) e/ $ontroles adicionales !ara eEaminar mensaDes electrnicos 2ue no !ueden ser autenticados) f/ As!ectos o!erati4os !ara garanti ar el correcto funcionamiento del ser4icio .eD)5 tamaLo mFEimo de informacin transmitida 1 recibida" cantidad de destinatarios" tamaLo mFEimo del bu n del usuario" etc)/) g/ Definicin de los alcances del uso del correo electrnico !or !arte del !ersonal del %rganismo) #/ Potestad del %rganismo !ara auditar los mensaDes recibidos o emitidos !or los ser4idores del %rganismo" lo cual se incluirF en el +$om!romiso de $onfidencialidad.@)1)H) $om!romiso de $onfidencialidad/ *stos dos ltimos !untos deben ser ledos a la lu de las normas 4igentes 2ue no slo !ro#ben a los em!leados a #acer uso indebido o con fines !articulares del !atrimonio estatal sino 2ue tambi0n im!onen la obligacin de usar los bienes 1 recursos del estado con los fines autori ados 1 de manera racional" e4itando su abuso" derroc#e o desa!ro4ec#amiento) .12)1)5) Pre4encin del <so (nadecuado de los :ecursos de Procesamiento de (nformacin/)
*ntender al correo electrnico como una #erramienta mFs de trabaDo !ro4ista al em!leado a fin de ser utili ada conforme el uso al cual estF destinada" faculta al em!leador a im!lementar sistemas de controles destinados a 4elar !or la !roteccin 1 el buen uso de sus recursos) *sta facultad" sin embargo" deberF eDercerse sal4aguardando la dignidad del trabaDador 1 su derec#o a la intimidad) Por tal moti4o" el %rganismos debe informar claramente a sus
em!leados5 a/ cuFl es el uso 2ue el organismo es!era 2ue los em!leados #agan del correo electrnico !ro4isto !or el organismoO 1 b/ baDo 2u0 condiciones los mensaDes !ueden ser obDeto de control 1 monitoreo)
(&<&2& Seguridad de los Sistemas Electrnicos de Oficina

,e controlarFn los mecanismos de distribucin 1 difusin tales como documentos" com!utadoras" com!utacin m4il" comunicaciones m4iles" correo" correo de 4o " comunicaciones de 4o en general" multimedia" ser4icios o instalaciones !ostales" e2ui!os de faE" etc) Al interconectar dic#os medios" se considerarFn las im!licancias en lo 2ue res!ecta a la seguridad 1 a las acti4idades !ro!ias del %rganismo" inclu1endo5 a/ Vulnerabilidades de la informacin en los sistemas de oficina" !or eDem!lo la grabacin de llamadas telefnicas o teleconferencias" la confidencialidad de las llamadas" el almacenamiento de faEes" la a!ertura o distribucin del correo) b/ Procedimientos 1 controles a!ro!iados !ara administrar la distribucin de informacin" !or eDem!lo el uso de boletines electrnicos institucionales) c/ *Eclusin de categoras de informacin sensible del %rganismo" si el sistema no brinda un adecuado ni4el de !roteccin) d/ 6imitacin del acceso a la informacin de las acti4idades 2ue desarrollan determinadas !ersonas" !or eDem!lo a2uellas 2ue trabaDa en !ro1ectos sensibles) e/ 6a a!titud del sistema !ara dar so!orte a las a!licaciones del %rganismo" como la comunicacin de rdenes o autori aciones) f/ $ategoras de !ersonal 1 contratistas o terceros a los 2ue se !ermite el uso del sistema 1 las ubicaciones desde las cuales se !uede acceder al mismo) g/ :estriccin de acceso a determinadas instalaciones a es!ecficas categoras de usuarios) #/ (dentificacin de la !osicin o categora de los usuarios" !or eDem!lo em!leados del %rganismo o contratistas" en directorios accesibles !or otros usuarios) i/ :etencin 1 resguardo de la informacin almacenada en el sistema) D/ :e2uerimientos 1 dis!osiciones relati4os a sistemas de so!orte de re!osicin de informacin !re4ia)
(&<&4& Sistemas de Acceso Pblico

,e tomarFn recaudos !ara la !roteccin de la integridad de la informacin !ublicada electrnicamente" a fin de !re4enir la modificacin no autori ada 2ue !odra daLar la re!utacin del %rganismo 2ue emite la !ublicacin) *s !osible 2ue la informacin de un sistema de acceso !blico" !or eDem!lo la informacin en un ser4idor Ueb accesible !or (nternet" deba cum!lir con ciertas normas de la Durisdiccin en la cual se locali a el sistema o en la cual tiene lugar la transaccin electrnica) ,e im!lementarF un !roceso de autori acin formal antes de 2ue la informacin se !onga a dis!osicin del !blico" estableci0ndose en todos los casos los encargados de dic#a a!robacin) 'odos los sistemas de acceso !blico deberFn !re4er 2ue5 a/ 6a informacin se obtenga" !rocese 1 !ro!orcione de acuerdo a la normati4a 4igente" en es!ecial la 6e1 de Proteccin de Datos Personales)
8estin de $omunicaciones 1 %!eraciones Poltica Modelo Documento Pblico PFgina 5H
b/ 6a informacin 2ue se ingresa al sistema de !ublicacin" o a2uella 2ue !rocesa el mismo" sea !rocesada en forma com!leta" eEacta 1 o!ortuna) c/ 6a informacin sensible sea !rotegida durante el !roceso de recoleccin 1 su almacenamiento) d/ *l acceso al sistema de !ublicacin no !ermita el acceso accidental a las redes a las cuales se conecta el mismo) e/ ,e registre al res!onsable de la !ublicacin de informacin en sistemas de acceso !blico) f/ 6a informacin se !ubli2ue teniendo en cuenta las normas establecidas al res!ecto) g/ ,e garantice la 4alide 1 4igencia de la informacin !ublicada)
(&<&<& Otras +ormas de Intercambio de Informacin
,e im!lementarFn normas" !rocedimientos 1 controles !ara !roteger el intercambio de informacin a tra40s de medios de comunicaciones de 4o " faE 1 4deo" contem!lando las siguientes acciones5 a/ $oncienti ar al !ersonal sobre la toma de debidas !recauciones" !or eDem!lo no re4elar informacin sensible como !ara e4itar ser escuc#ado o interce!tado" al #acer una llamada telefnica" !or5 1) Personas cercanas" en es!ecial al utili ar tel0fonos m4iles) 2) 'erceros 2ue tengan acceso a la comunicacin mediante la (nter4encin de la lnea telefnica" 1 otras formas de escuc#a subre!ticias" a tra40s del acceso fsico al a!arato o a la lnea telefnica" o mediante e2ui!os de barrido de frecuencias al utili ar tel0fonos m4iles anFlogos) H) 'erceros en el lado rece!tor) b/ :ecordar al !ersonal 2ue no sostengan con4ersaciones confidenciales en lugares !blicos u oficinas abiertas 1 lugares de reunin con !aredes delgadas) c/ &o deDar mensaDes en contestadores automFticos !uesto 2ue 0stos !ueden ser escuc#ados !or !ersonas no autori adas" almacenados en sistemas !blicos o almacenados incorrectamente como resultado de un error de discado) d/ :ecordar al !ersonal los !roblemas ocasionados !or el uso de mF2uinas de faE" en !articular5 1) *l acceso no autori ado a sistemas incor!orados de almacenamiento de mensaDes con el obDeto de recu!erarlos) 2) 6a !rogramacin deliberada o accidental de e2ui!os !ara en4iar mensaDes a determinados nmeros) H) *l en4o de documentos 1 mensaDes a un nmero e2ui4ocado !or errores de discado o !or utili ar el nmero almacenado e2ui4ocado)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5C
,& !ontrol de Accesos Generalidades

*l acceso !or medio de un sistema de restricciones 1 eEce!ciones a la informacin es la base de todo sistema de seguridad informFtica) Para im!edir el acceso no autori ado a los sistemas de informacin se deben im!lementar !rocedimientos formales !ara controlar la asignacin de derec#os de acceso a los sistemas de informacin" bases de datos 1 ser4icios de informacin" 1 estos deben estar claramente documentados" comunicados 1 controlados en cuanto a su cum!limiento) 6os !rocedimientos com!renden todas las eta!as del ciclo de 4ida de los accesos de los usuarios de todos los ni4eles" desde el registro inicial de nue4os usuarios #asta la !ri4acin final de derec#os de los usuarios 2ue 1a no re2uieren el acceso) 6a coo!eracin de los usuarios es esencial !ara la eficacia de la seguridad" !or lo tanto es necesario concienti ar a los mismos acerca de sus res!onsabilidades !or el mantenimiento de controles de acceso eficaces" en !articular a2uellos relacionados con el uso de contraseLas 1 la seguridad del e2ui!amiento)
Objetivo
(m!edir el acceso no autori ado a los sistemas de informacin" bases de datos 1 ser4icios de informacin) (m!lementar seguridad en los accesos de usuarios !or medio de t0cnicas de autenticacin 1 autori acin) $ontrolar la seguridad en la coneEin entre la red del %rganismo 1 otras redes !blicas o !ri4adas) :egistrar 1 re4isar e4entos 1 acti4idades crticas lle4adas a cabo !or los usuarios en los sistemas) $oncienti ar a los usuarios res!ecto de su res!onsabilidad frente a la utili acin de contraseLas 1 e2ui!os) 8aranti ar la seguridad de la informacin cuando se utili a com!utacin m4il e instalaciones de trabaDo remoto)
Alcance
6a Poltica definida en este documento se a!lica a todas las formas de acceso de a2uellos a 2uienes se les #a1a otorgado !ermisos sobre los sistemas de informacin" bases de datos o ser4icios de informacin del %rganismo" cual2uiera sea la funcin 2ue desem!eLe) Asimismo se a!lica al !ersonal t0cnico 2ue define" instala" administra 1 mantiene los !ermisos de acceso 1 las coneEiones de red" 1 a los 2ue administran su seguridad)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica estarF a cargo de5 - Definir normas 1 !rocedimientos !ara5 la gestin de accesos a todos los sistemas" bases de datos 1 ser4icios de informacin multiusuarioO el monitoreo del uso de las instalaciones de !rocesamiento de la informacinO la solicitud 1 a!robacin de accesos
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 55
a (nternetO el uso de com!utacin m4il" trabaDo remoto 1 re!ortes de incidentes relacionadosO la res!uesta a la acti4acin de alarmas silenciosasO la re4isin de registros de acti4idadesO 1 el aDuste de reloDes de acuerdo a un estFndar !reestablecido) - Definir !autas de utili acin de (nternet !ara todos los usuarios) - Partici!ar en la definicin de normas 1 !rocedimientos de seguridad a im!lementar en el ambiente informFtico .eD)5 sistemas o!erati4os" ser4icios de red" enrutadores o gateKa1s" etc)/ 1 4alidarlos !eridicamente) - $ontrolar la asignacin de !ri4ilegios a usuarios) - Anali ar 1 sugerir medidas a ser im!lementadas !ara efecti4i ar el control de acceso a (nternet de los usuarios) - Verificar el cum!limiento de las !autas establecidas" relacionadas con control de accesos" registracin de usuarios" administracin de !ri4ilegios" administracin de contraseLas" utili acin de ser4icios de red" autenticacin de usuarios 1 nodos" uso controlado de utilitarios del sistema" alarmas silenciosas" desconeEin de terminales !or tiem!o muerto" limitacin del #orario de coneEin" registro de e4entos" !roteccin de !uertos" subdi4isin de redes" control de coneEiones a la red" control de ruteo de red" etc) - $oncienti ar a los usuarios sobre el uso a!ro!iado de contraseLas 1 de e2ui!os de trabaDo) - Verificar el cum!limiento de los !rocedimientos de re4isin de registros de auditora) - Asistir a los usuarios 2ue corres!onda en el anFlisis de riesgos a los 2ue se eE!one la informacin 1 los com!onentes del ambiente informFtico 2ue sir4en de so!orte a la misma) 6os Pro!ietarios de la (nformacin estarFn encargados de5 - *4aluar los riesgos a los cuales se eE!one la informacin con el obDeto de5 determinar los controles de accesos" autenticacin 1 utili acin a ser im!lementados en cada caso) definir los e4entos 1 acti4idades de usuarios a ser registrados en los sistemas de !rocesamiento de su incumbencia 1 la !eriodicidad de re4isin de los mismos) - A!robar 1 solicitar la asignacin de !ri4ilegios a usuarios) - 6le4ar a cabo un !roceso formal 1 !eridico de re4isin de los derec#os de acceso a la informacin) - Definir un cronograma de de!uracin de registros de auditora en lnea) 6os Pro!ietarios de la (nformacin Dunto con la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" definirFn un cronograma de de!uracin de registros en lnea en funcin a normas 4igentes 1 a sus !ro!ias necesidades) 6os :es!onsable de las <nidades %rgani ati4as" Dunto con el :es!onsable de ,eguridad (nformFtica" autori arFn el trabaDo remoto del !ersonal a su cargo" en los casos en 2ue se 4erifi2ue 2ue son ado!tadas todas las medidas 2ue corres!ondan en materia de seguridad de la informacin" de modo de cum!lir con las normas 4igentes) Asimismo autori arFn el acceso de los usuarios a su cargo a los ser4icios 1 recursos de red 1 a (nternet)
*l :es!onsable del Mrea (nformFtica cum!lirF las siguientes funciones5 - (m!lementar !rocedimientos !ara la acti4acin 1 desacti4acin de derec#os de acceso a las redes) - Anali ar e im!lementar los m0todos de autenticacin 1 control de acceso definidos en los sistemas" bases de datos 1 ser4icios) - *4aluar el costo 1 el im!acto de la im!lementacin de +enrutadores- o +gateKa1sadecuados !ara subdi4idir la red 1 recomendar el es2uema a!ro!iado) - (m!lementar el control de !uertos" de coneEin a la red 1 de ruteo de red) - (m!lementar el registro de e4entos o acti4idades de usuarios de acuerdo a lo definido !or los !ro!ietarios de la informacin" as como la de!uracin de los mismos) - Definir e im!lementar los registros de e4entos 1 acti4idades corres!ondientes a sistemas o!erati4os 1 otras !lataformas de !rocesamiento) - *4aluar los riesgos sobre la utili acin de las instalaciones de !rocesamiento de informacin" con el obDeto de definir medios de monitoreo 1 tecnologas de
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5@
identificacin 1 autenticacin de usuarios .*D)5 biometra" 4erificacin de firma" uso de autenticadores de #ardKare/) - Definir e im!lementar la configuracin 2ue debe efectuarse !ara cada ser4icio de red" de manera de garanti ar la seguridad en su o!eratoria) - Anali ar las medidas a ser im!lementadas !ara efecti4i ar el control de acceso a (nternet de los usuarios) - %torgar acceso a los ser4icios 1 recursos de red" nicamente de acuerdo al !edido formal corres!ondiente) - *fectuar un control de los registros de auditora generados !or los sistemas o!erati4os 1 de comunicaciones) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" tendrF acceso a los registros de e4entos a fin de colaborar en el control 1 efectuar recomendaciones sobre modificaciones a los as!ectos de seguridad) *l $omit0 de ,eguridad de la (nformacin a!robarF el anFlisis de riesgos de la informacin efectuado) Asimismo" a!robarF el !erodo definido !ara el mantenimiento de los registros de auditora generados)
Poltica
,&%& Re@uerimientos para el !ontrol de Acceso
,&%&%& Poltica de !ontrol de Accesos
*n la a!licacin de controles de acceso" se contem!larFn los siguientes as!ectos5 a/ (dentificar los re2uerimientos de seguridad de cada una de las a!licaciones) b/ (dentificar toda la informacin relacionada con las a!licaciones) c/ *stablecer criterios co#erentes entre esta Poltica de $ontrol de Acceso 1 la Poltica de $lasificacin de (nformacin de los diferentes sistemas 1 redes .Ver 5) $lasificacin 1 $ontrol de Acti4os/) d/ (dentificar la legislacin a!licable 1 las obligaciones contractuales con res!ecto a la !roteccin del acceso a datos 1 ser4icios) e/ Definir los !erfiles de acceso de usuarios estFndar" comunes a cada categora de !uestos de trabaDo) f/ Administrar los derec#os de acceso en un ambiente distribuido 1 de red" 2ue recono can todos los ti!os de coneEiones dis!onibles)
,&%&)& Reglas de !ontrol de Acceso

6as reglas de control de acceso es!ecificadas" deberFn5 a/ (ndicar eE!resamente si las reglas son obligatorias u o!tati4as b/ *stablecer reglas sobre la !remisa +'odo debe estar !ro#ibido a menos 2ue se !ermita eE!resamente- 1 no sobre la !remisa in4ersa de +'odo estF !ermitido a menos 2ue se !ro#ba eE!resamente-) c/ $ontrolar los cambios en los rtulos de informacin 2ue son iniciados automFticamente !or #erramientas de !rocesamiento de informacin" de a2uellos 2ue son iniciados a
discrecin del usuario .Ver 5) $lasificacin 1 $ontrol de Acti4os/) d/ $ontrolar los cambios en los !ermisos de usuario 2ue son iniciados automFticamente !or el sistema de informacin 1 a2uellos 2ue son iniciados !or el administrador) e/ $ontrolar las reglas 2ue re2uieren la a!robacin del administrador o del Pro!ietario de la (nformacin de 2ue se trate" antes de entrar en 4igencia" 1 a2uellas 2ue no re2uieren a!robacin)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5I
,&)& Administracin de Accesos de #suarios

$on el obDeti4o de im!edir el acceso no autori ado a la informacin se im!lementarFn !rocedimientos formales !ara controlar la asignacin de derec#os de acceso a los sistemas" datos 1 ser4icios de informacin)
,&)&%& Registracin de #suarios

*l :es!onsable de ,eguridad (nformFtica definirF un !rocedimiento formal de registro de usuarios !ara otorgar 1 re4ocar el acceso a todos los sistemas" bases de datos 1 ser4icios de informacin multiusuario" el cual debe com!render5 a/ <tili ar identificadores de usuario nicos" de manera 2ue se !ueda identificar a los usuarios !or sus acciones e4itando la eEistencia de mlti!les !erfiles de acceso !ara un mismo em!leado) *l uso de identificadores gru!ales slo debe ser !ermitido cuando sean con4enientes !ara el trabaDo a desarrollar debido a ra ones o!erati4as) b/ Verificar 2ue el usuario tiene autori acin del Pro!ietario de la (nformacin !ara el uso del sistema" base de datos o ser4icio de informacin) c/ Verificar 2ue el ni4el de acceso otorgado es adecuado !ara el !ro!sito de la funcin del usuario 1 es co#erente con la Poltica de ,eguridad del %rganismo" !or eDem!lo 2ue no com!romete la se!aracin de tareas) d/ *ntregar a los usuarios un detalle escrito de sus derec#os de acceso) e/ :e2uerir 2ue los usuarios firmen declaraciones seLalando 2ue com!renden 1 ace!tan las condiciones !ara el acceso) f/ 8aranti ar 2ue los !ro4eedores de ser4icios no otorguen acceso #asta 2ue se #a1an com!letado los !rocedimientos de autori acin) g/ Mantener un registro formal de todas las !ersonas registradas !ara utili ar el ser4icio) #/ $ancelar inmediatamente los derec#os de acceso de los usuarios 2ue cambiaron sus tareas" o de a2uellos a los 2ue se les re4oc la autori acin" se des4incularon del %rganismo o sufrieron la !0rdidaBrobo de sus credenciales de acceso) i/ *fectuar re4isiones !eridicas con el obDeto de5 - cancelar identificadores 1 cuentas de usuario redundantes - in#abilitar cuentas inacti4as !or mFs de ))))))))))))) .indicar !erodo no ma1or a @0 das/ - eliminar cuentas inacti4as !or mFs de))))))))))))) .indicar !erodo no ma1or a 120 das/ *n el caso de eEistir eEce!ciones" deberFn ser debidamente Dustificadas 1 a!robadas) D/ 8aranti ar 2ue los identificadores de usuario redundantes no se asignen a otros usuarios) S/ (ncluir clFusulas en los contratos de !ersonal 1 de ser4icios 2ue es!ecifi2uen sanciones si el !ersonal o los agentes 2ue !restan un ser4icio intentan accesos no autori ados)
,&)&)& Administracin de Pri-ilegios

,e limitarF 1 controlarF la asignacin 1 uso de !ri4ilegios" debido a 2ue el uso inadecuado de los !ri4ilegios del sistema resulta frecuentemente en el factor mFs im!ortante 2ue contribu1e a la falla de los sistemas a los 2ue se #a accedido ilegalmente) 6os sistemas multiusuario 2ue re2uieren !roteccin contra accesos no autori ados" deben !re4er una asignacin de !ri4ilegios controlada mediante un !roceso de autori acin formal) ,e deben tener en cuenta los siguientes !asos5 a/ (dentificar los !ri4ilegios asociados a cada !roducto del sistema" !or eDem!lo sistema o!erati4o" sistema de administracin de bases de datos 1 a!licaciones" 1 las categoras de !ersonal a las cuales deben asignarse los !roductos)
b/ Asignar los !ri4ilegios a indi4iduos sobre la base de la necesidad de uso 1 e4ento !or e4ento" !or eDem!lo el re2uerimiento mnimo !ara su rol funcional)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina 5J
c/ Mantener un !roceso de autori acin 1 un registro de todos los !ri4ilegios asignados) 6os !ri4ilegios no deben ser otorgados #asta 2ue se #a1a com!letado el !roceso formal de autori acin) d/ *stablecer un !erodo de 4igencia !ara el mantenimiento de los !ri4ilegios .en base a la utili acin 2ue se le darF a los mismos/ luego del cual los mismos serFn re4ocados) e/ Promo4er el desarrollo 1 uso de rutinas del sistema !ara e4itar la necesidad de otorgar !ri4ilegios a los usuarios) 6os Pro!ietarios de (nformacin serFn los encargados de a!robar la asignacin de !ri4ilegios a usuarios 1 solicitar su im!lementacin" lo cual serF su!er4isado !or el :es!onsable de ,eguridad (nformFtica)
,&)&/& Administracin de !ontraseJas de #suario

6a asignacin de contraseLas se controlarF a tra40s de un !roceso de administracin formal" mediante el cual deben res!etarse los siguientes !asos5 a/ :e2uerir 2ue los usuarios firmen una declaracin !or la cual se com!rometen a mantener sus contraseLas !ersonales en secreto 1 las contraseLas de los gru!os de trabaDo eEclusi4amente entre los miembros del gru!o) *sta declaracin bien !uede estar incluida en el $om!romiso de $onfidencialidad .Ver @)1)H) $om!romiso de $onfidencialidad/ b/ 8aranti ar 2ue los usuarios cambien las contraseLas iniciales 2ue les #an sido asignadas la !rimera 4e 2ue ingresan al sistema) 6as contraseLas !ro4isorias" 2ue se asignan cuando los usuarios ol4idan su contraseLa" slo debe suministrarse una 4e identificado el usuario) c/ 8enerar contraseLas !ro4isorias seguras !ara otorgar a los usuarios) ,e debe e4itar la !artici!acin de terceros o el uso de mensaDes de correo electrnico sin !roteccin .teEto claro/ en el mecanismo de entrega de la contraseLa 1 los usuarios deben dar acuse de recibo cuando la reciban) d/ Almacenar las contraseLas slo en sistemas informFticos !rotegidos) e/ <tili ar otras tecnologas de autenticacin 1 autori acin de usuarios" como ser la biom0trica .!or eDem!lo 4erificacin de #uellas dactilares/" 4erificacin de firma" uso de autenticadores de #ardKare .como las tarDetas de circuito integrado/" etc)) *l uso de esas #erramientas se dis!ondrF cuando la e4aluacin de riesgos reali ada !or el :es!onsable de ,eguridad (nformFtica conDuntamente con el :es!onsable del Mrea de (nformFtica 1 el Pro!ietario de la (nformacin lo determine necesario .o lo Dustifi2ue/) f/ $onfigurar los sistemas de tal manera 2ue5 - las contraseLas tengan )))))) .es!ecificar cantidad no menor a J caracteres/ caracteres" - sus!endan o blo2ueen !ermanentemente al usuario luego de )))))) .es!ecificar cantidad no ma1or a H/ intentos de entrar con una contraseLa incorrecta .deberF !edir la re#abilitacin ante 2uien corres!onda/" - solicitar el cambio de la contraseLa cada )))))) .es!ecificar la!so no ma1or a C5 das/" - im!edir 2ue las ltimas )))))))) .es!ecificar cantidad no menor a 12/ contraseLas sean reutili adas" - establecer un tiem!o de 4ida mnimo de )))))) .es!ecificar cantidad no ma1or a H/ das !ara las contraseLas)
,&)&0& Administracin de !ontraseJas !rticas

*n los diferentes ambientes de !rocesamiento eEisten cuentas de usuarios con las cuales es !osible efectuar acti4idades crticas como ser instalacin de !lataformas o sistemas" #abilitacin de ser4icios" actuali acin de softKare" configuracin de com!onentes informFticos" etc)) Dic#as cuentas no serFn de uso #abitual .diario/" sino 2ue slo serFn utili adas ante una necesidad es!ecfica de reali ar alguna tarea 2ue lo re2uiera 1 se encontrarFn !rotegidas !or
$ontrol de Accesos
Poltica Modelo Documento Pblico PFgina 5A
contraseLas con un ma1or ni4el de com!leDidad 2ue el #abitual) *l :es!onsable de ,eguridad (nformFtica definirF !rocedimientos !ara la administracin de dic#as contraseLas crticas 2ue contem!len lo siguiente5 a/ ,e definirFn las causas 2ue DustificarFn el uso de contraseLas crticas as como el ni4el de autori acin re2uerido) b/ 6as contraseLas seleccionadas serFn seguras" 1 su definicin serF efectuada como mnimo !or dos !ersonas" de manera 2ue ninguna de ellas cono ca la contraseLa com!leta) c/ 6as contraseLas 1 los nombres de las cuentas crticas a las 2ue !ertenecen serFn resguardadas debidamente) d/ 6a utili acin de las contraseLas crticas serF registrada" documentando las causas 2ue determinaron su uso" as como el res!onsable de las acti4idades 2ue se efecten con la misma) e/ $ada contraseLa crtica se reno4arF una 4e utili ada 1 se definirF un !erodo luego del cual la misma serF reno4ada en caso de 2ue no se la #a1a utili ado) f/ ,e registrarFn todas las acti4idades 2ue se efecten con las cuentas crticas !ara luego ser re4isadas) Dic#o registro serF re4isado !osteriormente !or el :es!onsable de ,eguridad)
,&)&2& Re-isin de "erecBos de Acceso de #suarios

A fin de mantener un control efica del acceso a los datos 1 ser4icios de informacin" el Pro!ietario de la (nformacin de 2ue se trate lle4arF a cabo un !roceso formal" a inter4alos regulares de )))))))))) .indicar !eriodicidad no ma1or a @ meses/" a fin de re4isar los derec#os de acceso de los usuarios) ,e deberFn contem!lar los siguientes controles5 a/ :e4isar los derec#os de acceso de los usuarios a inter4alos de )))))))))) .es!ecificar tiem!o no ma1or a @ meses/) b/ :e4isar las autori aciones de !ri4ilegios es!eciales de derec#os de acceso a inter4alos de )))))))))) .es!ecificar tiem!o no ma1or a H meses/) c/ :e4isar las asignaciones de !ri4ilegios a inter4alos de )))))))))) .es!ecificar tiem!o no ma1or a @ meses/" a fin de garanti ar 2ue no se obtengan !ri4ilegios no autori ados)
,&/& Responsabilidades del #suario

,&/&%& #so de !ontraseJas
6os usuarios deben seguir buenas !rFcticas de seguridad en la seleccin 1 uso de contraseLas) 6as contraseLas constitu1en un medio de 4alidacin 1 autenticacin de la identidad de un usuario" 1 consecuentemente un medio !ara establecer derec#os de acceso a las instalaciones o ser4icios de !rocesamiento de informacin) 6os usuarios deben cum!lir las siguientes directi4as5 a/ Mantener las contraseLas en secreto) b/ Pedir el cambio de la contraseLa siem!re 2ue eEista un !osible indicio de com!romiso del sistema o de las contraseLas) c/ ,eleccionar contraseLas de calidad" de acuerdo a las !rescri!ciones informadas !or el :es!onsable del Acti4o de (nformacin de 2ue se trate" 2ue5 1) ,ean fFciles de recordar) 2) &o est0n basadas en algn dato 2ue otra !ersona !ueda adi4inar u obtener fFcilmente mediante informacin relacionada con la !ersona" !or eDem!lo nombres" nmeros de tel0fono" fec#a de nacimiento" etc)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @0
H) &o tengan caracteres id0nticos consecuti4os o gru!os totalmente num0ricos o totalmente alfab0ticos) d/ $ambiar las contraseLas cada 4e 2ue el sistema se lo solicite 1 e4itar reutili ar o reciclar 4ieDas contraseLas) e/ $ambiar las contraseLas !ro4isorias en el !rimer inicio de sesin .+log on-/) f/ *4itar incluir contraseLas en los !rocesos automati ados de inicio de sesin" !or eDem!lo" a2uellas almacenadas en una tecla de funcin o macro)
g/ &otificar de acuerdo a lo establecido en @)H)1 P +$omunicacin de (ncidentes :elati4os a la ,eguridad-" cual2uier incidente de seguridad relacionado con sus contraseLas5 !0rdida" robo o indicio de !0rdida de confidencialidad) ,i los usuarios necesitan acceder a mlti!les ser4icios o !lataformas 1 se re2uiere 2ue mantengan mlti!les contraseLas" se notificarF a los mismos 2ue !ueden utili ar una nica contraseLa !ara todos los ser4icios 2ue brinden un ni4el adecuado de !roteccin de las contraseLas almacenadas 1 en trFnsito)
,&/&)& E@uipos "esatendidos en ?reas de #suarios

6os usuarios deberFn garanti ar 2ue los e2ui!os desatendidos sean !rotegidos adecuadamente) 6os e2ui!os instalados en Freas de usuarios" !or eDem!lo estaciones de trabaDo o ser4idores de arc#i4os" re2uieren una !roteccin es!ecfica contra accesos no autori ados cuando se encuentran desatendidos) *l :es!onsable de ,eguridad (nformFtica debe coordinar con el Mrea de :ecursos Numanos las tareas de concienti acin a todos los usuarios 1 contratistas" acerca de los re2uerimientos 1 !rocedimientos de seguridad" !ara la !roteccin de e2ui!os desatendidos" as como de sus funciones en relacin a la im!lementacin de dic#a !roteccin) 6os usuarios cum!lirFn con las siguientes !autas5 a/ $oncluir las sesiones acti4as al finali ar las tareas" a menos 2ue !uedan !rotegerse mediante un mecanismo de blo2ueo adecuado" !or eDem!lo" un !rotector de !antalla !rotegido !or contraseLa) b/ Proteger las P$Vs o terminales contra usos no autori ados mediante un blo2ueo de seguridad o control e2ui4alente" !or eDem!lo" contraseLa de acceso cuando no se utili an)
,&0& !ontrol de Acceso a la Red

,&0&%& Poltica de #tili8acin de los Ser-icios de Red
6as coneEiones no seguras a los ser4icios de red !ueden afectar a todo el %rganismo" !or lo tanto" se controlarF el acceso a los ser4icios de red tanto internos como eEternos) *sto es necesario !ara garanti ar 2ue los usuarios 2ue tengan acceso a las redes 1 a sus ser4icios" no com!rometan la seguridad de los mismos) *l :es!onsable del Mrea (nformFtica tendrF a cargo el otorgamiento del acceso a los ser4icios 1 recursos de red" nicamente de acuerdo al !edido formal del titular de una <nidad %rgani ati4a 2ue lo solicite !ara !ersonal de su incumbencia) *ste control es !articularmente im!ortante !ara las coneEiones de red a a!licaciones 2ue !rocesen informacin clasificada o a!licaciones crticas" o a usuarios 2ue utilicen el acceso desde sitios de alto riesgo" !or eDem!lo Freas !blicas o eEternas 2ue estFn fuera de la administracin 1 del control de seguridad del %rganismo)
Para ello" se desarrollarFn !rocedimientos !ara la acti4acin 1 desacti4acin de derec#os de acceso a las redes" los cuales com!renderFn5 a/ (dentificar las redes 1 ser4icios de red a los cuales se !ermite el acceso) b/ :eali ar normas 1 !rocedimientos de autori acin !ara determinar las !ersonas 1 las redes 1 ser4icios de red a los cuales se les otorgarF el acceso) c/ *stablecer controles 1 !rocedimientos de gestin !ara !roteger el acceso a las coneEiones 1 ser4icios de red) *sta Poltica serF co#erente con la Poltica de $ontrol de Accesos del %rganismo .Ver A)1)1) Poltica de $ontrol de Accesos/)
,&0&)& !amino +or8ado

6as redes estFn diseLadas !ara !ermitir el mFEimo alcance de distribucin de recursos 1 fleEibilidad en la eleccin de la ruta a utili ar) *stas caractersticas tambi0n !ueden ofrecer o!ortunidades !ara el acceso no autori ado a las a!licaciones del %rganismo" o !ara el uso no autori ado de ser4icios de informacin) Por esto" el camino de las comunicaciones serF controlado) ,e limitarFn las o!ciones de eleccin de la ruta entre la terminal de usuario 1 los ser4icios a los
cuales el mismo se encuentra autori ado a acceder" mediante la im!lementacin de controles en diferentes !untos de la misma) A continuacin se enumeran algunos eDem!los a considerar en caso de im!lementar estos controles a los sistemas eEistentes5 a/ Asignar nmeros telefnicos o lneas" en forma dedicada) b/ *stablecer la coneEin automFtica de !uertos a gateKa1s de seguridad o a sistemas de a!licacin es!ecficos) c/ 6imitar las o!ciones de men 1 submen de cada uno de los usuarios) d/ *4itar la na4egacin ilimitada !or la red) e/ (m!oner el uso de sistemas de a!licacin 1Bo gateKa1s de seguridad es!ecficos !ara usuarios eEternos de la red) f/ $ontrolar acti4amente las comunicaciones con origen 1 destino autori ados a tra40s de un gateKa1" !or eDem!lo utili ando fireKalls) g/ :estringir el acceso a redes" estableciendo dominios lgicos se!arados" !or eDem!lo" redes !ri4adas 4irtuales !ara gru!os de usuarios dentro o fuera del %rganismo) 6os re2uerimientos relati4os a caminos for ados se basarFn en la Poltica de $ontrol de Accesos del %rganismo .Ver A)1)1) Poltica de $ontrol de Accesos/) *l :es!onsable de ,eguridad (nformFtica" conDuntamente con el Pro!ietario de la (nformacin de 2ue se trate" reali arFn una e4aluacin de riesgos a fin de determinar los mecanismos de control 2ue corres!onda en cada caso)
,&0&/& Autenticacin de #suarios para !oneIiones EIternas

6as coneEiones eEternas son de gran !otencial !ara accesos no autori ados a la informacin del %rganismo) Por consiguiente" el acceso de usuarios remotos estarF suDeto al cum!limiento de !rocedimientos de autenticacin) *Eisten diferentes m0todos de autenticacin" algunos de los cuales brindan un ma1or ni4el de !roteccin 2ue otros) *l :es!onsable de ,eguridad (nformFtica" conDuntamente con el Pro!ietario de la (nformacin de 2ue se trate" reali arFn una e4aluacin de riesgos a fin de determinar el mecanismo de autenticacin 2ue corres!onda en cada caso) 6a autenticacin de usuarios remotos !uede lle4arse a cabo utili ando5
a/ <n m0todo de autenticacin fsico .!or eDem!lo toSens de #ardKare/" !ara lo 2ue debe im!lementarse un !rocedimiento 2ue inclu1a5 Asignacin de la #erramienta de autenticacin) :egistro de los !oseedores de autenticadores) Mecanismo de rescate al momento de la des4inculacin del !ersonal al 2ue se le otorg) M0todo de re4ocacin de acceso del autenticador" en caso de com!romiso de seguridad) b/ <n !rotocolo de autenticacin .!or eDem!lo desafo B res!uesta/" !ara lo 2ue debe im!lementarse un !rocedimiento 2ue inclu1a5 *stablecimiento de las reglas con el usuario) *stablecimiento de un ciclo de 4ida de las reglas !ara su reno4acin) c/ 'ambi0n !ueden utili arse lneas dedicadas !ri4adas o una #erramienta de 4erificacin de la direccin del usuario de red" a fin de constatar el origen de la coneEin) 6os !rocedimientos 1 controles de re-llamada" o dial-bacS" !ueden brindar !roteccin contra coneEiones no autori adas a las instalaciones de !rocesamiento de informacin del %rganismo) Al a!licar este ti!o de control" el %rganismo no debe utili ar ser4icios de red 2ue inclu1an des4o de llamadas) ,i !or alguna causa es !reciso mantener el des4o de llamadas" no serF !osible a!licar el control de re-llamada) Asimismo" es im!ortante 2ue el !roceso de re-llamada garantice 2ue se !rodu ca a su t0rmino" una desconeEin real del lado del %rganismo)
,&0&0& Autenticacin de Nodos

<na #erramienta de coneEin automFtica a una com!utadora remota !odra brindar un medio !ara obtener acceso no autori ado a una a!licacin del %rganismo) Por consiguiente" las coneEiones a sistemas informFticos remotos serFn autenticadas) *sto es !articularmente im!ortante si la coneEin utili a una red 2ue estF fuera de control de la gestin de seguridad
del %rganismo) *n el !unto anterior se mencionan algunos eDem!los de autenticacin 1 de cmo !uede lograrse) 6a autenticacin de nodos !uede ser4ir como un medio alternati4o de autenticacin de gru!os de usuarios remotos" cuando 0stos estFn conectados a un ser4icio informFtico seguro 1 com!artido)
,&0&2& Proteccin de los Puertos EPortsF de "iagnstico Remoto

Muc#as com!utadoras 1 sistemas de comunicacin son instalados 1 administrados con una #erramienta de diagnstico remoto) ,i no estFn !rotegidos" estos !uertos de diagnstico !ro!orcionan un medio de acceso no autori ado) Por consiguiente" serFn !rotegidos !or un mecanismo de seguridad a!ro!iado" con las mismas caractersticas del !unto +Autenticacin de <suarios !ara $oneEiones *Eternas-) 'ambi0n !ara este caso deberF tenerse en cuenta el !unto +$amino 7or ado-)
,&0&4& Subdi-isin de Redes

Para controlar la seguridad en redes eEtensas" se !odrFn di4idir en dominios lgicos se!arados) Para esto se definirFn 1 documentarFn los !ermetros de seguridad 2ue sean con4enientes) *stos !ermetros se im!lementarFn mediante la instalacin de +gateKa1s- con funcionalidades de +fireKall- o redes !ri4adas 4irtuales" !ara filtrar el trFfico entre los dominios .Ver A)C)J) $ontrol de $oneEin a la :ed 1 A)C)A) $ontrol de :uteo de :ed/ 1 !ara blo2uear el acceso no autori ado de acuerdo a la Poltica de $ontrol de Accesos .Ver A)1) :e2uerimientos !ara el $ontrol de Acceso/)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @H
6a subdi4isin en dominios de la red tomarF en cuenta criterios como los re2uerimientos de seguridad comunes de gru!os de integrantes de la red" la ma1or eE!osicin de un gru!o a !eligros eEternos" se!aracin fsica" u otros criterios de aglutinamiento o segregacin !reeEistentes) =asFndose en la Poltica de $ontrol de Accesos 1 los re2uerimientos de acceso .Ver A)1) :e2uerimientos !ara el $ontrol de Acceso/" el :es!onsable del Mrea (nformFtica e4aluarF el costo relati4o 1 el im!acto en el desem!eLo 2ue ocasione la im!lementacin de enrutadores o gateKa1s adecuados .Ver A)C)J) $ontrol de $oneEin a la :ed 1 A)C)A) $ontrol de :uteo de :ed/ !ara subdi4idir la red) 6uego decidirF" Dunto con el :es!onsable de ,eguridad (nformFtica" el es2uema mFs a!ro!iado a im!lementar)
,&0&<& Acceso a Internet

*l acceso a (nternet serF utili ado con !ro!sitos autori ados o con el destino !or el cual fue !ro4isto) *l :es!onsable de ,eguridad (nformFtica definirF !rocedimientos !ara solicitar 1 a!robar accesos a (nternet) 6os accesos serFn autori ados formalmente !or el :es!onsable de la <nidad %rgani ati4a a cargo del !ersonal 2ue lo solicite) Asimismo" se definirFn las !autas de utili acin de (nternet !ara todos los usuarios) ,e e4aluarF la con4eniencia de generar un registro de los accesos de los usuarios a (nternet" con el obDeto de reali ar re4isiones de los accesos efectuados o anali ar casos !articulares) Dic#o control serF comunicado a los usuarios de acuerdo a lo establecido en el !unto +$om!romiso de $onfidencialidad-) Para ello" el :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea de (nformFtica anali arFn las medidas a ser im!lementadas !ara efecti4i ar dic#o control" como ser la instalacin de +fireKalls-" +!roEies-" etc)
,&0&(& !ontrol de !oneIin a la Red

,obre la base de lo definido en el !unto G:e2uerimientos -" se im!lementarFn controles !ara limitar la ca!acidad de coneEin de los usuarios) Dic#os controles se !odrFn im!lementar en los +gateKa1s- 2ue se!aren los diferentes dominios de la red .Ver A)C)@) ,ubdi4isin de :edes/) Algunos eDem!los de los entornos a las 2ue deben im!lementarse restricciones son5 a/ $orreo electrnico) b/ 'ransferencia de arc#i4os) c/ Acceso interacti4o) d/ Acceso a la red fuera del #orario laboral)
,&0&,& !ontrol de Ruteo de Red

*n las redes com!artidas" es!ecialmente a2uellas 2ue se eEtienden fuera de los lmites del
%rganismo" se incor!orarFn controles de ruteo" !ara asegurar 2ue las coneEiones informFticas 1 los fluDos de informacin no 4iolen la Poltica de $ontrol de Accesos .Ver A)1)1) Poltica de $ontrol de Accesos/) *stos controles contem!larFn mnimamente la 4erificacin !ositi4a de direcciones de origen 1 destino) Adicionalmente" !ara este obDeti4o !ueden utili arse di4ersos m0todos inclu1endo entre otros autenticacin de !rotocolos de ruteo" ruteo estFtico" traduccin de direcciones 1 listas de control de acceso)
,&0&%.& Seguridad de los Ser-icios de Red

$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @C
*l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica definirFn las !autas !ara garanti ar la seguridad de los ser4icios de red del %rganismo" tanto !blicos como !ri4ados) Para ello se tendrFn en cuenta las siguientes directi4as5 - Mantener instalados 1 #abilitados slo a2uellos ser4icios 2ue sean utili ados) - $ontrolar el acceso lgico a los ser4icios" tanto a su uso como a su administracin) - $onfigurar cada ser4icio de manera segura" e4itando las 4ulnerabilidades 2ue !udieran !resentar) - (nstalar !eridicamente las actuali aciones de seguridad) Dic#a configuracin serF re4isada !eridicamente !or el :es!onsable de ,eguridad (nformFtica)
,&2& !ontrol de Acceso al Sistema Operati-o

,&2&%& Identificacin Autom3tica de Terminales
*l :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica reali arFn una e4aluacin de riesgos a fin de determinar el m0todo de !roteccin adecuado !ara el acceso al ,istema %!erati4o) ,i del anFlisis reali ado surgiera la necesidad de !ro4eer un m0todo de identificacin de terminales" se redactarF un !rocedimiento 2ue indi2ue5 a/ *l m0todo de identificacin automFtica de terminales utili ado) b/ *l detalle de transacciones !ermitidas !or terminal)
,&2&)& Procedimientos de !oneIin de Terminales

*l acceso a los ser4icios de informacin slo serF !osible a tra40s de un !roceso de coneEin seguro) *l !rocedimiento de coneEin en un sistema informFtico serF diseLado !ara minimi ar la o!ortunidad de acceso no autori ado) *ste !rocedimiento" !or lo tanto" debe di4ulgar la mnima informacin !osible acerca del sistema" a fin de e4itar !ro4eer de asistencia innecesaria a un usuario no autori ado) *l !rocedimiento de identificacin deberF5 a/ Mantener en secreto los identificadores de sistemas o a!licaciones #asta tanto se #alla lle4ado a cabo eEitosamente el !roceso de coneEin) b/ Des!legar un a4iso general ad4irtiendo 2ue slo los usuarios autori ados !ueden acceder a la com!utadora) c/ *4itar dar mensaDes de a1uda 2ue !udieran asistir a un usuario no autori ado durante el !rocedimiento de coneEin) d/ Validar la informacin de la coneEin slo al com!letarse la totalidad de los datos de entrada) ,i surge una condicin de error" el sistema no debe indicar 2ue !arte de los datos es correcta o incorrecta) e/ 6imitar el nmero de intentos de coneEin no eEitosos !ermitidos 15 :egistrar los intentos no eEitosos) (m!edir otros intentos de identificacin" una 4e su!erado el lmite !ermitido) Desconectar coneEiones de comunicaciones de datos) f/ 6imitar el tiem!o mFEimo !ermitido !ara el !rocedimiento de coneEin) ,i este es eEcedido" el sistema debe finali ar la coneEin) g/ Des!legar la siguiente informacin" al com!letarse una coneEin eEitosa5 7ec#a 1 #ora de la coneEin eEitosa anterior)
Detalles
de los intentos de coneEin no eEitosos desde la ltima coneEin
eEitosa)
,&2&/& Identificacin ; Autenticacin de los #suarios

'odos los usuarios .incluido el !ersonal de so!orte t0cnico" como los o!eradores" administradores de red" !rogramadores de sistemas 1 administradores de bases de datos/ tendrFn un identificador nico .(D de usuario/ solamente !ara su uso !ersonal eEclusi4o" de manera 2ue las acti4idades !uedan rastrearse con !osterioridad #asta llegar al indi4iduo res!onsable) 6os identificadores de usuario no darFn ningn indicio del ni4el de !ri4ilegio otorgado) *n circunstancias eEce!cionales" cuando eEiste un claro beneficio !ara el %rganismo" !odrF utili arse un identificador com!artido !ara un gru!o de usuarios o una tarea es!ecfica) Para casos de esta ndole" se documentarF la Dustificacin 1 a!robacin del Pro!ietario de la (nformacin de 2ue se trate) ,i se utili arF un m0todo de autenticacin fsico .!or eDem!lo autenticadores de #ardKare/" deberF im!lementarse un !rocedimiento 2ue inclu1a5 a/ Asignar la #erramienta de autenticacin) b/ :egistrar los !oseedores de autenticadores) c/ :escatar el autenticador al momento de la des4inculacin del !ersonal al 2ue se le otorg) d/ :e4ocar el acceso del autenticador" en caso de com!romiso de seguridad)
,&2&0& Sistema de Administracin de !ontraseJas

6as contraseLas constitu1en uno de los !rinci!ales medios de 4alidacin de la autoridad de un usuario !ara acceder a un ser4icio informFtico) 6os sistemas de administracin de contraseLas deben constituir una #erramienta efica e interacti4a 2ue garantice contraseLas de calidad) *l sistema de administracin de contraseLas debe5 a/ (m!oner el uso de contraseLas indi4iduales !ara determinar res!onsabilidades) b/ Permitir 2ue los usuarios seleccionen 1 cambien sus !ro!ias contraseLas .luego de cum!lido el !la o mnimo de mantenimiento de las mismas/ e incluir un !rocedimiento de confirmacin !ara contem!lar los errores de ingreso) c/ (m!oner una seleccin de contraseLas de calidad segn lo seLalado en el !unto +<so de $ontraseLas-) d/ (m!oner cambios en las contraseLas en a2uellos casos en 2ue los usuarios mantengan sus !ro!ias contraseLas" segn lo seLalado en el !unto +<so de $ontraseLas-) e/ %bligar a los usuarios a cambiar las contraseLas !ro4isorias en su !rimer !rocedimiento de identificacin" en los casos en 2ue ellos seleccionen sus contraseLas) f/ Mantener un registro de las ltimas contraseLas utili adas !or el usuario" 1 e4itar la reutili acin de las mismas) g/ *4itar mostrar las contraseLas en !antalla" cuando son ingresadas) #/ Almacenar en forma se!arada los arc#i4os de contraseLas 1 los datos de sistemas de a!licacin) i/ Almacenar las contraseLas en forma cifrada utili ando un algoritmo de cifrado unidireccional) D/ Modificar todas las contraseLas !redeterminadas !or el 4endedor" una 4e instalado el softKare 1 el #ardKare .!or eDem!lo cla4es de im!resoras" #ubs" routers" etc)/) S/ 8aranti ar 2ue el medio utili ado !ara accederButili ar el sistema de contraseLas" asegure 2ue no se tenga acceso a informacin tem!oral o en trFnsito de forma no !rotegida)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @@
,&2&2& #so de #tilitarios de Sistema

6a ma1ora de las instalaciones informFticas tienen uno o mFs !rogramas utilitarios 2ue !odran tener la ca!acidad de !asar !or alto los controles de sistemas 1 a!licaciones) *s esencial 2ue su uso sea limitado 1 minuciosamente controlado) ,e deben considerar los siguientes controles5 a/ <tili ar !rocedimientos de autenticacin !ara utilitarios del sistema) b/ ,e!arar entre utilitarios del sistema 1 softKare de a!licaciones)
c/ 6imitar el uso de utilitarios del sistema a la cantidad mnima 4iable de usuarios fiables 1 autori ados) d/ *4itar 2ue !ersonas aDenas al %rganismo tomen conocimiento de la eEistencia 1 modo de uso de los utilitarios instalados en las instalaciones informFticas) e/ *stablecer autori aciones !ara uso ad #oc de utilitarios de sistema) f/ 6imitar la dis!onibilidad de utilitarios de sistema" !or eDem!lo durante el transcurso de un cambio autori ado) g/ :egistrar todo uso de utilitarios del sistema) #/ Definir 1 documentar los ni4eles de autori acin !ara utilitarios del sistema) i/ :emo4er todo el softKare basado en utilitarios 1 softKare de sistema innecesarios)
,&2&4& Alarmas Silenciosas para la Proteccin de los #suarios

,e considerarF la !ro4isin de alarmas silenciosas !ara los usuarios 2ue !odran ser obDetos de coercin) 6a decisin de suministrar una alarma de esta ndole se basarF en una e4aluacin de riesgos 2ue reali arF el :es!onsable de ,eguridad (nformFtica Dunto con el :es!onsable del Mrea (nformFtica) *n este caso" se definirFn 1 asignarFn funciones 1 !rocedimientos !ara res!onder a la utili acin de una alarma silenciosa)
,&2&<& "esconeIin de Terminales por Tiempo Muerto

*l :es!onsable de ,eguridad (nformFtica" Dunto con los Pro!ietarios de la (nformacin de 2ue se trate definirFn cuFles se consideran terminales de alto riesgo" !or eDem!lo Freas !blicas o eEternas fuera del alcance de la gestin de seguridad del %rganismo" o 2ue sir4en a sistemas de alto riesgo) 6as mismas se a!agarFn des!u0s de un !eriodo definido de inacti4idad" tiem!o muerto" !ara e4itar el acceso de !ersonas no autori adas) *sta #erramienta de desconeEin !or tiem!o muerto deberF lim!iar la !antalla de la terminal 1 deberF cerrar tanto la sesin de la a!licacin como la de red) *l la!so !or tiem!o muerto res!onderF a los riesgos de seguridad del Frea 1 de la informacin 2ue maneDe la terminal)) Para las P$Vs" se im!lementarF la desconeEin !or tiem!o muerto" 2ue lim!ie la !antalla 1 e4ite el acceso no autori ado" !ero 2ue no cierra las sesiones de a!licacin o de red) Por otro lado" si un agente debe abandonar su !uesto de trabaDo momentFneamente" acti4arF !rotectores de !antalla con contraseLas" a los efectos de e4itar 2ue terceros !uedan 4er su trabaDo o continuar con la sesin de usuario #abilitada)
,&2&(& 5imitacin del Corario de !oneIin

6as restricciones al #orario de coneEin deben suministrar seguridad adicional a las a!licaciones de alto riesgo) 6a limitacin del !eriodo durante el cual se !ermiten las coneEiones de terminales a los ser4icios informFticos reduce el es!ectro de o!ortunidades !ara el acceso no autori ado) ,e im!lementarF un control de esta ndole !ara a!licaciones informFticas sensibles" es!ecialmente a2uellas terminales instaladas en ubicaciones de alto riesgo" !or eDem!lo Freas !blicas o eEternas 2ue est0n fuera del alcance de la gestin de seguridad del %rganismo)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @I
*ntre los controles 2ue se deben a!licar" se enuncian5 a/ <tili ar la!sos !redeterminados" !or eDem!lo !ara transmisiones de arc#i4os en lote" o sesiones interacti4as !eridicas de corta duracin) b/ 6imitar los tiem!os de coneEin al #orario normal de oficina" de no eEistir un re2uerimiento o!erati4o de #oras eEtras o eEtensin #oraria) c/ Documentar debidamente los agentes 2ue no tienen restricciones #orarias 1 las ra ones de su autori acin) 'ambi0n cuando el Pro!ietario de la (nformacin autorice eEce!ciones !ara una eEtensin #oraria ocasional)
,&4& !ontrol de Acceso a las Aplicaciones

,&4&%& Restriccin del Acceso a la Informacin
6os usuarios de sistemas de a!licacin" con inclusin del !ersonal de so!orte" tendrFn acceso a la informacin 1 a las funciones de los sistemas de a!licacin de conformidad con la Poltica de $ontrol de Acceso definida" sobre la base de los re2uerimientos de cada a!licacin" 1 conforme a la Poltica del %rganismo !ara el acceso a la informacin" .Ver A)1) :e2uerimientos !ara el $ontrol de Acceso/)
,e a!licarFn los siguientes controles" !ara brindar a!o1o a los re2uerimientos de limitacin de accesos5 a/ Pro4eer una interfa !ara controlar el acceso a las funciones de los sistemas de a!licacin) *l Pro!ietario de la (nformacin in4olucrada serF res!onsable de la adDudicacin de accesos a las funciones) *n el caso de 2ue las acti4idades in4olucradas en el otorgamiento de acceso re4istan un carFcter t0cnico ele4ado" las mismas serFn lle4adas a cabo !or !ersonal del Frea de sistemas" conforme a una autori acin formal emitida !or el Pro!ietario de la (nformacin) b/ :estringir el conocimiento de los usuarios acerca de la informacin o de las funciones de los sistemas de a!licacin a las cuales no sean autori ados a acceder" con la adecuada edicin de la documentacin de usuario) c/ $ontrolar los derec#os de acceso de los usuarios" !or eDem!lo" lectura" escritura" su!resin 1 eDecucin) d/ 8aranti ar 2ue las salidas de los sistemas de a!licacin 2ue administran informacin sensible" contengan slo la informacin 2ue resulte !ertinente !ara el uso de la salida" 1 2ue la misma se en4e solamente a las terminales 1 ubicaciones autori adas) e/ :e4isar !eridicamente dic#as salidas a fin de garanti ar la remocin de la informacin redundante) f/ :estringir el acceso a la informacin !or fuera del sistema encargado de su !rocesamiento" es decir" la modificacin directa del dato almacenado)
,&4&)& Aislamiento de los Sistemas Sensibles

6os sistemas sensibles !odran re2uerir de un ambiente informFtico dedicado .aislado/) Algunos sistemas de a!licacin son suficientemente sensibles a !0rdidas !otenciales 1 re2uieren un tratamiento es!ecial) 6a sensibilidad !uede seLalar 2ue el sistema de a!licacin debe eDecutarse en una com!utadora dedicada" 2ue slo debe com!artir recursos con los sistemas de a!licacin confiables" o no tener limitaciones) ,on a!licables las siguientes consideraciones5 a/ (dentificar 1 documentar claramente la sensibilidad de un sistema de a!licacin) *sta tarea serF lle4ada a cabo !or el administrador de la a!licacin .Ver 5) $lasificacin 1 $ontrol de Acti4os/)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @J
b/ (dentificar 1 acordar con el administrador de la a!licacin sensible cuando la a!licacin #a de eDecutarse en un ambiente com!artido" los sistemas de a!licacin con los cuales 0sta com!artirF los recursos) c/ $oordinar con el :es!onsable del Mrea informFtica" 2u0 ser4icios estarFn dis!onibles en el entorno donde se eDecutarF la a!licacin" de acuerdo a los re2uerimientos de o!eracin 1 seguridad es!ecificados !or el administrador de la a!licacin) d/ $onsiderar la seguridad en la administracin de las co!ias de res!aldo de la informacin 2ue !rocesan las a!licaciones) e/ $onsiderar las mismas !recauciones de seguridad 1 !ri4acidad" en la elaboracin del !lan de continuidad 1Bo contingencia de la eDecucin de la a!licacin) *Dem!lo5 el e2ui!amiento alternati4o o las instalaciones de emergencia donde restablecer la a!licacin)
,&<& Monitoreo del Acceso ; #so de los Sistemas

,&<&%& Registro de E-entos
,e generarFn registros de auditora 2ue contengan eEce!ciones 1 otros e4entos relati4os a la seguridad) 6os registros de auditora deberFn incluir5 a/ (dentificacin del usuario) b/ 7ec#a 1 #ora de inicio 1 terminacin) c/ (dentidad o ubicacin de la terminal" si se #ubiera dis!uesto identificacin automFtica !ara la misma .Ver A)5)1) (dentificacin AutomFtica de 'erminales/) d/ :egistros de intentos eEitosos 1 fallidos de acceso al sistema) e/ :egistros de intentos eEitosos 1 fallidos de acceso a datos 1 otros recursos)
*n todos los casos" los registros de auditora serFn arc#i4ados !referentemente en un e2ui!o diferente al 2ue los genere 1 conforme los re2uerimientos de la Poltica de :etencin de :egistros .Ver 12)1)I) :ecoleccin de *4idencia/) 6os Pro!ietarios de la (nformacin Dunto con la <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" definirFn un cronograma de de!uracin de registros en lnea en funcin a normas 4igentes 1 a sus !ro!ias necesidades)
,&<&)& Monitoreo del #so de los Sistemas

,&<&)&%& Procedimientos ; ?reas de Riesgo
,e desarrollarFn !rocedimientos !ara monitorear el uso de las instalaciones de !rocesamiento de la informacin" a fin de garanti ar 2ue los usuarios slo est0n desem!eLando acti4idades 2ue #a1an sido autori adas eE!lcitamente) 'odos los em!leados deben conocer el alcance !reciso del uso adecuado de los recursos informFticos" 1 se les ad4ertirF 2ue determinadas acti4idades !ueden ser obDeto de control 1 monitoreo .Ver 12)1)5) Pre4encin del <so (nadecuado de los :ecursos de Procesamiento de (nformacin 1 @)1)H) $om!romiso de $onfidencialidad/) *l alcance de estos !rocedimientos deberF corres!onderse a la e4aluacin de riesgos 2ue realice el :es!onsable del Mrea (nformFtica 1 el :es!onsable de ,eguridad (nformFtica .Ver 10)C)1) $ontrol del ,oftKare %!erati4o/) *ntre las Freas 2ue deben tenerse en cuenta se enumeran las siguientes5 a/ Acceso no autori ado" inclu1endo detalles como5
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina @A
1) (dentificacin del usuario) 2) 7ec#a 1 #ora de e4entos cla4e) H) 'i!os de e4entos) C) Arc#i4os a los 2ue se accede) 5) <tilitarios 1 !rogramas utili ados) b/ 'odas las o!eraciones con !ri4ilegio" como5 1) <tili acin de cuenta de su!er4isor) 2) (nicio 1 cierre del sistema) H) $oneEin 1 desconeEin de dis!ositi4os de (ngreso 1 ,alida de informacin o 2ue !ermitan co!iar datos) C) $ambio de fec#aB#ora) 5) $ambios en la configuracin de la seguridad) @) Alta de ser4icios) c/ (ntentos de acceso no autori ado" como5 1) (ntentos fallidos) 2) Violaciones de la Poltica de Accesos 1 notificaciones !ara +gateKa1s- de red 1 +fireKalls-) H) Alertas de sistemas de deteccin de intrusiones) d/ Alertas o fallas de sistema como5 1) Alertas o mensaDes de consola) 2) *Ece!ciones del sistema de registro) H) Alarmas del sistema de administracin de redes) C) Accesos remotos a los sistemas)
,&<&)&)& +actores de Riesgo

*ntre los factores de riesgo 2ue se deben considerar se encuentran5 a/ 6a criticidad de los !rocesos de a!licaciones) b/ *l 4alor" la sensibilidad o criticidad de la informacin in4olucrada) c/ 6a eE!eriencia acumulada en materia de infiltracin 1 uso inadecuado del sistema) d/ *l alcance de la interconeEin del sistema .en !articular las redes !blicas/) 6os Pro!ietarios de la (nformacin manifestarFn la necesidad de registrar a2uellos e4entos 2ue consideren crticos !ara la o!eratoria 2ue se encuentra baDo su res!onsabilidad)
,&<&)&/& Registro ; Re-isin de E-entos

,e im!lementarF un !rocedimiento de registro 1 re4isin de los registros de auditora" orientado a !roducir un informe de las amena as detectadas contra los sistemas 1 los m0todos utili ados)
6a !eriodicidad de dic#as re4isiones serF definida !or los Pro!ietarios de la (nformacin 1 el :es!onsable de ,eguridad (nformFtica" de acuerdo a la e4aluacin de riesgos efectuada) ,i el 4olumen de la informacin contenida en alguno de los registros fuera mu1 grande" el !rocedimiento indicarF cuales de los registros mFs significati4os se co!iarFn automFticamente en registros auEiliares) Por otra !arte" el :es!onsable del Mrea (nformFtica" !odrF dis!oner la utili acin de #erramientas de auditora o utilitarios adecuados !ara lle4ar a cabo el control de los registros) *n la asignacin de funciones en materia de seguridad de la informacin .Ver C)1) (nfraestructura de la ,eguridad de la (nformacin/" se deberF se!arar las funciones entre 2uienes reali an la re4isin 1 a2uellos cu1as acti4idades estFn siendo monitoreadas)
$ontrol de Accesos Poltica Modelo Documento Pblico PFgina I0
6as #erramientas de registro deberFn contar con los controles de acceso necesarios" a fin de garanti ar 2ue no ocurra5 a/ 6a desacti4acin de la #erramienta de registro) b/ 6a alteracin de mensaDes registrados) c/ 6a edicin o su!resin de arc#i4os de registro) d/ 6a saturacin de un medio de so!orte de arc#i4os de registro) e/ 6a falla en los registros de los e4entos) f/ 6a sobre escritura de los registros) 6a <nidad de Auditora (nterna o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin" tendrF acceso a los registros de e4entos a fin de colaborar en el control 1 efectuar recomendaciones sobre modificaciones a los as!ectos de seguridad) Adicionalmente !odran e4aluar las #erramientas de registro" !ero no tendrFn libre acceso a ellas)
,&<&/& Sincroni8acin de Relo:es

A fin de garanti ar la eEactitud de los registros de auditora" al menos los e2ui!os 2ue realicen estos registros" deberFn tener una correcta configuracin de sus reloDes) Para ello" se dis!ondrF de un !rocedimiento de aDuste de reloDes" el cual indicarF tambi0n la 4erificacin de los reloDes contra una fuente eEterna del dato 1 la modalidad de correccin ante cual2uier 4ariacin significati4a)
,&(& !omputacin M-il ; Traba:o Remoto

,&(&%& !omputacin M-il
$uando se utili an dis!ositi4os informFticos m4iles se debe tener es!ecial cuidado en garanti ar 2ue no se com!rometa la informacin del %rganismo) ,e deberF tener en cuenta en este sentido" cual2uier dis!ositi4o m4il 1Bo remo4ible" inclu1endo5 &otebooSs" 6a!to! o PDA .Asistente Personal Digital/" 'el0fonos $elulares 1 sus tarDetas de memoria" Dis!ositi4os de Almacenamiento remo4ibles" tales como $Ds" DVDs" Dis2uetes" 'a!es" 1 cual2uier dis!ositi4o de almacenamiento de coneEin <,=" 'arDetas de identificacin !ersonal .control de acceso/" dis!ositi4os cri!togrFficos" cFmaras digitales" etc)) *sta lista no es taEati4a" 1a 2ue deberFn incluirse todos los dis!ositi4os 2ue !udieran contener informacin confidencial del %rganismo 1 !or lo tanto" ser !asibles de sufrir un incidente en el 2ue se com!rometa la seguridad del mismo) ,e desarrollarFn !rocedimientos adecuados !ara estos dis!ositi4os" 2ue abar2uen los siguientes conce!tos5 a/ 6a !roteccin fsica necesaria b/ *l acceso seguro a los dis!ositi4os c/ 6a utili acin de los dis!ositi4os en lugares !blicos) d/ *l acceso a los sistemas de informacin 1 ser4icios del %rganismo a tra40s de dic#os dis!ositi4os) e/ 6as t0cnicas cri!togrFficas a utili ar !ara la transmisin de informacin clasificada) f/ 6os mecanismos de resguardo de la informacin contenida en los dis!ositi4os) g/ 6a !roteccin contra softKare malicioso) 6a utili acin de dis!ositi4os m4iles incrementa la !robabilidad de ocurrencia de incidentes del ti!o de !0rdida" robo o #urto) *n consecuencia deberF entrenarse es!ecialmente al !ersonal
2ue los utilice) ,e desarrollarFn normas 1 !rocedimientos sobre los cuidados es!eciales a
obser4ar ante la !osesin de dis!ositi4os m4iles" 2ue contem!larFn las siguientes recomendaciones5 a/ Permanecer siem!re cerca del dis!ositi4o) b/ &o deDar desatendidos los e2ui!os) c/ &o llamar la atencin acerca de !ortar un e2ui!o 4alioso) d/ &o !oner identificaciones del %rganismo en el dis!ositi4o" sal4o los estrictamente necesarios) e/ &o !oner datos de contacto t0cnico en el dis!ositi4o) f/ Mantener cifrada la informacin clasificada) Por otra !arte" se confeccionarFn !rocedimientos 2ue !ermitan al !ro!ietario del dis!ositi4o re!ortar rF!idamente cual2uier incidente sufrido 1 mitigar los riesgos a los 2ue e4entualmente estu4ieran eE!uestos los sistemas de informacin del %rganismo" los 2ue incluirFn5 a/ :e4ocacin de las credenciales afectadas b/ &otificacin a gru!os de 'rabaDo donde !otencialmente se !udieran #aber com!rometido recursos)
,&(&)& Traba:o Remoto

*l trabaDo remoto utili a tecnologa de comunicaciones !ara !ermitir 2ue el !ersonal trabaDe en forma remota desde un lugar eEterno al %rganismo) *l trabaDo remoto slo serF autori ado !or el :es!onsable de la <nidad %rgani ati4a" o su!erior DerFr2uico corres!ondiente" a la cual !ertene ca el usuario solicitante" conDuntamente con el :es!onsable de ,eguridad (nformFtica" cuando se 4erifi2ue 2ue son ado!tadas todas las medidas 2ue corres!ondan en materia de seguridad de la informacin" de modo de cum!lir con la !oltica" normas 1 !rocedimientos eEistentes) *stos casos serFn de eEce!cin 1 serFn contem!lados en situaciones 2ue Dustifi2uen la im!osibilidad de otra forma de acceso 1 la urgencia" tales como #orarios del %rganismo" solicitud de las autoridades" etc) Para ello" se establecerFn normas 1 !rocedimientos !ara el trabaDo remoto" 2ue consideren los siguientes as!ectos5 a/ 6a seguridad fsica eEistente en el sitio de trabaDo remoto" tomando en cuenta la seguridad fsica del edificio 1 del ambiente local) b/ *l ambiente de trabaDo remoto !ro!uesto) c/ 6os re2uerimientos de seguridad de comunicaciones" tomando en cuenta la necesidad de acceso remoto a los sistemas internos del %rganismo" la sensibilidad de la informacin a la 2ue se accederF 1 2ue !asarF a tra40s del 4nculo de comunicacin 1 la sensibilidad del sistema interno) d/ 6a amena a de acceso no autori ado a informacin o recursos !or !arte de otras !ersonas 2ue utili an el lugar" !or eDem!lo" familia 1 amigos) e/ *4itar la instalacin B desinstalacin de softKare no autori ada !or el %rganismo) 6os controles 1 dis!osiciones com!renden5 a/ Pro4eer de mobiliario !ara almacenamiento 1 e2ui!amiento adecuado !ara las acti4idades de trabaDo remoto) b/ Definir el trabaDo !ermitido" el #orario de trabaDo" la clasificacin de la informacin 2ue se !uede almacenar en el e2ui!o remoto desde el cual se accede a la red del %rganismo 1 los sistemas internos 1 ser4icio a los cuales el trabaDador remoto estF autori ado a acceder) c/ Pro4eer de un adecuado e2ui!o de comunicacin" con inclusin de m0todos !ara asegurar el acceso remoto)
d/ (ncluir seguridad fsica) e/ Definir reglas 1 orientacin res!ecto del acceso de terceros al e2ui!amiento e informacin) f/ Pro4eer el #ardKare 1 el so!orte 1 mantenimiento del softKare) g/ Definir los !rocedimientos de bacSu! 1 de continuidad de las o!eraciones)
#/ *fectuar auditora 1 monitoreo de la seguridad) i/ :eali ar la anulacin de las autori aciones" derec#os de acceso 1 de4olucin del e2ui!o cuando finalicen las acti4idades remotas) D/ Asegurar el reintegro del e2ui!amiento en las mismas condiciones en 2ue fue entregado" en el caso en 2ue cese la necesidad de trabaDar en forma remota) ,e im!lementarFn !rocesos de auditora es!ecficos !ara los casos de accesos remotos" 2ue serFn re4isados regularmente) ,e lle4arF un registro de incidentes a fin de corregir e4entuales fallas en la seguridad de este ti!o de accesos)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IH
%.& "esarrollo ; Mantenimiento de Sistemas Generalidades

*l desarrollo 1 mantenimiento de las a!licaciones es un !unto crtico de la seguridad) Durante el anFlisis 1 diseLo de los !rocesos 2ue so!ortan estas a!licaciones se deben identificar" documentar 1 a!robar los re2uerimientos de seguridad a incor!orar durante las eta!as de desarrollo e im!lementacin) Adicionalmente" se deberFn diseLar controles de 4alidacin de datos de entrada" !rocesamiento interno 1 salida de datos) Dado 2ue los analistas 1 !rogramadores tienen el conocimiento total de la lgica de los !rocesos en los sistemas" se deben im!lementar controles 2ue e4iten maniobras dolosas !or !arte de estas !ersonas u otras 2ue !uedan o!erar sobre los sistemas" bases de datos 1 !lataformas de softKare de base .!or eDem!lo" o!eradores 2ue !uedan mani!ular los datos 1Bo atacantes 2ue !uedan com!rometer B alterar la integridad de las bases de datos/ 1 en el caso de 2ue se lle4en a cabo" identificar rF!idamente al res!onsable) Asimismo" es necesaria una adecuada administracin de la infraestructura de base" ,istemas %!erati4os 1 ,oftKare de =ase" en las distintas !lataformas" !ara asegurar una correcta im!lementacin de la seguridad" 1a 2ue en general los a!licati4os se asientan sobre este ti!o de softKare)
Objetivo
Asegurar la inclusin de controles de seguridad 1 4alidacin de datos en el desarrollo de los sistemas de informacin) Definir 1 documentar las normas 1 !rocedimientos 2ue se a!licarFn durante el ciclo de 4ida de los a!licati4os 1 en la infraestructura de base en la cual se a!o1an) Definir los m0todos de !roteccin de la informacin crtica o sensible)
Alcance
*sta Poltica se a!lica a todos los sistemas informFticos" tanto desarrollos !ro!ios o de terceros" 1 a todos los ,istemas %!erati4os 1Bo ,oftKare de =ase 2ue integren cual2uiera de los ambientes administrados !or el %rganismo en donde residan los desarrollos mencionados)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica Dunto con el Pro!ietario de la (nformacin 1 la <nidad de Auditora (nterna" definirFn los controles a ser im!lementados en los sistemas desarrollados internamente o !or terceros" en funcin de una e4aluacin !re4ia de riesgos) *l :es!onsable de ,eguridad (nformFtica" Dunto con el Pro!ietario de la (nformacin" definirFn en funcin a la criticidad de la informacin" los re2uerimientos de !roteccin mediante m0todos cri!togrFficos) 6uego" el :es!onsable de ,eguridad (nformFtica definirF Dunto con el :es!onsable del Mrea de ,istemas" los m0todos de encri!cin a ser utili ados) Asimismo" el :es!onsable de ,eguridad (nformFtica cum!lirF las siguientes funciones5 - Definir los !rocedimientos de administracin de cla4es) - Verificar el cum!limiento de los controles establecidos !ara el desarrollo 1 mantenimiento de sistemas) - 8aranti ar el cum!limiento de los re2uerimientos de seguridad !ara el softKare)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IC
- Definir !rocedimientos !ara5 el control de cambios a los sistemasO la 4erificacin de la seguridad de las !lataformas 1 bases de datos 2ue so!ortan e interactan con los
sistemasO el control de cdigo maliciosoO 1 la definicin de las funciones del !ersonal in4olucrado en el !roceso de entrada de datos) *l :es!onsable del Mrea (nformFtica" !ro!ondrF !ara su a!robacin !or !arte del su!erior DerFr2uico 2ue corres!onda" la asignacin de funciones de +im!lementador- 1 +administrador de !rogramas fuentes- al !ersonal de su Frea 2ue considere adecuado" cu1as res!onsabilidades se detallan en el !resente ca!tulo) Asimismo" 4erificarF el cum!limiento de las definiciones establecidas sobre los controles 1 las medidas de seguridad a ser incor!oradas a los sistemas) *l Mrea de ,istemas !ro!ondrF 2ui0nes reali arFn la administracin de las t0cnicas cri!togrFficas 1 cla4es) *l :es!onsable del Mrea de Administracin incor!orarF as!ectos relacionados con el licenciamiento" la calidad del softKare 1 la seguridad de la informacin en los contratos con terceros !or el desarrollo de softKare) *l :es!onsable del Mrea 6egal !artici!arF en dic#a tarea)
Poltica
%.&%& Re@uerimientos de Seguridad de los Sistemas
%.&%&%& An3lisis ; Especificaciones de los Re@uerimientos de Seguridad
*sta Poltica se im!lementa !ara incor!orar seguridad a los sistemas de informacin .!ro!ios o de terceros/ 1 a las meDoras o actuali aciones 2ue se les incor!oren) 6os re2uerimientos !ara nue4os sistemas o meDoras a los eEistentes es!ecificarFn la necesidad de controles) *stas es!ecificaciones deben considerar los controles automFticos a incor!orar al sistema" como as tambi0n controles manuales de a!o1o) ,e deben tener en cuenta las siguientes consideraciones5 a/ Definir un !rocedimiento !ara 2ue durante las eta!as de anFlisis 1 diseLo del sistema" se incor!oren a los re2uerimientos" los corres!ondientes controles de seguridad) *ste !rocedimiento debe incluir una eta!a de e4aluacin de riesgos !re4ia al diseLo" !ara definir los re2uerimientos de seguridad e identificar los controles a!ro!iados) *n esta tarea deben !artici!ar las Freas usuarias" de sistemas" de seguridad informFtica 1 auditora" es!ecificando 1 a!robando los controles automFticos a incor!orar al sistema 1 las necesidades de controles manuales com!lementarios) 6as Freas in4olucradas !odrFn solicitar certificaciones 1 e4aluaciones inde!endientes !ara los !roductos a utili ar) b/ *4aluar los re2uerimientos de seguridad 1 los controles re2ueridos" teniendo en cuenta 2ue 0stos deben ser !ro!orcionales en costo 1 esfuer o al 4alor del bien 2ue se 2uiere !roteger 1 al daLo !otencial 2ue !udiera ocasionar a las acti4idades reali adas) c/ $onsiderar 2ue los controles introducidos en la eta!a de diseLo" son significati4amente menos costosos de im!lementar 1 mantener 2ue a2uellos incluidos durante o des!u0s de la im!lementacin)
%.&)& Seguridad en los Sistemas de Aplicacin

Para e4itar la !0rdida" modificacin o uso inadecuado de los datos !ertenecientes a los sistemas de informacin" se establecerFn controles 1 registros de auditora" 4erificando5
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina I5
a/ 6a 4alidacin de datos de entrada) b/ *l !rocesamiento interno) c/ 6a autenticacin de mensaDes .interfases entre sistemas/ d/ 6a 4alidacin de datos de salida)
%.&)&%& 9alidacin de "atos de Entrada

,e definirF un !rocedimiento 2ue durante la eta!a de diseLo" es!ecifi2ue controles 2ue aseguren la 4alide de los datos ingresados" tan cerca del !unto de origen como sea !osible" controlando tambi0n datos !ermanentes 1 tablas de !arFmetros) *ste !rocedimiento considerarF los siguientes controles5 a/ $ontrol de secuencia)
b/ $ontrol de monto lmite !or o!eracin 1 ti!o de usuario) c/ $ontrol del rango de 4alores !osibles 1 de su 4alide " de acuerdo a criterios !redeterminados) d/ $ontrol de !aridad) e/ $ontrol contra 4alores cargados en las tablas de datos) f/ $ontroles !or o!osicin" de forma tal 2ue 2uien ingrese un dato no !ueda autori arlo 1 4ice4ersa) Por otra !arte" se lle4arFn a cabo las siguientes acciones5 a/ ,e definirF un !rocedimiento !ara reali ar re4isiones !eridicas de contenidos de cam!os cla4es o arc#i4os de datos" definiendo 2ui0n lo reali arF" en 2u0 forma" con 2u0 m0todo" 2ui0nes deberFn ser informados del resultado" etc) b/ ,e definirF un !rocedimiento 2ue eE!licite las alternati4as a seguir !ara res!onder a errores de 4alidacin en un a!licati4o) c/ ,e definirF un !rocedimiento 2ue !ermita determinar las res!onsabilidades de todo el !ersonal in4olucrado en el !roceso de entrada de datos)
%.&)&)& !ontroles de Procesamiento Interno

,e definirF un !rocedimiento !ara 2ue durante la eta!a de diseLo" se incor!oren controles de 4alidacin a fin de eliminar o minimi ar los riesgos de fallas de !rocesamiento 1Bo 4icios !or !rocesos de errores) Para ello se im!lementarFn5 a/ Procedimientos 2ue !ermitan identificar el uso 1 locali acin en los a!licati4os" de funciones de incor!oracin 1 eliminacin 2ue reali an cambios en los datos) b/ Procedimientos 2ue estable can los controles 1 4erificaciones necesarios !ara !re4enir la eDecucin de !rogramas fuera de secuencia o cuando falle el !rocesamiento !re4io) c/ Procedimientos 2ue estable can la re4isin !eridica de los registros de auditora de forma de detectar cual2uier anomala en la eDecucin de las transacciones) d/ Procedimientos 2ue realicen la 4alidacin de los datos generados !or el sistema) e/ Procedimientos 2ue 4erifi2uen la integridad de los datos 1 del softKare cargado o descargado entre com!utadoras) f/ Procedimientos 2ue controlen la integridad de registros 1 arc#i4os) g/ Procedimientos 2ue 4erifi2uen la eDecucin de los a!licati4os en el momento adecuado) #/ Procedimientos 2ue aseguren el orden correcto de eDecucin de los a!licati4os" la finali acin !rogramada en caso de falla" 1 la detencin de las acti4idades de !rocesamiento #asta 2ue el !roblema sea resuelto)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina I@
%.&)&/& Autenticacin de Mensa:es

$uando una a!licacin tenga !re4isto el en4o de mensaDes 2ue contengan informacin clasificada" se im!lementarFn los controles cri!togrFficos determinados en el !unto +$ontroles $ri!togrFficos-)
%.&)&0& 9alidacin de "atos de Salidas

,e establecerFn !rocedimientos !ara 4alidar la salida de los datos de las a!licaciones" inclu1endo5 a/ $om!robaciones de la ra onabilidad !ara !robar si los datos de salida son !lausibles) b/ $ontrol de conciliacin de cuentas !ara asegurar el !rocesamiento de todos los datos) c/ Pro4isin de informacin suficiente" !ara 2ue el lector o sistema de !rocesamiento subsiguiente determine la eEactitud" totalidad" !recisin 1 clasificacin de la informacin) d/ Procedimientos !ara res!onder a las !ruebas de 4alidacin de salidas) e/ Definicin de las res!onsabilidades de todo el !ersonal in4olucrado en el !roceso de salida de datos)
%.&/& !ontroles !riptogr3ficos

,e utili arFn sistemas 1 t0cnicas cri!togrFficas !ara la !roteccin de la informacin en base a un anFlisis de riesgo efectuado" con el fin de asegurar una adecuada !roteccin de su confidencialidad e integridad)
%.&/&%& Poltica de #tili8acin de !ontroles !riptogr3ficos&

*l %rganismo establece la !resente Poltica de uso de controles cri!togrFficos" a fin de determinar su correcto uso) Para ello se indica 2ue5 a/ ,e utili arFn controles cri!togrFficos en los siguientes casos5 1) Para la !roteccin de cla4es de acceso a sistemas" datos 1 ser4icios) 2) Para la transmisin de informacin clasificada" fuera del Fmbito del %rganismo) H) Para el resguardo de informacin" cuando as surDa de la e4aluacin de riesgos reali ada !or el Pro!ietario de la (nformacin 1 el :es!onsable de ,eguridad (nformFtica) b/ ,e desarrollarFn !rocedimientos res!ecto de la administracin de cla4es" de la recu!eracin de informacin cifrada en caso de !0rdida" com!romiso o daLo de las cla4es 1 en cuanto al reem!la o de las cla4es de cifrado) c/ *l :es!onsable del Mrea (nformFtica !ro!ondrF la siguiente asignacin de funciones5 7uncin $argo (m!lementacin de la Poltica de $ontroles $ri!togrFficos Administracin de $la4es d/ ,e utili arFn los siguientes algoritmos de cifrado 1 tamaLos de cla4e5 1) $ifrado ,im0trico Algoritmo 6ongitud de $la4e A*, 12JB1A2B25@ HD*, 1@J bits (D*A 12J bits
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina II
:$C 12J bits :$2 12J bits 2) $ifrado Asim0trico $asos de <tili acin Algoritmo 6ongitud de $la4e Para certificados utili ados en ser4icios relacionados a la firma digital .sellado de tiem!o" almacenamiento seguro de documentos electrnicos" etc)/ :,A 20CJ bits D,A 20CJ bits *$D,A 210 bits Para certificados de sitio seguro :,A 102C bits Para certificados de $ertificador o de informacin de estado de certificados :,A 20CJ bits D,A 20CJ bits *$D,A 210 bits Para certificados de usuario .!ersonas fsicas o Durdicas/ :,A 102C bits D,A 102C bits *$D,A 1@0 bits Para digesto seguro ,NA-1 25@ bits 6os algoritmos 1 longitudes de cla4e mencionados son los 2ue a la fec#a se consideran seguros) ,e recomienda 4erificar esta condicin !eridicamente con el obDeto de efectuar las actuali aciones corres!ondientes)
%.&/&)& !ifrado
Mediante la e4aluacin de riesgos 2ue lle4arF a cabo el Pro!ietario de la (nformacin 1 el :es!onsable de ,eguridad (nformFtica" se identificarF el ni4el re2uerido de !roteccin" tomando en cuenta el ti!o 1 la calidad del algoritmo de cifrado utili ado 1 la longitud de las cla4es cri!togrFficas a utili ar)
Al im!lementar la Poltica del %rganismo en materia cri!togrFfica" se considerarFn los controles a!licables a la eE!ortacin e im!ortacin de tecnologa cri!togrFfica .Ver 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa/)
%.&/&/& +irma "igital

6as firmas digitales !ro!orcionan un medio de !roteccin de la autenticidad e integridad de los documentos electrnicos) Pueden a!licarse a cual2uier ti!o de documento 2ue se !rocese electrnicamente) ,e im!lementan mediante el uso de una t0cnica cri!togrFfica sobre la base de dos cla4es relacionadas de manera nica" donde una cla4e" denominada !ri4ada" se utili a !ara crear una firma 1 la otra" denominada !blica" !ara 4erificarla) ,e tomarFn recaudos !ara !roteger la confidencialidad de las cla4es !ri4adas) Asimismo" es im!ortante !roteger la integridad de la cla4e !blica) *sta !roteccin se !ro4ee mediante el uso de un certificado de cla4e !blica) 6os algoritmos de firma utili ados" como as tambi0n la longitud de cla4e a em!lear" son las enumeradas en el !unto 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)" en el cuadro de cifrado asim0trico) ,e recomienda 2ue las cla4es cri!togrFficas utili adas !ara firmar digitalmente no sean em!leadas en !rocedimientos de cifrado de informacin) Dic#as cla4es deben ser resguardadas baDo el control eEclusi4o de su titular)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IJ
Al utili ar firmas 1 certificados digitales" se considerarF la legislacin 4igente .6e1 &W 25)50@" el Decreto &? 2@2JB02 1 el conDunto de normas com!lementarias 2ue fiDan o modifican com!etencias 1 establecen !rocedimientos/ 2ue describa las condiciones baDo las cuales una firma digital es legalmente 4Flida) .Ver 12)1)@) :egulacin de $ontroles !ara el <so de $ri!tografa/ *n algunos casos !odra ser necesario establecer acuerdos es!eciales !ara res!aldar el uso de las firmas digitales) A tal fin se deberF obtener asesoramiento legal con res!ecto al marco normati4o a!licable 1 la modalidad del acuerdo a im!lementar) .Ver 12) $um!limiento/)
%.&/&0& Ser-icios de No Repudio

*stos ser4icios se utili arFn cuando sea necesario resol4er dis!utas acerca de la ocurrencia de un e4ento o accin) ,u obDeti4o es !ro!orcionar #erramientas !ara e4itar 2ue a2u0l 2ue #a1a originado una transaccin electrnica niegue #aberla efectuado)
%.&/&2& Administracin de !la-es

%.&/&2&%& Proteccin de !la-es !riptogr3ficas
,e im!lementarF un sistema de administracin de cla4es cri!togrFficas !ara res!aldar la utili acin !or !arte del %rganismo de los dos ti!os de t0cnicas cri!togrFficas" a saber5 a/ '0cnicas de cla4e secreta .cri!tografa sim0trica/" cuando dos o mFs actores com!arten la misma cla4e 1 0sta se utili a tanto !ara cifrar informacin como !ara descifrarla) b/ '0cnicas de cla4e !blica .cri!tografa asim0trica/" cuando cada usuario tiene un !ar de cla4es5 una cla4e !blica .2ue !uede ser re4elada a cual2uier !ersona/ utili ada !ara cifrar 1 una cla4e !ri4ada .2ue debe mantenerse en secreto/ utili ada !ara descifrar) 6as cla4es asim0tricas utili adas !ara cifrado no deben ser las mismas 2ue se utili an !ara firmar digitalmente) 'odas las cla4es serFn !rotegidas contra modificacin 1 destruccin" 1 las cla4es secretas 1 !ri4adas serFn !rotegidas contra co!ia o di4ulgacin no autori ada) ,e a!licarFn con 0ste !ro!sito los algoritmos cri!togrFficos enumerados en el !unto 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)) ,e !ro!orcionarF una !roteccin adecuada al e2ui!amiento utili ado !ara generar" almacenar 1 arc#i4ar cla4es" considerFndolo crtico o de alto riesgo)
%.&/&2&)& Normas> Procedimientos ; M1todos

,e redactarFn las normas 1 !rocedimientos necesarios !ara5 a/ 8enerar cla4es !ara diferentes sistemas cri!togrFficos 1 diferentes a!licaciones) b/ 8enerar 1 obtener certificados de cla4e !blica de manera segura) c/ Distribuir cla4es de forma segura a los usuarios 2ue corres!onda" inclu1endo
informacin sobre cmo deben acti4arse cuando se reciban) d/ Almacenar cla4es" inclu1endo la forma de acceso a las mismas !or !arte de los usuarios autori ados) e/ $ambiar o actuali ar cla4es" inclu1endo reglas sobre cuFndo 1 cmo deben cambiarse las cla4es)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina IA
f/ :e4ocar cla4es" inclu1endo cmo deben retirarse o desacti4arse las mismas" !or eDem!lo cuando las cla4es estFn com!rometidas o cuando un usuario se des4incula del %rganismo .en cu1o caso las cla4es tambi0n deben arc#i4arse/) g/ :ecu!erar cla4es !erdidas o alteradas como !arte de la administracin de la continuidad de las acti4idades del %rganismo" !or eDem!lo !ara la recu!eracin de la informacin cifrada) #/ Arc#i4ar cla4es" !or eDem!lo" !ara la informacin arc#i4ada o resguardada) i/ Destruir cla4es) D/ :egistrar 1 auditar las acti4idades relati4as a la administracin de cla4es) A fin de reducir la !robabilidad de com!romiso" las cla4es tendrFn fec#as de inicio 1 caducidad de 4igencia" definidas de manera 2ue slo !uedan ser utili adas !or el la!so de ))))))))) .indicar la!so no ma1or a 12 meses/) AdemFs de la administracin segura de las cla4es secretas 1 !ri4adas" deberF tenerse en cuenta la !roteccin de las cla4es !blicas) *ste !roblema es abordado mediante el uso de un certificado de cla4e !blica) *ste certificado se generarF de forma 2ue 4incule de manera nica la informacin relati4a al !ro!ietario del !ar de cla4es !blicaB!ri4ada con la cla4e !blica) *n consecuencia es im!ortante 2ue el !roceso de administracin de los certificados de cla4e !blica sea absolutamente confiable) *ste !roceso es lle4ado a cabo !or una entidad denominada Autoridad de $ertificacin .A$/ o $ertificador)
%.&0& Seguridad de los ArcBi-os del Sistema

,e garanti arF 2ue los desarrollos 1 acti4idades de so!orte a los sistemas se lle4en a cabo de manera segura" controlando el acceso a los arc#i4os del mismo)
%.&0&%& !ontrol del SoftAare Operati-o

,e definen los siguientes controles a reali ar durante la im!lementacin del softKare en !roduccin" a fin de minimi ar el riesgo de alteracin de los sistemas) 'oda a!licacin" desarrollada !or el %rganismo o !or un tercero tendrF un nico :es!onsable designado formalmente !or el :es!onsable del Mrea (nformFtica) &ingn !rogramador o analista de desarrollo 1 mantenimiento de a!licaciones !odrF acceder a los ambientes de !roduccin) *l :es!onsable del Mrea (nformFtica" !ro!ondrF !ara su a!robacin !or !arte del su!erior DerFr2uico 2ue corres!onda" la asignacin de la funcin de +im!lementador- al !ersonal de su Frea 2ue considere adecuado" 2uien tendrF como funciones !rinci!ales5 a/ $oordinar la im!lementacin de modificaciones o nue4os !rogramas en el ambiente de Produccin) b/ Asegurar 2ue los sistemas a!licati4os en uso" en el ambiente de Produccin" sean los autori ados 1 a!robados de acuerdo a las normas 1 !rocedimientos 4igentes) c/ (nstalar las modificaciones" controlando !re4iamente la rece!cin de la !rueba a!robada !or !arte del Analista :es!onsable" del sector encargado del testeo 1 del usuario final) d/ :ec#a ar la im!lementacin en caso de encontrar defectos 1Bo si faltara la documentacin estFndar establecida) %tros controles a reali ar son5 a/ 8uardar slo los eDecutables en el ambiente de !roduccin)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina J0
b/ 6le4ar un registro de auditora de las actuali aciones reali adas) c/ :etener las 4ersiones !re4ias del sistema" como medida de contingencia) d/ Definir un !rocedimiento 2ue estable ca los !asos a seguir !ara im!lementar las
autori aciones 1 conformes !ertinentes" las !ruebas !re4ias a reali arse" etc) e/ Denegar !ermisos de modificacin al im!lementador sobre los !rogramas fuentes baDo su custodia) f/ *4itar" 2ue la funcin de im!lementador sea eDercida !or !ersonal 2ue !ertene ca al sector de desarrollo o mantenimiento)
%.&0&)& Proteccin de los "atos de Prueba del Sistema

6as !ruebas de los sistemas se efectuarFn sobre datos eEtrados del ambiente o!erati4o) Para !roteger los datos de !rueba se establecerFn normas 1 !rocedimientos 2ue contem!len lo siguiente5 a/ Pro#ibir el uso de bases de datos o!erati4as) *n caso contrario se deben des!ersonali ar los datos antes de su uso) A!licar id0nticos !rocedimientos de control de acceso 2ue en la base de !roduccin) b/ ,olicitar autori acin formal !ara reali ar una co!ia de la base o!erati4a como base de !rueba" lle4ando registro de tal autori acin) c/ *liminar inmediatamente" una 4e com!letadas las !ruebas" la informacin o!erati4a utili ada)
%.&0&/& !ontrol de !ambios a "atos Operati-os

6a modificacin" actuali acin o eliminacin de los datos o!erati4os serFn reali ados a tra40s de los sistemas 2ue !rocesan dic#os datos 1 de acuerdo al es2uema de control de accesos im!lementado en los mismos .Ver A)2) Administracin de Accesos de <suarios/) <na modificacin !or fuera de los sistemas a un dato" almacenado 1a sea en un arc#i4o o base de datos" !odra !oner en riesgo la integridad de la informacin) 6os casos en los 2ue no fuera !osible la a!licacin de la !recedente !oltica" se considerarFn como eEce!ciones) *l :es!onsable de ,eguridad (nformFtica definirF !rocedimientos !ara la gestin de dic#as eEce!ciones 2ue contem!larFn lo siguiente5 a/ ,e generarF una solicitud formal !ara la reali acin de la modificacin" actuali acin o eliminacin del dato) b/ *l Pro!ietario de la (nformacin afectada 1 del :es!onsable de ,eguridad (nformFtica a!robarFn la eDecucin del cambio e4aluando las ra ones !or las cuales se solicita) c/ ,e generarFn cuentas de usuario de emergencia !ara ser utili adas en la eDecucin de eEce!ciones) 6as mismas serFn !rotegidas mediante contraseLas" suDetas al !rocedimiento de administracin de contraseLas crticas .Ver A)2)C) Administracin de $ontraseLas $rticas/ 1 #abilitadas slo ante un re2uerimiento de emergencia 1 !or el la!so 2ue 0sta dure) d/ ,e designarF un encargado de im!lementar los cambios" el cual no serF !ersonal del Frea de Desarrollo) *n el caso de 2ue esta funcin no !ueda ser segregada" se a!licarFn controles adicionales de acuerdo a lo establecido en J)1)C) ,e!aracin de 7unciones) e/ ,e registrarFn todas las acti4idades reali adas con las cuentas de emergencia) Dic#o registro serF re4isado !osteriormente !or el :es!onsable de ,eguridad (nformFtica)
%.&0&0& !ontrol de Acceso a las =ibliotecas de Programas +uentes

Para reducir la !robabilidad de alteracin de !rogramas fuentes" se a!licarFn los siguientes controles5
a/ *l :es!onsable del Mrea (nformFtica" !ro!ondrF !ara su a!robacin !or !arte del su!erior DerFr2uico 2ue corres!onda la funcin de +administrador de !rogramas fuentes- al !ersonal de su Frea 2ue considere adecuado" 2uien tendrF en custodia los !rogramas fuentes 1 deberF5 Pro4eer al Mrea de Desarrollo los !rogramas fuentes solicitados !ara su modificacin" manteniendo en todo momento la correlacin !rograma fuente B eDecutable) 6le4ar un registro actuali ado de todos los !rogramas fuentes en uso" indicando nombre del !rograma" !rogramador" Analista :es!onsable 2ue autori " 4ersin" fec#a de ltima modificacin 1 fec#a B #ora de com!ilacin 1
estado .en modificacin" en !roduccin/) Verificar 2ue el Analista :es!onsable 2ue autori a la solicitud de un !rograma fuente sea el designado !ara la a!licacin" rec#a ando el !edido en caso contrario) :egistrar cada solicitud a!robada) Administrar las distintas 4ersiones de una a!licacin) Asegurar 2ue un mismo !rograma fuente no sea modificado simultFneamente !or mFs de un desarrollador) b/ Denegar al +administrador de !rogramas fuentes- !ermisos de modificacin sobre los !rogramas fuentes baDo su custodia) c/ *stablecer 2ue todo !rograma obDeto o eDecutable en !roduccin tenga un nico !rograma fuente asociado 2ue garantice su origen) d/ *stablecer 2ue el im!lementador de !roduccin efectuarF la generacin del !rograma obDeto o eDecutable 2ue estarF en !roduccin .com!ilacin/" a fin de garanti ar tal corres!ondencia) e/ Desarrollar un !rocedimiento 2ue garantice 2ue toda 4e 2ue se migre a !roduccin el mdulo fuente" se cree el cdigo eDecutable corres!ondiente en forma automFtica) f/ *4itar 2ue la funcin de +administrador de !rogramas fuentes- sea eDercida !or !ersonal 2ue !ertene ca al sector de desarrollo 1Bo mantenimiento) g/ Pro#ibir la guarda de !rogramas fuentes #istricos .2ue no sean los corres!ondientes a los !rogramas o!erati4os/ en el ambiente de !roduccin) #/ Pro#ibir el acceso a todo o!erador 1Bo usuario de a!licaciones a los ambientes 1 a las #erramientas 2ue !ermitan la generacin 1Bo mani!ulacin de los !rogramas fuentes) i/ :eali ar las co!ias de res!aldo de los !rogramas fuentes cum!liendo los re2uisitos de seguridad establecidos !or el %rganismo en los !rocedimientos 2ue surgen de la !resente !oltica)
%.&2& Seguridad de los Procesos de "esarrollo ; Soporte

*sta Poltica !ro4ee seguridad al softKare 1 a la informacin del sistema de a!licacin" !or lo tanto se controlarFn los entornos 1 el so!orte dado a los mismos)
%.&2&%& Procedimiento de !ontrol de !ambios

A fin de minimi ar los riesgos de alteracin de los sistemas de informacin" se im!lementarFn controles estrictos durante la im!lementacin de cambios im!oniendo el cum!limiento de !rocedimientos formales) Rstos garanti arFn 2ue se cum!lan los !rocedimientos de seguridad 1 control" res!etando la di4isin de funciones) Para ello se establecerF un !rocedimiento 2ue inclu1a las siguientes consideraciones5 a/ Verificar 2ue los cambios sean !ro!uestos !or usuarios autori ados 1 res!ete los t0rminos 1 condiciones 2ue surDan de la licencia de uso) b/ Mantener un registro de los ni4eles de autori acin acordados) c/ ,olicitar la autori acin del Pro!ietario de la (nformacin" en caso de tratarse de cambios a sistemas de !rocesamiento de la misma)
d/ (dentificar todos los elementos 2ue re2uieren modificaciones .softKare" bases de datos" #ardKare/) e/ :e4isar los controles 1 los !rocedimientos de integridad !ara garanti ar 2ue no serFn com!rometidos !or los cambios) f/ %btener a!robacin formal !or !arte del :es!onsable del Mrea (nformFtica !ara las tareas detalladas" antes 2ue comiencen las tareas) g/ ,olicitar la re4isin del :es!onsable de ,eguridad (nformFtica !ara garanti ar 2ue no se 4iolen los re2uerimientos de seguridad 2ue debe cum!lir el softKare) #/ *fectuar las acti4idades relati4as al cambio en el ambiente de desarrollo) i/ %btener la a!robacin !or !arte del usuario autori ado 1 del Frea de !ruebas mediante !ruebas en el ambiente corres!ondiente) D/ Actuali ar la documentacin !ara cada cambio im!lementado" tanto de los manuales de usuario como de la documentacin o!erati4a) S/ Mantener un control de 4ersiones !ara todas las actuali aciones de softKare) l/ 8aranti ar 2ue la im!lementacin se lle4arF a cabo minimi ando la discontinuidad de
las acti4idades 1 sin alterar los !rocesos in4olucrados) m/ (nformar a las Freas usuarias antes de la im!lementacin de un cambio 2ue !ueda afectar su o!eratoria) n/ 8aranti ar 2ue sea el im!lementador 2uien efecte el !asaDe de los obDetos modificados al ambiente o!erati4o" de acuerdo a lo establecido en +$ontrol del ,oftKare %!erati4o-) *n el AneEo al !resente ca!tulo se !resenta un es2uema modelo de segregacin de ambientes de !rocesamiento)
%.&2&)& Re-isin T1cnica de los !ambios en el Sistema Operati-o

'oda 4e 2ue sea necesario reali ar un cambio en el ,istema %!erati4o" los sistemas serFn re4isados !ara asegurar 2ue no se !rodu ca un im!acto en su funcionamiento o seguridad) Para ello" se definirF un !rocedimiento 2ue inclu1a5 a/ :e4isar los !rocedimientos de integridad 1 control de a!licaciones !ara garanti ar 2ue no #a1an sido com!rometidas !or el cambio) b/ 8aranti ar 2ue los cambios en el sistema o!erati4o sean informados con anterioridad a la im!lementacin) c/ Asegurar la actuali acin del Plan de $ontinuidad de las Acti4idades del %rganismo)
%.&2&/& Restriccin del !ambio de Pa@uetes de SoftAare

*n caso de considerarlo necesario la modificacin de !a2uetes de softKare suministrados !or !ro4eedores" 1 !re4ia autori acin del :es!onsable del Mrea (nformFtica" se deberF5 a/ Anali ar los t0rminos 1 condiciones de la licencia a fin de determinar si las modificaciones se encuentran autori adas) b/ Determinar la con4eniencia de 2ue la modificacin sea efectuada !or el %rganismo" !or el !ro4eedor o !or un tercero) c/ *4aluar el im!acto 2ue se !roduce si el %rganismo se #ace cargo del mantenimiento) d/ :etener el softKare original reali ando los cambios sobre una co!ia !erfectamente identificada" documentando eE#austi4amente !or si fuera necesario a!licarlo a nue4as 4ersiones)
%.&2&0& !anales Ocultos ; !digo Malicioso

Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina JH
<n canal oculto !uede eE!oner informacin utili ando algunos medios indirectos 1 desconocidos) *l cdigo malicioso estF diseLado !ara afectar a un sistema en forma no autori ada 1 no re2uerida !or el usuario) *n este sentido" se redactarFn normas 1 !rocedimientos 2ue inclu1an5 a/ Ad2uirir !rogramas a !ro4eedores acreditados o !roductos 1a e4aluados) b/ *Eaminar los cdigos fuentes .cuando sea !osible/ antes de utili ar los !rogramas) c/ $ontrolar el acceso 1 las modificaciones al cdigo instalado) d/ <tili ar #erramientas !ara la !roteccin contra la infeccin del softKare con cdigo malicioso)
%.&2&2& "esarrollo EIterno de SoftAare

Para el caso 2ue se considere la terceri acin del desarrollo de softKare" se establecerFn normas 1 !rocedimientos 2ue contem!len los siguientes !untos5 a/ Acuerdos de licencias" !ro!iedad de cdigo 1 derec#os conferidos .Ver 12)1)2) Derec#os de Pro!iedad (ntelectual/) b/ :e2uerimientos contractuales con res!ecto a la calidad del cdigo 1 la eEistencia de garantas) c/ Procedimientos de certificacin de la calidad 1 !recisin del trabaDo lle4ado a cabo !or el !ro4eedor" 2ue inclu1an auditoras" re4isin de cdigo !ara detectar cdigo malicioso" 4erificacin del cum!limiento de los re2uerimientos de seguridad del softKare establecidos" etc) d/ Verificacin del cum!limiento de las condiciones de seguridad contem!ladas en el !unto C)H)1) :e2uerimientos de ,eguridad en $ontratos de 'erceri acin) e/ Acuerdos de custodia de los fuentes del softKare .1 cual2uier otra informacin re2uerida/ en caso de 2uiebra de la tercera !arte)
Desarrollo 1 Mantenimiento de ,istemas Poltica Modelo Documento Pblico PFgina JC
Ane&o
Para cum!lir con esta Poltica" en lo referente a los !untos +,eguridad de los Arc#i4os del ,istema 1 +,eguridad de los Procesos de Desarrollo 1 ,o!orte-" se sugiere im!lementar un modelo de se!aracin de funciones entre los distintos ambientes in4olucrados) 'oda a!licacin generada en el sector de desarrollo o ad2uirida a un !ro4eedor es" en algn momento" im!lementada en un ambiente de !roduccin) 6os controles de esta transferencia deben ser rigurosos a fin de asegurar 2ue no se instalen !rogramas fraudulentos) *s con4eniente im!lementar algn softKare !ara la administracin de 4ersiones 1 !ara la transmisin de !rogramas entre los ambientes definidos" con un registro asociado !ara su control) A continuacin se !resenta un modelo ideal formado !or tres ambientes 2ue debe ser ada!tado a las caractersticas !ro!ias de cada %rganismo" teniendo en cuenta las ca!acidades instaladas" los recursos 1 el e2ui!amiento eEistente) Ambiente de "esarrollo *s donde se desarrollan los !rogramas fuentes 1 donde se almacena toda la informacin relacionada con el anFlisis 1 diseLo de los sistemas) *l analista o !rogramador .desarrollador/ tiene total dominio sobre el ambiente) Puede recibir algn fuente !ara modificar" 2uedando registrado en el sistema de control de 4ersiones 2ue administra el +administrador de !rogramas fuentes-) *l desarrollador reali a las !ruebas con los datos de la base de desarrollo) $uando considera 2ue el !rograma estF terminado" lo !asa al ambiente de !ruebas Dunto con la documentacin re2uerida 2ue le entregarF al im!lementador de ese ambiente) Ambiente de Pruebas *l im!lementador de este ambiente recibe el !rograma 1 la documentacin res!ecti4a 1 reali a una !rueba general con un lote de datos !ara tal efecto" Dunto con el usuario de ser !osible) *l testeador reali a las !ruebas con los datos de la base de !ruebas) ,i no detectan errores de eDecucin" los resultados de las rutinas de seguridad son correctas de acuerdo a las es!ecificaciones 1 considera 2ue la documentacin !resentada es com!leta" entonces remite el !rograma fuente al im!lementador de !roduccin !or medio del sistema de control de 4ersiones 1 le entrega las instrucciones) $aso contrario" 4uel4e atrFs el ciclo de4ol4iendo el !rograma al desarrollador" Dunto con un detalle de las obser4aciones) Ambiente de Produccin *s donde se eDecutan los sistemas 1 se encuentran los datos !roducti4os) 6os !rogramas fuentes certificados se guardan en un re!ositorio de fuentes de !roduccin" almacenFndolos mediante un sistema de control de 4ersiones 2ue maneDa el +administrador de !rogramas fuentes- 1 donde se deDan los datos del !rogramador 2ue #i o la modificacin" fec#a" #ora 1 tamaLo de los !rogramas fuentes 1 obDetos o eDecutables) *l +im!lementador- com!ila el !rograma fuente dentro del ambiente de !roduccin en el momento de reali ar el !asaDe !ara asegurar de esta forma 2ue #a1 una corres!ondencia biun4oca con el eDecutable en !roduccin 1 luego se elimina" deDFndolo en el re!ositorio !roducti4o de !rogramas fuentes) Deberan a!licarse !rocedimientos de la misma naturale a 1 alcance !ara las modificaciones de cual2uier otro elemento 2ue forme !arte del sistema" !or eDem!lo5 modelo de datos de la base de datos o cambios en los !arFmetros" etc) 6as modificaciones reali adas al softKare de base .,istemas %!erati4os" Motores de bases de datos" Productos middleKare/ deberan cum!lir id0nticos !asos" slo 2ue las im!lementaciones las reali arFn los !ro!ios administradores) $abe aclarar 2ue tanto el !ersonal de desarrollo" como el !ro4eedor de los a!licati4os" no deben tener acceso al ambiente de !roduccin" as como tam!oco a los datos reales !ara la reali acin de las !ruebas en el Ambiente de Prueba) Para casos eEce!cionales" se debe documentar adecuadamente la autori acin" los trabaDos reali ados 1 monitorearlos en todo momento)
Administracin de la $ontinuidad de las Acti4idades del %rganismo
Poltica Modelo Documento Pblico PFgina J5
%%& Administracin de la !ontinuidad de las Acti-idades del Organismo Generalidades

6a administracin de la continuidad de las acti4idades es un !roceso crtico 2ue debe in4olucrar a todos los ni4eles del %rganismo) *l desarrollo e im!lementacin de !lanes de contingencia es una #erramienta bFsica !ara garanti ar 2ue las acti4idades del %rganismo !uedan restablecerse dentro de los !la os re2ueridos) Dic#os !lanes deben mantenerse actuali ados 1 transformarse en una !arte integral del resto de los !rocesos de administracin 1 gestin" debiendo incluir necesariamente controles destinados a identificar 1 reducir riesgos" atenuar las consecuencias de e4entuales interru!ciones de las acti4idades del organismo 1 asegurar la reanudacin o!ortuna de las o!eraciones indis!ensables)
Objetivo
Minimi ar los efectos de las !osibles interru!ciones de las acti4idades normales del %rganismo .sean 0stas resultado de desastres naturales" accidentes" fallas en el e2ui!amiento" acciones deliberadas u otros #ec#os/ 1 !roteger los !rocesos crticos mediante una combinacin de controles !re4enti4os 1 acciones de recu!eracin) Anali ar las consecuencias de la interru!cin del ser4icio 1 tomar las medidas corres!ondientes !ara la !re4encin de #ec#os similares en el futuro) MaEimi ar la efecti4idad de las o!eraciones de contingencia del %rganismo con el establecimiento de !lanes 2ue inclu1an al menos las siguientes eta!as5 a/ Notificacin / Activacin5 $onsistente en la deteccin 1 determinacin del daLo 1 la acti4acin del !lan) b/ Reanudacin5 $onsistente en la restauracin tem!oral de las o!eraciones 1 recu!eracin del daLo !roducido al sistema original) c/ Recuperacin5 $onsistente en la restauracin de las ca!acidades de !roceso del sistema a las condiciones de o!eracin normales) Asegurar la coordinacin con el !ersonal del %rganismo 1 los contactos eEternos 2ue !artici!arFn en las estrategias de !lanificacin de contingencias) Asignar funciones !ara cada acti4idad definida)
Alcance
*sta Poltica se a!lica a todos los !rocesos crticos identificados del %rganismo)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica !artici!arF acti4amente en la definicin" documentacin" !rueba 1 actuali acin de los !lanes de contingencia) 6os Pro!ietarios de la (nformacin .Ver C)1)2) Asignacin de :es!onsabilidades en Materia de ,eguridad de la (nformacin/ 1 el :es!onsable de ,eguridad (nformFtica cum!lirFn las siguientes funciones5
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina J@
- (dentificar las amena as 2ue !uedan ocasionar interru!ciones de los !rocesos 1Bo las acti4idades del %rganismo) - *4aluar los riesgos !ara determinar el im!acto de dic#as interru!ciones) - (dentificar los controles !re4enti4os) - Desarrollar un !lan estrat0gico !ara determinar el enfo2ue global con el 2ue se abordarF la continuidad de las acti4idades del %rganismo) - *laborar los !lanes de contingencia necesarios !ara garanti ar la continuidad de las acti4idades del %rganismo) 6os :es!onsables de Procesos re4isarFn !eridicamente los !lanes baDo su incumbencia" como as tambi0n identificar cambios en las dis!osiciones relati4as a las acti4idades del %rganismo an no refleDadas en los !lanes de continuidad)
6os administradores de cada !lan 4erificarFn el cum!limiento de los !rocedimientos im!lementados !ara lle4ar a cabo las acciones contem!ladas en cada !lan de continuidad) *l $omit0 de ,eguridad de la (nformacin tendrF a cargo la coordinacin del !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de informacin del %rganismo frente a interru!ciones im!re4istas" lo cual inclu1e las siguientes funciones5 - (dentificar 1 !riori ar los !rocesos crticos de las acti4idades del %rganismo) - Asegurar 2ue todos los integrantes del %rganismo com!rendan los riesgos 2ue la misma enfrenta" en t0rminos de !robabilidad de ocurrencia e im!acto de !osibles amena as" as como los efectos 2ue una interru!cin !uede tener en la acti4idad del %rganismo) - *laborar 1 documentar una estrategia de continuidad de las acti4idades del %rganismo consecuente con los obDeti4os 1 !rioridades acordados) - Pro!oner !lanes de continuidad de las acti4idades del %rganismo de conformidad con la estrategia de continuidad acordada) - *stablecer un cronograma de !ruebas !eridicas de cada uno de los !lanes de contingencia" !ro!oniendo una asignacin de funciones !ara su cum!limiento) - $oordinar actuali aciones !eridicas de los !lanes 1 !rocesos im!lementados) - $onsiderar la contratacin de seguros 2ue !odran formar !arte del !roceso de continuidad de las acti4idades del %rganismo) - Pro!oner las modificaciones a los !lanes de contingencia)
Poltica
%%&%& Proceso de la Administracin de la !ontinuidad del Organismo
*l $omit0 de ,eguridad de la (nformacin" serF el res!onsable de la coordinacin del desarrollo de los !rocesos 2ue garanticen la continuidad de las acti4idades del %rganismo) *ste $omit0 tendrF a cargo la coordinacin del !roceso de administracin de la continuidad de la o!eratoria de los sistemas de tratamiento de informacin del %rganismo frente a interru!ciones im!re4istas" lo cual inclu1e las siguientes funciones5 a/ (dentificar 1 !riori ar los !rocesos crticos de las acti4idades del %rganismo) b/ Asegurar 2ue todos los integrantes del %rganismo com!rendan los riesgos 2ue la misma enfrenta" en t0rminos de !robabilidad de ocurrencia e im!acto de !osibles amena as" as como los efectos 2ue una interru!cin !uede tener en la acti4idad del %rganismo) c/ *laborar 1 documentar una estrategia de continuidad de las acti4idades del %rganismo consecuente con los obDeti4os 1 !rioridades acordados) d/ Pro!oner !lanes de continuidad de las acti4idades del %rganismo de conformidad con la estrategia de continuidad acordada) e/ *stablecer un cronograma de !ruebas !eridicas de cada uno de los !lanes de contingencia" !ro!oniendo una asignacin de funciones !ara su cum!limiento) f/ $oordinar actuali aciones !eridicas de los !lanes 1 !rocesos im!lementados)
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JI
g/ $onsiderar la contratacin de seguros 2ue !odran formar !arte del !roceso de continuidad de las acti4idades del %rganismo) #/ Pro!oner las modificaciones a los !lanes de contingencia)
%%&)& !ontinuidad de las Acti-idades ; An3lisis de los Impactos

$on el fin de establecer un Plan de $ontinuidad de las Acti4idades del %rganismo se deben contem!lar los siguientes !untos5 (dentificar los e4entos .amena as/ 2ue !uedan ocasionar interru!ciones en los !rocesos de las acti4idades" !or eDem!lo" fallas en el e2ui!amiento" comisin de ilcitos" interru!cin del suministro de energa el0ctrica" inundacin e incendio" desastres naturales" destruccin edilicia" atentados" etc) *4aluar los riesgos !ara determinar el im!acto de dic#as interru!ciones" tanto en t0rminos de magnitud de daLo como del !erodo de recu!eracin) Dic#a e4aluacin debe identificar los recursos crticos" los im!actos !roducidos !or una interru!cin" los tiem!os de
interru!cin ace!tables o !ermitidos" 1 debe es!ecificar las !rioridades de recu!eracin) (dentificar los controles !re4enti4os" como !or eDem!lo sistemas de su!resin de fuego" detectores de #umo 1 fuego" contenedores resistentes al calor 1 a !rueba de agua !ara los medios de bacSu!" los registros no electrnicos 4itales" etc) *sta acti4idad serF lle4ada a cabo con la acti4a !artici!acin de los !ro!ietarios de los !rocesos 1 recursos de informacin de 2ue se trate 1 el :es!onsable de ,eguridad (nformFtica" considerando todos los !rocesos de las acti4idades del %rganismo 1 no limitFndose a las instalaciones de !rocesamiento de la informacin) ,egn los resultados de la e4aluacin de esta acti4idad" se desarrollarF un !lan estrat0gico !ara determinar el enfo2ue global con el 2ue se abordarF la continuidad de las acti4idades del %rganismo) <na 4e 2ue se #a creado este !lan" el mismo debe ser !ro!uesto !or el $omit0 de ,eguridad de la (nformacin a la mFEima autoridad del %rganismo !ara su a!robacin)
%%&/& Elaboracin e Implementacin de los Planes de !ontinuidad de las Acti-idades del Organismo
6os !ro!ietarios de !rocesos 1 recursos de informacin" con la asistencia del :es!onsable de ,eguridad (nformFtica" elaborarFn los !lanes de contingencia necesarios !ara garanti ar la continuidad de las acti4idades del %rganismo) *stos !rocesos deberFn ser !ro!uestos !or el $omit0 de ,eguridad de la (nformacin *l !roceso de !lanificacin de la continuidad de las acti4idades considerarF los siguientes !untos5 a/ (dentificar 1 acordar res!ecto a todas las funciones 1 !rocedimientos de emergencia) b/ Anali ar los !osibles escenarios de contingencia 1 definir las acciones correcti4as a im!lementar en cada caso) c/ (m!lementar !rocedimientos de emergencia !ara !ermitir la recu!eracin 1 restablecimiento en los !la os re2ueridos) ,e debe dedicar es!ecial atencin a la e4aluacin de las de!endencias de acti4idades eEternas 1 a los contratos 4igentes) d/ Documentar los !rocedimientos 1 !rocesos acordados) e/ (nstruir adecuadamente al !ersonal" en materia de !rocedimientos 1 !rocesos de emergencia acordados" inclu1endo el maneDo de crisis) f/ (nstruir al !ersonal in4olucrado en los !rocedimientos de reanudacin 1 recu!eracin en los siguientes temas5 1) %bDeti4o del !lan) 2) Mecanismos de coordinacin 1 comunicacin entre e2ui!os .!ersonal in4olucrado/) H) Procedimientos de di4ulgacin)
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JJ
C) :e2uisitos de la seguridad) 5) Procesos es!ecficos !ara el !ersonal in4olucrado) @) :es!onsabilidades indi4iduales) g/ Probar 1 actuali ar los !lanes) Asimismo" el !roceso de !lanificacin debe concentrarse en los obDeti4os de las acti4idades del %rganismo re2ueridos" !or eDem!lo" restablecimiento de los ser4icios a los usuarios en un !la o ace!table) Deben considerarse los ser4icios 1 recursos 2ue !ermitirFn 2ue esto ocurra" inclu1endo" dotacin de !ersonal" recursos 2ue no !rocesan informacin" as como acuerdos !ara reanudacin de emergencia en sitios alternati4os de !rocesamiento de la informacin)
%%&0& Marco para la Planificacin de la !ontinuidad de las Acti-idades del Organismo

,e mantendrF un solo marco !ara los !lanes de continuidad de las acti4idades del %rganismo" a fin de garanti ar 2ue los mismos sean uniformes e identificar !rioridades de !rueba 1 mantenimiento) $ada !lan de continuidad es!ecificarF claramente las condiciones !ara su !uesta en marc#a" as como las !ersonas a cargo de eDecutar cada com!onente del mismo) $uando se identifi2uen nue4os re2uerimientos" se modificarFn los !rocedimientos de emergencia establecidos" !or eDem!lo" los !lanes de e4acuacin o los recursos de emergencia eEistentes)
*l administrador de cada !lan de continuidad serF el encargado de coordinar las tareas definidas en el mismo) *stas modificaciones deberFn ser !ro!uestas !or el $omit0 de ,eguridad de la (nformacin !ara su a!robacin) *l marco !ara la !lanificacin de la continuidad de las acti4idades del %rganismo" tendrF en cuenta los siguientes !untos5 a/ Pre4er las condiciones de im!lementacin de los !lanes 2ue describan el !roceso a seguir .cmo e4aluar la situacin" 2u0 !ersonas estarFn in4olucradas" etc)/ antes de !oner en marc#a los mismos) b/ Definir los !rocedimientos de emergencia 2ue describan las acciones a em!render una 4e ocurrido un incidente 2ue !onga en !eligro las o!eraciones del %rganismo 1Bo la 4ida #umana) *sto debe incluir dis!osiciones con res!ecto a la gestin de las relaciones !blicas 1 a 4nculos eficaces a establecer con las autoridades !blicas !ertinentes" !or eDem!lo" la !olica" bomberos 1 autoridades locales) c/ :eali ar los !rocedimientos de emergencia 2ue describan las acciones a em!render !ara el traslado de acti4idades esenciales del %rganismo o de ser4icios de so!orte a ubicaciones transitorias alternati4as" 1 !ara el restablecimiento de los !rocesos en los !la os re2ueridos) d/ :edactar los !rocedimientos de recu!eracin 2ue describan las acciones a em!render !ara restablecer las o!eraciones normales del %rganismo) e/ Definir un cronograma de mantenimiento 2ue es!ecifi2ue cmo 1 cuFndo serF !robado el !lan" 1 el !roceso !ara el mantenimiento del mismo) f/ *fectuar acti4idades de concienti acin e instruccin al !ersonal" diseLadas !ara !ro!iciar la com!rensin de los !rocesos de continuidad las acti4idades 1 garanti ar 2ue los !rocesos sigan siendo eficaces) g/ Documentar las res!onsabilidades 1 funciones de las !ersonas" describiendo los res!onsables de la eDecucin de cada uno de los com!onentes del !lan 1 las 4as de contacto !osibles) ,e deben mencionar alternati4as cuando corres!onda) *s de suma im!ortancia definir a un res!onsable de declarar el estado de contingencia" lo cual darF inicio al !lan) 6os administradores de los !lanes de contingencia son5
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina JA
Plan de !ontingencia Administrador ))))))))))))))))))))))))))))))))))) ))))))))))))))))))))))))))))))))))) *l cum!limiento de los !rocedimientos im!lementados !ara lle4ar a cabo las acciones contem!ladas en cada !lan de continuidad" deben contarse entre las res!onsabilidades de los administradores de cada !lan) 6as dis!osiciones de emergencia !ara ser4icios t0cnicos alternati4os" como instalaciones de comunicaciones o de !rocesamiento de informacin" normalmente se cuentan entre las res!onsabilidades de los !ro4eedores de ser4icios)
%%&2& Ensa;o> Mantenimiento ; Ree-aluacin de los Planes de !ontinuidad del Organismo&

Debido a 2ue los !lanes de continuidad de las acti4idades del %rganismo !ueden fallar" !or su!osiciones incorrectas" errores o cambios en el e2ui!amiento" se establecen las siguientes !autas de accin5 *l $omit0 de ,eguridad de la (nformacin establecerF un cronograma de !ruebas !eridicas de cada uno de los !lanes de contingencia) *l cronograma indicarF 2uienes son los res!onsables de lle4ar a cabo cada una de las !ruebas 1 de ele4ar el resultado obtenido al citado $omit0) ,e deberFn utili ar di4ersas t0cnicas !ara garanti ar 2ue los !lanes de contingencia funcionarFn ante un #ec#o real" 1 0stas incluirFn !or lo menos5 a/ *fectuar !ruebas de discusin de di4ersos escenarios .discutiendo medidas !ara la recu!eracin las acti4idades utili ando eDem!los de interru!ciones/) b/ :eali ar simulaciones .es!ecialmente !ara entrenar al !ersonal en el desem!eLo de sus roles de gestin !osterior a incidentes o crisis/)
c/ *fectuar !ruebas de recu!eracin t0cnica .garanti ando 2ue los sistemas de informacin !uedan ser restablecidos con eficacia/) d/ :eali ar ensa1os com!letos !robando 2ue el %rganismo" el !ersonal" el e2ui!amiento" las instalaciones 1 los !rocesos !ueden afrontar las interru!ciones) Para las o!eraciones crticas del %rganismo se tomarFn en cuenta" ademFs" los siguientes mecanismos5 a/ *fectuar !ruebas de recu!eracin en un sitio alternati4o .eDecutando los !rocesos de las acti4idades del %rganismo en !aralelo" con o!eraciones de recu!eracin fuera del sitio !rinci!al/) b/ :eali ar !ruebas de instalaciones 1 ser4icios de !ro4eedores .garanti ando 2ue los !roductos 1 ser4icios de !ro4eedores eEternos cum!lan con los com!romisos contrados/) 6os !lanes de continuidad de las acti4idades del %rganismo serFn re4isados 1 actuali ados !eridicamente" !ara garanti ar su eficacia !ermanente) ,e incluirFn !rocedimientos en el !rograma de administracin de cambios del %rganismo !ara garanti ar 2ue se aborden adecuadamente los t!icos de continuidad de las acti4idades) 6a !eriodicidad de re4isin de los !lanes de contingencia es la siguiente5 Plan de !ontingencia Re-isar cada Responsable de Re-isin $ada uno de los :es!onsables de Procesos es el res!onsable de las re4isiones !eridicas de cada uno de los !lanes de continuidad de su incumbencia" como as tambi0n de la
Administracin de la $ontinuidad de las Acti4idades del %rganismo Poltica Modelo Documento Pblico PFgina A0
identificacin de cambios en las dis!osiciones relati4as a las acti4idades del %rganismo an no refleDadas en dic#os !lanes) DeberF !restarse atencin" es!ecialmente" a los cambios de5 a/ Personal) b/ Direcciones o nmeros telefnicos) c/ *strategia del %rganismo) d/ <bicacin" instalaciones 1 recursos) e/ 6egislacin) f/ $ontratistas" !ro4eedores 1 clientes crticos) g/ Procesos" o !rocesos nue4os B eliminados) #/ 'ecnologas) i/ :e2uisitos o!eracionales) D/ :e2uisitos de seguridad) S/ NardKare" softKare 1 otros e2ui!os .ti!os" es!ecificaciones" 1 cantidad/) l/ :e2uerimientos de los sitios alternati4os) m/ :egistros de datos 4itales) 'odas las modificaciones efectuadas serFn !ro!uestas !or el $omit0 de ,eguridad de la (nformacin !ara su a!robacin !or el su!erior DerFr2uico 2ue corres!onda) Por otra !arte" el resultado de este !roceso serF dado a conocer a fin de 2ue todo el !ersonal in4olucrado tenga conocimiento de los cambios incor!orados)
$um!limiento Poltica Modelo Documento Pblico PFgina A1
%)& !umplimiento Generalidades

*l diseLo" o!eracin" uso 1 administracin de los sistemas de informacin estFn regulados !or dis!osiciones legales 1 contractuales) 6os re2uisitos normati4os 1 contractuales !ertinentes a cada sistema de informacin deben estar debidamente definidos 1 documentados) *l Mrea 6egal del %rganismo" serF res!onsable de encuadrar Durdicamente la formulacin e im!lementacin de la !oltica)
Objetivos
$um!lir con las dis!osiciones normati4as 1 contractuales a fin de e4itar sanciones administrati4as al %rganismo 1Bo al em!leado o 2ue incurran en res!onsabilidad ci4il o !enal
como resultado de su incum!limiento) 8aranti ar 2ue los sistemas cum!lan con la !oltica" normas 1 !rocedimientos de seguridad del %rganismo) :e4isar la seguridad de los sistemas de informacin !eridicamente a efectos de garanti ar la adecuada a!licacin de la !oltica" normas 1 !rocedimientos de seguridad" sobre las !lataformas tecnolgicas 1 los sistemas de informacin) %!timi ar la eficacia del !roceso de auditora de sistemas 1 minimi ar los !roblemas 2ue !udiera ocasionar el mismo" o los obstFculos 2ue !udieran afectarlo) 8aranti ar la eEistencia de controles 2ue !roteDan los sistemas en !roduccin 1 las #erramientas de auditora en el transcurso de las auditoras de sistemas) Determinar los !la os !ara el mantenimiento de informacin 1 !ara la recoleccin de e4idencia del %rganismo)
Alcance
*sta Poltica se a!lica a todo el !ersonal del %rganismo" cual2uiera sea su situacin de re4ista) Asimismo se a!lica a los sistemas de informacin" normas" !rocedimientos" documentacin 1 !lataformas t0cnicas del %rganismo 1 a las auditoras efectuadas sobre los mismos)
Responsabilidad
*l :es!onsable de ,eguridad (nformFtica cum!lirF las siguientes funciones5 - Definir normas 1 !rocedimientos !ara garanti ar el cum!limiento de las restricciones legales al uso del material !rotegido !or normas de !ro!iedad intelectual 1 a la conser4acin de registros) - :eali ar re4isiones !eridicas de todas las Freas del %rganismo a efectos de garanti ar el cum!limiento de la !oltica" normas 1 !rocedimientos de seguridad) - Verificar !eridicamente 2ue los sistemas de informacin cum!lan la !oltica" normas 1 !rocedimientos de seguridad establecidos) - 8aranti ar la seguridad 1 el control de las #erramientas utili adas !ara las re4isiones de auditora)
*l :es!onsable del Mrea 6egal del %rganismo" con la asistencia del :es!onsable de ,eguridad (nformFtica cum!lirFn las siguientes funciones5 - Definir 1 documentar claramente todos los re2uisitos normati4os 1 contractuales !ertinentes !ara cada sistema de informacin) - :edactar un $om!romiso de $onfidencialidad a ser firmado !or todo el !ersonal) 6os :es!onsables de <nidades %rgani ati4as 4elarFn !or la correcta im!lementacin 1 cum!limiento de las normas 1 !rocedimientos de seguridad establecidos en la !resente Poltica" dentro de su Frea de res!onsabilidad) 'odos los em!leados de los mandos medios 1 su!eriores conocerFn" com!renderFn" darFn a conocer" cum!lirFn 1 #arFn cum!lir la !resente Poltica 1 la normati4a 4igente)
Poltica
%)&%& !umplimiento de Re@uisitos 5egales
%)&%&%& Identificacin de la 5egislacin Aplicable
,e definirFn 1 documentarFn claramente todos los re2uisitos normati4os 1 contractuales !ertinentes !ara cada sistema de informacin) Del mismo modo se definirFn 1 documentarFn los controles es!ecficos 1 las res!onsabilidades 1 funciones indi4iduales !ara cum!lir con dic#os re2uisitos)
%)&%&)& "erecBos de Propiedad Intelectual

,e im!lementarFn !rocedimientos adecuados !ara garanti ar el cum!limiento de las restricciones legales al uso del material !rotegido !or normas de !ro!iedad intelectual) 6os em!leados nicamente !odrFn utili ar material autori ado !or el %rganismo) *l %rganismo solo !odrF autori ar el uso de material !roducido !or el mismo" o material autori ado o suministrado al mismo !or su titular" conforme los t0rminos 1 condiciones acordados 1 lo dis!uesto !or la normati4a 4igente) 6a infraccin a estos derec#os !uede tener como resultado acciones legales 2ue !odran
deri4ar en demandas !enales) ,e deberFn tener !resentes las siguientes normas5 Ley de Propiedad Intelectual N 11.723 5 Protege los derec#os de autor de las obras cientficas" literarias 1 artsticas" inclu1endo los !rogramas de com!utacin fuente 1 obDetoO las com!ilaciones de datos o de otros materiales) Ley de Marca N 22.3!25 Protege la !ro!iedad de una marca 1 la eEclusi4idad de su uso) Ley de Patente de Invencin y Modelo de "tilidad N 2#.#$1 5 Protege el derec#o del titular de la !atente de in4encin a im!edir 2ue terceros utilicen su !roducto o !rocedimiento)
%)&%&)&%& "erecBo de Propiedad Intelectual del SoftAare

*l softKare es considerado una obra intelectual 2ue go a de la !roteccin de la 6e1 11)I2H de Pro!iedad (ntelectual) *sta 6e1 establece 2ue la eE!lotacin de la !ro!iedad intelectual sobre los !rogramas de com!utacin incluirF" entre otras formas" los contratos de licencia !ara su uso o re!roduccin)
$um!limiento Poltica Modelo Documento Pblico PFgina AH
6os !roductos de softKare se suministran normalmente baDo acuerdos de licencia 2ue suelen limitar el uso de los !roductos al e2ui!amiento es!ecfico 1 su co!ia a la creacin de co!ias de resguardo solamente) *l :es!onsable de ,eguridad (nformFtica" con la asistencia del Mrea 6egal" anali arF los t0rminos 1 condiciones de la licencia" e im!lementarF los siguientes controles5 a/ Definir normas 1 !rocedimientos !ara el cum!limiento del derec#o de !ro!iedad intelectual de softKare 2ue defina el uso legal de !roductos de informacin 1 de softKare) b/ Di4ulgar las !olticas de ad2uisicin de softKare 1 las dis!osiciones de la 6e1 de Pro!iedad (ntelectual" 1 notificar la determinacin de tomar acciones disci!linarias contra el !ersonal 2ue las infrinDa) c/ Mantener un adecuado registro de acti4os) d/ $onser4ar !ruebas 1 e4idencias de !ro!iedad de licencias" discos maestros" manuales" etc) e/ (m!lementar controles !ara e4itar el eEceso del nmero mFEimo !ermitido de usuarios) f/ Verificar 2ue slo se instalen !roductos con licencia 1 softKare autori ado) g/ *laborar 1 di4ulgar un !rocedimiento !ara el mantenimiento de condiciones adecuadas con res!ecto a las licencias) #/ *laborar 1 di4ulgar un !rocedimiento relati4o a la eliminacin o transferencia de softKare a terceros) i/ <tili ar #erramientas de auditora adecuadas) D/ $um!lir con los t0rminos 1 condiciones establecidos !ara obtener softKare e informacin en redes !blicas)
%)&%&/& Proteccin de los Registros del Organismo

6os registros crticos del %rganismo se !rotegerFn contra !0rdida" destruccin 1 falsificacin) Algunos registros !ueden re2uerir una retencin segura !ara cum!lir re2uisitos legales o normati4os" as como !ara res!aldar acti4idades esenciales del %rganismo) 6os registros se clasificarFn en diferentes ti!os" !or eDem!lo registros contables" registros de base de datos" registros de auditora 1 !rocedimientos o!erati4os" cada uno de ellos detallando los !erodos de retencin 1 el ti!o de medios de almacenamiento" !or eDem!lo !a!el" microfic#as" medios magn0ticos u !ticos) Tipo de Registro Sistema de Informacin Perodo de Retencin Medio de Almacenamiento Responsable 6as cla4es cri!togrFficas asociadas con arc#i4os cifrados se mantendrFn en forma segura 1 estarFn dis!onibles !ara su uso !or !arte de !ersonas autori adas cuando resulte necesario
.Ver 10)H) $ontroles $ri!togrFficos/) ,e debe considerar la !osibilidad de degradacin de los medios utili ados !ara el almacenamiento de los registros) 6os !rocedimientos de almacenamiento 1 mani!ulacin se im!lementarFn de acuerdo con las recomendaciones del fabricante).Ver 10)H)1) Poltica de <tili acin de $ontroles $ri!togrFficos)/ ,i se seleccionan medios de almacenamiento electrnicos" se incluirFn los !rocedimientos !ara garanti ar la ca!acidad de acceso a los datos .tanto legibilidad de formato como medios/ durante todo el !erodo de retencin" a fin de sal4aguardar los mismos contra e4entuales !0rdidas ocasionadas !or futuros cambios tecnolgicos)
$um!limiento Poltica Modelo Documento Pblico PFgina AC
6os sistemas de almacenamiento de datos serFn seleccionados de modo tal 2ue los datos re2ueridos !uedan recu!erarse de una manera 2ue resulte ace!table !ara un tribunal de Dusticia" !or eDem!lo 2ue todos los registros re2ueridos !uedan recu!erarse en un !la o 1 un formato ace!table) *l sistema de almacenamiento 1 mani!ulacin garanti arF una clara identificacin de los registros 1 de su !erodo de retencin legal o normati4a) Asimismo" se !ermitirF una adecuada destruccin de los registros una 4e transcurrido dic#o !erodo" si 1a no resultan necesarios !ara el %rganismo) A fin de cum!lir con estas obligaciones" se tomarFn las siguientes medidas5 a/ *laborar 1 di4ulgar los lineamientos !ara la retencin" almacenamiento" mani!ulacin 1 eliminacin de registros e informacin) b/ Pre!arar un cronograma de retencin identificando los ti!os esenciales de registros 1 el !erodo durante el cual deben ser retenidos) c/ Mantener un in4entario de !rogramas fuentes de informacin cla4e) d/ (m!lementar adecuados controles !ara !roteger la informacin 1 los registros esenciales contra !0rdida" destruccin 1 falsificacin) *n !articular" se deberFn tener !resente las siguientes normas5 %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 *stablece 2ue las !ersonas 2ue se desem!eLen en la funcin !blica deben !roteger 1 conser4ar la !ro!iedad del *stado 1 slo em!lear sus bienes con los fines autori ados) ,di-o de %tica de la (uncin P)*lica5 Dis!one 2ue el funcionario !blico debe !roteger 1 conser4ar los bienes del *stado 1 utili ar los 2ue le fueran asignados !ara el desem!eLo de sus funciones de manera racional" e4itando su abuso" derroc#e o desa!ro4ec#amiento) ,di-o Penal Art. 2++5 ,anciona a 2uien sustraDere" ocultare" destru1ere o inutili are obDetos destinados a ser4ir de !rueba ante la autoridad com!etente" registros o documentos confiados a la custodia de un funcionario o de otra !ersona en el inter0s del ser4icio !blico) ,i el cul!able fuere el mismo de!ositario" sufrirF ademFs in#abilitacin es!ecial !or doble tiem!o) Ley N 2#.!2#. Art.culo 3/5 Autori a el arc#i4o 1 la conser4acin en so!orte electrnico u !tico indeleble de la documentacin financiera" de !ersonal 1 de control de la Administracin Pblica &acional 1 otorga 4alor Durdico 1 !robatorio a la documentacin eEistente 2ue se incor!ore al Arc#i4o 8eneral de la Administracin" mediante la utili acin de tecnologa 2ue garantice la estabilidad" !erdurabilidad" inmutabilidad e inalterabilidad del so!orte de guarda fsico de la mencionada documentacin) 0eci in Ad1ini trativa #3/2!5 :eglamenta el Art) H0 de la 6e1 2C)@2C) Determina su Fmbito de a!licacin" define conce!tos 1 !recisa los re2uisitos de carFcter general" los relacionados con los documentos en !articular 1 con el so!orte a utili ar en la redaccin" !roduccin o re!roduccin de a2uellos) Ley de Propiedad Intelectual N 11.723 5 Protege los derec#os de autor de las obras cientficas" literarias 1 artsticas" inclu1endo las com!ilaciones de datos o de otros materiales) Ley N 2+.+/!5 *stablece 2ue la eEigencia legal de conser4ar documentos" registros o datos" tambi0n 2ueda satisfec#a con la conser4acin de los corres!ondientes documentos digitales firmados digitalmente" segn los !rocedimientos 2ue determine la reglamentacin" siem!re 2ue sean accesibles !ara su !osterior consulta 1 !ermitan determinar
fe#acientemente el origen" destino" fec#a 1 #ora de su generacin" en4o 1Bo rece!cin)
%)&%&0& Proteccin de "atos ; Pri-acidad de la Informacin Personal

'odos los em!leados deberFn conocer las restricciones al tratamiento de los datos 1 de la informacin res!ecto a la cual tengan conocimiento con moti4o del eDercicio de sus funciones)
*l %rganismo redactarF un +$om!romiso de $onfidencialidad-" el cual deberF ser suscrito !or todos los em!leados) 6a co!ia firmada del com!romiso serF retenida en forma segura !or el %rganismo) Mediante este instrumento el em!leado se com!rometerF a utili ar la informacin solamente !ara el uso es!ecfico al 2ue se #a destinado 1 a no comunicar" diseminar o de alguna otra forma #acer !blica la informacin a ninguna !ersona" firma" com!aLa o tercera !ersona" sal4o autori acin !re4ia 1 escrita del :es!onsable del Acti4o de 2ue se trate) A tra40s del +$om!romiso de $onfidencialidad- se deberF ad4ertir al em!leado 2ue determinadas acti4idades !ueden ser obDeto de control 1 monitoreo) *stas acti4idades deben ser detalladas a fin de no 4iolar el derec#o a la !ri4acidad del em!leado .Ver @) ,eguridad del Personal/) *n !articular" se deberFn tener !resente las siguientes normas5 Ley Marco de Re-ulacin de &1pleo P)*lico Nacional. Ley 2+.1!# 5 *stablece 2ue los 7uncionarios Pblicos deben obser4ar el deber de fidelidad 2ue se deri4e de la ndole de las tareas 2ue le fueron asignadas 1 guardar la discrecin corres!ondiente o la reser4a absoluta" en su caso" de todo asunto del ser4icio 2ue as lo re2uiera) ,onvenio ,olectivo de 3ra*a'o 4eneral5 Dis!one 2ue todos los agentes deben obser4ar el deber de fidelidad 2ue se deri4e de la ndole de las tareas 2ue le fueran asignadas 1 guardar la discrecin corres!ondiente" con res!ecto a todos los #ec#os e informaciones de los cuales tenga conocimiento en el eDercicio o con moti4o del eDercicio de sus funciones) %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 %bliga a todas las !ersonas 2ue se desem!eLen en la funcin !blica a abstenerse de utili ar informacin ad2uirida en el cum!limiento de sus funciones !ara reali ar acti4idades no relacionadas con sus tareas oficiales o de !ermitir su uso en beneficio de intereses !ri4ados) ,di-o de %tica de la (uncin P)*lica5 *stablece 2ue el funcionario !blico debe abstenerse de difundir toda informacin 2ue #ubiera sido calificada como reser4ada o secreta conforme a las dis!osiciones 4igentes" ni la debe utili ar" en beneficio !ro!io o de terceros o !ara fines aDenos al ser4icio" informacin de la 2ue tenga conocimiento con moti4o o en ocasin del eDercicio de sus funciones 1 2ue no est0 destinada al !blico en general) Proteccin de 0ato Per onale . Ley 2+.32! 5 *stablece res!onsabilidades !ara a2uellas !ersonas 2ue reco!ilan" !rocesan 1 di4ulgan informacin !ersonal 1 define criterios !ara !rocesar datos !ersonales o cederlos a terceros) ,onfidencialidad. Ley N 2#.7!!5 (m!ide la di4ulgacin a terceros" o su utili acin sin !re4io consentimiento 1 de manera contraria a los usos comerciales #onestos" de informacin secreta 1 con 4alor comercial 2ue #a1a sido obDeto de medidas ra onables !ara mantenerla secreta) ,di-o Penal5 ,anciona a a2uel 2ue teniendo noticias de un secreto cu1a di4ulgacin !ueda causar daLo" lo re4elare sin Dusta causa .Art) 15@/" al funcionario !blico 2ue re4elare #ec#os" actuaciones o documentos 2ue !or la le1 deben 2uedar secretos .Art) 15I/" al 2ue re4elare secretos !olticos o militares concernientes a la seguridad" a los medios de defensa o a las relaciones eEteriores de la &acin" o al 2ue !or im!rudencia o negligencia diere a conocer los secretos mencionados anteriormente" de los 2ue se #allare en !osesin en 4irtud de su em!leo u oficio .Art) 222 1 22H/) Asimismo" deberF considerarse lo establecido en el Decreto 11I2B0H" 2ue regula el acceso a la informacin !blica !or !arte de los ciudadanos)
%)&%&2& Pre-encin del #so Inadecuado de los Recursos de Procesamiento de Informacin

6os recursos de !rocesamiento de informacin del %rganismo se suministran con un !ro!sito determinado) 'oda utili acin de estos recursos con !ro!sitos no autori ados o aDenos al
destino !or el cual fueron !ro4istos debe ser considerada como uso indebido)
$um!limiento Poltica Modelo Documento Pblico PFgina A@
'odos los em!leados deben conocer el alcance !reciso del uso adecuado de los recursos informFticos 1 deben res!etarlo) *n !articular" se debe res!etar lo dis!uesto !or las siguientes normas5 Ley Marco de Re-ulacin de &1pleo P)*lico Nacional. Ley 2+.1!# 5 Pro#be #acer uso indebido o con fines !articulares del !atrimonio estatal) ,onvenio ,olectivo de 3ra*a'o 4eneral5 %bliga a los agentes a no #acer uso indebido o con fines !articulares del !atrimonio estatal) %tica en el &'ercicio de la (uncin P)*lica. Ley 2+.1$$ 5 %bliga a las !ersonas 2ue se desem!eLen en la funcin !blica a !roteger 1 conser4ar la !ro!iedad del *stado 1 slo em!lear sus bienes con los fines autori ados) ,di-o de %tica de la (uncin P)*lica5 %bliga al funcionario !blico a !roteger 1 conser4ar los bienes del *stado 1 utili ar los 2ue le fueran asignados !ara el desem!eLo de sus funciones de manera racional" e4itando su abuso" derroc#e o desa!ro4ec#amiento)
%)&%&4& Regulacin de !ontroles para el #so de !riptografa

Al utili ar firmas digitales o electrnicas" se deberF considerar lo dis!uesto !or la 6e1 25)50@ 1 su decreto reglamentario Decreto 2@2JB02" 2ue establecen las condiciones baDo las cuales una firma digital es legalmente 4Flida) :es!ecto a la comerciali acin de controles cri!togrFficos" nuestro !as #a suscrito el acuerdo Uassennar" 2ue establece un listado de materiales 1 tecnologas de doble uso" cu1a comerciali acin !uede ser considerada !eligrosa) *l Decreto @0HBA2 regula el :0gimen de $ontrol de las *E!ortaciones ,ensiti4as 1 de Material =0lico" estableciendo un tratamiento es!ecial !ara la eE!ortacin de determinados bienes 2ue !ueden ser com!rendidos dentro del conce!to de material b0lico) ,e debe obtener asesoramiento antes de transferir a otro !as informacin cifrada o controles cri!togrFficos) Para ello se !uede consultar a la Direccin 8eneral de Poltica" de la ,ecretaria de Asuntos Militares" Ministerio de Defensa" a fin de saber si el material eE!ortable re2uiere algn tratamiento es!ecial)
%)&%&<& Recoleccin de E-idencia

*s necesario contar con adecuada e4idencia !ara res!aldar una accin contra una !ersona u organi acin) ,iem!re 2ue esta accin res!onda a una medida disci!linaria interna" la e4idencia necesaria estarF descrita en los !rocedimientos internos) $uando la accin im!li2ue la a!licacin de una le1" tanto ci4il como !enal" la e4idencia !resentada debe cum!lir con lo establecido !or las normas !rocesales) Para lograr la 4alide de la e4idencia" el %rganismo garanti arF 2ue sus sistemas de informacin cum!len con la normati4a 1 los estFndares o cdigos de !rFctica relati4os a la !roduccin de e4idencia 4Flida) Para lograr la calidad 1 totalidad de la e4idencia es necesaria una slida !ista de la misma) *sta !ista se establecerF cum!liendo las siguientes condiciones5 a/ Almacenar los documentos en !a!el originales en forma segura 1 mantener registros acerca de 2ui0n lo #all" dnde se #all" cuFndo se #all 1 2ui0n !resenci el #alla go) $ual2uier in4estigacin debe garanti ar 2ue los originales no sean alterados) b/ $o!iar la informacin !ara garanti ar su dis!onibilidad) ,e mantendrF un registro de todas las acciones reali adas durante el !roceso de co!ia) ,e almacenarF en forma segura una co!ia de los medios 1 del registro)
$um!limiento Poltica Modelo Documento Pblico PFgina AI
$uando se detecta un incidente" !uede no resultar ob4io si 0ste deri4arF en una demanda legal !or lo tanto se deben tomar todos los recaudos establecidos !ara la obtencin 1 !reser4acin de la e4idencia) ,e deberF tener !resente lo dis!uesto !or el :eglamento de (n4estigaciones Administrati4as" !rocedimiento administrati4o es!ecial" de naturale a correcti4a interna 2ue constitu1e garanta suficiente !ara la !roteccin de los derec#os 1 correcto eDercicio de las res!onsabilidades im!uestas a los agentes !blicos) *ste Decreto debe ser com!lementado !or lo dis!uesto en la 6e1 &W 1A)5CA .6e1 de Procedimientos Administrati4os/ 1 !or toda otra normati4a a!licable"
incluido el $digo Penal" el 2ue sanciona a 2uien sustraDere" ocultare" destru1ere o inutili are obDetos destinados a ser4ir de !rueba ante la autoridad com!etente .Art) 255/)
%)&)& Re-isiones de la Poltica de Seguridad ; la !ompatibilidad T1cnica

%)&)&%& !umplimiento de la Poltica de Seguridad
$ada :es!onsable de <nidad %rgani ati4a" 4elarF !or la correcta im!lementacin 1 cum!limiento de las normas 1 !rocedimientos de seguridad establecidos" dentro de su Frea de res!onsabilidad) *l :es!onsable de ,eguridad (nformFtica" reali arF re4isiones !eridicas de todas las Freas del %rganismo a efectos de garanti ar el cum!limiento de la !oltica" normas 1 !rocedimientos de seguridad) *ntre las Freas a re4isar se inclu1en las siguientes5 a/ ,istemas de informacin) b/ Pro4eedores de sistemas) c/ Pro!ietarios de informacin) d/ <suarios) 6os Pro!ietarios de la (nformacin brindarFn a!o1o a la re4isin !eridica del cum!limiento de la !oltica" normas" !rocedimientos 1 otros re2uisitos de seguridad a!licables)
%)&)&)& 9erificacin de la !ompatibilidad T1cnica

*l :es!onsable de ,eguridad (nformFtica 4erificarF !eridicamente 2ue los sistemas de informacin cum!lan con la !oltica" normas 1 !rocedimientos de seguridad" las 2ue incluirFn la re4isin de los sistemas en !roduccin a fin de garanti ar 2ue los controles de #ardKare 1 softKare #a1an sido correctamente im!lementados) *n caso de ser necesario" estas re4isiones contem!larFn la asistencia t0cnica es!eciali ada) *l resultado de la e4aluacin se 4olcarF en un informe t0cnico !ara su ulterior inter!retacin !or !arte de los es!ecialistas) Para ello" la tarea !odrF ser reali ada !or un !rofesional eE!erimentado .en forma manual o con el a!o1o de #erramientas de softKare/" o !or un !a2uete de softKare automati ado 2ue genere re!ortes 2ue serFn inter!retados !or un es!ecialista t0cnico) 6a 4erificacin del cum!limiento com!renderF !ruebas de !enetracin 1 tendrF como obDeti4o la deteccin de 4ulnerabilidades en el sistema 1 la 4erificacin de la eficacia de los controles con relacin a la !re4encin de accesos no autori ados) ,e tomarFn los recaudos necesarios en el caso de !ruebas de !enetracin eEitosas 2ue com!rometan la seguridad del sistema) 6as 4erificaciones de cum!limiento slo serFn reali adas !or !ersonas com!etentes" formalmente autori adas 1 baDo la su!er4isin)
$um!limiento Poltica Modelo Documento Pblico PFgina AJ
%)&/& !onsideraciones de Auditoras de Sistemas

$on relacin a las auditoras" serFn de a!licacin las &ormas de $ontrol (nterno !ara 'ecnologas de (nformacin" a!robadas !or la resolucin ,(8*& &W CJB05)
%)&/&%& !ontroles de Auditora de Sistemas

$uando se realicen acti4idades de auditora 2ue in4olucren 4erificaciones de los sistemas en !roduccin" se tomarFn recaudos en la !lanificacin de los re2uerimientos 1 tareas" 1 se acordarF con las Freas in4olucradas a efectos de minimi ar el riesgo de interru!ciones en las o!eraciones) ,e contem!larFn los siguientes !untos5 a/ Acordar con el Mrea 2ue corres!onda los re2uerimientos de auditora) b/ $ontrolar el alcance de las 4erificaciones) *sta funcin serF reali ada !or el res!onsable de auditora) c/ 6imitar las 4erificaciones a un acceso de slo lectura del softKare 1 datos de !roduccin) $aso contrario" se tomarFn los resguardos necesarios a efectos de aislar 1 contrarrestar los efectos de las modificaciones reali adas" una 4e finali ada la auditora) Por eDem!lo5 *liminar arc#i4os transitorios) *liminar entidades ficticias 1 datos incor!orados en arc#i4os maestros)
:e4ertir transacciones) :e4ocar !ri4ilegios otorgados
d/ (dentificar claramente los recursos de tecnologas de informacin .'(/ !ara lle4ar a cabo las 4erificaciones" los cuales serFn !uestos a dis!osicin de los auditores) A tal efecto" la <nidad de Auditora o en su defecto 2uien sea !ro!uesto !or el $omit0 de ,eguridad de la (nformacin com!letarF el siguiente formulario" el cual deberF ser !uesto en conocimiento de las Freas in4olucradas5 Recursos de TI a utili8ar en la 9erificacin ,istemas de informacin )))))))))))))))))))))))))))))))))))))) =ase de datos )))))))))))))))))))))))))))))))))))))) NardKare )))))))))))))))))))))))))))))))))))))) ,oftKare de Auditora )))))))))))))))))))))))))))))))))))))) Medios Magn0ticos )))))))))))))))))))))))))))))))))))))) Personal de Auditora )))))))))))))))))))))))))))))))))))))) (nterlocutores de las Mreas de (nformFtica )))))))))))))))))))))))))))))))))))))) (nterlocutores de las Mreas <suarias )))))))))))))))))))))))))))))))))))))) $oneEiones a :ed )))))))))))))))))))))))))))))))))))))) )))))))))))))))))))))))) )))))))))))))))))))))))))))))))))))))) e/ (dentificar 1 acordar los re2uerimientos de !rocesamiento es!ecial o adicional) f/ Monitorear 1 registrar todos los accesos" a fin de generar una !ista de referencia) 6os datos a resguardar deben incluir como mnimo5 7ec#a 1 #ora) Puesto de trabaDo) <suario) 'i!o de acceso) (dentificacin de los datos accedidos) *stado !re4io 1 !osterior)
$um!limiento Poltica Modelo Documento Pblico PFgina AA Programa 1Bo funcin utili ada)
g/ Documentar todos los !rocedimientos de auditora" re2uerimientos 1 res!onsabilidades)
%)&/&)& Proteccin de los Elementos #tili8ados por la Auditora de Sistemas

,e !rotegerF el acceso a los elementos utili ados en las auditoras de sistemas" o sea arc#i4os de datos o softKare" a fin de e4itar el mal uso o el com!romiso de los mismos) Dic#as #erramientas estarFn se!aradas de los sistemas en !roduccin 1 de desarrollo" 1 se les otorgarF el ni4el de !roteccin re2uerido) ,e tomarFn los recaudos necesarios a efectos de cum!limentar las normas de auditora dis!uestas !or la ,indicatura 8eneral de la &acin)
%)&0& Sanciones Pre-istas por Incumplimiento

,e sancionarF administrati4amente a todo a2uel 2ue 4iole lo dis!uesto en la !resente Poltica de ,eguridad conforme a lo dis!uesto !or las normas estatutarias" escalafonarias 1 con4encionales 2ue rigen al !ersonal de la Administracin Pblica &acional" 1 en caso de corres!onder" se reali arFn las acciones corres!ondientes ante el o los %rganismos !ertinentes) 6as sanciones slo !ueden im!onerse mediante un acto administrati4o 2ue as lo dis!onga cum!liendo las formalidades im!uestas !or los !rece!tos constitucionales" la 6e1 de Procedimiento Administrati4o 1 demFs normati4as es!ecficas a!licables) Am0n de las sanciones disci!linarias o administrati4as" el agente 2ue no da debido cum!limiento a sus obligaciones !ueden incurrir tambi0n en res!onsabilidad ci4il o !atrimonial cuando ocasiona un daLo 2ue debe ser indemni ado- 1Bo en res!onsabilidad !enal -cuando su conducta constitu1e un com!ortamiento considerado delito !or el $digo Penal 1 le1es es!eciales)

Política Modelo Documento Público

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Política Modelo Documento Público

Uploaded by

Copyright:

Available Formats

Poltica Modelo Documento Pblico

Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional

!ON"I!IONES "E #SO

/& PO5$TI!A "E SE6#RI"A" "E 5A IN+ORMA!I'N &&&&&&&&&&&&&&&&&&&&&&&&&&& %%

0& OR6ANI7A!I'N "E 5A SE6#RI"A" &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& %2

!ONTRO5 "E A!TI9OS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ))

4& SE6#RI"A" "E5 PERSONA5&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& )4

<& SE6#RI"A" +$SI!A

(& 6ESTI'N "E !OM#NI!A!IONES

,& !ONTRO5 "E A!!ESOS &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 20

A)5)1) (dentificacin AutomFtica de 'erminales))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) @C

MANTENIMIENTO "E SISTEMAS&&&&&&&&&&&&&&&&&&&&&&&&&& </

%%& A"MINISTRA!I'N "E 5A !ONTIN#I"A" "E 5AS A!TI9I"A"ES "E5 OR6ANISMO&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& (2

)& T1rminos ; "efiniciones

)&%& Seguridad de la Informacin

)&)& E-aluacin de Riesgos

)&/& Administracin de Riesgos

)&0& !omit1 de Seguridad de la Informacin

)&2& Responsable de Seguridad Inform3tica

)&4& Incidente de Seguridad

/& Poltica de Seguridad de la Informacin

amena as mFs im!ortantesO tomar conocimiento 1 su!er4isar la in4estigacin 1 monitoreo de

Poltica /&%& Aspectos 6enerales

/&)& Sanciones Pre-istas por Incumplimiento

0& Organi8acin de la Seguridad

Poltica 0&%& Infraestructura de la Seguridad de la Informacin

0&%&)& Asignacin de Responsabilidades en Materia de Seguridad de la Informacin

0&%&/& Proceso de Autori8acin para Instalaciones de Procesamiento de Informacin

0&%&0& Asesoramiento Especiali8ado en Materia de Seguridad de la Informacin

0&%&2& !ooperacin entre Organismos

0&%&4& Re-isin Independiente de la Seguridad de la Informacin

0&)& Seguridad +rente al Acceso por Parte de Terceros

0&)&)& Re@uerimientos de Seguridad en !ontratos o Acuerdos con Terceros

2& !lasificacin ; !ontrol de Acti-os Generalidades

informacin de su Frea de com!etencia sea cum!limentado de acuerdo a lo establecido en la !resente Poltica)

2&)& !lasificacin de la informacin

2&/& Rotulado de la Informacin

4& Seguridad del Personal Generalidades

4&%&)& !ontrol ; Poltica del Personal

4&%&/& !ompromiso de !onfidencialidad

4&%&0& T1rminos ; !ondiciones de Empleo

4&)& !apacitacin del #suario

4&/& Respuesta a Incidentes ; Anomalas en Materia de Seguridad

4&/&)& !omunicacin de "ebilidades en Materia de Seguridad

4&/&/& !omunicacin de Anomalas del SoftAare

4&/&0& Aprendiendo de los Incidentes

4&/&2& Procesos "isciplinarios

<& Seguridad +sica ; Ambiental Generalidades

<&)& !ontroles de Acceso +sico

<&/& Proteccin de Oficinas> Recintos e Instalaciones

<&0& "esarrollo de Tareas en ?reas Protegidas

<&2& Aislamiento de las ?reas de Recepcin ; "istribucin

<&4& #bicacin ; Proteccin del E@uipamiento ; !opias de Seguridad

<&<& Suministros de Energa

<&(& Seguridad del !ableado

<&,& Mantenimiento de E@uipos

<&%.& Seguridad de los E@uipos +uera de las Instalaciones&

<&%%& "esafectacin o Reutili8acin Segura de los E@uipos&

<&%)& Polticas de Escritorios ; Pantallas 5impias&

<&%/& Retiro de los =ienes

(& 6estin de !omunicaciones ; Operaciones Generalidades

(&%&)& !ontrol de !ambios en las Operaciones

(&%&/& Procedimientos de Mane:o de Incidentes

(&%&0& Separacin de +unciones