Professional Documents
Culture Documents
R 11.-462
RE046211-14042011-A17951-1/61
*0019469RE0462111*
-2-
RE046211-14042011-A17951-2/61
*0019469RE0462112*
-3-
0.1 TRMITE
El documento Poltica de Seguridad de la Informacin en su
versin 2010 fue elaborado por el Comit de Seguridad de la
Informacin. El mismo fue auditado por la Divisin Auditora
Interna y Seguimiento de Gestin. La presente normativa fue
aprobada por R 11.-462 de 14-04-11.
RE046211-14042011-A17951-3/61
*0019469RE0462113*
-4-
RE046211-14042011-A17951-4/61
*0019469RE0462114*
-5-
1.2 VIGENCIA
La poltica aqu definida entra en vigencia a partir de su
aprobacin.
1.3 ALCANCE
La Poltica se expresa como deber ser y se toma como un
marco de referencia para las reas.
2.- DEFINICIONES
Amenaza: Una causa potencial de un incidente indeseado, que
puede dar lugar a daos a un sistema o una organizacin.
RE046211-14042011-A17951-5/61
*0019469RE0462115*
-6-
RE046211-14042011-A17951-6/61
*0019469RE0462116*
-7-
RE046211-14042011-A17951-7/61
*0019469RE0462117*
-8-
3.- INTRODUCCIN
UTE ha desarrollado sistemas de informacin que apoyan
muchas de las actividades diarias de la mayora de las
unidades de la Empresa. Estos sistemas no slo se han
transformado en herramientas imprescindibles para gran parte
de los procesos de los niveles operativos, sino que constituyen
una importante fuente de datos para la toma de decisiones
operativas, tcticas y estratgicas. La base de la eficacia y
eficiencia de estos sistemas de informacin es su credibilidad,
que est dada por la confiabilidad y seguridad de la informacin
que mantienen.
Con tal motivo se ha definido la Poltica de Seguridad de la
Informacin, que comprende un conjunto de normas y controles
aplicables a la informacin utilizada en la Empresa, a los
procesos de administracin de la misma y a toda la
infraestructura y tecnologa asociada, utilizada por UTE para s
o para terceros.
RE046211-14042011-A17951-8/61
*0019469RE0462118*
-9-
RE046211-14042011-A17951-10/61
*0019469RE04621110*
- 11 -
RE046211-14042011-A17951-11/61
*0019469RE04621111*
- 12 -
RE046211-14042011-A17951-14/61
*0019469RE04621114*
- 15 -
RE046211-14042011-A17951-15/61
*0019469RE04621115*
- 16 -
RE046211-14042011-A17951-16/61
*0019469RE04621116*
- 17 -
RE046211-14042011-A17951-17/61
*0019469RE04621117*
- 18 -
RE046211-14042011-A17951-18/61
*0019469RE04621118*
- 19 -
6.4.1.- Administracin
Debe definirse y documentarse la responsabilidad y los
procedimientos para la gestin de controles de seguridad de los
sistemas de informacin as como los procedimientos para la
asignacin de los permisos de administracin.
Los cambios a los controles de seguridad del sistema deben
ser autorizados y documentados de acuerdo con
procedimientos de administracin definidos que sean
monitoreados y verificados en forma independiente.
Debe controlarse el acceso a los sistemas de informacin a
travs de identificadores nicos (usuario y contrasea), los que
no habrn de ser compartidos.
Se permite el uso de usuarios genricos para ejecutar tareas
especficas y/o desatendidas justificndose su carcter
excepcional y manteniendo la responsabilidad funcional sobre
dichas tareas.
La administracin de los usuarios predefinidos en el software
adquirido a terceros, debe ser realizada como si fueran
usuarios reales, siempre que sea tcnicamente posible.
El acceso a las contraseas de los usuarios genricos y/o
predefinidos estar fuertemente restringido sobre la base de los
principios "necesidad de saber" y "necesidad de hacer".
RE046211-14042011-A17951-19/61
*0019469RE04621119*
- 20 -
RE046211-14042011-A17951-20/61
*0019469RE04621120*
- 21 -
RE046211-14042011-A17951-22/61
*0019469RE04621122*
- 23 -
RE046211-14042011-A17951-23/61
*0019469RE04621123*
- 24 -
RE046211-14042011-A17951-24/61
*0019469RE04621124*
- 25 -
RE046211-14042011-A17951-25/61
*0019469RE04621125*
- 26 -
RE046211-14042011-A17951-26/61
*0019469RE04621126*
- 27 -
6.7.2.- Respaldos
Los soportes conteniendo los respaldos (backups) deben
protegerse adecuadamente durante el transporte desde y hasta
su lugar de almacenamiento externo.
Se deber documentar la frecuencia con que se hacen copias
de respaldo (back-up) y el perodo de conservacin de los
mismos
Ante cambios de gran impacto debe estar previsto un
procedimiento para retornar a la situacin anterior.
La informacin almacenada debe ser probada peridicamente
para asegurar que sea recuperable.
Debe garantizarse para la informacin de respaldo la misma
confidencialidad que para la de origen. La recuperacin de un
respaldo debe estar autorizada por un usuario con permiso de
acceso a dicha informacin.
La solucin integral de respaldo debe asegurar la confiabilidad
y calidad requerida.
RE046211-14042011-A17951-27/61
*0019469RE04621127*
- 28 -
accesos a Internet,
accesos a los servidores de archivos y aplicaciones
crticas,
actividades realizadas por usuarios de tipo
administrador,
operaciones realizadas en cualquier equipo crtico (por
ej. cortafuegos, detectores de intrusos, etc.).
Debe mantenerse por un perodo determinado un registro de
las actividades, segn lo establecido en los niveles de servicio
requeridos.
En situaciones excepcionales se permitir la desactivacin de
acuerdo al procedimiento establecido por SIS o la UARI en su
mbito de accin, debiendo darse aviso a la administracin
funcional correspondiente y a Seguridad Informtica en caso de
SIS. Este procedimiento debe incluir:
Documentacin sobre los motivos de las excepciones y
autorizaciones otorgadas
Medidas para limitar los accesos al mnimo imprescindible.
Criterios para guardar los documentos.
Medidas compensatorias a aplicar cuando se desactiven
bitcoras de seguridad y las que registran el acceso a
informacin crtica y/o confidencial.
Seguridad Informtica o la lnea jerrquica de la UARI en su
mbito de accin, podr investigar las desactivaciones a
efectos de adoptar las medidas preventivas y correctivas
necesarias.
Queda prohibido borrar y/o alterar, total o parcialmente, el
contenido de una bitcora sin que previamente se haya
realizado una copia de respaldo de la misma.
RE046211-14042011-A17951-29/61
*0019469RE04621129*
- 30 -
RE046211-14042011-A17951-31/61
*0019469RE04621131*
- 32 -
RE046211-14042011-A17951-32/61
*0019469RE04621132*
- 33 -
RE046211-14042011-A17951-33/61
*0019469RE04621133*
- 34 -
RE046211-14042011-A17951-34/61
*0019469RE04621134*
- 35 -
RE046211-14042011-A17951-35/61
*0019469RE04621135*
- 36 -
RE046211-14042011-A17951-36/61
*0019469RE04621136*
- 37 -
7.- RESPONSABILIDADES
La responsabilidad de la seguridad de la informacin
corresponde a todas las personas que utilizan la informacin
provista por UTE, sean funcionarios, becarios, consultores,
proveedores, etc. Todos ellos estn obligados a cumplir y hacer
cumplir, en su marco de actuacin, las polticas y
procedimientos de seguridad vigentes.
RE046211-14042011-A17951-38/61
*0019469RE04621138*
- 39 -
RE046211-14042011-A17951-39/61
*0019469RE04621139*
- 40 -
Est prohibida:
- la realizacin de pruebas de controles, pruebas
de vulnerabilidad y/o pruebas de penetracin, as
como la instalacin y/o el uso de herramientas
informticas que permitan alterar, burlar o
desactivar los sistemas de seguridad; cualquiera
sea el fin que con dichas pruebas o herramientas
se persiga, salvo a aquellos funcionarios
debidamente autorizados y en razn de la funcin
que cumplen en la Empresa.
- la divulgacin de informacin sobre el diseo,
funcionamiento y posibles vulnerabilidades de los
controles de seguridad informtica utilizados en la
Empresa,
- la divulgacin de informacin sobre los incidentes
de seguridad detectados y los efectos que
provocaron en la Empresa.
- la instalacin, escritura, generacin, compilacin,
copia, propagacin, ejecucin o intento de
introducir un cdigo diseado para daar o afectar
el rendimiento de cualquier computadora, sistema
de archivo o software,
- la escritura y ejecucin de cualquier programa o
proceso que por sus caractersticas pueda utilizar
recursos en una forma que comprometa los niveles
de servicio.
Los usuarios debern contar con autorizacin previa
basada en estrictas razones de servicio, de SIS, las UARIs
o TEL segn corresponda, para el ingreso a, la salida de y
el cambio de ubicacin en las instalaciones de la Empresa
de cualquier equipamiento informtico o de
comunicaciones. Dichas unidades podrn, en forma
expresa e individualizada, realizar excepciones a esta
poltica, notificando al usuario que se hace responsable de
cumplir con las medidas de seguridad definidas para ese
equipo.
RE046211-14042011-A17951-40/61
*0019469RE04621140*
- 41 -
RE046211-14042011-A17951-41/61
*0019469RE04621141*
- 42 -
RE046211-14042011-A17951-44/61
*0019469RE04621144*
- 45 -
RE046211-14042011-A17951-45/61
*0019469RE04621145*
- 46 -
RE046211-14042011-A17951-47/61
*0019469RE04621147*
- 48 -
RE046211-14042011-A17951-48/61
*0019469RE04621148*
- 49 -
RE046211-14042011-A17951-49/61
*0019469RE04621149*
- 50 -
RE046211-14042011-A17951-50/61
*0019469RE04621150*
- 51 -
ANEXO A
A continuacin se detallan las unidades que administran
recursos informticos en UTE (UARIs), explicitando para cada
una de ellas su mbito de accin.
RE046211-14042011-A17951-51/61
*0019469RE04621151*
- 52 -
RESPONSABILIDADES
RESPONSABILIDADES
Administracin de PCs, servidores, impresoras y
notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Definicin de ubicacin y frecuencia de transmisin de los
equipos inalmbricos.
Compra y administracin de equipos de comunicaciones
(switches para la red operativa y routers)
Contratacin con proveedores de servicios de
telecomunicaciones
Compra y administracin de equipamiento para
establecer enlaces entre locales (incluye enlaces por fibra
ptica, radio enlaces, etc.).
Instalacin y mantenimiento de cableado por cobre y
fibra ptica para la red operativa.
Instalacin y mantenimiento de cableado de fibra ptica
para la red corporativa.
RE046211-14042011-A17951-53/61
*0019469RE04621153*
- 54 -
RESPONSABILIDADES
RE046211-14042011-A17951-54/61
*0019469RE04621154*
- 55 -
RE046211-14042011-A17951-55/61
*0019469RE04621155*
- 56 -
RESPONSABILIDADES
RE046211-14042011-A17951-56/61
*0019469RE04621156*
- 57 -
RESPONSABILIDADES
RE046211-14042011-A17951-57/61
*0019469RE04621157*
- 58 -
RESPONSABILIDADES
RE046211-14042011-A17951-58/61
*0019469RE04621158*
- 59 -
RESPONSABILIDADES
RESPONSABILIDADES
RE046211-14042011-A17951-59/61
*0019469RE04621159*
- 60 -
RESPONSABILIDADES
RE046211-14042011-A17951-60/61
*0019469RE04621160*
- 61 -
RESPONSABILIDADES
RE046211-14042011-A17951-61/61
*0019469RE04621161*