Este documento presenta las políticas de seguridad de la información de COFISOM E.I.R.L. Establece objetivos como lograr niveles adecuados de integridad, confidencialidad y disponibilidad de la información institucional. Define términos como activo estratégico, confidencialidad, integridad y disponibilidad. Asigna responsabilidades al gerente general, jefes de área y jefe de sistemas. Incluye políticas generales y específicas sobre software, seguridad física, acceso a la inform
2. Auditoria en Sistemas de Información –2013
1
ÍNDICE
I. INTRODUCCIÓN..................................................................................... 2
II. ALCANCE ............................................................................................... 2
III. OBJETIVOS............................................................................................ 3
IV. DEFINICIONES ....................................................................................... 4
V. RESPONSABILIDAD.............................................................................. 6
VI. POLITICAS GENERALES:..................................................................... 7
VII. POLITICAS Y LINEAMIENTOS ESPECIFICOS:.................................... 7
A) SOBRE LOS DERECHOS DE AUTOR, ADQUISICIÓN DE SOFTWARE Y LICENCIAS
DE USO ..................................................................................................... 7
B) SOBRE LAS MEDIDAS DE SEGURIDAD FÍSICA............................................... 10
C) SOBRE LOS BIENES INFORMÁTICOS ........................................................... 12
D) SOBRE LA SEGURIDAD LÓGICA Y CONFIDENCIALIDAD DE LA INFORMACIÓN .... 13
E) SOBRE EL ACCESO A LA BASE DE DATOS EN PRODUCCIÓN. ......................... 14
F) SOBRE EL USO DE LOS SERVICIOS DE LA RED DE DATOS INSTITUCIONAL Y LAS
CUENTAS DE LOS USUARIOS ..................................................................... 15
G) SOBRE CONEXIÓN A OTRAS REDES........................................................... 16
H) SOBRE EL DESARROLLO DE SISTEMAS Y OTROS SERVICIOS INFORMÁTICOS . 16
I) SOBRE LA SEGURIDAD A CONSIDERAR EN EL DESARROLLO DE SISTEMAS ..... 17
J) SOBRE LAS SANCIONES APLICABLES ......................................................... 19
K) SOBRE EL PERSONAL INFORMÁTICO .......................................................... 20
L) SOBRE LOS CONTRATOS CON PROVEEDORES DE BIENES O SERVICIOS
INFORMÁTICOS......................................................................................... 20
M) SOBRE EL PROCESO DE ADQUISICIÓN E IMPLEMENTACIÓN........................... 20
N) POLÍTICAS DE BACKUPS............................................................................ 20
VIII. CONSIDERACIONES ........................................................................... 21
3. Auditoria en Sistemas de Información –2013
2
INTRODUCCIÓN
En la actualidad cuando escuchamos hablar sobre seguridad, en general
nos podemos imaginar que se refiere a alguna forma de mantener seguro
algún objeto o a nosotros mismos como personas, pero existe otro tema
muy importante que viene como consecuencia del uso de las tecnologías,
deberíamos mencionar las formas en que podríamos mantener segura la
información, los equipos que la contienen y por ende las personas que
deben acceder a la información de nuestra organización.
Lo más importante con lo que cuenta una empresa es la información y
dependiendo de cuanta y de que sea la misma, es el valor que tiene.
Personas ajenas pueden entrar a la empresa, acceder a esa información,
y no podemos imaginar que intenciones tenga al salir de la empresa con
parte de nuestros datos. Es ahí en que se comienzan a hacer uso de
ciertas reglas internas que todo integrante de una empresa forzosamente
debe cumplir, ese conjunto de reglas comúnmente llamadas “políticas” se
crean por la necesidad de restringir accesos a los datos de los diversos
departamentos que una empresa pueda tener.
Sin embargo no todas las empresas están teniendo en cuenta el tema de
la seguridad en informática, quizá será porque ellos desconocen que ya
desde hace varios años atrás existen personas que pueden obtener su
información con ayuda de programas informáticos. O algunos no lo hacen
porque sus empresas son pequeños negocios y los directivos dicen:
¿Quién va a querer robarnos nuestra información? Y como no han tenido
un problema así en su empresa pues no han colocado medidas
preventivas en su organización.
4. Auditoria en Sistemas de Información –2013
3
ALCANCE
La Política General de Seguridad de la Información de la empresa
COFISOM E.I.R.L., se dicta en cumplimiento de las disposiciones legales
vigentes, con el objeto de gestionar adecuadamente la seguridad de la
información.
La presente política debe ser conocida y cumplida por todo el personal de
la empresa COFISOM E.I.R.L. (Gerente General, Administrador, Jefes de
áreas y personal).
Esta Política se aplica en todo el ámbito de la Institución, a sus recursos y
a la totalidad de los procesos, internos y externos, vinculados a la entidad.
De acuerdo a lo anterior, la información que genera y gestiona la
institución constituye un activo estratégico clave para asegurar la
continuidad del negocio, por lo que la Seguridad de la Información es una
herramienta para garantizar su integridad, disponibilidad y
confidencialidad.
OBJETIVOS
3.1. Objetivo General
Lograr niveles adecuados de integridad, confidencialidad y
disponibilidad para toda la información institucional relevante, con
el objeto de asegurar la continuidad operacional de los procesos y
servicios que desarrolla la empresa COFISOM E.I.R.L.
3.2. Objetivo Específicos
Analizar los activos, con mayor grado de riesgo potencial y el
impacto que esta pueda tener frente a la organización, con la
5. Auditoria en Sistemas de Información –2013
4
finalidad dedar cumplimiento de la confidencialidad, integridad y
disponibilidad de la información.
Establecer políticas de seguridad que permitan resguardar y
proteger los activos de información de la empresa COFISOM
E.I.R.L.
DEFINICIONES
Para efectos del presente documento, serán de aplicación las siguientes
definiciones:
4.1.Activo Estratégico:
Los activos estratégicos son aquellos que brindan una ventaja
competitiva duradera para la organización (información).
4.2. Confidencialidad:
Es la propiedad de la información, por la que se garantiza que está
accesible únicamente a personal autorizado a acceder a dicha
información.
4.3. Disponibilidad:
Es la propiedad de la información, por la que debe estar disponible en
forma organizada para los usuarios autorizados cuando sea
requerida.
4.4. Integridad:
Propiedad de la información, por la que debe ser debe ser completa,
exacta y válida.
4.5. Información:
Es un conjunto organizado de datos procesados, susceptibles de ser,
distribuida y almacenada.
6. Auditoria en Sistemas de Información –2013
5
4.6. Procesos:
Un proceso es un conjunto de actividades o eventos (coordinados u
organizados) que se realizan o suceden (alternativa o
simultáneamente) bajo ciertas circunstancias en un determinado lapso
de tiempo.
4.7. Políticas:
Son pautas generales para la acción establecidas por la
administración para la empresa. Una política bien formulada se basa
en objetivos, adhiere a verdades conocidas en la materia, es estable y
flexible.
4.8. Programa Informático:
Es un conjunto de instrucciones que una vez ejecutadas realizarán
una o varias tareas en una computadora.
4.9. Seguridad:
Se refiere a la ausencia de riesgo o también a la confianza en algo o
alguien.
4.10. Seguridad Informática:
Es la disciplina que se ocupa de diseñar las normas, procedimientos,
métodos y técnicas destinados a conseguir un sistema de información
seguro y confiable.
4.11. Tecnologías
Es el conjunto de conocimientos técnicos, ordenados científicamente,
que permiten diseñar y crear bienes y servicios que facilitan la
adaptación al medio ambiente y satisfacer tanto las necesidades
esenciales como los deseos de la humanidad.
7. Auditoria en Sistemas de Información –2013
6
RESPONSABILIDAD
El Gerente, Jefaturas de Áreas/Oficinas/Unidades Organizativas, son
responsables de la implementación de esta Política de Seguridad de la
Información dentro de sus áreas de responsabilidad, así como del
cumplimiento de dicha Política por parte de su equipo de trabajo.
La Política de Seguridad de la Información es de aplicación obligatoria
para todo el personal delaempresa COFISOM E.I.R.L., cualquiera sea su
condición laboral, el área en la cual se encuentre laborando y cualquiera
sea el nivel de las tareas que desempeñe.
El Jefe de Sistemascumplirá la función de cubrir los requerimientos de
seguridad informática establecidos para la operación, administración y
comunicación de los sistemas y recursos de tecnología de la empresa
COFISOM E.I.R.L. Por otra parte tendrá la función de efectuar las tareas
de desarrollo y mantenimiento de sistemas, siguiendo una metodología de
ciclo de vida de sistemas apropiada, y que contemple la inclusión de
medidas de seguridad en los sistemas en todas las fases, asimismo
verificará el cumplimiento de la presente Política en la gestión de todos los
contratos, acuerdos u otra documentación dela empresacon sus
empleados y con terceros.
También se encargará de revisar y proponer a la Gerencia Generalpara la
aprobación de la Política de Seguridad de la Información y las funciones
generales en materia de seguridad de la información; monitorear cambios
significativos en los riesgos que afectan a los recursos de información
frente a las amenazas más importantes; tomar conocimiento e investigar
los incidentes relativos a la seguridad; proponer iniciativas para
incrementar la seguridad de la información, de acuerdo a las
competencias y responsabilidades asignadas a cada área, así proponer
metodologías y procesos específicos relativos a seguridad de la
información; garantizar que la seguridad sea parte del proceso de
planificación de la información; evaluar y coordinar la implementación de
controles específicos de seguridad de la información para nuevos
8. Auditoria en Sistemas de Información –2013
7
sistemas o servicios; promover la difusión y apoyo a la seguridad de la
información dentro de la empresa y coordinar el proceso de administración
de la continuidad de las actividades de la institución.
También, es responsable de practicar auditorías periódicas sobre los
sistemas y actividades vinculadas con la tecnología de información,
debiendo informar sobre el cumplimiento de las especificaciones y
medidas de seguridad de la información establecidas por esta Política y
por las normas, procedimientos y prácticas que de ella surjan.
Los usuarios de la información y de los sistemas utilizados para su
procesamiento son responsables de dar a conocer, y hacer cumplir la
Política de Seguridad de la Información vigente.
POLITICAS GENERALES:
Toda persona que para el desempeño de sus funciones utilice o tenga
acceso a los bienes o servicios informáticos que ofrece la empresa
COFISOM E.I.R.L.deberá observar lo prescrito en el presente
documento. El desconocimiento del mismo, no lo exonera de las
responsabilidades asociadas con su cumplimiento.
La Unidad de Informáticavigilará que se acaten las políticas informáticas
vigentes.
POLITICAS Y LINEAMIENTOS ESPECIFICOS:
a) Sobre los Derechos de Autor, Adquisición de Software y Licencias
de Uso
DERECHO DEUSO Y ADQUISICION DE SOFTWARE
Adquirir, reproducir, transmitir y usar el software de computación
en cumplimiento con las obligaciones de tratados internacionales
y leyes de Perú.
9. Auditoria en Sistemas de Información –2013
8
Mantener sólo software legal en las computadoras y redes de
computación de la empresa COFISOM E.I.R.L.
Todas las adquisiciones de hardware que incluyen un paquete
de software serán documentadas e identificadas a la unidad de
Informática, que verificará que la Agencia tenga una licencia
apropiada para el uso de dicho paquete de software.
Ningún empleado puede usar o distribuir software que posea en
forma personal en las computadoras o redes de la organización.
Se almacenará en una ubicación segura y central todas las
licencias de softwareoriginales y documentación al recibir todo
nuevo software, incluyendo copias de tarjetas de inscripción
completas.
La unidad de Informática designara aquellos empleados
autorizados para instalar software en las computadoras de la
organización.
Ningún empleado instalará o distribuirá software si la
organización carece de la licencia apropiada del mismo.
Ningún empleado instalará ninguna actualización de software en
una computadora que no cuenta previamente con la versión
original de dicho software.
La unidad de Informática responsable de la adquisición debe
establecer y mantener un sistema de registro de las licencias del
software, información de usuario, e información de revisión.
Mantenga esta información en un lugar central, seguro.
La unidad de InformáticaAutorizará y controlará el uso de
software o programas comerciales que no requieren de licencias
de uso (freeware), o que son de prueba (shareware),
estableciendo la finalidad de su uso, periodo de utilización y
autorizaciones de fabricante.
10. Auditoria en Sistemas de Información –2013
9
DERECHOS DE LICENCIAS DE USO
Definir normas y procedimientos para el cumplimiento del
derecho de propiedad intelectual de software que defina el uso
legal de productos de información y de software.
Conservar pruebas y evidencias de propiedad de licencias,
discos maestros, manuales, etc.
Verificar que sólo se instalen productos con licencia y software
autorizado.
Elaborar y divulgar un procedimiento para el mantenimiento de
condiciones adecuadas con respecto a las licencias.
Llevar un inventariado y control de las licencias de software y el
medio en el que se encuentran, adquiridas por la empresa
COFISOM E.I.R.L. así como también se responsabilizará de su
custodia, considerando licencias individuales, en uso, software
preinstalado y corporativo.
Mediante acta de entrega de equipos y/o software, deberá
informar al usuario de las licencias y programas instalados en el
bien informático a su cargo, cuya adición de nuevos programas
en el bien informático deberá ser registrado en el documento
entregado previamente.
11. Auditoria en Sistemas de Información –2013
10
b) Sobre las Medidas de Seguridad Física
Seguridad en el perímetro físico
El perímetro de seguridad debe ser claramente definido.
El sitio donde se ubiquen los recursos informáticos debe ser
físicamente sólido, y protegido de accesos no autorizados
factores naturales, usando mecanismos de control, barreras
físicas, alarmas, barras metálicas etc.
Debe existir un área de recepción que solo permita la entrada
de personal autorizado.
Todas las salidas de emergencia en el perímetro de seguridad
deben tener alarmas sonoras y cierre automático
.
Seguridad en el control de acceso
Personal de la empresa, visitantes o terceras personas, que
ingresen a un área definida como segura por la empresa
COFISOM E.I.R.L., deberán poseer una identificación a la vista
que claramente los identifique como tal y estas identificaciones
monitoreadas.
No deberán existir señales, ni indicaciones de ningún tipo sobre
la ubicación de los centros de procesamiento en la
organización.
Seguridad de personas ajenas a la empresa
Todos los visitantes o extraños deben ser acompañados
durante su estadía en la empresa de COFISOM E.I.R.L., debido
a la existencia de información confidencial o hurto.
Equipos como videograbadoras, cámaras fotográficas,
grabadoras, sniffers, analizadores de datos, (ej: hardware
especial) etc, no debe ser permitidos su uso dentro de las
instalaciones de la empresa COFISOM E.I.R.L. a menos que
exista una autorización formal por el oficial de seguridad o
personal de seguridad.
12. Auditoria en Sistemas de Información –2013
11
Todo elemento que ingrese a SISTESEG, debe ser
inspeccionado por la compañía de seguridad rigurosamente con
el fin de identificar material peligroso y que coincida con su
respetiva autorización de ingreso.
El material entrante o saliente debe ser registrado, con el fin de
mantener el listado de inventario actualizado.
Seguridad de los equipos
En todos los centros de procesamiento, sin excepción, deberán
existir detectores de calor y humo, instalados en forma
adecuada y en número suficiente como para detectar el más
mínimo indicio de incendio. Los detectores deberán ser
probados de acuerdo a las recomendaciones del fabricante o al
menos una vez cada 6 meses y estas pruebas deberán estar
previstas en los procedimientos de mantenimiento y de control
del Manual de Seguridad Física.
Se deben tener extintores de incendios debidamente probados,
y con capacidad de detener fuego generado por equipo
eléctrico, papel o químicos especiales.
Las salas de procesamiento de la información deberán estar
ubicadas en pisos a una altura superior al nivel de la calle a fin
de evitar inundaciones.
El cableado de la red debe ser protegido de interferencias por
ejemplo usando canaletas que lo protejan.
Los equipos deben ser protegidos de fallas de potencia u otras
anomalías de tipo eléctrico. Los sistemas de abastecimiento de
potencia deben cumplir con las especificaciones de los
fabricantes de los equipos.
13. Auditoria en Sistemas de Información –2013
12
El correcto uso de UPS (Uninterruptable power suply), las
cuales se deben probar según las recomendaciones del
fabricante, de tal forma que garanticen el suficiente tiempo para
realizar las funciones de respaldo en servidores y aplicaciones.
Se deben tener interruptores eléctricos adicionales, localizados
cerca de las salidas de emergencia, para lograr un rápido
apagado de los sistemas en caso de una falla o contingencia.
Las luces de emergencia deben funcionar en caso de fallas en
la potencia eléctrica.
c) Sobre los Bienes Informáticos
BIENES TANGIBLES
Bajo ninguna circunstancia se deberá extraer ningún bien
informático fuera de las instalaciones, sin previa autorización.
Los bienes que requieran atención por motivos de fuerza mayor, se
registrará la hora y la fecha de salida y reingreso, así también, se
deberá mencionar el motivo y el personal encargado que realiza la
extracción.
Los usuarios deben proteger los bienes que están a su disposición,
para prevenir desgaste y fallos.
El uso del equipo de cómputo será destinado únicamente para
apoyar las funciones que son propias de la empresa COFISOM
E.I.R.L.; así mismo el responsable del equipo tendrá el resguardo
de todo el equipo y programas de cómputo autorizados, quien
firmará el resguardo respectivo.
Antes de retirar el bien informático sujeto a reasignar o a dar de
baja, el usuario deberá verificar que se le de formato al disco duro
del equipo que entrega, así como el borrado de los archivos en el
directorio temporal utilizado para restaurar la información al equipo
asignado.
14. Auditoria en Sistemas de Información –2013
13
Es responsabilidad del usuario a quien esté asignado el equipo de
escritorio o portátil, la información contenida en la misma.
BIENES INTANGIBLES
Los usuarios no pueden modificar el software instalado en los
equipos de cómputo.
Los usuarios no pueden realizar instalación de software que no
esté contemplado en las políticas de la empresa.
Las modificaciones de software propio y de terceros que estén
asociados a la organización serán realizadas de manera
automática, después de realizar la documentación pertinente,
dichos documentos deberán ser firmados por el Responsable del
Área.
Queda estrictamente prohibida la instalación de programas de
cómputo sin autorización por parte del personal.
El usuario deberá definir y preparar la información que se va a
respaldar incluyendo todos sus archivos y carpetas de trabajo
d) Sobre la Seguridad Lógica y Confidencialidad de la Información
La administración de los servidores debe realizarse únicamente
por el personal aprobado por el Área de Informática, a fin de
mantener consistencia con las Políticas de Seguridad.
Es necesario la utilización de sistemas de seguridad (Firewall),
para detección de intrusos y el personal encargado de la
administración del firewall deberá ser aprobado por el Área de
Informática. Dicho sistema deberá de manejar bitácoras que
registre intentos de acceso autorizados y no autorizados.
La administración de la contraseña del o los equipos de
cómputo o servidores donde residen los sistemas que se
comparten al SYSCOFISO es responsabilidad del Área de
Informática.
15. Auditoria en Sistemas de Información –2013
14
Cerciorarse de los archivos, las aplicaciones y programas que
se utilizan en la compañía se adaptan a las necesidades y se
usan de manera adecuada por los empleados.
Se otorgan los privilegios mínimos a los usuarios del sistema
informático. Es decir, sólo se conceden los privilegios que el
personal necesita para desempeñar su actividad.
Controlar que la información que entra o sale de la empresa es
íntegra y sólo está disponible para los usuarios autorizados.
Realizar chequeos de los correos electrónicos recibidos para
comprobar que no suponen una amenaza para la entidad.
e) Sobre el acceso a la Base de Datos en Producción.
Se debe contar con un DBA designado quien será el único
responsable de la creación, modificación y eliminación de
objetos de base de datos. Este podrá delegar algunas de esas
tareas a personal calificado, restringiendo los permisos
necesarios a sus cuentas de acceso a las bases de datos.
Se debe contar con mecanismos que permitan auditar las
operaciones realizadas a los objetos de la base de datos. En la
medida de lo posible, se debe contar con mecanismos que
permitan determinar al usuario, proceso y fecha de última
modificación de los registros en operaciones de tipo Insert y
Update, así como con un historial sobre las de tipo Delete.
No se deben realizar modificaciones manuales a los datos de
las bases de datos de Producción, salvo en los casos que por
errores o necesidades urgentes del usuario no haya otra
manera de solucionarse, para lo cual, invariablemente debe
16. Auditoria en Sistemas de Información –2013
15
quedar registro documentado de las acciones llevadas a cabo,
en el cual se debe manifestar la autorización de las áreas
involucradas.
Para acceder a los sistemas en los cuales se realicen
operaciones de captura, modificación o eliminación, los
sistemas deben contar con mecanismos para identificar y
autentificar al usuario que desea realizar dichas operaciones.
Este mecanismo puede implementarse mediante cuentas de
acceso o algún otro que asegure la identificación y
autentificación del usuario. No se debe programar en el código
las cuentas de acceso. Las operaciones de consulta, pudiesen
no tener dichos mecanismos si es que así lo solicita el área
requirente del sistema.
f) Sobre el Uso de los Servicios de la Red de Datos Institucional y
las Cuentas de los Usuarios
Establecer las medidas y mecanismos de control, monitoreo y
seguridad, tanto para los accesos a páginas o sitios de Internet,
como para los mensajes de correo, con contenidos u orígenes
Sospechosos.
Que las conexiones a Internet cuenten con elementos de prevención,
detección de intrusos, filtros contra virus, manejo de contenidos,
entre otros, que afectan la integridad de los
sistemas y la información institucionales.
Reducir el tráfico de mensajes, paquetes o transacciones no
permitidos, que saturan la infraestructura informática y generan
actividad innecesaria en los servidores.
17. Auditoria en Sistemas de Información –2013
16
Mejorar el rendimiento de la infraestructura, con servidores de cache,
aceleradores de servicio y accesos regionales a Internet.
Asignar la capacidad de memoria de almacenamiento a cada usuario
en función del perfil establecido y la disponibilidad del recurso en los
servidores
g) Sobre Conexión a Otras Redes
La unidad de informática tiene la responsabilidad de difundir este
reglamento para el uso de la red para su posterior cumplimiento.
La unidad de informática es el encargado de proporcionar a los
usuarios el acceso a la red y por consiguiente a los recursos
informáticos.
La unidad de informática debe verificar el uso responsable del
acceso a la red del acuerdo al reglamento.
Todo equipo de cómputo que es conectado a la red deben sujetarse
a los procedimientos de acceso.
Toda persona que requiera conectarse remotamente a algún sistema
de información deberá llenar la solicitud de acceso remoto para su
debida autorización.
Un empleado o usuario, quien se le concede el privilegio de acceso
remoto, deberá estar consciente tanto de la conexión entre su hogar
y la empresa COFISOM E.I.R.L. son extensiones de la red de la
empresa, como de la responsabilidad que esto conlleva.
Toda conexión remota debe coordinarse con el área de informática
h) Sobre el Desarrollo de Sistemas y Otros Servicios Informáticos
Todo desarrollo, invención o aplicación informática efectuada por
funcionarios o por personal externo contratado, durante el
desempeño de sus funciones, utilizando recursos institucionales,
será propiedad intelectual de la empresa COFISOM E.I.R.L. y
18. Auditoria en Sistemas de Información –2013
17
deberá ser registrada de acuerdo a la reglamentación establecida
para ello.
Todo desarrollo e implementación de sistemas informáticos deberá
estar considerado en los planes y cronogramas de trabajo de la
unidad de Informáticay se ejecutará de acuerdo a un orden de
prioridades.
Evaluar periódicamente el comportamiento de los sistemas y el nivel
de conformidad de los usuarios.
El código fuente de los programas deberán estar bajo la custodia del
Jefe unidad de Informática, para ello se debe contar con un registro
de actualizaciones.
El usuario está en la obligación de participar activamente en todas y
cada una de las etapas del proceso de desarrollo de sistemas
informáticos.
El usuario final se responsabilizará de los datos ingresados en los
sistemas o servicios informáticos que le sean provistos, asi como
también de la validación de los reportes.
i) Sobre la Seguridad a Considerar en el Desarrollo de Sistemas
Aspectos Generales de Seguridad
Para accesar a los sistemas en los cuales se realicen
operaciones de captura, modificación o eliminación, los
sistemas deben contar con mecanismos para identificar y
autentificar al usuario que desea realizar dichas operaciones.
Este mecanismo puede implementarse mediante cuentas de
acceso o algún otro que asegure la identificación y
19. Auditoria en Sistemas de Información –2013
18
autentificación del usuario. No se debe programar en el código
las cuentas de acceso.
Para sistemas clasificados como críticos, las claves de acceso
deben almacenarse de forma encriptada en la base de datos, ya
sea de forma nativa o mediante algoritmos de programación.
En los sistemas clasificados como críticos, los permisos de los
usuarios se deben estructurar en perfiles o roles, y cada cuenta
de usuario debe asociarse a un perfil, el cual permite realizar un
conjunto de operaciones predefinidas dentro del sistema.
El sistema deberá garantizar que no se pueda definir un código
de acceso operable, sin que esté asociado a los perfiles que le
correspondan.
Aspectos que debe Incluir el Modulo de Administración de la
Seguridad en los Sistemas
Todo sistema deberá contar con un modulo de seguridad que
integre las siguientes funcionalidades:
o Permitir el acceso a las funcionalidades del modulo de
seguridad, solamente al personal registrado con el perfil de
administrador de sistemas.
o Proveer una contraseña inicial, asociada al código de acceso,
que no se pueda identificar o predecir con facilidad.
o Permitir cambiar la contraseña del administrador del módulo
de seguridad.
o Deberá obligar al usuario a cambiar su contraseña, la primera
vez que ingresa al sistema, de manera que no pueda acceder
a ninguna funcionalidad sin haber completado este paso.
20. Auditoria en Sistemas de Información –2013
19
o Deberá permitir a los usuarios el cambio de contraseña o
provocar que el usuario tenga que realizar este cambio,
cuando considere necesario o conveniente.
o Deberá permitir asociar o desasociar perfiles de usuario, por
parte del administrador del sistema, sin requerir cambiar el
código de acceso.
o El usuario deberá registrarse y utilizar la contraseña en forma
encriptada.
o No deberá permitir el acceso simultáneo de un usuario a dos
o más estaciones de trabajo.
o No deberá permitir reutilizar la misma contraseña en un
periodo mínimo de un 6 meses.
j) Sobre las Sanciones Aplicables
Cualquier violación a las políticas y normas de seguridad serán
sancionadas de acuerdo a reglamento emitido por el departamento
informático. Las sanciones serán evaluadas de acuerdo a ello se
valoraran si es una sanción es leve, moderado o grave.
Las sanciones leves pueden ser desde una llamada de atención o
informar al usuario la suspensión del servicio dependiendo de la
gravedad de la falta.
Constituyen sanciones moderadas aquellas faltas como la incorrecta
utilización de los recursos informáticos que perjudiquen el proceso
normal de la automatización de la información la cual será
sancionada mediante una multa S/. 300.00 a más según la gravedad.
Constituyen sanciones graves aquellas faltas como hurto de
información, divulgación, perjuicios premeditados que perjudiquen
21. Auditoria en Sistemas de Información –2013
20
seriamente a la organización cuya sanción será el retiro y
posteriormente una demanda ante las instituciones correspondientes.
k) Sobre el Personal Informático
Se debe mantener el registro de acceso del personal autorizado y
de ingresos con el objeto de facilitar procesos de investigación.
Como mecanismo de prevención todos los empleados y visitantes
no deben comer, fumar o beber en el centro de cómputo o
instalaciones con equipos tecnológicos, al hacerlo estarían
exponiendo los equipos a daños eléctricos como a riesgos de
contaminación sobre los dispositivos de almacenamiento.
l) Sobre los Contratos con Proveedores de Bienes o Servicios
Informáticos
De Aplicación por Parte del Administrador de Sistemas
Informáticos
El jefe de la unidad de Informática estipulara que: de haber contratado
dentro del calendario establecido y en los casos que sean necesarios,
autorizará cambios en las fechas.
m) Sobre el Proceso de Adquisición e Implementación
La empresa COFISOM E.I.R.L. debe contar en todo momento con
un inventario actualizado del software de su propiedad, el
comprado a terceros o desarrollado internamente, el adquirido bajo
licenciamiento, el entregado y el recibido como datos. Las licencias
se almacenarán bajo los adecuados niveles de seguridad e
incluidas en un sistema de administración, efectuando continuos
muestreos para garantizar la consistencia de la información allí
almacenada. Igualmente, todo el software y la documentación del
22. Auditoria en Sistemas de Información –2013
21
mismo que posea la Entidad incluirán avisos de derechos de autor
y propiedad intelectual.
La empresa COFISOM E.I.R.L deberá tener una metodología
formal para el proceso de adquisición de software de misión crítica
o prioritaria a través de terceros que incluya un contrato proforma
con cláusulas básicas para la protección de la información y del
software, así como para la documentación y los respaldos, que
protejan los intereses institucionales frente a las cláusulas
entregadas por el vendedor.
Cuando se adquiera una licencia de uso de software, a través de
un proveedor o la contratación de software a la medida, el
vendedor depositará en custodia en una empresa especializada
una copia del software adquirido y su documentación técnica
respectiva y sus correspondientes actualizaciones. Igualmente
dejará una autorización por escrito para que la Entidad los pueda
retirar, cuando por motivos de fuerza mayor el vendedor deje de
existir en el mercado.
El contrato de adquisición deberá contar con los entregables del
software incluido el código fuente del programa.
n) Políticas de Backups
Las copias de seguridad de la base de datos en el servidor se
realizarán todos los días, esta regla se debe cumplir
obligatoriamente al finalizar el día laboral dentro de la empresa
COFISOM EI.R.L.
La copia de seguridad de los códigos fuentes de los aplicativos se
respaldarán cada vez que se realicen actualizaciones e
implementaciones de cada aplicativo.
La copia de seguridad de archivos de ofimática se realizarán según
el criterio del usuario, recomendable cada vez que realice
significativas modificaciones de archivos de forma obligatoria
deben realizar esta copia de seguridad mensualmente y deben ser
entregados al departamento informático.
23. Auditoria en Sistemas de Información –2013
22
Para la información contenida en las computadoras personales los
medios para guardar la copia de seguridad pueden ser cintas
magnéticas o medios ópticos DVD de marcas reconocidas, según
la naturaleza de la información.
Las unidades de almacenamiento de respaldo serán verificados
semanalmente para comprobar su correcto estado y de ser
necesario se cambiará de acuerdo a la tecnología de
almacenamiento vigente.
Los backups de los sistemas de computación y redes deben ser
almacenados en una zona de fuego diferente de donde reside la
información original.
Consideraciones
COFISOM EI.R.L. maneja información importante dentro de los
cuales debe ser protegida, sin importar como este guardada o
como este digitada o donde este almacenada.
Los empleados deben estar en constante capacitación y estar
pendiente de las nuevas tendencias que ofrece las tecnologías
porque las concientización hacia los empleados es indispensable.
Deben tener en conocimiento de las políticas de seguridad todo
aquel trabajador que es antiguo o nuevo en la organización.