-1-

//tevideo, 14 de abril de 2011.-

R 11.-462

VISTO el expediente EX10020046, elevado por la Gerencia

Sistemas de Informacin, en el que se propone aprobar la
versin 2010 de la Poltica de Seguridad de la Informacin; -----

RESULTANDO: I) Que la poltica de Seguridad de la

Informacin requiere ser revisada, actualizada y difundida
peridica y sistemticamente; --------------------------------------------
II) Que la elaboracin de esta versin implic
la revisin de la anterior - aprobada por R 07.-456 de 12-07-07
- por el Comit de Seguridad Informtica y la consideracin de
la opinin y recomendaciones de la Gerencia Auditora Interna
y Seguimiento de Gestin como actor independiente; -------------
III) Que el trabajo y actuaciones separadas
del Comit de Seguridad y de la mencionada Unidad dan
perspectivas complementarias desde sus respectivos roles y
responsabilidades; y---------------------------------------------------------

CONSIDERANDO: I) que en opinin de la Gerencia Auditora

Interna la propuesta mejora la versin vigente, ya que extiende
el alcance de la poltica a la informacin no soportada en
medios electrnicos, de acuerdo con la familia de normas
ISO/IEC 27000; --------------------------------------------------------------
II) que en informe 530-029/10 dicha
Gerencia emite opinin y realiza recomendaciones con relacin
a la poltica y al Comit de Seguridad, en particular la de
aprobar la nueva versin de la poltica y sustituir el nombre
Comit de Seguridad Informtica por el de Comit de
Seguridad de la Informacin, ---------------------------------------------

EL DIRECTORIO DE U.T.E. RESUELVE: ----------------------------

-- 1.- Derogar la R 07.-456 de 19 de abril de 2007. ----------------

RE046211-14042011-A17951-1/61
*0019469RE0462111*
 -2-

-- 2.- Sustituir la denominacin Comit de Seguridad

Informtica por Comit de Seguridad de la Informacin. ----------

-- 3.- Mantener la actuacin del Comit de Seguridad de la

Informacin separada de la actuacin de la Gerencia Auditora
Interna y Seguimiento de Gestin. --------------------------------------

-- 4.- Aprobar la Poltica de Seguridad de la Informacin,

versin 2010, que luce adjunta. ------------------------------------------

-- 5.- Disponer la instrumentacin de los procedimientos

tendientes a asegurar el cumplimiento de la citada poltica. ------

-- 6.- Encomendar a la Gerencia Sistemas de Informacin un

plan de actividades dirigido a que todas las personas
alcanzadas por la Poltica de Seguridad de la Informacin
conozcan y comprendan el alcance y contenido de la misma,
en cuanto a la responsabilidad de cada una con relacin a las
tecnologas de informacin en UTE. ------------------------------------

Pase a sus efectos a la Gerencia Sistemas de Informacin. -----

RE046211 EX100020046

Dr. Ing. Gonzalo Casaravilla

Presidente
Dr. Jorge J. Fachola
Secretario General

RE046211-14042011-A17951-2/61
*0019469RE0462112*
 -3-

POLTICA DE SEGURIDAD DE LA INFORMACIN

- Versin 2010 -

0.- TRMITE Y REVISIONES

0.1 TRMITE
El documento Poltica de Seguridad de la Informacin en su
versin 2010 fue elaborado por el Comit de Seguridad de la
Informacin. El mismo fue auditado por la Divisin Auditora
Interna y Seguimiento de Gestin. La presente normativa fue
aprobada por R 11.-462 de 14-04-11.

0.2 REVISIONES Y COMPATIBILIDAD TCNICA

0.2.1.- Revisiones de la Poltica de Seguridad de la

Informacin (12.2.1)
Las polticas sern revisadas con una periodicidad no mayor a
tres aos, con el objetivo de incorporar los cambios derivados
de los avances tecnolgicos y las modificaciones en la
estructura organizativa de la Empresa, las regulaciones y
normas externas.

0.2.2.- Detalle de revisiones

Fecha N de Prrafos modificados
revisin
2010 03 Se pasa a considerar la Seguridad de la
Informacin a nivel general poniendo
foco en la Seguridad Informtica.
Se pasa a revisar con una periodicidad
no mayor a tres aos.
Se modifica la clasificacin de la
informacin para considerar impacto de
nuevas leyes.
En base a las recomendaciones de
distintas auditoras internas y externas,
se incorporan mltiples ajustes a la
ltima versin de las PSI.

RE046211-14042011-A17951-3/61
*0019469RE0462113*
 -4-

Fecha N de Prrafos modificados

revisin
01-08-2006 02 Se cambia el formato de la poltica de
acuerdo a las recomendaciones y
mejores prcticas de la norma ISO
27001.
Se incorpora poltica sobre redes
inalmbricas
Se contemplan los diferentes roles que
hacen a la seguridad informtica de la
empresa introducindose el papel del
Comit de Seguridad de la Informacin y
las UARIs.
5-08-2004 01 En Gestin de la seguridad se agrega
un apartado sobre los Atributos de la
informacin Se establece que los
responsables funcionales deben
clasificar la informacin segn su nivel de
sensibilidad y se especifican los cuidados
a tener en cuenta para el tratamiento de
la informacin de la empresa.
Se reforz la poltica de Controles sobre
Internet. Cortafuegos y revisiones
peridicas de bitcoras.
Se modific la poltica de Controles sobre
el Correo electrnico. Se agrega que se
puede revocar un usuario de correo por
irregularidades en el uso del mismo, que
no se permite el uso por terceras
personas y que SIS puede establecer
restricciones al uso de esta herramienta
con fines de optimizacin.
Se incorpora una poltica especfica de
Controles sobre los computadores
porttiles
En Controles sobre Operaciones se
agrega un apartado sobre Bitcoras.
En Administracin de cambios se
agrega un apartado sobre Cambios a
programas relacionados con la seguridad
informtica.

RE046211-14042011-A17951-4/61
*0019469RE0462114*
 -5-

Fecha N de Prrafos modificados

revisin
En Desarrollo de sistemas se agrega un
apartado sobre: Desarrollo de
programas relacionados con la seguridad
informtica.
Se agrega una poltica sobre Controles
sobre virus.
Se agrega una poltica para considerar
Otros aspectos que hacen a la
Adquisicin de software y hardware,
propiedad intelectual, venta de software,
servicio de procesamiento a terceros y
cumplimiento de normas externas.
27-12-2001 00 Versin inicial del documento.

1.- MARCO GENERAL

1.1 MBITO DE APLICACIN

Es de aplicacin en todo el mbito de la Administracin
Nacional de Usinas y Trasmisiones Elctricas (UTE). Atae a
todos los funcionarios y contratados de cualquier tipo, a
excepcin de los Directores.

1.2 VIGENCIA
La poltica aqu definida entra en vigencia a partir de su
aprobacin.

1.3 ALCANCE
La Poltica se expresa como deber ser y se toma como un
marco de referencia para las reas.

2.- DEFINICIONES
Amenaza: Una causa potencial de un incidente indeseado, que
puede dar lugar a daos a un sistema o una organizacin.

RE046211-14042011-A17951-5/61
*0019469RE0462115*
 -6-

rea: Unidad funcional definida como tal en el organigrama de

UTE, incluyendo aquellas que, si bien por su jerarqua no lo
son, lo sean por su relacin de dependencia.

Comit de Seguridad de la Informacin: Grupo

interdisciplinario liderado por SIS, conformado por
representantes de las unidades COM, DIS, LET, SEC, PLA,
TEL, GEN, TRA y DPE. Sus principales responsabilidades son
elaborar las polticas de seguridad que sern aprobadas por
DIR y velar por el cumplimiento de las mismas.

Control: Las polticas, procedimientos, prcticas y estructuras

organizacionales diseadas para garantizar razonablemente
que los objetivos de la empresa sern alcanzados y que
eventos no deseables sern prevenidos o detectados y
corregidos.

Equipamiento informtico: Hardware utilizado en el

procesamiento de la informacin, se consideran incluidos en
este concepto tambin los equipos de comunicaciones y
telecontrol.

Equipamiento informtico crtico: Equipamiento identificado

como crtico o con una categora superior de criticidad en el
anlisis de riesgos de SIS y las UARIs.

Incidente de Seguridad Informtica: Una interrupcin no

planeada de un servicio de TI o la reduccin en la calidad del
servicio. Se puede entender que un evento que amenace la
calidad, seguridad o fiabilidad del servicio, aunque todava no
haya impactado, tambin se considera incidente.

RE046211-14042011-A17951-6/61
*0019469RE0462116*
 -7-

Incidente de Seguridad de Informacin: Una serie de

eventos indeseados o inesperados que tiene una probabilidad
significativa de comprometer las operaciones de negocio y de
amenazar la integridad, disponibilidad o confidencialidad de la
informacin.

Objetivo de control: Una definicin del resultado o propsito

que se desea alcanzar implementando procedimientos de
control en una actividad particular.

Sistemas de Gestin: Se trata de los Sistemas Integrados de

la Empresa que cubren los procesos de las reas de Negocio y
Funcionales. Son de aplicacin extendida a mltiples sectores y
usuarios.

Unidad: unidad organizativa definida en SAP.

Unidad administradora de recursos de informacin (UARI):

Unidad responsable de administrar equipos o sistemas que
manejan informacin relevante para la Empresa, ya sean
sistemas informticos, redes de datos o equipos para
aplicaciones industriales o administrativas. Estas UARIs estn
definidas explcitamente en el anexo A, cada una tiene un
mbito de actuacin definido, al cual estn referidas las
responsabilidades que se les asigna en el presente documento.
SIS y TEL son UARIs cuyo mbito de actuacin es corporativo
y horizontal a nivel de toda la empresa, por lo que muchas
veces se las citar a lo largo del documento en forma explcita.

Sistemas de Informacin: Conjunto de recursos informticos

utilizados para el tratamiento y administracin de datos e
informacin.

RE046211-14042011-A17951-7/61
*0019469RE0462117*
 -8-

Necesidad de saber, necesidad de hacer: Principio de

seguridad de la informacin que indica el otorgamiento de
permisos de acceso a recursos e informacin con los mnimos
privilegios necesarios.

Separacin de funciones: Principio de seguridad de la

informacin que establece la segregacin de tareas para
reducir el riesgo de que una persona pueda cometer errores o
fraudes. Una persona o equipo de trabajo no puede ser
tambin quien audite o controle las tareas suyas o de su propio
equipo.

3.- INTRODUCCIN
UTE ha desarrollado sistemas de informacin que apoyan
muchas de las actividades diarias de la mayora de las
unidades de la Empresa. Estos sistemas no slo se han
transformado en herramientas imprescindibles para gran parte
de los procesos de los niveles operativos, sino que constituyen
una importante fuente de datos para la toma de decisiones
operativas, tcticas y estratgicas. La base de la eficacia y
eficiencia de estos sistemas de informacin es su credibilidad,
que est dada por la confiabilidad y seguridad de la informacin
que mantienen.
Con tal motivo se ha definido la Poltica de Seguridad de la
Informacin, que comprende un conjunto de normas y controles
aplicables a la informacin utilizada en la Empresa, a los
procesos de administracin de la misma y a toda la
infraestructura y tecnologa asociada, utilizada por UTE para s
o para terceros.

3.1. PRINCIPIOS DE SEGURIDAD DE LA INFORMACIN

La informacin y los procesos que la apoyan, los sistemas y las
redes son importantes activos de la Empresa. Definir, alcanzar,
mantener y mejorar la seguridad de la informacin es esencial
para lograr sus objetivos.

RE046211-14042011-A17951-8/61
*0019469RE0462118*
 -9-

Cualquiera sea la forma que tome la informacin o los medios

(soportes) por los que se comparta o almacene, la misma debe
estar siempre protegida adecuadamente.
La informacin manejada y producida por los sistemas de
informacin debe ser relevante y pertinente para los procesos
del negocio, debe ser entregada de manera oportuna, correcta,
consistente y utilizable (principio de efectividad), procurando
ser provista a travs de la ptima utilizacin de los recursos
(principio de eficiencia). Debe adems ser apropiada para que
la Gerencia pueda cumplir con sus responsabilidades
relacionadas con la operacin de la Empresa (principio de
confiabilidad) y con el cumplimiento de leyes, regulaciones y
acuerdos contractuales (principio de cumplimiento).
La seguridad de la informacin se preserva a travs de los
siguientes principios:
a) confidencialidad: se garantiza que la informacin sea
accesible slo a aquellas personas autorizadas a tener acceso
a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la
informacin y los mtodos de procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados
tengan acceso a la informacin y a los recursos relacionados
con ella toda vez que se requiera.

3.2. OBJETIVO DE LA SEGURIDAD DE LA INFORMACIN

El objetivo principal es la proteccin de la informacin contra
una amplia gama de amenazas para asegurar la continuidad de
las operaciones de la Empresa, reducir al mnimo los daos
causados por una contingencia y maximizar el retorno de las
inversiones y las oportunidades de negocio.

4.- MARCO DE REFERENCIA

La seguridad de la informacin se consigue implementando un
conjunto adecuado de controles como ser: polticas, procesos,
procedimientos y funciones (informatizadas o no), y asignando
los recursos necesarios. Estos controles deben ser
RE046211-14042011-A17951-9/61
*0019469RE0462119*
 - 10 -

establecidos, implementados, revisados y mejorados cuando

fuere necesario para asegurar que se cumplen los objetivos
especficos de seguridad de informacin de la Empresa.
Los planes de seguridad para cumplir esta poltica sern
elaborados por cada rea y tendrn los plazos y metas
definidos por la misma.
Sobre la base de la familia de normas ISO/IEC relativas a la
seguridad de la informacin y provisin de servicios, mejores
prcticas como ITIL y recomendaciones de organismos de
reconocido prestigio tales como el Colegio de Contadores,
Economistas y Administradores del Uruguay, Information
Systems Audit & Control Association, Information Systems
Audit & Control Foundation, Instituto Uruguayo de Auditora
Interna, Institute of Internal Auditors, UNIT, etc., la Empresa
identificar los requisitos de seguridad y control, considerando
la evaluacin de los riesgos, los requisitos externos (legales,
normativos y contractuales) y los requisitos internos (polticas,
lineamientos, principios y objetivos que forman parte del
procesamiento de la informacin).

5.- POLTICAS GENERALES

5.1 CUMPLIMIENTO DE REQUISITOS LEGALES,

REGULADORES Y CONTRACTUALES
El Comit de Seguridad debe identificar y analizar las normas
relativas a la seguridad de la informacin incluidas en leyes,
decretos y reglamentaciones de organismos nacionales e
internacionales que sean de aplicacin obligatoria en UTE a los
efectos de asesorar en su cumplimiento a las unidades de la
Empresa segn corresponda.
La utilizacin de cualquier tipo de informacin y/o productos
tecnolgicos debe ceirse a las especificaciones de uso de su
autor y a las normas jurdicas vigentes.

RE046211-14042011-A17951-10/61
*0019469RE04621110*
 - 11 -

5.2 ORGANIZACIN DE LA SEGURIDAD

5.2.1.- Gestin de la Seguridad de la Informacin

Es responsabilidad de cada rea de UTE desarrollar y
mantener un Plan de Seguridad de informacin tomando como
referencia la familia de normas ISO/IEC 27000 a partir de un
anlisis de riesgos peridico que contemple cualquier cambio
que pudiera modificar los escenarios definidos.
Los resultados de este anlisis ayudarn a orientar y
determinar una adecuada accin gerencial y las prioridades
para implementar los controles seleccionados.
Para los equipos y sistemas de informacin que no cuenten con
niveles de riesgo aceptables y los recursos que no cumplan con
la presente poltica, se deben implementar controles
compensatorios adecuados siendo debidamente justificados y
documentados.
Siempre que se apliquen las excepciones o salvedades
establecidas en estas polticas, se debern documentar
adecuadamente las solicitudes, justificaciones y autorizaciones
correspondientes. Todo apartamiento, excepcin o salvedad a
estas polticas deber ser considerado cuando se realice el
anlisis de riesgo mencionado en el primer prrafo de este
punto.
Todas las reas deben realizar evaluaciones independientes
del cumplimiento de las Polticas a fin de detectar
vulnerabilidades en los sistemas y verificar la eficacia de los
controles implementados.
Los resultados de las mismas deben ser comunicados al
Comit de Seguridad de la Informacin.

5.3 REQUISITOS DE FORMACIN, ENTRENAMIENTO Y

CONOCIMIENTO EN SEGURIDAD
Los funcionarios de UTE, ya sea personal permanente o
contratado, deben participar de las actividades de capacitacin
necesarias para proteger adecuadamente los recursos de
informacin de la empresa. Estas actividades deben estar

RE046211-14042011-A17951-11/61
*0019469RE04621111*
 - 12 -

incluidas en un plan de formacin continua que abarque los

diferentes aspectos de la presente Poltica.
Todas las personas, tanto fsicas como jurdicas que brinden
sus servicios a UTE, independientemente de la forma de
relacionamiento con la Empresa, deben estar en conocimiento
y cumplir con la Poltica de Seguridad de la Informacin. Esta
obligacin estar debidamente especificada en los acuerdos
contractuales que tengan con UTE dependiendo de la
naturaleza del servicio.

5.4 CLASIFICACIN DE LA INFORMACIN

La informacin en UTE se clasifica como:
Dato Personal: Informacin de cualquier tipo referida a
personas fsicas o jurdicas determinadas o determinables.
Dato Sensible: Datos personales que revelen origen racial y
tnico, preferencias polticas, convicciones religiosas o
morales, afiliacin sindical e informaciones referentes a la salud
o a la vida sexual.
Informacin pblica: es toda la informacin que emana,
produce, est en posesin de, o bajo el control de UTE, con
independencia del soporte en el que est contenida, salvo las
excepciones o secretos establecidos por ley, as como la
informacin reservada o confidencial.
Informacin reservada: aquella cuya difusin pueda:
- Comprometer la seguridad pblica o la defensa nacional
- Menoscabar la conduccin de las negociaciones o bien, de
las relaciones internacionales, incluida aquella informacin
que otros estados u organismos internacionales entreguen
con carcter de reservado al Estado uruguayo.
- Daar la estabilidad financiera, econmica o monetaria del
pas.
- Poner en riesgo la vida, la dignidad humana, la seguridad o
la salud de cualquier persona.
- Suponer una perdida de ventajas competitivas para el sujeto
obligado o pueda daar su proceso de produccin
RE046211-14042011-A17951-12/61
*0019469RE04621112*
 - 13 -

- Desproteger descubrimientos cientficos, tecnolgicos o

culturales desarrollados o en poder de los sujetos obligados.
Informacin confidencial: Se considera informacin
confidencial:
1. aquella entregada en tal carcter a los sujetos
obligados siempre que:
Refiera al patrimonio de la persona
Comprenda hechos o actos de carcter econmico,
contable, jurdico o administrativo, relativos a una
persona fsica o jurdica que pudiera ser til para un
competidor.
Est amparada por una clusula contractual de
confidencialidad.
2. Los datos personales que requieran previo
consentimiento informado.
La informacin reservada y/o confidencial:
debe ser protegida contra la divulgacin no autorizada a
travs cualquier medio fsico o electrnico.
transportada por terceros o trasmitida por un medio de
comunicacin inseguro (Internet, disquete, etc.) deber contar
con protecciones adicionales (encriptacin, contratos,
precintos, etc.).
debe ser explcitamente identificada como tal y debe ser
destruida al final de su vida til (considerando los plazos
precaucionales definidos por la empresa).
en caso de ser necesario imprimirse debe hacerse de acuerdo
a un procedimiento que se ajuste a la normativa vigente.

5.5 DISPONIBILIDAD DE LA INFORMACIN

La informacin debe estar disponible cuando sta sea
requerida por los procesos de la Empresa, en la medida que se
cumpla con la normativa vigente.
Se deben adoptar las medidas necesarias para salvaguardar la
informacin as como los recursos necesarios para asegurar su
disponibilidad.
RE046211-14042011-A17951-13/61
*0019469RE04621113*
 - 14 -

5.6 INCIDENTES DE SEGURIDAD

Un usuario, ante cualquier sospecha o evidencia de violacin
de seguridad de la informacin o incumplimiento de la presente
poltica, debe reportarlo a su lnea jerrquica. Si se trata de un
incidente de TI debe reportarlo adems a SIS y/o a la UARI
involucrada.
Ante un incidente de seguridad la lnea jerrquica debe tomar
las medidas pertinentes para minimizar el impacto en la
continuidad del negocio.

6.- POLTICAS ESPECFICAS DE TECNOLOGAS DE

INFORMACIN

6.1 POLTICA SOBRE PROPIEDAD INTELECTUAL DE

SOFTWARE
Todo software de terceros que se utilice en la Empresa debe
tener un acuerdo de licencia debidamente documentado. Este
acuerdo deber indicar si existe alguna limitacin en su
utilizacin.
Se deben realizar revisiones peridicas del software instalado
en los equipos informticos de la Empresa a efectos de verificar
el cumplimiento de los acuerdos de licencia vigentes.
Todo software desarrollado en la Empresa por personal propio
o ajeno es propiedad intelectual de UTE, debiendo analizarse la
conveniencia de su inscripcin en el Registro de Derechos de
Autor, en particular cuando el mismo sea utilizado por
organismos o empresas externos a UTE.

6.2 POLTICA SOBRE CONTROLES DE INTERNET

6.2.1.- Controles sobre el uso de Internet

Internet es una herramienta de trabajo suministrada por la
Empresa y el acceso a la misma por razones de servicio
deber ser autorizado por un superior jerrquico con nivel
gerencial, quien tendr derecho a revocarlo o limitarlo ante un

RE046211-14042011-A17951-14/61
*0019469RE04621114*
 - 15 -

uso indebido o cuando el usuario pase a realizar tareas que no

requieran su utilizacin.
Est prohibido navegar por pginas que contravengan normas
jurdicas o con contenido contrario a las buenas costumbres. A
modo de ejemplo: pginas de apuestas o que instiguen a la
violencia, al desprecio u odio racial, tnico, sexual, religioso u
otras formas de discriminacin.
El uso de Internet deber estar relacionado con los cometidos
funcionales y objetivos de UTE. Por excepcin se permite
ocasionalmente el uso particular siempre y cuando el consumo
de recursos o el contenido no comprometan la seguridad de los
sistemas de informacin.
SIS controlar el acceso a Internet y ante un uso indebido, dar
aviso a la lnea jerrquica correspondiente, pudiendo
suspender los permisos de navegacin ante amenazas a la
seguridad de informacin.
Toda la informacin que UTE presenta en pginas de Internet
debe ser revisada peridicamente, para prevenir cualquier
cambio que pueda provocar perjuicios en el negocio.
Toda aplicacin a ser utilizada en ambiente de Internet debe
estar sujeta a pruebas de vulnerabilidad antes de ser puesta en
produccin.
UTE se reserva el derecho de auditar el registro de accesos a
Internet identificando los sitios WEB a los que accede cada
usuario. Para ello SIS debe registrar los accesos a Internet en
una bitcora, la que estar disponible para control de las lneas
correspondientes. Trimestralmente SIS enviar un reporte va
correo electrnico a cada Jefatura, con una aplicacin que
permita acceder a la informacin sobre el tiempo de uso de
Internet de cada dependiente, de manera de efectuar los
controles que estime convenientes. En caso de detectarse
situaciones que presuman existencia de violacin a las polticas
de uso, o a las polticas de seguridad, o se haya identificado un
acceso no autorizado, la Jefatura deber dar comunicacin a la
Gerencia de Sector correspondiente, quien dispondr la
solicitud a SIS del detalle de la informacin correspondiente.

RE046211-14042011-A17951-15/61
*0019469RE04621115*
 - 16 -

6.2.2.- Controles sobre conexiones a Internet

Los nicos accesos permitidos a Internet son los realizados a
travs de conexiones seguras establecidas con la autorizacin
de SIS quien monitorizar que no se utilicen otras formas de
conexin no autorizadas.
Toda conexin entre la red de comunicaciones de UTE e
Internet debe mantener un cortafuegos (firewall) para proteger
la informacin y los sistemas contra accesos no autorizados.
Cada modificacin en la configuracin de los cortafuegos
deber ser probada en un entorno aislado. SIS verificar que la
configuracin sea adecuada y peridicamente efectuar
revisiones a efectos de comprobar que los mismos se
mantienen configurados de acuerdo a las condiciones
aprobadas. La documentacin de los cortafuegos es reservada
y debe actualizarse siempre que se haga una modificacin a la
configuracin.
Desde cualquier equipo conectado a las redes de UTE, est
prohibido el acceso de las personas a Internet a travs de
cualquier tipo de mdem.
La asignacin de un modem inalmbrico para acceso remoto a
UTE, requiere autorizacin previa de un Gerente de Divisin
justificando su necesidad. Considerando las razones de
servicio expuestas, TEL gestionara los lmites de uso del
modem con acceso exclusivo a la red de UTE por defecto o con
acceso directo a Internet por excepcin.

6.3 POLTICA SOBRE EL USO DEL CORREO

ELECTRNICO
Esta poltica es de aplicacin tambin sobre la mensajera
instantnea corporativa.
El correo electrnico es una herramienta de trabajo
suministrada por la Empresa y el acceso a la misma por
razones de servicio deber ser autorizado por un superior
jerrquico con nivel gerencial, quien tendr derecho a

RE046211-14042011-A17951-16/61
*0019469RE04621116*
 - 17 -

gestionar la limitacin o revocacin cuando el usuario pase a

realizar tareas que no requieran la utilizacin del mismo.
La administracin de la herramienta debe garantizar el carcter
privado que tiene la informacin que en l se almacena de
manera que el contenido sea accesible slo por el dueo del
buzn.
La cuenta de correo es para uso personal e intransferible
siendo la utilizacin de la misma de total responsabilidad del
usuario asociado.
El mismo debe utilizarse exclusivamente para comunicaciones
de carcter laboral de UTE. Por excepcin se permite
ocasionalmente el uso particular siempre y cuando el consumo
de recursos o el contenido no comprometan la seguridad de los
sistemas de informacin.
Est prohibido el uso del correo electrnico para enviar
mensajes de tipo cadena. La difusin de informacin
corporativa a todos los usuarios, se deber canalizar por los
medios habituales (Internet, Intranet o cartula del correo
electrnico), con la debida autorizacin.
Est prohibido distribuir informacin que contravenga normas
jurdicas. A modo de ejemplo: que contravenga las leyes de
derecho de autor (piratera), o que contenga agravios o
amenazas, o que instiguen a la violencia, al desprecio u odio
racial, tnico, sexual, religioso u otra forma de discriminacin.
La informacin clasificada en UTE como confidencial,
reservada y/o sensible, no puede ser enviada por medio del
correo electrnico ni almacenada fuera de UTE, sin agregar
medidas de proteccin adicionales que garanticen un nivel de
seguridad adecuado.
Los administradores de la herramienta debern proveer
mtodos de transmisin seguros para la informacin que as lo
requiera.
No se deben ejecutar programas, que vengan adjuntos con
mensajes de una fuente no reconocida, ya que los mismos
pueden contener virus que afecten a los recursos de UTE

RE046211-14042011-A17951-17/61
*0019469RE04621117*
 - 18 -

Ante un incidente de seguridad informtica o investigaciones

administrativas, el departamento de Seguridad Informtica
podr bloquear una cuenta de correo de un usuario de UTE.
Sin embargo, no se podr acceder a la informacin en ella
contenida sin un debido proceso que asegure la objetividad,
autenticidad, conservacin e inalterabilidad de la misma,
debiendo documentarse lo actuado mediante acta notarial, y
previa autorizacin del Directorio o de GER.
UTE no puede garantizar que las comunicaciones a travs del
correo electrnico fuera de la Empresa sean privadas. Las
comunicaciones electrnicas dependiendo de la tecnologa
usada pueden ser interceptadas por otras personas.

6.4 POLTICA SOBRE CONTROLES DE SEGURIDAD

LGICA
Esta poltica se refiere a los controles de seguridad de los
sistemas de informacin que deben definirse para asegurar que
los usuarios accedan exclusivamente a los datos sobre los
cuales se les ha concedido acceso.
El software de control brinda proteccin respecto del acceso
tanto a las aplicaciones como a los recursos del sistema. Tales
controles deben imponer una separacin de tareas entre
funciones incompatibles.
SIS y cada UARI, en sus respectivos planes de seguridad
deben especificar y justificar los apartamientos motivados por
limitaciones tcnicas, recursos o como consecuencia del
anlisis de riesgo realizado, los cuales deben ser aprobados
por la lnea jerrquica correspondiente.
Como criterio general, en caso de existir razones de servicio
que desaconsejen el uso de los mecanismos previstos en este
apartado, debern establecerse controles compensatorios
suficientes que minimicen los riesgos cubiertos por dichos
mecanismos.
Siempre que se apliquen las excepciones o salvedades
establecidas en estas polticas, se debern documentar
adecuadamente las solicitudes, justificaciones y autorizaciones

RE046211-14042011-A17951-18/61
*0019469RE04621118*
 - 19 -

correspondientes. Todo apartamiento, excepcin o salvedad a

estas polticas deber ser considerado cuando se realice el
anlisis de riesgo mencionado en el primer prrafo de este
punto.
Peridicamente SIS y las UARIs deben efectuar revisiones de
seguridad a los sistemas operacionales, pruebas de
vulnerabilidad y auditoras independientes realizadas por
personal competente.
SIS y las UARIs debern intercambiar informacin sobre
cualquier incidente de seguridad que pueda afectar alguno de
los recursos que dichas unidades administran.

6.4.1.- Administracin
Debe definirse y documentarse la responsabilidad y los
procedimientos para la gestin de controles de seguridad de los
sistemas de informacin as como los procedimientos para la
asignacin de los permisos de administracin.
Los cambios a los controles de seguridad del sistema deben
ser autorizados y documentados de acuerdo con
procedimientos de administracin definidos que sean
monitoreados y verificados en forma independiente.
Debe controlarse el acceso a los sistemas de informacin a
travs de identificadores nicos (usuario y contrasea), los que
no habrn de ser compartidos.
Se permite el uso de usuarios genricos para ejecutar tareas
especficas y/o desatendidas justificndose su carcter
excepcional y manteniendo la responsabilidad funcional sobre
dichas tareas.
La administracin de los usuarios predefinidos en el software
adquirido a terceros, debe ser realizada como si fueran
usuarios reales, siempre que sea tcnicamente posible.
El acceso a las contraseas de los usuarios genricos y/o
predefinidos estar fuertemente restringido sobre la base de los
principios "necesidad de saber" y "necesidad de hacer".

RE046211-14042011-A17951-19/61
*0019469RE04621119*
 - 20 -

6.4.2.- Autenticacin de los usuarios

Como mnimo los usuarios deben identificarse y autenticarse
mediante dos identificadores nicos (usuario y contrasea) al
inicio de cada sesin.
Las contraseas de los usuarios deben estar sujetas a reglas
definidas por Seguridad Informtica, validadas por el Comit de
Seguridad, que minimicen los riesgos de violacin de la
seguridad lgica.
El software de administracin de la seguridad lgica debe
obligar a los usuarios a cambiar la contrasea una vez
transcurrido el perodo de cambio obligatorio y la primera vez
que el usuario ingresa al sistema despus del alta o de un
cambio de contrasea.
Debe existir un proceso formal para la administracin de las
solicitudes de alta, baja y modificacin de usuarios y cambio de
contrasea para los sistemas de informacin. Este proceso
debe incluir un mecanismo que permita registrar dichas
solicitudes. Estos registros deben quedar accesibles con
motivos de auditoria durante 5 aos.
La entrega de la contrasea deber realizarse bajo recibo y por
medio de un procedimiento que garantice la entrega efectiva a
la persona que corresponde y la obligacin de su cambio luego
del primer ingreso.
Las excepciones a este punto debern estar documentadas y
justificadas.
Los privilegios de acceso de los usuarios, sistemas y
programas, deben estar restringidos sobre la base de los
principios: necesidad de hacer, necesidad de saber,
separacin de funciones y oposicin de intereses.

6.4.3.- Controles para accesos remotos

Cuando se deba acceder a algn recurso desde fuera de la
empresa se debern utilizar y/o implementar mecanismos de
seguridad adicionales a los utilizados internamente.

RE046211-14042011-A17951-20/61
*0019469RE04621120*
 - 21 -

Debe existir un proceso formal para la administracin de las

solicitudes de alta, baja y modificacin para estas
autorizaciones. Estos registros deben quedar accesibles con
motivos de auditora durante 5 aos.

6.4.4.- Revocacin de derechos de acceso

Debe hacerse una revisin de los derechos individuales de
acceso cuando se alteran las tareas de un usuario, por
ejemplo, como resultado de una transferencia a otra unidad.
Cuando un usuario no es utilizado por un perodo determinado,
el usuario debe ser bloqueado automticamente.
Peridicamente se eliminarn los usuarios bloqueados con
determinada antigedad.
A las personas que cesan su relacin laboral con UTE, una vez
registrada la baja en el sistema por Recursos Humanos, se les
debe eliminar los usuarios y permisos de acceso.

6.4.5.- Controles de seguridad

Las sesiones de estaciones de trabajo sin actividad luego de un
perodo determinado deben desconectarse automticamente o
bloquearse.
Debe llevarse un registro automtico de los accesos a datos de
alto riesgo y deben generarse rastros de auditoria que permitan
ser revisados en forma independiente.
Todas las aplicaciones debern contar con una funcionalidad
de control de accesos.
SIS y las UARI en sus respectivos mbitos de accin, debern
identificar los procesos y parmetros de seguridad crticos que
definen el alcance de los sistemas de control de acceso siendo
responsables de controlar en sus respectivos mbitos que los
mismos se estn realizando de acuerdo a lo definido. Los
cambios a estos procesos y parmetros deben ser autorizados
por la Gerencia de Divisin o superior respectiva.
Salvo por razones debidamente justificadas, la cantidad de
usuarios con permisos de administracin sobre los sistemas de
control de accesos debe estar restringida al mnimo
RE046211-14042011-A17951-21/61
*0019469RE04621121*
 - 22 -

indispensable para realizar eficientemente las tareas del cargo,

debiendo existir oposicin de intereses y separacin de
funciones entre los administradores de los sistemas de control
de accesos (usuarios y permisos) y los administradores de
recursos.
Los administradores deben contar con los conocimientos
necesarios para realizar sus tareas, acompasando las
actualizaciones tecnolgicas que as lo ameriten.
Los administradores, para desarrollar sus tareas, debern
utilizar herramientas que permitan una adecuada separacin de
funciones y que registren en bitcoras adecuadamente
protegidas de accesos no autorizados las actividades
realizadas. Las bitcoras debern mantenerse durante el
periodo necesario para permitir su utilizacin con fines de
control y auditoria.
Se debern supervisar peridicamente los perfiles de acceso
asignados a los administradores de recursos y las tareas por
ellos realizadas. En caso de no ser posible se debern
documentar y justificar las excepciones.
Los administradores de TI no deben acceder a los equipos de
los usuarios sin el consentimiento de los mismos, incluyendo la
asistencia remota, salvo por incidentes de seguridad y riesgos
en la disponibilidad de los servicios informticos. Cuando se
haga uso de esta excepcin, deber comunicarse el hecho y su
justificacin al usuario y/o al superior inmediato del mismo.
Ante una investigacin administrativa, no se podr acceder a la
informacin sin un debido proceso que asegure la objetividad,
autenticidad, conservacin e inalterabilidad de la misma,
debiendo documentarse lo actuado mediante acta notarial, y
previa autorizacin de la lnea jerrquica con un nivel no inferior
a Gerente de Divisin.

6.5 POLTICA SOBRE CONTROLES DE SEGURIDAD

FSICA
La seguridad fsica de los Centros de Procesamiento de Datos,
de las bvedas de almacenamiento y de todos los locales

RE046211-14042011-A17951-22/61
*0019469RE04621122*
 - 23 -

donde existan recursos informticos o de comunicaciones de

uso Empresarial, es necesaria por las siguientes razones:
a) Para evitar la utilizacin no autorizada de los recursos.
b) Para garantizar que los recursos estn protegidos
contra peligros naturales, hurto y dao.

6.5.1.- Acceso fsico

El acceso fsico al equipamiento informtico, fuentes de energa
elctrica, cableado, aire acondicionado, provisin de agua,
sector de conexiones de telecomunicaciones y perifricos, debe
limitarse al personal que lo necesita para el desempeo de sus
tareas habituales.
El acceso fsico a las instalaciones y al equipamiento
informtico ser autorizado por el responsable de la instalacin
de acuerdo a un procedimiento establecido para ello.
Debe registrarse en un sistema de control de visitas, cualquier
acceso por parte de terceros y funcionarios a los locales con
equipamiento informtico crtico, cualquiera sea el motivo de la
visita. Al acceder al local, la persona deber estar debidamente
identificada, por ejemplo presentando su cdula de identidad o
tarjeta de identificacin de funcionario.

6.5.2.- Controles y servicios auxiliares

Las instalaciones deben contar con rutas de escape y salidas
de emergencia adecuadamente sealizadas, para facilitar la
evacuacin del personal en forma rpida y segura en caso de
siniestro.
El equipamiento informtico crtico debe albergarse en un
ambiente equipado con dispositivos para la deteccin y
extincin de incendios. Los dispositivos mencionados debern
ser probados peridicamente. Deben contar con fuentes de
energa ininterrumpible (UPS, bancos de bateras, inversores y
grupos generadores si corresponde) para garantizar la
disponibilidad del servicio en caso de falla del suministro de

RE046211-14042011-A17951-23/61
*0019469RE04621123*
 - 24 -

energa elctrica, de acuerdo a los niveles de servicio

requeridos.
Deben tomarse las precauciones necesarias para asegurar un
ambiente con los niveles de temperatura y humedad requeridos
por los fabricantes del equipamiento informtico.
Las instalaciones que alberguen las principales componentes
de la infraestructura tecnolgica (Centros de Procesamiento de
Datos, Palacio de la Luz, etc.) deben tener un sistema de
control que permita monitorizar todos los servicios auxiliares
(detectores de humo, temperatura y humedad) y que permita
visualizar la actividad en cada una de las salas.
Los controles de acceso fsico y lgico para las copias de
respaldo (back-up) de registros y datos esenciales que se
conservan en bvedas de almacenamiento deben tener el
mismo nivel de proteccin que se da para los originales.
Los soportes que se utilizan para mantener datos fuera de lnea
deben tener el mismo nivel de proteccin que se brinda para
los datos en lnea.
La ubicacin del equipamiento informtico, de las instalaciones
de comunicaciones y de los respaldos de informacin debe
estar en reas diseadas para garantizar que el acceso fsico
est bajo control y se mantienen las condiciones edilicias y
ambientales adecuadas.
Todo el equipamiento informtico debe estar identificado e
inventariado mediante un cdigo nico que adems se pueda
visualizar en el equipo y cualquier modificacin al inventario
debe ser autorizada por SIS o por la UARI si corresponde a
equipamiento dentro de su mbito de accin.
Peridicamente SIS y las UARIs en sus respectivos mbitos de
accin deben realizar una revisin general de las instalaciones
y de su equipamiento informtico, que incluya la verificacin de
los contratos de seguros sobre la base de un anlisis costo-
beneficio y a las directrices impartidas por la Empresa.

RE046211-14042011-A17951-24/61
*0019469RE04621124*
 - 25 -

6.6 POLTICA SOBRE CONTROLES EN LOS

COMPUTADORES PORTTILES
Los computadores porttiles deben utilizarse para actividades
de la Empresa de carcter laboral. Est prohibido el uso de los
computadores porttiles para realizar actividades particulares.
El usuario debe denunciar toda desaparicin del equipo de
acuerdo a lo establecido en las reglamentaciones vigentes.
SIS es responsable de la identificacin de los equipos como
propiedad de UTE en forma visible. Dicha identificacin deber
ser resistente a su remocin. Para el caso de los computadores
porttiles adquiridos para uso operativo especfico, la unidad
que realice el proceso de adquisicin y recepcin del
computador porttil deber coordinar con SIS para
inventariarlo. Los equipos contarn con al menos las siguientes
medidas de seguridad:
Bloqueo de operacin mediante contrasea.
Encriptacin de archivos con informacin confidencial o
reservada.
Antivirus habilitado y actualizado.
Cortafuego activo.
Es responsabilidad de SIS el establecer las condiciones de uso
de las computadoras porttiles de uso general, comunicar las
mismas a los responsables y usuarios de los equipos y
mantener el inventario en el que se identificar al responsable
de cada equipo. Puede tratarse del usuario que efectivamente
est en posesin del mismo o el jefe de la unidad que utilice
dicho equipo. En el caso de las computadoras porttiles de uso
operativo especfico esta responsabilidad ser de SIS o las
UARIs.
Es responsabilidad de los usuarios de computadores porttiles
el cumplimiento de las condiciones de uso establecidas por SIS
en lo relativo al hardware y al software en l instalado, tanto
cuando estos sean utilizados dentro como fuera de la Empresa.

RE046211-14042011-A17951-25/61
*0019469RE04621125*
 - 26 -

6.7 GESTIN DE CONTINUIDAD DE LOS SISTEMAS DE

INFORMACIN
La informacin, las instalaciones y componentes crticos de
tecnologa de informacin deben contar con alternativas
adecuadas que permitan asegurar la continuidad de las
operaciones de la Empresa y reducir al mnimo los daos
causados por una contingencia, Deben estar vigentes
procedimientos que permitan que la organizacin restablezca
los servicios del negocio ante esta eventualidad.

6.7.1.- Plan de Continuidad

Debe proveerse a los sistemas de informacin de
procedimientos de recuperacin en caso de contingencia, que
incluyan los niveles de criticidad acordados y documentados
para realizar la recuperacin en el caso de desastres o fallas de
los sistemas. Esto permitir recuperar los recursos ms crticos
en primer lugar. Los niveles de criticidad debern surgir de un
proceso formal de evaluacin de riesgos en el cual participen
activamente los responsables funcionales de los sistemas de
informacin, SIS y/o las UARIs segn el mbito de aplicacin.
Los niveles de criticidad as acordados debern quedar
debidamente documentados.
La elaboracin, mantenimiento y pruebas peridicas de los
planes y procedimientos de continuidad debidamente
documentados, sern responsabilidad de cada uno de los
responsables funcionales. Los mismos contarn con el apoyo
de SIS, las UARIs y las Administraciones de cada sistema.
SIS y las UARIs, en sus respectivos mbitos de accin, deben
acordar con los proveedores (internos o externos) de servicios
crticos, tiempos de repuesta que permitan garantizar el
restablecimiento del servicio en ocasin de una contingencia.
Debe almacenarse copias del Plan de Continuidad en lugares
fsicamente independientes con los niveles de seguridad y
control adecuados.

RE046211-14042011-A17951-26/61
*0019469RE04621126*
 - 27 -

6.7.2.- Respaldos
Los soportes conteniendo los respaldos (backups) deben
protegerse adecuadamente durante el transporte desde y hasta
su lugar de almacenamiento externo.
Se deber documentar la frecuencia con que se hacen copias
de respaldo (back-up) y el perodo de conservacin de los
mismos
Ante cambios de gran impacto debe estar previsto un
procedimiento para retornar a la situacin anterior.
La informacin almacenada debe ser probada peridicamente
para asegurar que sea recuperable.
Debe garantizarse para la informacin de respaldo la misma
confidencialidad que para la de origen. La recuperacin de un
respaldo debe estar autorizada por un usuario con permiso de
acceso a dicha informacin.
La solucin integral de respaldo debe asegurar la confiabilidad
y calidad requerida.

6.7.3.- Servicios a terceros en situacin de contingencia

En los acuerdos de nivel de servicio brindados a terceros se
debern incorporar clusulas en las cuales se indique que
frente a situaciones de contingencia en UTE el servicio
brindado podr verse afectado

6.8 POLTICA DE CONTROLES SOBRE ADMINISTRACIN

DE EQUIPOS INFORMATICOS
Es esencial un control efectivo de las operaciones realizadas
en el equipamiento informtico, para asegurarse que los
sistemas de informacin funcionan en un ambiente seguro.

6.8.1.- Administracin del hardware y software

Las tareas de administracin de hardware y software
corresponden a SIS y a las UARIs en sus respectivos mbitos
de accin (ver anexo A). Las mismas podrn ser delegadas en
otras unidades de la Empresa siempre que existan las razones

RE046211-14042011-A17951-27/61
*0019469RE04621127*
 - 28 -

de servicio que as lo justifiquen. Deber documentarse por

escrito las tareas que sean delegadas.
El hardware y software debe ser instalado, administrado y
mantenido de acuerdo a normas definidas y documentadas.
Los sistemas crticos deben ser soportados por instalaciones y
equipamiento que garanticen los niveles de disponibilidad
definidos y acordados.
Deben registrarse los resultados de la ejecucin de los
procesos no atendidos en el ambiente de produccin.
El personal de operaciones del centro de cmputos no debe
tener acceso a programas, utilitarios o comandos que les
permita modificar datos de produccin en forma no autorizada.
Todo software (incluyendo el software de libre distribucin o en
demostracin) que se instale en los equipos informticos debe
contar con el visto bueno de SIS o la UARI en su mbito de
accin, a efectos de asegurar la continuidad de la operacin, el
cumplimiento de los estndares de seguridad, y requisitos
legales vigentes.
SIS y las UARIs en sus respectivos mbitos de accin,
debern remover, en el momento de detectarlo, cualquier
software instalado en un equipo informtico que no cumpla con
cualquiera de los puntos anteriores.

6.8.2.- Bitcoras relevantes para la seguridad de la

informacin
Todo sistema deber guardar en la bitcora la informacin
necesaria y suficiente para identificar quin, cuando y como
accedi y/o modific, qu informacin crtica y/o confidencial.
SIS y las UARIs mantendrn un inventario actualizado de las
bitcoras relevantes para garantizar la continuidad del negocio
y las que registren acceso a informacin crtica y/o confidencial.
Por ejemplo el inventario deber incluir las bitcoras
correspondientes a:
sistemas en produccin,
acceso a bases de datos,
correo electrnico,
RE046211-14042011-A17951-28/61
*0019469RE04621128*
 - 29 -

accesos a Internet,
accesos a los servidores de archivos y aplicaciones
crticas,
actividades realizadas por usuarios de tipo
administrador,
operaciones realizadas en cualquier equipo crtico (por
ej. cortafuegos, detectores de intrusos, etc.).
Debe mantenerse por un perodo determinado un registro de
las actividades, segn lo establecido en los niveles de servicio
requeridos.
En situaciones excepcionales se permitir la desactivacin de
acuerdo al procedimiento establecido por SIS o la UARI en su
mbito de accin, debiendo darse aviso a la administracin
funcional correspondiente y a Seguridad Informtica en caso de
SIS. Este procedimiento debe incluir:
Documentacin sobre los motivos de las excepciones y
autorizaciones otorgadas
Medidas para limitar los accesos al mnimo imprescindible.
Criterios para guardar los documentos.
Medidas compensatorias a aplicar cuando se desactiven
bitcoras de seguridad y las que registran el acceso a
informacin crtica y/o confidencial.
Seguridad Informtica o la lnea jerrquica de la UARI en su
mbito de accin, podr investigar las desactivaciones a
efectos de adoptar las medidas preventivas y correctivas
necesarias.
Queda prohibido borrar y/o alterar, total o parcialmente, el
contenido de una bitcora sin que previamente se haya
realizado una copia de respaldo de la misma.

6.9 POLTICA DE ADMINISTRACIN DE CAMBIOS QUE

AFECTEN LA SEGURIDAD INFORMTICA.
Los procedimientos de cambios deben proveer un enfoque
formal, permitiendo que los cambios individuales se apliquen en
forma controlada y coherente ya que existe un riesgo de que

RE046211-14042011-A17951-29/61
*0019469RE04621129*
 - 30 -

ocurran errores no intencionales o alteraciones indebidas tras

la aplicacin de los mismos.

6.9.1.- Gestin de cambios

Debe existir un procedimiento de control de cambios que
brindar el mtodo con el cual se mantendr toda la
informacin sobre un cambio determinado.
Deben evaluarse los riesgos (incluyendo el impacto sobre la
seguridad) de cambios al sistema informtico de manera que
se pueda notificar con tiempo a todos los usuarios y deben
existir procedimientos de recuperacin para restablecer las
operaciones en caso de ocurrir una falla.
Deben probarse todos los cambios antes de que se apliquen al
ambiente de produccin, para reducir el riesgo de una falla.
Los cambios deben ser autorizados por el responsable del
equipo de soporte del sistema que realizar el cambio y los
responsables funcionales de la aplicacin.
Una misma persona no debe iniciar, aprobar e implementar los
cambios.

6.9.2.- Cambios de emergencia

Se acepta que en ocasiones se requiera realizar cambios
urgentes. Tales cambios pueden llegar a ser implementados
antes de su aprobacin, pero deben ser documentados
exhaustivamente, sujetos a aprobacin posterior e informados
al responsable funcional.
Seguridad Informtica y las UARIS podrn revisar
peridicamente los cambios de emergencia realizados e
informar al responsable funcional que corresponda.

6.9.3.- Cambios a programas relacionados con la seguridad

informtica
Los cambios a programas relacionados con la seguridad
informtica debern ser aprobados por la unidad Seguridad
Informtica o por la UARI antes de su puesta en produccin.
RE046211-14042011-A17951-30/61
*0019469RE04621130*
 - 31 -

6.10 POLTICA SOBRE DESARROLLO DE SISTEMAS

Los controles sobre el desarrollo de los sistemas de aplicacin
son esenciales para asegurar que los sistemas:
Cumplen los requerimientos de la Organizacin.
Incluyen un nivel adecuado de seguridad y control.
Son probados y documentados antes de ser puestos en
produccin.
Los recursos deben ser probados y documentados antes de ser
puestos en entorno de produccin.
SIS tiene el rol de coordinacin e integracin para la definicin
de las polticas y estndares de seguridad para el desarrollo de
aplicaciones en UTE.
Las unidades de negocio son responsables de los servicios que
prestan de acuerdo a los objetivos de la empresa. En este
marco funcional, deciden y aprueban los servicios informticos
que necesitan siguiendo las estrategias corporativas en
seguridad y tecnologas de informacin de UTE.
Las aplicaciones pueden ser desarrolladas por SIS o por las
UARIs en su mbito de especializacin.
Los desarrollos de aplicaciones que van a utilizar las redes de
datos obligatoriamente deben tomar en consideracin la
afectacin de los anchos de banda disponibles en UTE.
Debern acordarse con TEL los anchos de banda requeridos
por las aplicaciones que utilicen significativamente este
recurso.

6.10.1.- Metodologa de desarrollo de sistemas

La metodologa de desarrollo de sistemas debe incluir:
requerimientos funcionales
requerimientos de seguridad
niveles de prueba
procedimientos de implementacin
pruebas de aceptacin por los responsables funcionales

RE046211-14042011-A17951-31/61
*0019469RE04621131*
 - 32 -

respaldos peridicos de los programas en desarrollo

control de las versiones de un programa
Toda solicitud de desarrollo o mantenimiento de software debe
tener una especificacin formal escrita (diseo conceptual /
diseo funcional) y debidamente aprobada por la unidad duea
de la informacin.
Deben aplicarse las normas de documentacin a todo el ciclo
de desarrollo de un sistema e incluirse las especificaciones
tcnicas de las medidas de seguridad que se hayan
implementado, de modo que pueda ser mantenido por
personas que no hayan participado en el desarrollo.
Los ambientes de desarrollo y prueba deben mantenerse
estrictamente separados del ambiente de produccin, siempre
que tcnicamente sea posible.
Antes de pasar el software de aplicacin en desarrollo al
entorno de produccin, se le deben eliminar todos los permisos
especiales a los equipos de desarrollo y pruebas, de modo que
los permisos de acceso requeridos slo puedan ser solicitados
por los medios habituales.
El equipo de desarrollo no debe tener acceso a la informacin
que se encuentra en produccin, con excepcin de la
informacin estrictamente necesaria para el trabajo que realice,
siempre que tcnicamente sea posible.
La transferencia de los programas de aplicacin y las
estructuras de datos del ambiente de desarrollo a produccin
debe realizarla el jefe de equipo de soporte o las personas
autorizadas por l.
Se deben eliminar del software, antes de su puesta en
produccin, todos los caminos de acceso no autorizados
(puertas traseras, atajos, etc.).
Si los requerimientos de seguridad lo ameritan, debern
realizarse pruebas de vulnerabilidad antes de poner en
produccin una aplicacin.

RE046211-14042011-A17951-32/61
*0019469RE04621132*
 - 33 -

6.10.2.- Desarrollo de programas relacionados con la

administracin de usuarios y permisos de acceso a
recursos
Seguridad Informtica debe participar activamente en el diseo,
desarrollo, prueba y puesta en produccin de los programas
utilizados para automatizar tareas relacionadas con la
administracin de usuarios y permisos de acceso a recursos en
el mbito de SIS. Ninguno de estos programas podr ser
puesto en produccin sin la aprobacin previa de Seguridad
Informtica.

6.11 POLTICA SOBRE CONTROLES EN LA

COMUNICACIN DE DATOS
El aumento de la utilizacin de sistemas de comunicacin de
datos ha incrementado la importancia de la seguridad de las
redes para proteger los sistemas informticos. Se requieren
controles para asegurarse que los mensajes no se corrompan y
evitar accesos no autorizados.
Debe protegerse con mecanismos de control de acceso fsico
y/o lgico los componentes de la red de comunicaciones de
UTE.
TEL debe contar con herramientas para verificar que el
consumo de las aplicaciones cumpla con los anchos de banda
acordados.
SIS, TEL y la UARI involucrada debern actuar en forma
coordinada en materia de administracin y mantenimiento del
hardware y software correspondiente a la red de
comunicaciones de UTE.
SIS, TEL y la UARI involucrada deben mantener actualizada la
documentacin que describe la red de comunicaciones.
TEL es la unidad responsable de ampliar, modificar y
administrar la red de telecomunicaciones de la Empresa. Toda
modificacin o ampliacin significativa de la red corporativa de
comunicaciones de UTE, deber ser coordinada con SIS.

RE046211-14042011-A17951-33/61
*0019469RE04621133*
 - 34 -

Se deben cambiar las contraseas por defecto de todos los

componentes de comunicaciones antes de su incorporacin a
la red de comunicaciones de UTE. Las contraseas adems
deben estar sujetas a reglas para Autenticacin de Usuarios
de acuerdo a lo descrito en el punto Autenticacin de los
usuarios de la presente poltica.
Los componentes de la red de comunicaciones de UTE deben:
Utilizar protocolos de comunicacin con un adecuado
nivel de seguridad.
Permitir siempre que sea posible su gestin remota.
La conexin a las redes de comunicaciones de la Empresa de
cualquier equipamiento informtico que no sea propiedad de
UTE, estar sujeta a autorizacin previa basada en razones de
servicio.
Los equipos informticos (PC o computadoras porttiles) que
requieran conectarse con un dispositivo (medidor, rel, etc.)
utilizando la red de UTE, debern hacerlo de acuerdo a un
procedimiento que garantice la seguridad de la misma.
Cualquier conexin de comunicaciones entre locales de UTE
no contiguos o con terceros (suministradores de servicios u
otras Empresas) debe tramitarse a travs de TEL.
En lo que respecta a equipamiento inalmbrico:
Se deben cumplir los estndares y los procedimientos y
controles internos para que las implementaciones
inalmbricas resulten suficientemente seguras,
manteniendo las mismas adecuadas a los cambios
tecnolgicos.
No est permitida la conexin en forma simultnea de
una mquina a la red de UTE y a cualquier otra red
externa a UTE.
El diseo y administracin de estas redes, as como la
adquisicin del equipamiento se realizar en forma
coordinada con SIS y/o TEL en su mbito de accin.

RE046211-14042011-A17951-34/61
*0019469RE04621134*
 - 35 -

SIS podr realizar controles para detectar dispositivos no

autorizados instalados en la Red de UTE y en caso de
encontrar equipos en esas condiciones se tomarn las
acciones correctivas correspondientes.

6.12 POLTICA DE CONTROLES SOBRE SOFTWARE

MALICIOSO
Los usuarios no deben intentar erradicar del equipo software
malicioso, como ser virus, troyanos, gusanos, spyware, etc. En
caso de sospecharse una infeccin se debe dejar de utilizar el
equipo y llamar al Centro de Atencin de Usuarios en forma
inmediata. Adems, deber suspenderse el uso de cualquier
dispositivo de almacenamiento utilizado en la computadora
infectada.
Todo software, antes de su instalacin o ejecucin, deber ser
revisado a efectos de verificar que se encuentra libre de virus.
Si el software est encriptado y/o comprimido debern
verificarse, adems, los archivos resultantes de su
desencriptacin y/o descompresin.
Los archivos provenientes de una fuente externa solo podrn
ser utilizados despus de haber sido controlados con el
software antivirus.
SIS, con el apoyo de Seguridad Informtica ser responsable
de seleccionar e implementar como estndar el software
antivirus destinado a la proteccin de las estaciones de trabajo,
computadores porttiles y servidores de la red.. Peridicamente
se actualizar el estudio realizado.
Seguridad Informtica determinar los criterios de configuracin
del software antivirus, que sern seleccionados considerando la
combinacin ms conveniente entre el nivel de proteccin y el
impacto sobre el rendimiento del equipo.
Todos los equipos informticos debern tener instalado y
funcionando en las condiciones establecidas el software
antivirus seleccionado como estndar. Se prohbe al usuario la
deshabilitacin del mismo y la realizacin de cambios en la

RE046211-14042011-A17951-35/61
*0019469RE04621135*
 - 36 -

configuracin, los cuales podrn ser efectuados exclusivamente

por SIS o la UARI en su respectivo mbito de accin.
Cuando por alguna razn no sea posible instalar software
antivirus en un equipo, se debern adoptar las medidas
compensatorias necesarias y suficientes para reducir los
riesgos derivados del software malicioso.
El software que se distribuya a terceras partes deber ser
sometido, previamente, a pruebas de deteccin de posibles
virus. Debern documentarse los objetivos, las herramientas
utilizadas y los resultados de dichas pruebas.
Debern instalarse en todos los equipos informticos, todas las
actualizaciones que el proveedor del software antivirus publique
y que mejoren las capacidades del producto.
Seguridad Informtica y cada UARI en su mbito de accin,
verificar peridicamente en todos los servidores y las
estaciones de trabajo que el software antivirus est instalado,
funciona en las condiciones establecidas y se encuentra
actualizado.
Seguridad Informtica enviar a todos los usuarios, cuando
corresponda, informacin y material de referencia sobre los
virus y los productos antivirus as como sobre las obligaciones
y polticas establecidas.

6.13 POLTICA SOBRE ADQUISICIN DE HARDWARE,

SOFTWARE y SERVICIOS
Siempre que se adquiera hardware, software y/o servicios para
procesar informacin de la empresa se deber evaluar los
antecedentes del proveedor, la continuidad y certificaciones del
proceso, producto y/o servicios.
La seguridad debe ser considerada desde la especificacin de
los requerimientos hasta su implementacin y los
requerimientos de seguridad deben estar identificados y
documentados.

RE046211-14042011-A17951-36/61
*0019469RE04621136*
 - 37 -

Todo proveedor debe garantizar que el software y/o hardware

no contiene ningn cdigo desarrollado para poner en riesgo la
seguridad de la informacin.
En caso de detectarse tal tipo de cdigo, el proveedor deber
emplear todos los esfuerzos razonables consistentes con las
prcticas de desarrollo comunes en la industria para resolverlo
tan pronto como sea posible.
Las contraseas que provee el proveedor debern ser
cambiadas, en forma inmediata una vez terminada su
instalacin, por otras que cumplan con las reglas definidas en
la presente poltica, excepto que exista una razn tcnica que
lo haga desaconsejable (lo cual se deber documentar).
La adquisicin de equipamiento informtico y/o software de uso
corporativo debe ser gestionado a travs de SIS o por otras
unidades en coordinacin con SIS, salvo excepciones que
sern debidamente documentadas.
Todo software que se adquiera deber contar con una licencia
que permita la realizacin de copias con fines de respaldo.

6.14 POLTICA SOBRE VENTA DE SOFTWARE Y

SERVICIO DE PROCESAMIENTO A TERCEROS
En caso de venta de software se deber revisar la
documentacin y los procedimientos que describen una
aplicacin (o una versin de la misma), antes de que sean
entregados al comprador, a efectos de verificar que no se est
divulgando informacin reservada y/o confidencial.
En el caso de brindar servicio de procesamiento a terceros, se
deber implementar una adecuada separacin de entornos de
manera de no poner en riesgo la seguridad de la informacin
de UTE ni la del servicio que se brinda.
En el caso de ventas de servicios de consultora, se deben
establecer las garantas necesarias para proteger la
confidencialidad de la informacin de UTE
Los usuarios de UTE no tendrn acceso a los recursos
informticos, los sistemas de informacin ni a los datos del
RE046211-14042011-A17951-37/61
*0019469RE04621137*
 - 38 -

cliente, exceptuando aquellos que brindan el servicio de

procesamiento (operacin y administracin), de acuerdo a los
principios necesidad de saber y necesidad de hacer.

7.- RESPONSABILIDADES
La responsabilidad de la seguridad de la informacin
corresponde a todas las personas que utilizan la informacin
provista por UTE, sean funcionarios, becarios, consultores,
proveedores, etc. Todos ellos estn obligados a cumplir y hacer
cumplir, en su marco de actuacin, las polticas y
procedimientos de seguridad vigentes.

7.1 RESPONSABILIDAD DE LA DIRECCIN

Es responsabilidad de la Direccin y de las gerencias y
jefaturas de UTE, velar por el cumplimiento de esta Poltica, as
como proveer los recursos necesarios para garantizar la
seguridad de la informacin de la Empresa.

7.2 DE TODOS LOS USUARIOS

Se entiende por usuario a toda persona que hace uso de la
informacin provista por UTE.
Los usuarios deben notificarse de las polticas de
acuerdo al procedimiento definido por la Unidad de
Seguridad Informtica.
Cada persona es responsable del uso adecuado de los
recursos de TI que UTE le brinda para realizar sus
funciones, as como del usuario y palabra clave
(contrasea o password) que tiene asignado para el
acceso a los sistemas de informacin. La contrasea debe
ser secreta para cada usuario. Las nicas excepciones
admitidas sern cuando se solicita la creacin del usuario
y cuando se solicita el cambio por olvido de la misma.
Queda prohibida la prctica de registrar o anotar la
contrasea en cualquier medio (digital, impreso,
manuscrito, etc.).

RE046211-14042011-A17951-38/61
*0019469RE04621138*
 - 39 -

Los usuarios no deben:

- instalar software sin la previa autorizacin de SIS
o la UARI segn corresponda. En caso de instalar
software deben tomar todas las medidas para
cumplir con la presente Poltica.
- utilizar la informacin disponible en la Empresa,
para otro fin que no sea el requerido para el
desempeo de sus funciones. La tecnologa
informtica as como la informacin que a travs
de ella se accede, es de uso y aplicacin exclusiva
a la funcin que cada usuario debe realizar para
UTE.
Est prohibido el uso de los recursos informticos
para la realizacin de actividades no laborales,
como por ejemplo y no en exclusividad:
actividades personales, con fines sociales, o de
entretenimiento, el uso de juegos de
computadoras, el acceso a, distribucin o
almacenamiento de material pornogrfico,
proselitista, racista, discriminatorio u ofensivo.
Los usuarios deben reportar inmediatamente toda falla en
el funcionamiento de los sistemas de informacin a la
unidad responsable funcional del sistema en cuestin para
determinar las causas reales y sus efectos.
Los usuarios que detecten o sospechen cualquier
incidente de seguridad debern proceder de acuerdo a lo
definido en el punto Incidentes de seguridad de la
presente poltica.
Cuando un empleado, consultor o personal contratado
termina su relacin laboral con UTE, debe devolver a su
jefe de unidad todos los elementos que fueron
suministrados por la Empresa para desarrollar sus tareas.
Esto incluye computadoras porttiles, documentacin,
llaves, tarjetas magnticas, etc.

RE046211-14042011-A17951-39/61
*0019469RE04621139*
 - 40 -

Est prohibida:
- la realizacin de pruebas de controles, pruebas
de vulnerabilidad y/o pruebas de penetracin, as
como la instalacin y/o el uso de herramientas
informticas que permitan alterar, burlar o
desactivar los sistemas de seguridad; cualquiera
sea el fin que con dichas pruebas o herramientas
se persiga, salvo a aquellos funcionarios
debidamente autorizados y en razn de la funcin
que cumplen en la Empresa.
- la divulgacin de informacin sobre el diseo,
funcionamiento y posibles vulnerabilidades de los
controles de seguridad informtica utilizados en la
Empresa,
- la divulgacin de informacin sobre los incidentes
de seguridad detectados y los efectos que
provocaron en la Empresa.
- la instalacin, escritura, generacin, compilacin,
copia, propagacin, ejecucin o intento de
introducir un cdigo diseado para daar o afectar
el rendimiento de cualquier computadora, sistema
de archivo o software,
- la escritura y ejecucin de cualquier programa o
proceso que por sus caractersticas pueda utilizar
recursos en una forma que comprometa los niveles
de servicio.
Los usuarios debern contar con autorizacin previa
basada en estrictas razones de servicio, de SIS, las UARIs
o TEL segn corresponda, para el ingreso a, la salida de y
el cambio de ubicacin en las instalaciones de la Empresa
de cualquier equipamiento informtico o de
comunicaciones. Dichas unidades podrn, en forma
expresa e individualizada, realizar excepciones a esta
poltica, notificando al usuario que se hace responsable de
cumplir con las medidas de seguridad definidas para ese
equipo.

RE046211-14042011-A17951-40/61
*0019469RE04621140*
 - 41 -

UTE se reserva el derecho de:

- bloquear preventivamente los permisos de
acceso a cualquier usuario, si su conducta
interfiere con la normal operacin de los sistemas
de informacin o no cumple con las presentes
Polticas de Seguridad.
- monitorear e inspeccionar todo uso de los
recursos de tecnologa de informacin y ante
situaciones irregulares iniciar investigaciones
administrativas.

7.3 DE LOS RESPONSABLES DE UNIDADES

Todos los responsables de las unidades de la Empresa
deben:
- controlar el cumplimiento de la presente Poltica
de Seguridad de informacin por parte de su
personal a cargo. En caso de detectar
incumplimientos debern adoptar las medidas que
correspondan.
- implantar controles basados en la separacin de
tareas, de modo de asegurar que ningn individuo
tenga control exclusivo sobre la informacin con
alto grado de sensibilidad o criticidad, procesada
por los sistemas informticos de la Empresa.
Son adems responsables de solicitar:
- el alta o modificacin de usuarios para los
sistemas de informacin y otros recursos
tecnolgicos,
- la baja del personal (de la Empresa o externo)
que se desvincula de UTE,
- la revocacin de los derechos de acceso a los
sistemas de informacin de los usuarios que no los
requieran para desempear sus tareas.
Deben notificar al personal contratado y representante de
cada empresa proveedora, vinculados a su unidad, que

RE046211-14042011-A17951-41/61
*0019469RE04621141*
 - 42 -

tengan acceso a informacin de UTE, del acuerdo de

confidencialidad corporativo y mantener dicho registro.

7.4 DE LA GERENCIA RECURSOS HUMANOS

Debe notificar a todo el personal de UTE el acuerdo de
confidencialidad corporativo y mantener dicho registro.

7.5 DE LOS RESPONSABLES FUNCIONALES DE

APLICACIONES INFORMTICAS
A los efectos de la presente poltica se entiende por
responsables funcionales a la mxima autoridad jerrquica
responsable del proceso de Negocio atendido por la aplicacin
informtica, o a quien ste designe.
Los responsables funcionales de cada sistema de informacin
son los encargados de:
definir los roles o perfiles funcionales asociados a las
funciones que los usuarios realizan en dicho sistema,
autorizar las solicitudes y asignacin de los roles o
perfiles correspondientes,
verificar peridicamente que los perfiles efectivamente
implantados en el sistema se corresponden con los
definidos,
verificar peridicamente que los perfiles efectivos de los
usuarios del sistema se corresponden con los autorizados
por los jefes,
evaluar cada riesgo significativo en la seguridad de los
sistemas de informacin, y realizar las gestiones
necesarias para tomar una decisin especfica sobre el
grado de riesgo a asumir y las medidas a adoptar.
participar en el desarrollo, mantenimiento y ejecucin del
Plan de Continuidad del Negocio.
clasificar la informacin de sus sistemas de acuerdo a la
categorizacin propuesta en esta poltica.
Disponer la destruccin de la informacin confidencial al
trmino de su vida til.
RE046211-14042011-A17951-42/61
*0019469RE04621142*
 - 43 -

Cuando una unidad consume un servicio de informacin

provisto y administrado por otra unidad se deber
establecer un Acuerdo de Nivel de Servicio. En dicho
acuerdo quedar establecido quin es el dueo del recurso
de informacin, qu responsabilidades le competen a cada
parte, las condiciones en que se utilizar y compartir el
mismo y cundo y en qu forma ser mantenido.

7.6 DE LA UNIDAD SEGURIDAD INFORMTICA

El control de la seguridad informtica es responsabilidad de la
unidad Seguridad Informtica, En el caso que existan razones
de servicio que lo justifiquen, Seguridad Informtica podr
delegar actividades del control de la Seguridad en otras
unidades de la Empresa que deber documentarse. La unidad
en la que se deleguen las actividades del control de la
Seguridad deber actuar siempre de acuerdo a las polticas de
la empresa y en coordinacin con Seguridad Informtica.
Seguridad Informtica es responsable de instrumentar y
difundir las polticas y procedimientos relativos a la
seguridad informtica, as como de revisar peridicamente
la arquitectura de seguridad, de forma de proveer el marco
para proteger los recursos de tecnologa y la informacin
accesible a travs de estos.
Seguridad Informtica implantar los estndares, normas
y procedimientos de control necesarios para asegurar el
cumplimiento de las polticas de seguridad de la
informacin definidas. Establecer, adems, los
mecanismos para notificar estas polticas y sus
modificaciones a todos los usuarios de los sistemas de
informacin de UTE.
Seguridad Informtica debe:
- disear los procedimientos para el reporte y
administracin de problemas, que permitan
registrar los mismos, reducir su incidencia y
prevenir su recurrencia. Los usuarios deben estar
en conocimiento de estos procedimientos, los que
RE046211-14042011-A17951-43/61
*0019469RE04621143*
 - 44 -

sern difundidos en los planes de formacin

correspondientes,
- realizar anualmente un anlisis de las violaciones
y problemas reportados (y de los efectos
asociados) y elevar un plan de accin al Comit de
Seguridad de la Informacin,
- informar peridicamente a los responsables
funcionales de cada sistema de informacin sobre
las incidencias de seguridad detectadas y los
efectos que provocaron en la Empresa.
Seguridad informtica debe conservar bajo custodia, la
informacin relativa a violaciones, problemas o
investigaciones relacionadas con la seguridad de la
informacin durante al menos cinco (5) aos. Esta poltica
se aplica a las bitcoras de los sistemas, y toda la
documentacin generada durante las investigaciones
realizadas.
Seguridad Informtica a solicitud de los respectivos
responsables debe autorizar los accesos a los recursos
informticos de todos los usuarios ajenos a la Empresa,
dejando constancia de ello en la aplicacin a travs de la
cual se realiza la solicitud. Estos accesos tendrn siempre
una fecha de expiracin no posterior a la fecha de
finalizacin de la relacin que une al usuario con la
Empresa. El software de control de accesos debe bloquear
automticamente los usuarios que alcancen la fecha de
expiracin.
Seguridad Informtica actuar como coordinador en
temas de seguridad de la informacin entre todas las
unidades de UTE.
Las actividades de planificacin de contingencias deben
ser coordinadas y soportadas en forma centralizada por la
unidad Seguridad Informtica, de acuerdo al captulo
Planificacin de la Continuidad del Negocio de la
presente poltica.

RE046211-14042011-A17951-44/61
*0019469RE04621144*
 - 45 -

Seguridad Informtica debe controlar los perfiles de

acceso asignados a los administradores de recursos y las
tareas de administracin realizadas con dichos perfiles.
Seguridad Informtica en razn del cumplimiento de sus
funciones, y tomando los recaudos necesarios para
minimizar el riesgo de afectar la continuidad del negocio,
estn autorizados a:
- la realizacin de pruebas de controles, pruebas
de vulnerabilidad y/o pruebas de penetracin
Cuando estas pruebas involucren recursos
informticos de ambientes productivos, ser
obligatorio contar con el visto previo del
responsable funcional correspondiente. La
planificacin de estas pruebas (incluyendo el
anlisis de riesgos realizado) as como los
resultados de las mismas deben documentarse e
informarse al responsable funcional
correspondiente. Esta documentacin deber
conservarse durante 5 aos.- la divulgacin de
informacin sobre el diseo, funcionamiento y
posibles vulnerabilidades de los controles de
seguridad informtica utilizados en la Empresa,
- la divulgacin de informacin sobre los incidentes
de seguridad detectados y los efectos que
provocaron en la Empresa.
Seguridad Informtica coordinar y dar soporte a las
actividades de planificacin de continuidad del negocio.
SIS y las UARIS debern informar a Seguridad Informtica las
violaciones y problemas reportados en su mbito de forma de
contar con un nico repositorio de incidentes.

7.7 DE AUDITORA INTERNA Y SEGUIMIENTO DE

GESTIN
En razn del cumplimiento de sus funciones y tomando los
recaudos necesarios para minimizar el riesgo de afectar la
continuidad del negocio, estn autorizados a:

RE046211-14042011-A17951-45/61
*0019469RE04621145*
 - 46 -

la realizacin de pruebas de controles, pruebas de

vulnerabilidad y/o pruebas de penetracin. Cuando estas
pruebas involucren recursos informticos de ambientes
productivos, las mismas debern contar con la autorizacin
del responsable funcional o su lnea jerrquica. La
documentacin de estas pruebas (incluyendo el anlisis de
riesgos realizado) debe conservarse durante 5 aos.
la divulgacin de informacin sobre el diseo,
funcionamiento y posibles vulnerabilidades de los controles
de seguridad informtica utilizados en la Empresa,
la divulgacin de informacin sobre los incidentes de
seguridad detectados y los efectos que provocaron en la
Empresa.

7.8 DE LAS UNIDADES ADMINISTRADORAS DE

RECURSOS DE INFORMACIN (SIS Y LAS UARI)
SIS y las UARIs deben:
Realizar un anlisis de riesgos en sus respectivos
mbitos de competencia.
Desarrollar un plan de seguridad. En los planes de
seguridad deben especificar y fundamentar los
apartamientos a las polticas. Estos apartamientos deben
estar debidamente justificados ya sea por limitaciones
tcnicas o como consecuencia del anlisis de riesgo
realizado y deben ser aprobados por la lnea jerrquica
correspondiente.
Identificar los procesos y parmetros de seguridad
crticos que definen el alcance de los sistemas de control
de acceso.
Realizar peridicamente una revisin general de las
instalaciones y de su equipamiento informtico que incluya
la verificacin de los contratos de seguros sobre la base de
un anlisis costo-beneficio y a las directrices impartidas
por la Empresa.
Mantener actualizado el inventario del equipamiento
informtico.
RE046211-14042011-A17951-46/61
*0019469RE04621146*
 - 47 -

Elaborar y mantener actualizado el plan de continuidad

del negocio.
Administrar el hardware y software de base.
Justificar la eventual desactivacin de cualquiera de las
bitcoras.
Mantener los antivirus activos y actualizados.
Supervisar los perfiles de acceso asignados a los
administradores de recursos y las tareas por ellos
realizadas.
Cuando una unidad consume un servicio de informacin
provisto y administrado por otra unidad se deber
establecer un Acuerdo de Nivel de Servicio. En dicho
acuerdo quedar establecido quin es el dueo del recurso
de informacin, qu responsabilidades le competen a cada
parte, las condiciones en que se utilizar y compartir el
mismo y cundo y en qu forma ser mantenido
Coordinar las interfases necesarias para garantizar la
integracin de la informacin corporativa.
Revisar las licencias de software y controlar a los efectos
de evitar la instalacin de software no autorizado en los
equipos.
SIS y las UARIs en razn del cumplimiento de sus funciones, y
tomando los recaudos necesarios para minimizar el riesgo de
afectar la continuidad del negocio, estn autorizados a la
realizacin de pruebas de controles, pruebas de vulnerabilidad
y/o pruebas de penetracin necesarias para chequear y
controlar sus dispositivos de seguridad. En el caso que los
dispositivos sean compartidos por ms de una UARI, dichas
pruebas debern realizarse en conocimiento de todos los
responsables. Cuando estas pruebas involucren recursos
informticos de ambientes productivos, ser obligatorio contar
con el visto previo del responsable funcional correspondiente.
La planificacin de estas pruebas (incluyendo el anlisis de
riesgos realizado) as como los resultados de las mismas
deben documentarse por escrito e informarse al responsable

RE046211-14042011-A17951-47/61
*0019469RE04621147*
 - 48 -

funcional correspondiente. Esta documentacin deber

conservarse durante 5 aos.
SIS tiene el rol de coordinacin e integracin para la definicin
de las polticas y estndares de TI en UTE.
SIS es responsable de las soluciones informticas corporativas.

7.9 DE LOS ADMINISTRADORES DE LA SEGURIDAD DE

REDES
TEL es responsable de dotar a los sistemas de comunicaciones
niveles definidos y coherentes de integridad de datos,
confidencialidad y disponibilidad.
TEL, SIS y las UARIs deben proteger con mecanismos de
control de acceso fsico y/o lgico a los componentes de la red
de comunicaciones de UTE, para evitar los accesos no
autorizados. Si estos componentes estn ubicados en
instalaciones de otras unidades, las mismas sern
responsables de implementar y mantener los mecanismos de
control de acceso fsico requeridos.
SIS, la UARI en su mbito de accin y TEL debern actuar en
forma coordinada en materia de administracin y
mantenimiento del hardware y software correspondiente a la
red de comunicaciones de UTE.
TEL es la unidad responsable de ampliar, modificar y
administrar la red de telecomunicaciones de la Empresa,
garantizando que la misma cumpla con los mecanismos de
control descritos en el captulo Controles de la comunicacin
de datos. Toda modificacin o ampliacin de la red corporativa
de comunicaciones de UTE, deber ser coordinada en forma
previa con SIS.
SIS es responsable de la definicin de las directrices para la
conexin segura a travs de un mdem de equipos
informticos (PC o computadoras porttiles) que requieran
conectarse con otro dispositivo dentro de UTE (medidor, rel,
etc.). Es responsabilidad de cada UARI la implementacin de
los procedimientos que aseguren el cumplimiento de dichas
directrices.

RE046211-14042011-A17951-48/61
*0019469RE04621148*
 - 49 -

Con respecto a las redes inalmbricas cabe destacar las

siguientes responsabilidades:
La adquisicin del equipamiento inalmbrico para las
redes corporativas de rea local es responsabilidad
exclusiva de SIS, las restantes sern adquiridas por TEL.
La instalacin de cada equipo debe ser ejecutada
nicamente por personal de SIS o de TEL.
Los requerimientos de equipamiento inalmbrico para las
redes corporativas de rea local deben ser solicitados a
SIS, los restantes sern solicitados a TEL.
TEL tiene la responsabilidad de controlar y determinar
con que frecuencia transmitirn los equipos y cual ser la
ubicacin de esos dispositivos con el objetivo de mitigar
riesgos y minimizar interferencias.
TEL debe establecer los estndares, procedimientos y
controles para que las implementaciones inalmbricas
resulten suficientemente seguras y verificar que estas
condiciones se mantengan.

7.10 DEL COMIT DE SEGURIDAD DE LA INFORMACIN

El comit estar coordinado por SIS y se integra con
representantes de las unidades TRA, TEL, SEC, COM, DIS,
GEN, LET y PLA, DPE (PEE, DNC).
El comit es responsable de:
Elaborar las polticas de Seguridad de la Informacin para
soportar la estrategia de TI.
Verificar la efectividad de las mismas.
Definir los lineamientos generales en los aspectos
relativos a la seguridad de la informacin de la Empresa.
Aprobar el plan de accin anual elaborado por Seguridad
Informtica para la administracin de incidentes.

RE046211-14042011-A17951-49/61
*0019469RE04621149*
 - 50 -

7.11 DE TERCERAS PARTES

Se entiende por terceras partes a todas las personas que
brinden sus servicios a UTE o que reciben servicios de UTE,
proveedores, socios de negocio y clientes de servicios de
consultora.
Las terceras partes deben estar en conocimiento y cumplir con
la presente Poltica de Seguridad de Informacin.
Estas obligaciones deben estar debidamente especificadas en
los acuerdos contractuales que tengan con UTE dependiendo
de la naturaleza del servicio. Las unidades de UTE que oficien
como contraparte deben facilitar el cumplimiento de las
mismas.

RE046211-14042011-A17951-50/61
*0019469RE04621150*
 - 51 -

ANEXO A
A continuacin se detallan las unidades que administran
recursos informticos en UTE (UARIs), explicitando para cada
una de ellas su mbito de accin.

UARI Unidad mbito de Accin

Red corporativa,
Redes LAN (excluye LANs
Divisin Sistemas de
SIS de UARIS),
Informacin
Complejo de Procesamiento
de Datos (CPDs).
Red LAN de TEL,
Red WAN de
comunicaciones de UTE,
Red operativa (excluye
TEL Sector Telecomunicaciones
SCADAs locales),
Sistemas de comunicaciones
(TDM, Radio, Telefona,
Onda portadora)
Sector Despacho Nacional Red LAN DNC
U-DNC
de Cargas Red SCADA DNC
Redes SCADA TRA y redes
Sector Electrnica de
de gestin asociadas y redes
U-EDPyT Potencia y Telecontrol de
de control en las
Transmisin
subestaciones.
Divisin Generacin SCADAs Centrales
U-HID
Hidrulica Hidrulicas
Sector Proyectos Obras e
U_EOL SCADAs Parques Elicos
Ingeniera (GEN)
Sector Planificacin de la
U-PEE Red LAN PEE
Explotacin y Estudios
Rels de Proteccin de
Sector Protecciones de
U-PRO-TRA Transmisin y redes de
Transmisin
gestin asociadas
Red LAN Directorio y
U-SEC Secretara General
Secretara General
Automatizacin y Control Redes SCADA DIS y redes
U-TEL-DIS
de Distribucin de gestin asociadas
Dpto. Mantenimiento y
estudios de control y
U-TER SCADAs Centrales Trmicas
automatismos - Centrales
Trmicas

RE046211-14042011-A17951-51/61
*0019469RE04621151*
 - 52 -

A continuacin se detallan algunas de las responsabilidades

especficas de cada UARI que complementan o detallan lo
definido en el captulo 7 de las "Polticas de Seguridad de la
Informacin".

UARI: SIS (Sistemas de Informacin)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el dominio NTUTE. (Cuando se justifique por
razones de servicio, SIS puede otorgar permisos de
administracin local a determinados usuarios sobre PCs
especficos).
Compra, mantenimiento y actualizacin de Hardware y
Software. (Excluyendo el hardware y software que venga
integrado en las soluciones informticas especficas de
uso operativo).
Gestin de soluciones tecnolgicas (Software y
Hardware) para cubrir necesidades de la Gestin.
(No incluye la administracin funcional, en los casos que
esta actividad sea realizada por la unidad "duea" de la
aplicacin).
Compra y administracin de switches, y access points
(inalmbricos) para la red corporativa. (Incluye los equipos
de tecnologa SNA)
Instalacin y mantenimiento de cableado en redes LAN,
racks, patcheras para la red corporativa y LAN internas.
Administracin y configuracin de sitios y servicios WEB
corporativos.
Administracin y configuracin del correo electrnico
corporativo.
Administracin y configuracin de las bases de datos
corporativas.
RE046211-14042011-A17951-52/61
*0019469RE04621152*
 - 53 -

Administracin y configuracin del dominio NTUTE y sus

respectivos usuarios.
Administracin y configuracin del hardware y software
de seguridad (firewalls, antivirus, IDS, etc.) en la red
corporativa, en forma coordinada con Seguridad
Informtica.
(Actualizacin de firmas para anti-virus se coordina con el
resto de los administradores de dominio.)
Gestin de respaldos de la informacin.
Proveer el servicio de acceso desde fuera de la Empresa
a la red corporativa.

UARI: TEL (Telecomunicaciones)

RESPONSABILIDADES
Administracin de PCs, servidores, impresoras y
notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Definicin de ubicacin y frecuencia de transmisin de los
equipos inalmbricos.
Compra y administracin de equipos de comunicaciones
(switches para la red operativa y routers)
Contratacin con proveedores de servicios de
telecomunicaciones
Compra y administracin de equipamiento para
establecer enlaces entre locales (incluye enlaces por fibra
ptica, radio enlaces, etc.).
Instalacin y mantenimiento de cableado por cobre y
fibra ptica para la red operativa.
Instalacin y mantenimiento de cableado de fibra ptica
para la red corporativa.
RE046211-14042011-A17951-53/61
*0019469RE04621153*
 - 54 -

Administracin de los Sistemas de comunicaciones.

(TDM, Radio, Telefona y Onda Portadora.)
Administracin y configuracin de sitios y servicios WEB
del sector.
Administracin y configuracin de la base de datos del
sector.
Administracin y configuracin del dominio especfico del
sector (TELECOM) y sus respectivos usuarios, en relacin
de confianza con el dominio NTUTE.
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Administracin de firewalls para proteccin de red
operativa del acceso desde la red corporativa y desde el
exterior de la empresa (acceso remoto), en forma
coordinada con Seguridad Informtica.
Proveer el servicio de acceso a la red operativa desde la
red corporativa y desde fuera de la Empresa.
Brindar servicios de voz sobre IP (La administracin del
software en las estaciones de trabajo y las definiciones y
configuraciones de calidad de servicio en los equipos de
comunicaciones de la red corporativa lo hace SIS)

UARI: U-DNC (Despacho Nacional de Cargas)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Administracin de soluciones tecnolgicas (Software y
Hardware) para cubrir necesidades especficas.

RE046211-14042011-A17951-54/61
*0019469RE04621154*
 - 55 -

Compra de Hardware y Software especfico de uso

operativo para el negocio elctrico (SCADAs, RTU, etc.).
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.
Instalacin y mantenimiento de cableado para las redes
locales del sector.
Administracin y configuracin de sitios y servicios WEB
del sector.
Administracin y configuracin de la base de datos del
sector.
Administracin y configuracin del dominio especfico del
sector y sus respectivos usuarios, en relacin de confianza
con el dominio NTUTE.
Administracin y configuracin de hardware y software de
seguridad (firewalls) en la red corporativa protegiendo
servidor Web de DNC, en forma coordinada con Seguridad
Informtica.
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.
UARI: U-EDPyT (Electrnica de Potencia y Telecontrol
de Transmisin)
RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.

RE046211-14042011-A17951-55/61
*0019469RE04621155*
 - 56 -

Compra de Hardware y Software especfico de uso

operativo para el negocio elctrico (SCADAs, RTU, etc.).
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.
Instalacin y mantenimiento de cableado para las
subredes locales operativas.
Administracin y configuracin de sitios y servicios WEB
del sector.
Administracin y configuracin de la base de datos del
sector.
Administracin y configuracin de los dominios
especficos y sus respectivos usuarios.
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.

UARI: U-HID (U-HID: Divisin Generacin Hidrulica)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra de Hardware y Software especfico de uso
operativo para el negocio elctrico (SCADAs, RTU, etc.).

RE046211-14042011-A17951-56/61
*0019469RE04621156*
 - 57 -

Compra y administracin de switches y access points

(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.
Instalacin y mantenimiento de cableado para la red
operativa.
Administracin y configuracin de Base de datos del
sector.
Administracin y configuracin del dominio especfico del
sector y sus respectivos usuarios, en relacin de confianza
con el dominio NTUTE. )
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.

UARI: U-EOL (U-EOL: Sector Proyectos Obras e Ingeniera

(GEN)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra de Hardware y Software especfico de uso
operativo para el negocio elctrico (SCADAs, RTU, etc.).
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.

RE046211-14042011-A17951-57/61
*0019469RE04621157*
 - 58 -

Instalacin y mantenimiento de cableado para la red

operativa.
Administracin y configuracin de Base de datos del
sector.
Administracin y configuracin del dominio especfico del
sector y sus respectivos usuarios, en relacin de confianza
con el dominio NTUTE. )
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.

UARI: U-PEE (Planificacin de la Explotacin y Estudios)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra de Hardware y Software especfico de uso
operativo para el negocio elctrico.
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.
Administracin y configuracin de sitios y servicios WEB
del sector.
Administracin y configuracin de la base de datos del
sector.

RE046211-14042011-A17951-58/61
*0019469RE04621158*
 - 59 -

Administracin y configuracin del dominio especfico del

sector y sus respectivos usuarios, en relacin de confianza
con el dominio NTUTE. )
Administracin de hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.

UARI: U-PRO-TRA (Protecciones de Transmisin)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.

UARI: U-SEC Secretara General

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.

RE046211-14042011-A17951-59/61
*0019469RE04621159*
 - 60 -

Administracin y configuracin de sitios y servicios WEB

del sector.
Administracin y configuracin de las bases de datos del
sector.
Administracin y configuracin del dominio especfico del
sector (NTDIR y SEC) y sus respectivos usuarios.
Administracin y configuracin de hardware y software de
seguridad (firewalls, antivirus, IDS, etc.) en la red
corporativa protegiendo dominio de SEC, en forma
coordinada con Seguridad Informtica.
Gestin de los respaldos de informacin de su respectivo
mbito de accin.

UARI: U-TEL-DIS (Telecontrol de Distribucin - PGR)

RESPONSABILIDADES

Administracin de PCs, servidores, impresoras y

notebooks en el Dominio de la red de su mbito de accin.
Gestin de soluciones tecnolgicas de Hardware y
Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra de Hardware y Software especfico de uso
operativo para el negocio elctrico (SCADAs, RTU, etc.).
Compra y administracin de switches y access points
(inalmbricos) para redes locales. Estas tareas pueden ser
delegadas en SIS.
Administracin y configuracin de sitios y servicios WEB
del sector.
Administracin y configuracin de las bases de datos del
sector.

RE046211-14042011-A17951-60/61
*0019469RE04621160*
 - 61 -

Administracin y configuracin de los dominios

especficos y sus respectivos usuarios, en relacin de
confianza con el dominio NTUTE.
Administracin de Hardware y software de seguridad
(firewalls, antivirus, IDS, etc.) para proteccin de sus
sistemas en su mbito en forma coordinada con Seguridad
Informtica.
Instalacin y mantenimiento de cableado para las
subredes locales operativas.

UARI: U-TER (Mantenimiento y estudios de control y

automatismos - Centrales Trmicas)

RESPONSABILIDADES

Gestin de soluciones tecnolgicas de Hardware y

Software (diseo, desarrollo y mantenimiento) para cubrir
necesidades especficas.
Compra de Hardware y Software especfico de uso
operativo para el negocio elctrico (SCADAs, RTU, etc.).

RE046211-14042011-A17951-61/61
*0019469RE04621161*