Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion

Fabián Descalzo

SGSI/GRC

PLAN DE ASEGURAMIENTO Y
GOBIERNO DE LA INFORMACIÓN

SGSI/GRC

PLAN DE ASEGURAMIENTO Y GOBIERNO DE
LA INFORMACIÓN

Objetivo y alcance del Plan de Aseguramiento y Gobierno de la Información .................................................... 4

1

Terminología básica .............................................................................................................................................. 5
Gestión de la seguridad de la información ........................................................................................................... 8
Metas y objetivos ............................................................................................................................................. 8
Objetivos estratégicos del Negocio y su relación con TI / SI ............................................................................ 8
Instrucciones de interpretación ....................................................................................................................... 9
Integrantes y funciones del Comité de Seguridad............................................................................................ 9
Dominios de competencia de la Seguridad de la Información en el Negocio ................................................ 10
Seguridad Organizacional ........................................................................................................................... 10
Seguridad Lógica ......................................................................................................................................... 10
Seguridad Física .......................................................................................................................................... 11
Seguridad Legal........................................................................................................................................... 11
Nivel de cumplimiento de seguridad en relación a los controles y brecha a las metas de los objetivos del
Negocio ............................................................................................................................................................... 11
Identificación de alcances legales y regulatorios del Negocio ........................................................................... 12
Riesgos asociados al Negocio y metodología de tratamiento ............................................................................ 13
Definición........................................................................................................................................................ 13
Comprensión y conceptos .............................................................................................................................. 13
Proceso ....................................................................................................................................................... 13
Riesgo de TI................................................................................................................................................. 14
Riesgo Operacional ..................................................................................................................................... 14
Riesgo Inherente......................................................................................................................................... 14

Factor .......................................................................................................................................................... 14
Probabilidad de ocurrencia ........................................................................................................................ 15
Impacto ....................................................................................................................................................... 15
Rating de riesgo inherente ......................................................................................................................... 15
Ranking de riesgo residual .......................................................................................................................... 15
Medición Cualitativa ................................................................................................................................... 15
Controles / Mecanismos de Mitigación ...................................................................................................... 15
Efectividad .................................................................................................................................................. 15
Frecuencia .................................................................................................................................................. 15
Plan de acción o Plan de Tratamiento del Riesgo....................................................................................... 15
Metodología y tratamiento ............................................................................................................................ 15
Evaluación de Activos de Información........................................................................................................ 15

fabiandescalzo@yahoo.com.ar

Riesgo Residual ........................................................................................................................................... 14

SGSI/GRC

LA INFORMACIÓN

Nivel de Sensibilidad del Activo .............................................................................................................. 16

2

Cálculo del Nivel de Sensibilidad ............................................................................................................ 16
Cálculo del Nivel de Criticidad ................................................................................................................ 17
Valor Total del Activo ............................................................................................................................. 17
Metodología ............................................................................................................................................... 17
Identificación de los procesos ................................................................................................................ 17
Identificación de riesgos ......................................................................................................................... 17
Herramientas y técnicas ......................................................................................................................... 18
Análisis de riesgos................................................................................................................................... 18
Evaluación del riesgo .............................................................................................................................. 20
Tratamiento del riesgo ........................................................................................................................... 21
Control y revisión.................................................................................................................................... 21
Comunicación y consulta ........................................................................................................................ 21
Documentación de las Matrices de Riesgo............................................................................................. 22
Definiciones de documentación del Marco Normativo ..................................................................................... 22
Plan de Seguridad de la Información.............................................................................................................. 22
Políticas de Seguridad de la Información ....................................................................................................... 22
Norma de Seguridad de la Información ......................................................................................................... 23
Procedimiento Administrativo ....................................................................................................................... 23
Estándar Técnico ............................................................................................................................................ 23
Instructivos, Checklist y Formularios .............................................................................................................. 23
Definiciones para Políticas y Normas por Dominio ............................................................................................ 23

POLÍTICAS DE SEGURIDAD .......................................................................................................................... 23
CLASIFICACIÓN Y CONTROL DE ACTIVOS .................................................................................................... 24
Responsabilidad por los activos ............................................................................................................. 24
Clasificación de la información ............................................................................................................... 24
SEGURIDAD LIGADA AL PERSONAL ............................................................................................................. 24
CAPACITACIÓN DE USUARIOS .................................................................................................................... 25
RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD ....................................................................... 25
SEGURIDAD LÓGICA........................................................................................................................................ 25
CONTROL DE ACCESOS ............................................................................................................................... 25
ADMINISTRACIÓN DEL ACCESO DE USUARIOS ........................................................................................... 26
RESPONSABILIDADES DEL USUARIO ........................................................................................................... 27


SEGURIDAD ORGANIZACIONAL ...................................................................................................................... 23

SGSI/GRC

LA INFORMACIÓN

Uso de correo electrónico ...................................................................................................................... 27

3

SEGURIDAD EN ACCESO DE TERCEROS....................................................................................................... 28
CONTROL DE ACCESO A LA RED.................................................................................................................. 28
CONTROL DE ACCESO AL SISTEMA OPERATIVO ......................................................................................... 29
CONTROL DE ACCESO A LAS APLICACIONES ............................................................................................... 29
MONITOREO DEL ACCESO Y USO DEL SISTEMA ......................................................................................... 29
GESTIÓN DE OPERACIONES Y COMUNICACIONES...................................................................................... 30
PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS ............................................................................................ 30
PROTECCIÓN CONTRA SOFTWARE MALICIOSO.......................................................................................... 31
MANTENIMIENTO ....................................................................................................................................... 31
MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO ..................................................................... 31
SEGURIDAD FÍSICA Y AMBIENTAL ................................................................................................................... 32
SEGURIDAD DE LOS EQUIPOS ..................................................................................................................... 32
CONTROLES GENERALES ............................................................................................................................. 32
SEGURIDAD LEGAL .......................................................................................................................................... 33
CUMPLIMIENTO DE REQUISITOS LEGALES ................................................................................................. 33
Licenciamiento de Software ................................................................................................................... 33
Revisión de políticas de seguridad y cumplimiento técnico................................................................... 34
Consideraciones sobre auditorias de sistemas....................................................................................... 34


Excepciones de responsabilidad ......................................................................................................................... 35

SGSI/GRC

LA INFORMACIÓN

4

Objetivo y alcance del Plan de Aseguramiento y Gobierno de la Información
Este plan define el objetivo, dirección, principios y reglas básicas para el aseguramiento de la
información en favor de los objetivos del Negocio, aplicado en forma Corporativa ya que los
usuarios de este documento son todos los empleados de la Organización, como también todos los
participantes externos que cumplan alguna función en el Sistema de Gestión de Seguridad (SGSI) y
en sus relaciones asociadas al Sistema de Gestión de Calidad (SGC) y de Gobierno de IT (SGTI).
En una organización la gestión de seguridad puede tornarse compleja y difícil de realizar, no solo
por razones técnicas sino también por razones organizativas. Coordinar todos los esfuerzos
encaminados para asegurar un entorno informático organizacional requiere un adecuado control
que integre los esfuerzos y conocimientos tanto de los recursos humanos como tecnológicos,
empleando mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de
los empleados de la Organización.
Este documento integra estos esfuerzos de una manera conjunta, que luego se representarán en el
Marco Normativo a través de las Políticas y Normas de Seguridad de la Información, y es el medio
de comunicación en el cual se establecen las reglas y controles que se reflejarán en los diferentes
procedimientos de la Organización, para asegurar la Confidencialidad, Integridad y Disponibilidad de
la información previniendo y manejando los riesgos de seguridad en diversas circunstancias.

Fabián Descalzo
Director de Seguridad de la Información
Gerente de Gobierno, Riesgo y Cumplimiento

Buenos Aires, Enero de 2014


Toda persona que utilice los servicios informáticos que ofrece la Organización, deberá conocer y
aceptar este Plan, las Políticas de Seguridad de la Información publicadas o a publicarse, y el Marco
Normativo que regula las actividades de todos los empleados. El desconocimiento de los elementos
antes mencionados no exonera de responsabilidad al usuario, ante cualquier eventualidad que
involucre la seguridad de la información o de la red organizacional.

SGSI/GRC

LA INFORMACIÓN

Terminología básica

5

Eficacia
Garantizar que toda información que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y
útil para el desarrollo de las actividades.
Eficiencia
Asegurar que el tratamiento de la información se realice mediante una óptima utilización de los recursos humanos y
materiales.
Confiabilidad
Garantizar que los sistemas informáticos brinden información correcta para ser utilizada en la operatoria de cada uno
de los procesos.
Integridad
Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de las actividades en cada uno de
los sistemas informatizados y procesos transaccionales.
Exactitud
Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo.
Disponibilidad
Garantizar que la información y la capacidad de su tratamiento manual y automático, sean resguardadas y recuperados
eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las
actividades.
Legalidad
Asegurar que toda la información y los medios físicos que la contienen, procesen y/o transporten, cumplan con las
regulaciones legales vigentes en cada ámbito.
Confidencialidad
Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, espionaje, violación
de la privacidad y otras acciones similares de accesos de terceros no permitidos.

Protección Física
Garantizar que todos los medios de procesamiento y/o conservación de información cuenten con medidas de
protección física que eviten el acceso y/o utilización indebida por personal no autorizado.
Propiedad
Asegurar que todos los derechos de propiedad sobre la información utilizada en el desarrollo de las tareas, estén
adecuadamente establecidos a favor de sus propietarios.
No Repudio
Garantizar los medios necesarios para que el receptor de una comunicación pueda corroborar fehacientemente la
autenticidad del emisor.
Activo / Activo de Información
Es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo
general son generadores de renta o fuente de beneficios, en el ambiente informático llámese activo a los bienes de
información y procesamiento, que posee la Organización. Recurso del sistema de información o relacionado con éste,
necesario para que la organización funcione correctamente y alcance los objetivos propuestos.


Autorización
Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorización
correspondientes para su utilización y divulgación.

SGSI/GRC

LA INFORMACIÓN

Administración Remota
Forma de administrar los equipos informáticos o servicios de la Organización, a través de terminales o equipos remotos,
físicamente separados de la Organización.

6

Amenaza
Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.
Archivo Log
Ficheros de registro o bitácoras de sistemas, en los que se recoge o anota los pasos que dan (lo que hace un usuario,
como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.)
Ataque
Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Cuenta
Mecanismo de identificación de un usuario, llámese de otra manera, al método de acreditación o autenticación del
usuario mediante procesos lógicos dentro de un sistema informático.
Desastre o Contingencia
Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras
necesarias para la operación normal de un negocio.
Encriptación
Es el proceso mediante el cual cierta información o "texto plano" es cifrado de forma que el resultado sea ilegible a
menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al
momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros.
Impacto
Consecuencia de la materialización de una amenaza.

IEC (Comisión Electrotécnica Internacional)
Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional.
Outsourcing
Contrato por servicios a terceros, tipo de servicio prestado por personal ajeno a la Organización.
Responsabilidad
En términos de seguridad, significa determinar que individuo en la Organización, es responsable directo de mantener
seguros los activos de cómputo e información.
Servicio
Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los
procesos diarios que demanden información o comunicación de la Organización.
Soporte Técnico
Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o
equipo de oficina dentro de la Organización.
Riesgo
Posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda la Organización.


ISO (Organización Internacional de Estándares)
Organización mundialmente reconocida y acreditada para normar en temas de estándares en una diversidad de áreas,
aceptadas y legalmente reconocidas.

SGSI/GRC

LA INFORMACIÓN

Terceros
Investigadores/Profesores, instituciones educativas o de investigación, proveedores de software, que tengan convenios
educativos o profesionales con la Organización.

7

Usuario
Cualquier persona jurídica o natural, que utilice los servicios informáticos de la red organizacional y tenga una especie
de vinculación académica o laboral con la Organización.
Vulnerabilidad
Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Seguridad de la información
Es la preservación de la confidencialidad, integridad y disponibilidad de la información.


Sistema de Gestión de la Seguridad de la Información (SGSI)
Es esa parte del sistema global de gestión, basada en un enfoque de riesgo del negocio, que se utiliza para establecer,
implementar, hacer funcionar, supervisar, mantener y mejorar la seguridad de la información.


SGSI/GRC

LA INFORMACIÓN

Gestión de la seguridad de la información

8

Metas y objetivos
El objetivo del Sistema de Gestión de Seguridad de la Información asociado a los conceptos del GRC
es el crear una mejor imagen de mercado y reducir los daños ocasionados por los potenciales
incidentes; estos objetivos están alineados con los objetivos comerciales de la Organización y
conforman un Plan de Aseguramiento y Gobernabilidad orientado al Negocio.
El CSO es el responsable de supervisar los objetivos actuales del SGSI y, al mismo tiempo, de
establecer nuevas metas. Los objetivos para controles individuales de seguridad o grupos de
controles son propuestos por el Comité de Seguridad y son aprobados por la Dirección en la
Declaración de Aplicabilidad; estos objetivos deben ser revisados al menos una vez al año.

Objetivos estratégicos del Negocio y su relación con TI / SI
De acuerdo a lo planteado por la Dirección, se pueden definir los siguientes Objetivos Estratégicos
del Negocio, los cuales deben ser asegurados desde los servicios prestados por las áreas de
tecnología y seguridad de la información, compartiendo la responsabilidad operativa por garantizar
las condiciones de Confidencialidad, Integridad y Disponibilidad para el entorno físico y tecnológico
de los datos y todo componente que participe en cualquier proceso de tratamiento de los mismos.
Para cada objetivo se ha identificado al menos un servicio y actividad que al desarrollarse asegura la
calidad y soporte necesario al Objetivo Estratégico del Negocio:

Relación Objetivos Estratégicos - Servicios IT / SI
Aumentar la Rentabilidad

Incrementar la cartera con
Clientes Nuevos

Aumentar Venta

Crear Nuevos Servicios

Servicios IT

Optimización de la gestión de
licenciamiento

Mejora de los presupuestos de
IT

Gestión de Proveedores

Planificación e Implementación
de Servicios Nuevos o
Modificados

Servicios SI

Cumplimiento

Organización interna

Gestión de la entrega de servicio
a terceras partes

Procedimientos y
responsabilidades operativas

Clientes

Minimizar los tiempos de
atención a solicitudes del
cliente

Funcionalidad, Adaptación
de Servicios a sus
Necesidades

Precio competitivos

Imagen, Desarrollar la Marca
como sinónimo de
confiabilidad, Prestigio,
Reconocimiento

Servicios IT

Implementación de
herramientas tecnológicas
de atención al público

Gestión de Nivel de Servicio

Gestión de la operación de
CPD y aplicaciones

Gestión de continuidad y
disponibilidad del servicio

Servicios SI

Correcto procesamiento en
las aplicaciones

Clasificación de la
información

Terceras Partes

Aspectos de la seguridad de
la información en la gestión
de la continuidad del
negocio

Procesos
Internos

Acelerar la atención de los
reclamos, Gestión del
cliente, Atención al cliente,
Post-Venta

Proceso Mercadeo y Ventas,
Identificar necesidades de
los clientes

Actividades de Mejora
Continua para la operación
del negocio

Mejorar los costos a partir
de la selección de
proveedores de productos
de tecnología de punta

Servicios IT

Gestión de Nivel de Servicio

Software de gestión CRM +
ERP

Gestión de Incidentes
Gestión de Problemas

Monitorización de servicios
de IT

Servicios SI

Gestión de Resguardos
Magnéticos

Planificación y aceptación de
sistemas

Gestión de los incidentes de
la seguridad de la
información

Gestión de las
vulnerabilidades técnicas


Financiera

SGSI/GRC

LA INFORMACIÓN

Relación Objetivos Estratégicos - Servicios IT / SI
Capacitación y Certificación
del Personal

Implementación y
Capacitación de Software de
Gestión
CRM - ERP

Adquisición y actualización
tecnológica

Servicios IT

Gestión del Conocimiento

Calidad de Servicios de IT

Evaluaciones y Auditorías

Sistema de Gestión de
Servicios TI
ISO20000

Servicios SI

Seguridad de los Recursos
Humanos

Protección Física y
Ambiental

Evaluaciones y Auditorías

9

Adopción de estándares
para el Gobierno
Corporativo

Sistema de Gestión de
Seguridad de la Información
ISO27000

Aprendizaje y
Crecimiento

Instrucciones de interpretación
La normativa de seguridad, ha sido organizada de manera sencilla para que pueda ser interpretada
por cualquier persona que ostente un cargo de empleado o terceros con un contrato de trabajo por
servicios en la Organización, con conocimientos informáticos o sin ellos.
Las políticas fueron creadas según el contexto de aplicación, organizadas por niveles de seguridad y
siguiendo un entorno de desarrollo, sobre la problemática de la Organización o previniendo futuras
rupturas en la seguridad, aplicada sobre los diferentes recursos o activos de la Organización.
Los niveles de seguridad fueron organizados constatando un enfoque objetivo de la situación real
de la Organización a través del análisis de brecha de cumplimiento de los controles especificados en
la ISO/IEC 27002 y relacionando sus objetivos estratégicos de negocio con las necesidades de
servicios de seguridad necesarios para obtener las metas de Negocio establecidas por la Dirección.

Integrantes y funciones del Comité de Seguridad
El Comité de Seguridad de la Información está destinado a garantizar el apoyo manifiesto de la
Dirección a las iniciativas de seguridad. Sus principales funciones son:
1. Revisar y proponer a la Dirección para su consideración y posterior aprobación, las políticas
de seguridad de la información y las funciones generales en materia de seguridad de la
información que fueran convenientes y apropiadas para la Organización.
2. Monitorear cambios significativos en los riesgos que afectan a los recursos de la información
de la Organización frente a posibles amenazas, sean internas o externas.
3. Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes, relativos a
la seguridad, que se produzcan en el ámbito de la Organización.
4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de
acuerdo a las competencias y responsabilidades asignadas a cada sector, así como acordar y
aprobar metodologías y procesos específicos relativos a la seguridad de la información


Cada uno de los empleados y colaboradores deberá enmarcar sus esfuerzos por cumplir todas las
políticas pertinentes a su entorno de trabajo, utilización de los activos o recursos informáticos en
los que éste se desenvuelve sin importar el nivel organizacional en el que se encuentre dentro de la
Organización.

SGSI/GRC

LA INFORMACIÓN

5. Evaluar y coordinar la implementación de controles específicos de seguridad de la
información para los sistemas o servicios de esta Organización, sean preexistente o nuevos.
6. Promover la difusión y apoyo a la seguridad de la información dentro de la Organización,
como así coordinar el proceso de administración de la continuidad del negocio.

10

Los integrantes y sus funciones dentro del Comité de Seguridad de la Información son las siguientes:
CSO – Chief Security Officer
Gerente de Tecnología y Sistemas
Gerente de Administración y
Finanzas
Gerente de Recursos Humanos
Gerente de Mantenimiento e
Intendencia

Representante Legal

Responsable máximo de la Seguridad de la Información, de todos los procesos que
integran el SGSI y de la Política de Seguridad de la Información y su Marco Normativo de
la Organización.
Responsable de disponibilizar y gestionar los sistemas de tratamiento y procesamiento
de información, así como los recursos tecnológicos asociados y comunicaciones.
Responsable de velar por la gestión financiera y económica, tanto en lo preventivo como
correctivo relacionado a cualquier actividad del SGSI.
Responsable de velar por el cumplimiento del código de ética de la Organización, y de
brindar asesoramiento en el alcance de medidas relacionadas con lo laboral acorde a la
regulación impuesta por el Ministerio de Trabajo
Responsable de velar por el cumplimiento de las condiciones físicas del entorno de la
información, tanto en su infraestructura como en los controles físicos de acceso y
ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con
medidas preventivas o correctivas edilicias relacionadas con la seguridad de la
información y las personas acorde a la regulación de las entidades Municipales y
Nacionales que corresponda.
Representante del Directorio y responsable de velar por el cumplimiento legal y
regulatorio, a nivel Nacional e Internacional, en cada una de las actividades
desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de medidas
relacionadas con la realización de contratos de todo tipo, mediaciones, juicios y
definiciones técnico-legales relacionadas a cualquier actividad del SGSI.

Dominios de competencia de la Seguridad de la Información en el Negocio
El Plan y Política de Seguridad de la Información, engloban los procedimientos más adecuados,
tomando como lineamientos principales cuatro dominios relacionados con el Gobierno Corporativo:

Establece el marco formal de seguridad que debe sustentar la Organización, incluyendo servicios o
contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la
tecnología, denotando responsabilidades y actividades complementarias como respuesta ante
situaciones anómalas a la seguridad.
Seguridad Lógica

Establece e integra los mecanismos y procedimientos, que permitan monitorear el acceso a los
activos de información, que incluyen los procedimientos de administración de usuarios, definición
de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación
sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de
incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.


Seguridad Organizacional

SGSI/GRC

LA INFORMACIÓN

Seguridad Física

11

Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma
que se puedan establecer controles en el manejo de equipos, transferencia de información y control
de los accesos a las distintas áreas con base en la importancia de los activos.
Seguridad Legal

Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios
de la red corporativa bajo la reglamentación de la normativa interna de políticas y manuales de
procedimientos de la Organización en cuanto al recurso humano, sanciones aplicables ante faltas
cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas.
Cada uno de los criterios anteriores, sustenta un entorno de administración de suma importancia,
para la seguridad de la información dentro de la red corporativa de la Organización.

Nivel de cumplimiento de seguridad en relación a los controles y brecha a las metas
de los objetivos del Negocio

La ilustración 2 representa la
brecha
entre
las
metas
establecidas por el Negocio y el
nivel actual de cumplimiento de Ilustración 1
objetivos estratégicos y servicios de TI /SI, y que se describen individualmente en el Anexo II - Brecha a las
metas de los objetivos del Negocio.


La ilustración 1 representa el nivel
de cumplimiento de los objetivos
de control relacionados con la
seguridad de la información,
basados en la Norma ISO/IEC
27002, y que se describen
individualmente en el Anexo I Control de Gestión de la
Seguridad de la Información.

SGSI/GRC

LA INFORMACIÓN

12

Ilustración 2

Identificación de alcances legales y regulatorios del Negocio

Ley N° 25.326 Protección de Datos Personales
Alcanza a las bases de datos de Clientes, Proveedores y Empleados, y el Spam que es ilegal
bajo el art. 27.
Su objeto es la protección integral de los datos personales asentados en archivos, registros,
bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o
privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de
las personas, así como también el acceso a la información que sobre las mismas se registre,
de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución
Nacional. Las disposiciones de la presente ley también serán aplicables, en cuanto resulte
pertinente, a los datos relativos a personas de existencia ideal.
Ley N° 26.388 Delitos Informáticos
Contempla los siguientes tipos de delitos:


La Organización se encuentra legislada y regulada por:

SGSI/GRC

•
•
•
•
•
•

LA INFORMACIÓN

Distribución y tenencia con fines de distribución de pornografía infantil
Violación de correo electrónico
Acceso ilegítimo a sistemas informáticos
Daño informático y distribución de virus
Daño informático agravado
Interrupción de comunicaciones y envío masivo de correos que obstruya un sistema
informático

13

ISO 9001:2008
Sistema de Gestión de la Calidad que perfila los campos de autoridad, las relaciones y los
deberes del personal responsable del desempeño de la Organización. La Organización
actualmente se encuentra en proceso de implementación de este estándar para su proceso
de Atención al Cliente.
La gestión de seguridad de la información como servicio al Negocio garantiza la
disponibilidad e integridad necesaria para acompañar al Sistema de Gestión de Calidad en el
cumplimiento de sus objetivos.

Riesgos asociados al Negocio y metodología de tratamiento
Definición
Un riesgo es la posibilidad que se produzca un evento determinado y éste influya negativamente en
el logro o cumplimiento de los objetivos de la Organización.

Comprensión y conceptos

•
•
•
•
•
•
•
•

Identificación de los procesos de Negocio y servicios de IT y SI que lo soportan
Identificación de riesgos de Negocio y servicios de IT y SI que lo soportan
Análisis de riesgos de Negocio y servicios de IT y SI que lo soportan
Evaluación de riesgos de Negocio y servicios de IT y SI que lo soportan
Tratamiento de riesgos de Negocio y servicios de IT y SI que lo soportan
Control y revisión
Comunicación y consulta
Documentación

Para identificar y evaluar de la forma más certera los diferentes riesgos a los activos de información
de la Organización, se definen a continuación los principales conceptos a tener en cuenta:
Proceso

Conjunto de actividades relacionadas entre sí de forma ordenada y consecutiva que se ejecuta para
obtener un objetivo o producto cuyo normal funcionamiento es susceptible de ser afectado por los
riesgos y factores identificados. Los procesos pueden involucrar a una o más unidades de negocio. A
modo de ejemplo se mencionan los siguientes procesos considerados:


La metodología y actividades establecidas con relación al proceso de Administración de Riesgos
cubren las siguientes etapas que llevan a completar su tratamiento:

SGSI/GRC

•
•
•
•
•
•

LA INFORMACIÓN

Continuidad del procesamiento electrónico de datos
Desarrollos y cambios a sistemas aplicativos
Gestión de resguardos de datos
Administración de Seguridad Informática
Contratación de servicios tercerizados
Procesamiento y Operaciones

14

Riesgo de TI

Un riesgo de TI es la posibilidad de que se produzca un evento determinado que influya
negativamente en el normal funcionamiento y operación de los procesos de TI de la Organización,
afectando de esta forma el logro de los objetivos de la función de TI y por ende su apoyo al
funcionamiento de los procesos y al logro de los objetivos de la Organización.
La Organización considera dentro de la definición de Riesgos de TI, eventos relacionados con los
sistemas de información propios, con la infraestructura de TI que soporta el funcionamiento de
dichos sistemas, y con cualquier otro recurso relacionado empleado por la función de TI de la
Organización para brindar sus servicios.
Riesgo Operacional

Es el riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la
actuación del personal o de los sistemas, o bien de aquellas que sean producto de eventos externos.
La Organización considera a los Riesgos de TI como un componente importante del conjunto de
Riesgos Operacionales. Por lo tanto, independientemente de las normas y procedimientos
específicos para la administración de riesgos, se debe aplicar un esquema en el cual las salidas del
proceso de administración de riesgos se integren con el conjunto de la documentación de los
riesgos operacionales, con el fin de poder disponer de documentación acerca del perfil de riesgos
operacionales que enfrenta la Organización en forma integrada y completa.
Son aquellos riesgos que por su naturaleza no se pueden separar de la situación donde existen. Son
propios del trabajo a realizar, inseparables de la ejecución y operación de cualquiera de los procesos
generales de la Organización.
Riesgo Residual

Son aquellos riesgos que la Organización enfrenta una vez que se han tomado ya acciones de
mitigación de riesgo.
Factor

Un factor es un incidente o evento particular proveniente de fuentes internas o externas que en
caso de producirse, implica la ocurrencia del riesgo con el cual está relacionado.
Los siguientes son ejemplos de factores externos:
• Nuevas tecnologías para captar transacciones de clientes por medios electrónicos
• Incendios, inundaciones, y desastres naturales en general
• Cambios en leyes y regulaciones vigentes


Riesgo Inherente

SGSI/GRC

LA INFORMACIÓN

Los siguientes son ejemplos de factores internos:
• Inadecuadas normas y procedimientos que regulan el funcionamiento de las operaciones
• Inadecuados mecanismos de pruebas ante cambios en los sistemas
• Falta de redundancia en la infraestructura tecnológica de la Organización

15

Probabilidad de ocurrencia

Es la estimación de la frecuencia con la que podría ocurrir el factor identificado, sin considerar los
controles mitigantes existentes.
Impacto

Es el daño que ocasionaría el factor identificado en caso de ocurrir.
Rating de riesgo inherente

Es una medida de la significatividad de los riesgos inherentes, que surge de analizar el impacto y la
probabilidad de ocurrencia del factor asociado al riesgo, antes de considerar los controles
mitigantes existentes.
Ranking de riesgo residual

Es una medida de la significatividad de los riesgos residuales, que surge de analizar el impacto y la
probabilidad de ocurrencia del factor asociado al riesgo luego de considerar los controles mitigantes
existentes.
Medición Cualitativa

Es una técnica que provee a la Organización una forma de comparar prioridades, importancia o
criticidad del riesgo. Habitualmente, esta técnica se utiliza cuando no existe suficiente información
para aplicar un método cuantitativo, a través del diseño de matrices y escalas de probabilidad de
ocurrencia / impacto, el rating de riesgo inherente y el ranking de riesgo residual.
Controles / Mecanismos de Mitigación

Son las medidas implantadas por la Organización para mitigar los riesgos identificados.
Efectividad

Frecuencia

Es la periodicidad con que se ejecuta el control.
Plan de acción o Plan de Tratamiento del Riesgo

Es un proyecto o un conjunto de tareas a desarrollar con el fin de diseñar e implantar controles que
mitiguen los riesgos, mediante la reducción de la probabilidad de ocurrencia, del impacto, o de
ambos.

Metodología y tratamiento
Evaluación de Activos de Información

Para cada activo de información incluido en el alcance del proyecto, se calculará un “Valor Total” en
base al Nivel de Sensibilidad y al Nivel de Criticidad del Activo, tal como se detalla a
continuación:


Es una indicación de la capacidad del control para disminuir la probabilidad de ocurrencia o para
disminuir el impacto del factor asociado al riesgo analizado.


SGSI/GRC

LA INFORMACIÓN

Nivel de Sensibilidad del Activo

El Nivel de Sensibilidad del Activo se obtendrá en base al análisis de los siguientes parámetros:
Confidencialidad:
Variables a considerar:

16

Evaluación del impacto en el negocio que ocasionaría la divulgación de la
información administrada por el activo.
Desventajas Competitivas, Pérdidas Directas en el Negocio, Privacidad de los
Clientes, Costos Adicionales, Responsabilidad Legal, Fraude.

Valores a asignar:
1


3

Bajo
Impacto

Integridad:

2
Medio
Impacto

Alto
Impacto

Evaluación del impacto en el negocio que ocasionaría la corrupción de la
Decisiones Gerenciales, Pérdidas Directas del Negocio, Fraude,
Confidencialidad de Clientes, Costos Adicionales, Responsabilidades Legales,
Interrupción del Negocio.

Valores a asignar:
1


3

Bajo
Impacto

Disponibilidad:

2
Medio
Impacto

Alto
Impacto

Evaluación del impacto en el negocio que ocasionaría la indisponibilidad de la
Decisiones Gerenciales Pérdidas Directas del Negocio, Confidencialidad de
Clientes, Costos Adicionales, Responsabilidades Legales, Recuperación,
Fraude, Interrupción del Negocio.

Valores a asignar:
2

3

Bajo
Impacto

Medio
Impacto

Alto
Impacto

Cálculo del Nivel de Sensibilidad

Para calcular el valor del Nivel de Sensibilidad del Activo, efectuamos un promedio en base a los valores de
los parámetros “Confidencialidad” e “Integridad” de la siguiente manera:
Nivel de Sensibilidad = (Confidencialidad + Integridad) / 2
Rango de valores
1
2
3
Poco
Sensible

Muy
Sensible


1


SGSI/GRC

LA INFORMACIÓN

Cálculo del Nivel de Criticidad

El Nivel de Criticidad del Activo es obtenido en base al valor del parámetro “Disponibilidad”, como se
muestra a continuación:
Nivel de Criticidad = Disponibilidad
Rango de valores
1

2

Poco
Crítico

17

3
Muy
Crítico

Valor Total del Activo

En base a los niveles de Sensibilidad y Criticidad obtenidos previamente, se calcula el Valor Total del Activo,
de la siguiente manera:
Valor Total del Activo = (Nivel de Sensibilidad + Nivel de Criticidad) / 2
Rango de valores
1
2
3
Bajo

Medio

Alto

Metodología
El procedimiento de administración de riesgos adoptado por la Organización está compuesto por las
actividades que se presentan en el siguiente gráfico. Es importante destacar que si bien se lo describe en
etapas separadas encadenadas secuencialmente, el proceso de administración de riesgos es un todo
continuo, de manera que en forma simultánea pueden estar identificándose nuevos riesgos, analizando otros
riesgos previamente identificados, y definiendo planes de acción para otros riesgos ya identificados y
analizados.

IDENTIFICAR
LOS RIESGOS

ANALIZAR
LOS
RIESGOS

EVALUAR
LOS RIESGOS

TRATAR LOS
RIESGOS

CONTROLAR
Y REVISAR

COMUNICAR
Y
CONSULTAR

Los resultados de la ejecución de este proceso serán reportados al Directorio de la Organización como
mínimo en forma anual, lo cual implica que las etapas previstas en el presente procedimiento deberán ser
llevadas a cabo al menos dos veces al año.
Identificación de los procesos
Los responsables de las áreas de negocio determinarán los procesos / productos críticos de la compañía, para
luego definir los subprocesos asociados. A partir de esta información, se determinan los activos de
información que están relacionados
Identificación de riesgos
En esta etapa se identificarán los riesgos a los que está expuesta la Organización. La identificación incluirá
todos los aspectos de los riesgos, estén o no bajo control de la Entidad.
¿Qué puede suceder, dónde y cuándo?
Los Responsables generarán una lista de fuentes de riesgos y factores que podrían tener un impacto en el
logro de cada uno de los objetivos estratégicos, de negocio o de proyecto. Estos factores podrían impedir,


IDENTIFICAR
LOS PROCESOS

SGSI/GRC

LA INFORMACIÓN

degradar, demorar o mejorar el logro de dichos objetivos. Estos riesgos serán considerados para identificar lo
que puede suceder.

18

¿Cómo y por qué puede suceder?
Una vez identificado lo que podría suceder, es necesario considerar las causas y escenarios posibles. Hay
muchas formas en que puede suceder un evento. Es importante que no se omita ninguna causa significativa.

Estas fuentes de información serán utilizadas por los Responsables de Gestión y Control de Riesgos tanto
para la revisión de la evaluación de los factores vigentes como para la identificación y evaluación de nuevos
factores.
Análisis de riesgos
En esta etapa se realizarán estimaciones y evaluaciones que respalden la toma de decisiones sobre si los
riesgos necesitan ser tratados y sobre las estrategias más apropiadas y costo eficaces de tratamiento de los
riesgos.
El análisis de riesgo implica considerar las fuentes de riesgo, sus impactos positivos y negativos, las
probabilidades de que esos impactos puedan ocurrir, y los controles mitigantes.
Impacto y probabilidad.
La magnitud del impacto de un factor, en el caso de que este ocurriera, y la probabilidad del mismo y sus
impactos asociados, se evalúan en el contexto del riesgo inherente (riesgo propio). El impacto y probabilidad
determina el nivel de riesgo (Rating).


Herramientas y técnicas
Los Responsables definidos para esta tarea serán los encargados de identificar los riesgos y factores
relacionados. Los enfoques utilizados para identificar riesgos y factores incluyen pero no se limitan a lo
siguiente:
• Criterio profesional del Responsable
• Juicios basados en la experiencia y conocimiento de la Organización y de los procesos y funciones de
TI con los cuales está involucrado
• Observaciones formuladas en informes de Auditoría Interna, Auditoría Externa, y otras auditorías a
las que esté sometido la Organización.
• Resultados de estudios de vulnerabilidad llevados a cabo por la Organización, ya sea en forma
interna como mediante la contratación de terceros especializados.
• Conocimiento de incidentes registrados en el área
• Conocimiento de incidentes ocurridos en otras entidades del sistema financiero argentino
• Aporte de las áreas usuarias
• Nuevos proyectos encarados por la Organización, mediante los cuales se afecte la infraestructura de
TI, los sistemas de información, o cualquier recurso de TI relacionado.
• Cambios organizacionales, tales como reestructuración de áreas tecnológicas o funcionales, o la
tercerización de actividades vinculadas con la administración y / o procesamiento de los sistemas de
información o cualquier tipo de tratamiento de información de la Organización.
• Clasificación de activos: En la clasificación de activos de información se define la criticidad de los
activos en base a su disponibilidad, confidencialidad e integridad. Esta información es de gran
utilidad a la hora de identificar riesgos en relación a los activos críticos.
• Incidentes registrados en Mesa de Ayuda: La mesa de ayuda registra los incidentes tecnológicos que
surgen en la Entidad, el seguimiento de los mismos desde su detección hasta su corrección. Brinda
información de incidentes concretos sucedidos en la Entidad, el tiempo que se demoró la solución, la
recurrencia del error, los recursos afectados, la efectividad de las correcciones, entre otros.
• Listados de control.


SGSI/GRC

LA INFORMACIÓN

19

Probabilidad de Ocurrencia
Nivel

Probabilidad
de ocurrencia

Descriptor

1

Improbable

Bajo

2

Eventual

Medio

3

Probable

Alto

Escenario

La situación descripta en el riesgo se ha concretado en
la Organización en forma aislada.
La situación descripta en el riesgo se ha concretado
pocas veces en la Organización.
La situación descripta en el riesgo se ha concretado
frecuentemente en la Organización.

Niveles de Impacto
El Nivel de impacto es producido por la ocurrencia de la amenaza. Grado de compromiso de la
información en su confidencialidad, integridad y / o disponibilidad.
Unidades de Medida

Pérdida de rendimiento
Daños materiales (elevación de costos, pérdida monetaria, entre otros, daños físicos)
Nivel

Impacto relativo

1

Menor

2

Moderado

3

Mayor

Medidas

•
•
•
•

Incremento de costos menor
pérdida de ingresos baja
pago de multas menores
una mínima pérdida de imagen

•
•
•
•
•
•
•
•

incremento de costos considerable
pérdida de ingresos moderada
pago de multas considerables
impacto negativo medio a la imagen de la Entidad
incremento de costos alto
pérdida de ingresos alta
pago de multas altas
sustancial pérdida de la imagen de la Entidad

•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

El porcentaje de objetivos de TI y SI que dan soporte al plan estratégico del Negocio
Cantidad de escalamientos o problemas sin resolver debido a la carencia o insuficiencia de
asignaciones de responsabilidad
Frecuencia de revisiones / actualizaciones de las normas
Cantidad de ocasiones en que se puso en riesgo la información confidencial
Cantidad de interrupciones al negocio debidas a interrupciones en el servicio de TI
Cantidad y tipo de modificaciones de emergencia a componentes de la infraestructura
Porcentaje de plataformas que no están de acuerdo con los estándares de seguridad, arquitectura y
tecnología
Cantidad de componentes de infraestructura obsoletos (o que lo serán en el futuro cercano)
Cantidad de incidentes provocados por deficiencias en la documentación y entrenamiento de usuario
y de operación
Porcentaje de cambios registrados y rastreados con herramientas automatizadas
Porcentaje de cambios que siguen procesos de control de cambio formales
Promedio de solicitudes de cambio aceptadas y rechazadas
Cantidad de errores encontrados durante auditorías internas o externas
Tiempo perdido de aplicación o reparaciones de datos provocadas por pruebas inadecuadas
Tasa de falla de transacciones


Para analizar el impacto es recomendable la utilización de métricas tales como:

SGSI/GRC

•
•

LA INFORMACIÓN

Cantidad de procesos de negocio críticos no cubiertos por un plan definido de disponibilidad de
servicios
Entre Otras

20

Nota: Por niveles de tolerancia se entiende al promedio del impacto y probabilidad del riesgo residual,
que resultan después de implementar los controles mitigantes. Cuando el promedio resulte BAJO se
considera aceptable. Los niveles de tolerancia del riesgo residual serán evaluados por los Gerentes de las
áreas involucradas en el proceso, y la participación del administrador de riesgo para cada factor de riesgo
en particular.
Evaluación del riesgo
En esta etapa se tomarán decisiones basadas en los resultados del análisis de riesgo, acerca de los riesgos
que requieren tratamiento y sus prioridades.
En la evaluación de riesgos se establecerán para su tratamiento las prioridades y la forma en función de su
ubicación dentro del mapa de riesgos de la entidad, estableciendo si:
•
•
•

•

Se evita, en función de su alta exposición: Por ejemplo si se determina que un sistema presenta
debilidades de seguridad y se decide no implementarlo en producción
Se reduce, por medio de controles e infraestructura de seguridad: Por ejemplo la definición y control
de perfiles de accesos a fin de reducir la cantidad de accesos no autorizados
Se transfiere, por medio de seguros o tercerización de servicios: Por ejemplo si se contrata a un
seguro para cubrir las pérdidas materiales resultantes de la ocurrencia de un acto de robo de
hardware
Se asume, en función de su baja exposición: Por ejemplo si por algún motivo se perdió la
documentación técnica de una aplicación que está pronta a ser reemplazada y la Entidad decide no
rearmarla por razones de costo-beneficio

La confección del Mapa de Riesgos o Matriz de análisis y Evaluación del Riesgo, dependerá del trabajo
conjunto de los Responsables, y el administrador de riesgos de TI, respondiendo a su conocimiento de la
entidad.
El mapa de riesgo permitirá:
• Identificar los riesgos inherentes de cada proceso de Negocio y de los servicios de TI y SI asociados
• Analizar la efectividad y relación costo-beneficio de las respuestas al riesgo existente
• Identificar estrategias más efectivas en respuesta al riesgo
• Seleccionar negocios en base a su relación riesgo / beneficio
• Implementar una cultura de concientización de riesgos de TI en la entidad
Para realizar el mapa de riesgo, una vez finalizada la etapa anterior, se actualizará automáticamente el
mismo acorde a los valores resultantes de la evaluación.


A partir de una clara identificación de los riesgos, el objetivo del mapeo de riesgos de sistemas es que se
puedan priorizar los mismos en base a su severidad y frecuencia de forma tal de establecer así los niveles de
riesgo, Alto, Medio o Bajo y el tratamiento a dar a cada uno de ellos.


SGSI/GRC

LA INFORMACIÓN

El mapa de riesgo permite graficar los riesgos según el nivel de impacto y ocurrencia en base a cual se ha
clasificado:

21

Impacto

Alto

Medio

Bajo
Baja

Media
Probabilidad

Alta

Rojo: Los factores que se ubican en estos cuadrantes requieren una definición inmediata de controles/respuestas
que mitiguen los mismos. El objetivo de definir controles es reducir la probabilidad de impacto y probabilidad de
ocurrencia.
Amarillo: Los factores que se ubican en estos cuadrantes requieren de la definición de un plan de acción que
permita controlar la probabilidad de ocurrencia y/o el impacto de los mismos.
Verde: Los factores que se ubican en estos cuadrantes deben ser considerados luego de haber
considerados los riesgos ubicados en los cuadrantes amarillos y rojos.

sido

Tratamiento del riesgo
En esta etapa se generarán los planes de acción, o planes de tratamiento de riesgos necesarios para tomar
las acciones correctivas y preventivas. Las matrices utilizadas para la gestión de riesgos permitirán realizar un
seguimiento del cumplimiento de los planes de acción identificados.

•
•
•
•

Utilizar Indicadores de Riesgo a los efectos de tener un seguimiento del funcionamiento adecuado de
los controles en relación con el volumen y el grado de riesgo asociado a los sistemas
Actualizar semestralmente las matrices de riesgo y análisis de los procedimientos
Realizar un seguimiento de la observaciones de Auditoria Interna / Externa de sistemas y otras
entidades de control
Participar en el desarrollo de nuevos productos, procesos o modificación de ellos que puedan afectar
a los sistemas de información

El proceso de control y revisión también involucra aprender de los eventos y de sus resultados.
Comunicación y consulta
La comunicación y consulta son consideraciones importantes en cada etapa mencionada anteriormente. La
comunicación y consulta involucra un diálogo entre los Responsables de las áreas tecnológicas, de seguridad
y funcionales para ayudar a que los riesgos sean identificados eficazmente, para reunir distintas áreas de
especialidad en el análisis de riesgos y así asegurar que se consideran distintos puntos de vista en la
evaluación de los riesgos y para una administración apropiada de cambios durante el tratamiento de los
mismos.


Control y revisión
Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreados para asegurar que las
circunstancias cambiantes no alteren las prioridades. Para ello se realizarán las siguientes acciones:

SGSI/GRC

LA INFORMACIÓN

Presentación al Directorio

22

Concluidas las etapas anteriores del procedimiento, el administrador de riesgos de TI unificará los resultados
de los trabajos realizados por los Responsables. Luego se presentará formalmente al Comité de Sistemas y al
Directorio la siguiente información:
•
•

•

“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad
de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para
los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha
especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”, en el cual se detallan los cambios
resultantes del proceso de revisión / actualización:
o Detalle de nuevos riesgos y factores incorporados
o Detalle de riesgos y factores dados de baja, con la correspondiente justificación de esta acción
o Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación
anterior, la evaluación actual y la justificación del cambio realizado.

Documentación de las Matrices de Riesgo
Se documentarán los trabajos realizados en la matriz utilizada para la gestión de riesgos acompañada de los
registros necesarios que avalen lo relevado, que servirá como soporte a este proceso.

Definiciones de documentación del Marco Normativo

Plan de Seguridad de la Información
Es el documento que presenta a la Organización el SGSI, declara su estructura interna, define los
servicios que presta y las pautas funcionales y documentales con las que desarrolla sus actividades.
Está compaginado según la estructura planteada en la Norma ISO/IEC 27.001, los objetivos de
control normativos especificados en su Anexo A y en la Norma ISO/IEC 27.002 como guía práctica
para elaborar normas de seguridad de la organización y desarrollar prácticas efectivas de la gestión
de la seguridad, brindando asimismo, confianza en las actividades llevadas a cabo entre las
organizaciones.

Políticas de Seguridad de la Información
Las Políticas brindan la información necesaria en el más amplio nivel de detalle a los usuarios de la
Organización, de las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y
software de la red organizacional de la Organización, así como la información que es procesada y
almacenada en estos.


La Organización cuenta con los siguientes niveles de documentos:
• Plan de Seguridad de la Información
• Políticas de Seguridad de la Información
• Normas de Seguridad de la Información
• Procedimientos Administrativos
• Estándares Técnicos
• Instructivos, Checklist y Formularios

SGSI/GRC

LA INFORMACIÓN

Norma de Seguridad de la Información
Documento que fija los propósitos generales dentro de un marco o política regulatoria, definiendo
lo que DEBE hacerse para su cumplimiento de acuerdo al entorno de gestión y alcances establecidos
por la Organización.

23

Procedimiento Administrativo
Es el documento que define tareas específicas de tipo operativo-administrativo mencionando el
COMO se lleva a cabo una actividad o un proceso describiendo con alto grado de detalle el modo de
realizar las actividades principales del SGSI y la parametrización de los componentes integrantes del
proceso que describen.

Estándar Técnico
Es el documento desarrollado como guía para la configuración de valores, reglas, condiciones o
características en productos de hardware y software que integran la arquitectura de procesos
alcanzados por los requerimientos normativos, regulativos y legales relacionados con las actividades
del Negocio.

Instructivos, Checklist y Formularios
Documentación anexa a los procedimientos y que sirven como guía de paso a paso, documento de
control y/o registros que presentan resultados obtenidos o proporcionan evidencia de actividades
realizadas.

Definiciones para Políticas y Normas por Dominio
SEGURIDAD ORGANIZACIONAL
POLÍTICAS DE SEGURIDAD

La Organización nombrará un comité de seguridad de acuerdo a lo mencionado en el Capítulo
“Integrantes y funciones del Comité de Seguridad”, que dé seguimiento al cumplimiento de la
normativa, propicie el entorno necesario de gestión para el SGSI y asegure que a través de las
Políticas se represente la intención de la Dirección por:
a)
b)
c)
d)
e)
f)
g)

Velar por la seguridad de los activos informáticos
Propiciar una buena gestión y procesamiento de información.
Fomentar el cumplimiento de políticas.
Establecer la aplicación de sanciones.
Asegurar la elaboración de planes de seguridad.
Asegurar la capacitación de usuarios en temas de seguridad.
Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o
solución, a problemas de seguridad dentro de la Organización.
h) Establecer los medios de información necesarios sobre problemas de seguridad a la Alta
Gerencia.


Los servicios de la red organizacional son de exclusivo uso laboral.

SGSI/GRC

LA INFORMACIÓN

i) Disponibilizar los medios de comunicación necesarios para que los usuarios de la red
organizacional puedan emitir sugerencias o quejas con respecto al funcionamiento de los
activos de información.

24

CLASIFICACIÓN Y CONTROL DE ACTIVOS
Responsabilidad por los activos

•

Cada Gerencia tendrá un responsable por el/los activo/s crítico/s o de mayor importancia
para sus procesos de Negocio y unidades organizativas propias intervinientes en el proceso.

•

La persona o entidad responsable de los activos de cada unidad organizativa o área de
trabajo, velará por la salvaguarda de los activos físicos (hardware y medios magnéticos,
aires acondicionados, mobiliario.), activos de información (Bases de Datos, Archivos,
Documentación de sistemas, Procedimientos Operativos, configuraciones), activos de
software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)

•

Los administradores de los sistemas son los responsables de la seguridad de la
información almacenada en esos recursos.

Clasificación de la información

De forma individual, cada Gerencia de la Organización, es responsable de clasificar de
acuerdo al nivel de importancia, la información que en ella se procese.

•

Se tomarán como base, los siguientes criterios, como niveles de importancia, para clasificar
la información:
a) Pública
b) Interna
c) Confidencial

•

Los formularios a tener en cuenta para la registración de esta actividad son
• Formulario Clasificación de Activos
• Formularios Control de Software y Hardware
• Formulario Clasificación de Activos

•

Los activos de información de mayor importancia para la Organización deberán clasificarse
por su nivel de exposición o vulnerabilidad.

SEGURIDAD LIGADA AL PERSONAL

•

Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro
de la Organización, en el momento en que se dé por establecido su contrato laboral.

•

La información procesada, manipulada o almacenada por el empleado es propiedad
exclusiva de la Organización. El empleado no tiene ningún derecho sobre la información que
procese dentro de las instalaciones de la red organizacional.


•

SGSI/GRC

LA INFORMACIÓN

•

La Organización no se hace responsable por daños causados provenientes de sus empleados
a la información o activos de procesamiento desde sus instalaciones de red a equipos
informáticos externos.

•

La información que maneja o manipula el empleado, no puede ser divulgada a terceros o
fuera del ámbito de laboral.

•

El usuario se norma por las disposiciones de seguridad informática de la Organización y son
responsables de las acciones causadas por sus operaciones con el equipo de la red
organizacional.

25

CAPACITACIÓN DE USUARIOS

•

Los usuarios de la red organizacional, serán capacitados en cuestiones de seguridad de la
información según sea el área operativa y en función de las actividades que se desarrollan.

•

Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una
capacitación a personal ajeno o propio de la Organización, siempre y cuando se vea
implicada la utilización de los servicios de red o se exponga material de importancia
considerable para la Organización.

RESPUESTAS A INCIDENTES Y ANOMALÍAS DE SEGURIDAD

Se realizarán respaldos de la información diariamente para los activos de mayor importancia
o críticos, un respaldo semanal que se utilizará en caso de fallas y un tercer respaldo
efectuado mensualmente, el cual deberá ser guardado y evitar su utilización a menos que
sea estrictamente necesaria.

•

Las solicitudes de asistencia, efectuados por dos o más empleados o áreas de proceso, con
problemas en las estaciones de trabajo, deberá dárseles solución en el menor tiempo
posible.

•

El CSO deberá elaborar un documento donde deba explicar los pasos que se deberán seguir
en situaciones contraproducentes a la seguridad y explicarlo detalladamente en una reunión
ante el personal de respuesta a incidentes.

•

Cualquier situación anómala y contraria a la seguridad deberá ser documentada, posterior
revisión de los registros o Log de sistemas con el objetivo de verificar la situación y dar una
respuesta congruente y acorde al problema, ya sea ésta en el ámbito legal, regulatorio o
cualquier situación administrativa.

SEGURIDAD LÓGICA
CONTROL DE ACCESOS

•

La Gerencia de Seguridad de la Información proporcionará toda la documentación necesaria
para agilizar la utilización de los sistemas, referente a formularios, guías, controles, otros.


•

SGSI/GRC

•

LA INFORMACIÓN

Cualquier petición de información, servicio o acción proveniente de un determinado usuario
o departamento, se deberá efectuar siguiendo los canales de gestión formalmente
establecidos por la Organización, para realizar dicha acción; no dar seguimiento a esta
política implica:
a) Negar por completo la ejecución de la acción o servicio.
b) Informe completo dirigido a comité de seguridad, mismo será
realizado por la persona o el departamento al cual le es solicitado el
servicio.
c) Sanciones aplicables por autoridades de nivel superior,
previamente discutidas con el comité de seguridad.

26

ADMINISTRACIÓN DEL ACCESO DE USUARIOS

Son usuarios de la red organizacional todo aquel empleado y tercera parte autorizada que
utilice los servicios de la red organizacional de la Empresa.

•

Se asignará una cuenta de acceso a los sistemas y recursos informáticos a todo usuario de la
red organizacional, siempre y cuando se identifique previamente el objetivo de su uso o
permisos explícitos a los que este accederá, junto a la información personal del usuario.

•

Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga
una relación con la Organización fuera del ámbito de empleado y siempre que tenga una
vinculación con los servicios de la red organizacional.

•

El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente
mediante firma impresa y documentación de aceptación de confidencialidad hacia la
Organización y comprometido con el uso exclusivo del servicio para el que le fue provisto el
acceso.

•

Las terceras partes son usuarios limitados, estos tendrán acceso únicamente a los servicios y
recursos compartidos de la red organizacional necesarios para cumplir las funciones por las
que fueron contratados. Cualquier cambio sobre los servicios a los que estos tengan acceso
será motivo de revisión y modificación de esta política, adecuándose a las nuevas
especificaciones.

•

No se proporcionará el servicio solicitado por un usuario, unidad organizativa o Gerencia, sin
antes haberse completado todos los procedimientos de autorización necesarios para su
ejecución.

•

La longitud mínima de caracteres permisibles en una contraseña se establece en 6
caracteres y la longitud máxima de caracteres permisibles se establece en 12 caracteres, los
cuales tendrán una combinación alfanumérica, incluida en estos caracteres especiales y con
una combinación de mayúsculas y minúsculas.


•

SGSI/GRC

LA INFORMACIÓN

RESPONSABILIDADES DEL USUARIO

•

El usuario es responsable exclusivo de mantener a salvo su contraseña.

•

El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o
servicios.

•

Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar
constancia de ellas, a menos que ésta se guardada en un lugar seguro.

•

El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por la
Gerencia de Seguridad de la Información que contenga información que pueda facilitar a un
tercero la obtención de la información de su cuenta de usuario.

•

El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con
alguna característica de su persona o relacionado con su vida o la de parientes, como fechas
de cumpleaños o alguna otra fecha importante.

•

El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo
puedan acceder a la información almacenada en él, mediante una herramienta de bloqueo
temporal (protector de pantalla), protegida por una contraseña, el cual deberá activarse en
el preciso momento en que el usuario deba ausentarse.

•

27

Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos
de la Organización, está obligado a reportarlo a los administradores del sistema o a la
Gerencia de Seguridad de la Información.

•

Se debe hacer uso del servicio de correo electrónico acatando todas las disposiciones de
seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a
la red organizacional.

•

El correo electrónico es de uso exclusivo, para los empleados de la Organización y terceras
partes autorizadas que brinden servicios a la misma y por sus funciones requieran este
servicios.

•

Todo uso indebido del servicio de correo electrónico, será motivo de sanciones disciplinarias
de acuerdo a las Políticas de recursos Humanos de la Organización y acorde a lo indicado por
la Ley N° 26.388 de Delitos Informáticos.

•

El usuario será responsable de la información que sea enviada con su cuenta.

•

El comité de seguridad, se reservará el derecho de monitorear las cuentas de usuarios,
que presenten un comportamiento sospechoso para la seguridad de la red organizacional.


Uso de correo electrónico

SGSI/GRC

•

LA INFORMACIÓN

El usuario es responsable de respetar la ley de derechos de autor, no abusando de este
medio para distribuir de forma ilegal licencias de software o reproducir información sin
conocimiento del autor.

28

SEGURIDAD EN ACCESO DE TERCEROS

•

El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de
seguridad establecidos en el contrato de trabajo o asociación para el servicio, el cual deberá
estar firmado por las Gerencias involucradas en el mismo.

•

Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio que le fue
asignado, y acatar las responsabilidades que devengan de la utilización del mismo.

•

Los servicios accedidos por terceros acataran las disposiciones generales de acceso a
servicios por el personal interno de la Organización, además de los requisitos expuestos en
su contrato con la Organización.

CONTROL DE ACCESO A LA RED

El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de
seguridad necesarios, y éste será permitido mediante un mecanismo de autenticación.

•

Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del usuario o
el equipo implicado en el proceso.

•

Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la
red, será motivo de verificación y tendrá como resultado directo la realización de una
auditoria de seguridad.

•

Se deberán emplear dispositivos de red para el bloqueo, enrutamiento, o el filtrado de
tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde
la red interna hacia el exterior.

•

Los accesos a la red interna o local desde una red externa de la Organización o
extranet, se harán mediante un mecanismo de autenticación seguro y el tráfico entre ambas
redes o sistemas será cifrado con una encriptación de 128 bit.

•

Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log, de
los dispositivos que provean estos accesos.

•

Se efectuara una revisión de Log de los dispositivos de acceso a la red ya sea en forma
manual o a través de herramientas que permitan identificar errores o acciones sospechasos
en forma automática.


•

SGSI/GRC

LA INFORMACIÓN

CONTROL DE ACCESO AL SISTEMA OPERATIVO

•

Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema,
(cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando
que estas corran sus servicios con privilegios nocivos para la seguridad del sistema.

•

Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario,
evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la
estación de trabajo.

•

El acceso a la configuración del sistema operativo de los servidores, es únicamente
permitido al usuario administrador.

•

Los administradores de servicios, tendrán acceso único a los módulos de configuración de las
respectivas aplicaciones que tienen bajo su responsabilidad.

•

29

Todo servicio provisto o instalado en los servidores, correrá o será ejecutado bajo cuentas
restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas
administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente.

CONTROL DE ACCESO A LAS APLICACIONES

Las aplicaciones deberán estar correctamente diseñadas con funciones de acceso específicas
para cada usuario del entorno operativo de la aplicación.

•

Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo
al nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis en
los derechos de escritura, lectura, modificación, ejecución o borrado de información.

•

Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma
aleatoria y sobre distintas fases antes de ponerlas en un entorno operativo real, con el
objetivo de evitar redundancias en las salidas de información u otras anomalías.

•

Las salidas de información de las aplicaciones en un entorno de red deberán ser
documentadas y especificar la terminal por la que deberá ejecutarse exclusivamente la
salida de información.

•

Se deberá llevar un registro mediante Log de aplicaciones sobre las actividades de los
usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos,
terminal desde donde conecta, entre otros, de manera que proporcionen información
relevante y revisable posteriormente.

MONITOREO DEL ACCESO Y USO DEL SISTEMA

•

Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas
de información y uso de la red, mediante archivos de Log o bitácoras de sistemas.


•

SGSI/GRC

LA INFORMACIÓN

•

Los archivos de Log almacenarán nombres de usuarios, nivel de privilegios, IP de terminal,
fecha y hora de acceso o utilización, actividad desarrollada, aplicación implicada en el
proceso, intentos de conexión fallidos o acertados, archivos a los que se tuvo acceso, entre
otros.

•

Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra
terminal o servidor, evitando se guarde la copia localmente donde se produce.

30

GESTIÓN DE OPERACIONES Y COMUNICACIONES

•

El personal administrador de algún servicio, es el responsable absoluto por mantener en
óptimo funcionamiento ese servicio, coordinar esfuerzos con la Gerencia de Seguridad de la
Información, para fomentar una cultura de administración segura y servicios óptimos.

•

Las configuraciones y puesta en marcha de servicios, son normadas por el departamento de
informática, y el comité de seguridad.

•

El personal responsable de los servicios, llevará archivos de registro de fallas de seguridad
del sistema y revisara estos archivos de forma frecuente y en especial después de ocurrida
una falla.

PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS

La unidad de informática, o personal de la misma dedicado o asignado en el área de
programación o planificación y desarrollo de sistemas, efectuará todo el proceso propio de
la planificación, desarrollo, adquisición, comparación y adaptación del software necesario
para la Organización.

•

La aceptación del software se hará efectiva previo análisis y pruebas efectuadas por el
personal de Tecnología y Seguridad de la Información.

•

Únicamente se utilizará software certificado o en su defecto software previamente revisado
y aprobado, por personal calificado en el área de seguridad.

•

La aceptación y uso de los sistemas no exonera de responsabilidad alguna sobre la Gerencia
de Seguridad de la Información, para efectuar pruebas o diagnósticos a la seguridad de
los mismos.

•

El software diseñado localmente y desarrollado por programadores internos, deberá ser
analizado y aprobado por la Gerencia de Seguridad de la Información, antes de su
implementación.

•

Es tarea de programadores el realizar pruebas de validación de entradas, en cuanto a:
o Valores fuera de rango.
o Caracteres inválidos, en los campos de datos.
o Datos incompletos.
o Datos con longitud excedente o valor fuera de rango.


•

SGSI/GRC

o
o
o
o
o

LA INFORMACIÓN

Datos no autorizados o inconsistentes.
Procedimientos operativos de validación de errores
Procedimientos operativos para validación de caracteres.
Procedimientos operativos para validación de la integridad de los datos.
Procedimientos operativos para validación e integridad de las salidas.

•

Toda prueba de las aplicaciones o sistemas, se deberá hacer teniendo en cuenta las medidas
de protección de los archivos de producción reales.

•

31

Cualquier prueba sobre los sistemas del ámbito a la que esta se refiera deberá ser
documentada y cualquier documento o archivo que haya sido necesario para su ejecución
deberá ser borrado de los dispositivos físicos, mediante tratamiento electrónico.

PROTECCIÓN CONTRA SOFTWARE MALICIOSO

•

Se adquirirá y utilizará software únicamente de fuentes confiables.

•

En caso de ser necesaria la adquisición de software de fuentes no confiables, este se
adquirirá en código fuente.

•

Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado
correctamente software antivirus actualizable y activada la protección en tiempo real.

MANTENIMIENTO

El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad
del personal de la unidad de informática o del personal de soporte técnico.

•

El cambio de archivos de sistema no es permitido sin una justificación aceptable y verificable
por la Gerencia de Seguridad de la Información.

•

Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios
realizados desde su instalación.

MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO

•

Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información
de la Organización, serán etiquetados de acuerdo a la información que almacenan u objetivo
que suponga su uso detallando o haciendo alusión a su contenido.

•

Los medios de almacenamiento con información crítica o copias de respaldo deberán ser
manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el
personal encargado de su salvaguarda.

•

Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja
especial a la cual tendrá acceso únicamente, la Gerencia de Seguridad de la Información o la


•

SGSI/GRC

LA INFORMACIÓN

gerencia administrativa. Esta caja no debería ser removible, una segunda copia será
resguardada por un tercero, entidad financiera o afín.
•

32

Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se
debe guardar información y su uso.

SEGURIDAD FÍSICA Y AMBIENTAL
SEGURIDAD DE LOS EQUIPOS

•

El cableado de red, se instalará físicamente separado de cualquier otro tipo de cables,
llámese a estos de corriente o energía eléctrica, para evitar interferencias.

•

Los servidores con problemas de hardware sin importar al grupo al que estos pertenezcan,
deberán ser reparados localmente. De no cumplirse lo anterior, deberán ser retirados sus
medios de almacenamiento.

•

Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas
aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por la
Gerencia de Seguridad de la Información y las personas responsables por esos activos,
quienes deberán poseer su debida identificación.

CONTROLES GENERALES

Las estaciones o terminales de trabajo con procesamientos críticos no deben de contar con
medios de almacenamientos extraíbles que puedan facilitar el robo o manipulación de la
información por terceros o personal que no deba tener acceso a esta información.

•

En ningún momento se deberá dejar información sensible de robo, manipulación o acceso
visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada
por terceros o personas que no deban tener acceso a esta información.

•

Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el
mantenimiento correctivo que se les haga a los equipos.

•

Toda oficina o área de trabajo debe poseer entre sus inventarios herramientas auxiliares
(extintores, alarmas contra incendios, lámpara de emergencia), necesarias para salvaguardar
los recursos tecnológicos y la información.

•

Toda visita a las oficinas de tratamiento de datos críticos e información (unidad de
informática, sala de servidores entre otros) deberá ser registrada mediante el formulario
de accesos a las salas de procesamiento crítico, para posteriores análisis del mismo.

•

La sala o cuarto de servidores, deberá estar separada de las oficinas administrativas o
cualquier otra unidad, departamento o sala de recepción del personal, mediante una
división en la unidad de informática, recubierta de material aislante o protegido contra


•

SGSI/GRC

LA INFORMACIÓN

el fuego, Esta sala deberá ser utilizada únicamente por las estaciones prestadoras de
servicios y/o dispositivos a fines.
•

El suministro de energía eléctrica debe hacerse a través de un circuito exclusivo para los
equipos de cómputo, o en su defecto el circuito que se utilice no debe tener conectados
equipos que demandan grandes cantidades de energía.

•

El suministro de energía eléctrica debe estar debidamente polarizado, no siendo
conveniente la utilización de polarizaciones locales de tomas de corriente, sino que debe
existir una red de polarización.

•

Las instalaciones de las áreas de trabajo deben contar con una adecuada instalación
eléctrica, y proveer del suministro de energía mediante una estación de alimentación
ininterrumpida o UPS para poder proteger la información.

•

33

Las salas o instalaciones físicas de procesamiento de información deberán poseer
información en carteles, sobre accesos, alimentos o cualquier otra actividad contraria a la
seguridad de la misma o de la información que ahí se procesa.

SEGURIDAD LEGAL
CUMPLIMIENTO DE REQUISITOS LEGALES
Licenciamiento de Software

La Organización se reserva el derecho de respaldo a cualquier empleado ante cualquier
asunto legal relacionado a infracciones a las leyes de copyright o piratería de software.

•

Todo el software comercial que utilice la Organización deberá estar legalmente registrado en
los contratos de arrendamiento de software con sus respectivas licencias.

•

La adquisición de software por parte de personal que trabaje en la Organización sin el
expreso consentimiento de ella, la instalación del mismo no garantiza responsabilidad
alguna para la Organización, por ende ésta no se hace responsable de las actividades de sus
empleados.

•

Tanto el software comercial como el software libre son propiedad intelectual exclusiva de
sus desarrolladores, la Organización respeta la propiedad intelectual y se rige por el contrato
de licencia de sus autores.

•

El software comercial licenciado a la Organización es propiedad exclusiva de ésta, y la
misma se reserva el derecho de reproducción de éste sin el permiso de sus autores
respetando el esquema de cero piratería y/o distribución a terceros.

•

En caso de transferencia de software comercial a terceros, se harán las gestiones necesarias
para su efecto y se acataran las medidas de licenciamiento relacionadas con la propiedad
intelectual.


•

SGSI/GRC

LA INFORMACIÓN

•

Las responsabilidades inherentes al licenciamiento de software libre son responsabilidad
absoluta de la Organización.

•

Cualquier cambio en la política de utilización de software comercial o software libre, se hará
documentado y en base a las disposiciones de la respectiva licencia.

•

El software desarrollado internamente, por el personal que trabaja en la Organización es
propiedad exclusiva de la Organización.

•

La adquisición del software libre o comercial deberá ser gestionado con las autoridades
competentes y acatando sus disposiciones legales; en ningún momento se obtendrá
software de forma fraudulenta.

•

34

Los contratos con terceros en la gestión o prestación de un servicio deberán especificar las
medidas necesarias de seguridad, nivel de prestación del servicio, y/o el personal
involucrado en tal proceso.

Revisión de políticas de seguridad y cumplimiento técnico

Toda violación a las políticas de licenciamiento de software, será motivo de sanciones
aplicables al personal que incurra en la violación.

•

El documento de seguridad será elaborado y actualizado por la Gerencia de Seguridad de la
Información, junto al comité de seguridad, su aprobación y puesta en ejecución será
responsabilidad de la gerencia administrativa.

•

Cualquier violación a la seguridad por parte del personal que trabaja para la Organización,
así como terceros que tengan relación o alguna especie de contrato con la Organización se
harán acreedores a sanciones aplicables de ley.

Consideraciones sobre auditorias de sistemas

•

Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red en forma
semestral, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas
por personal técnico especializado o en su defecto personal capacitado en el área de
seguridad.

•

Toda auditoria a los sistemas, estará debidamente aprobada, y tendrá el sello y firma de la
Gerencia de Seguridad de la Información.

•

Cualquier acción que amerite la ejecución de una auditoria a los sistemas informáticos
deberá ser documentada y establecida su aplicabilidad y objetivos de la misma, así como
razones para su ejecución, personal involucrada en la misma y sistemas implicados.


•

SGSI/GRC

LA INFORMACIÓN

•

La auditoría no deberá modificar en ningún momento el sistema de archivos de los sistemas
implicados, en caso de haber necesidad de modificar algunos, se deberá hacer un respaldo
formal del sistema o sus archivos.

•

Las herramientas utilizadas para la auditoria deberán estar separadas de los sistemas de
producción y en ningún momento estas se quedaran al alcance de personal ajeno a la
elaboración de la auditoria.

35

Excepciones de responsabilidad

•
•
•

La Organización debe establecer con sus empleados un contrato de confidencialidad de
común acuerdo.
Toda acción debe seguir los canales de gestión necesarios para su ejecución.
El comité de seguridad proveerá la documentación necesaria para aprobar un acuerdo de
no responsabilidad por acciones que realicen dentro de la red organizacional.
Las gestiones para las excepciones de responsabilidad son acordadas bajo común acuerdo
de la Gerencia involucrada y el comité de seguridad.


•

Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (17)

Destacado

Destacado (16)

Similar a Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion

Similar a Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion (20)

Más de Fabián Descalzo

Más de Fabián Descalzo (20)

Último

Último (20)

Fabian Descalzo - Plan de aseguramiento y gobierno de la informacion