Oficina Nacional de Tecnolog�as de Informaci�n
ADMINISTRACION PUBLICA NACIONAL
Disposici�n 3/2013
Apru�base la “Pol�tica de Seguridad de la Informaci�n Modelo”.
Bs. As., 27/8/2013
VISTO el Expediente CUDAP: EXP-JGM: 50449/2011 del Registro de la
JEFATURA DE GABINETE DE MINISTROS, el Decreto N� 378 del 27 de abril de
2005, la Decisi�n Administrativa N� 669 del 20 de diciembre de 2004 de
la JEFATURA DE GABINETE DE MINISTROS, la Resoluci�n N� 45 de fecha 24
de junio de 2005 de la entonces SUBSECRETARIA DE LA GESTION PUBLICA, la
Disposici�n N� 6 de fecha 8 de agosto de 2005 de la OFICINA DE
TECNOLOGIAS DE INFORMACION, y
CONSIDERANDO:
Que el Decreto N� 378/05 aprob� los Lineamientos Estrat�gicos que
deber�n regir el Plan Nacional de Gobierno Electr�nico y los Planes
Sectoriales de Gobierno Electr�nico de los Organismos de la
ADMINISTRACION PUBLICA NACIONAL a fin de promover el empleo eficiente y
coordinado de los recursos de las Tecnolog�as de la Informaci�n y las
Comunicaciones.
Que la Decisi�n Administrativa N� 669/04 de la JEFATURA DE GABINETE DE
MINISTROS estableci� en su art�culo 1� que los organismos del Sector
P�blico Nacional comprendidos en el art�culo 7� de la citada medida
deber�n dictar o bien adecuar sus pol�ticas de seguridad de la
informaci�n conforme a la Pol�tica de Seguridad Modelo a dictarse
dentro del plazo de CIENTO OCHENTA (180) d�as de aprobada dicha
Pol�tica de Seguridad Modelo.
Que el art�culo 8� de la mencionada Decisi�n Administrativa, facult� al
entonces se�or SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE
GABINETE DE MINISTROS a aprobar la Pol�tica de Seguridad Modelo y a
dictar las normas aclaratorias y complementarias de la citada medida,
pudiendo dicha autoridad delegar en el DIRECTOR NACIONAL DE LA OFICINA
NACIONAL DE TECNOLOGIAS DE INFORMACION las facultades aludidas.
Que consecuentemente el art�culo 1� de la Resoluci�n de la ex
SUBSECRETARIA DE GESTION PUBLICA N� 45/05 de la JEFATURA DE GABINETE DE
MINISTROS facult� al se�or DIRECTOR NACIONAL de la OFICINA NACIONAL DE
TECNOLOGIAS DE INFORMACION a aprobar la Pol�tica de Seguridad de la
Informaci�n Modelo y dictar las normas aclaratorias y complementarias
que requiera la aplicaci�n de la Decisi�n Administrativa JGM N�
669/2004.
Que la Disposici�n N� 6/05 de la OFICINA NACIONAL DE TECNOLOGIAS DE
INFORMACION de la SUBSECRETARIA DE TECNOLOGIAS DE GESTION de la
SECRETARIA DE GABINETE Y COORDINACION ADMINISTRATIVA de la JEFATURA DE
GABINETE DE MINISTROS en su art�culo 1� aprob� la “Pol�tica de
Seguridad de la Informaci�n Modelo” ordenada por la Decisi�n
Administrativa JGM N� 669/04, y que sirve como base para la elaboraci�n
de las respectivas pol�ticas a dictarse por cada organismo alcanzado
por la citada norma.
Que atento al incremento en cantidad y variedad de amenazas y
vulnerabilidades que rodean a los activos de informaci�n, la “Pol�tica
de Seguridad Modelo” oportunamente aprobada requiere ser actualizada a
fin de mantener su vigencia y nivel de eficacia.
Que la mera elaboraci�n por parte de los organismos de pol�ticas de
seguridad no es suficiente para garantizar la seguridad de la
informaci�n, la que permite a su vez, garantizar la prestaci�n continua
e ininterrumpida de los diversos servicios p�blicos prestados por
dichos organismos.
Que s�lo a trav�s de la efectiva implementaci�n de las medidas
contempladas en dichas pol�ticas se podr� proteger acabadamente los
recursos de informaci�n de los organismos como as� tambi�n la
tecnolog�a utilizada para su procesamiento.
Que ha tomado la intervenci�n de su competencia la DIRECCION GENERAL DE
ASUNTOS JURIDICOS de la SUBSECRETARIA DE COORDINACION ADMINISTRATIVA de
la SECRETARIA DE GABINETE y COORDINACION ADMINISTRATIVA de la JEFATURA
DE GABINETE DE MINISTROS.
Que la presente medida se dicta en ejercicio de las facultades
conferidas por el art�culo 1� de la Resoluci�n de la ex SUBSECRETARIA
DE GESTION PUBLICA N� 45/05.
Por ello,
EL DIRECTOR NACIONAL DE LA OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION
DISPONE:
Art�culo 1� — Apru�base la
“Pol�tica de Seguridad de la Informaci�n Modelo”, que reemplaza a los
mismos fines a la aprobada por Disposici�n ONTI N� 6/2005, que como
Anexo I forma parte integrante de la presente.
Art. 2� — Las disposiciones de
la Pol�tica de Seguridad de la Informaci�n Modelo servir�n como base
para la elaboraci�n de las respectivas pol�ticas a dictarse por cada
organismo alcanzado por la Decisi�n Administrativa N� 669/2004,
debiendo ser interpretada como un compendio de mejores pr�cticas en
materia de seguridad de la informaci�n para las entidades, p�blicas y
adaptada a la realidad y recursos de cada organismo.
Art. 3� — Las funciones a las
que hace alusi�n la Pol�tica de Seguridad Modelo deber�n ser asignadas
de acuerdo a las particularidades y operatoria de cada organismo. Dicha
asignaci�n deber� realizarse evit�ndose la duplicaci�n de tareas y
asegurando la segregaci�n de funciones incompatibles siempre que sea
posible, o bien mediante la implementaci�n de controles para mitigar
dicho riesgo.
Art. 4� — Comun�quese, publ�quese, d�se a la Direcci�n Nacional del Registro Oficial y arch�vese. — Pedro Janices.
ANEXO I
Pol�tica de
Seguridad de la Informaci�n
Modelo
INDICE
Tabla de contenido
1 Introducci�n
1.1 Alcance
1.2 Qu� es seguridad de la informaci�n
1.3 �Por qu� es necesario
1.4 Requerimientos de seguridad
1.5 Evaluaci�n de los riesgos de seguridad
1.6 Selecci�n de controles
1.7 �C�mo empezar
1.8 Factores cr�ticos de �xito
2 T�rminos y Definiciones
2.1 Seguridad de la Informaci�n
2.2 Evaluaci�n de Riesgos
2.2 Tratamiento de Riesgos
2.3 Gesti�n de Riesgos
2.4 Comit� de Seguridad de la Informaci�n
2.5 Responsable de Seguridad de la Informaci�n
2.6 Incidente de Seguridad
2.8 Riesgo
2.9 Amenaza
2.10 Vulnerabilidad
2.11 Control
3. Estructura de la pol�tica Modelo
4. Evaluaci�n y tratamiento de riesgos
4.1 Evaluaci�n de los riesgos de seguridad
4.2 Tratamiento de riesgos de seguridad
5. Cl�usula: Pol�tica de Seguridad de la Informaci�n
5.1 Categor�a: Pol�tica de Seguridad de la informaci�n
5.1.1 Control: Documento de la pol�tica de seguridad de la informaci�n
5-1-2 Control: Revisi�n de la pol�tica de seguridad de la informaci�n
6. Cl�usula: Organizaci�n
6.1 Categor�a: Organizaci�n interna
6.1.1 Control: Compromiso de la direcci�n con la seguridad de la informaci�n
6-1-2 Control: Coordinaci�n de la seguridad de la informaci�n
6-1-3 Control: Asignaci�n de responsabilidades de la seguridad de la informaci�n
6-1-4 Control: Autorizaci�n para Instalaciones de Procesamiento de Informaci�n
6-1-5 Control: Acuerdos de confidencialidad
6-1-6 Control: Contacto con otros organismos
6-1-7 Control: Contacto con grupos de inter�s especial
6-1-8 Control: Revisi�n independiente de la seguridad de la informaci�n
6.2 Categor�a: Grupos o personas externas
6.2.1 Control: Identificaci�n de los riesgos relacionados con grupos externos
6-2-2 Control: Puntos de seguridad de la informaci�n a considerar en Contratos o Acuerdos con terceros
6-2-3 Control: Puntos de Seguridad de la Informaci�n a ser considerados en acuerdos con terceros
7. Cl�usula: Gesti�n de Activos
7.1 Categor�a: Responsabilidad sobre los activos
7.1.1 Control: Inventario de activos
7.1.2 Control: Propiedad de los activos
7.1.3 Control: Uso aceptable de los activos
7.2 Categor�a: Clasificaci�n de la informaci�n
7.2.1 Control: Directrices de clasificaci�n
7.2.2 Control: Etiquetado y manipulado de la informaci�n
8. Cl�usula: Recursos Humanos
8.1 Categor�a: Antes del empleo
8.1.1 Control: Funciones y responsabilidades
8.1.2 Control: Investigaci�n de antecedentes
8.1.3 Control: T�rminos y condiciones de contrataci�n
8.2 Categor�a: Durante el empleo
8.2.1 Control: Responsabilidad de la direcci�n
8.2.2 Control: Concientizaci�n, formaci�n y capacitaci�n en seguridad de la informaci�n
8.2.3 Control: Proceso disciplinario
8.3 Categor�a: Cese del empleo o cambio de puesto de trabajo
8.3.1 Control: Responsabilidad del cese o cambio
8.3.2 Control: Devoluci�n de activos
8.3.3 Control: Retiro de los derechos de acceso
9. Cl�usula: F�sica y Ambiental
9.1 Categor�a: Areas Seguras
9.1.1 Control: Per�metro de seguridad f�sica
9.1.2 Control: Controles f�sicos de entrada
9.1.3 Control: Seguridad de oficinas, despachos, instalaciones
9.1.4 Control: Protecci�n contra amenazas externas y de origen ambiental
9.1.5 Control: Trabajo en �reas seguras
9.1.6 Control: Areas de acceso p�blico, de carga y descarga
9.2 Categor�a: Seguridad de los equipos
9.2.1 Control: emplazamiento y protecci�n de equipos
9.2.2 Control: Instalaciones de suministro
9.2.3 Control: Seguridad del cableado
9.2.4 Control: Mantenimiento de los equipos
9.2.5 Control: Seguridad de los equipos fuera de las instalaciones
9.2.6 Control: Reutilizaci�n o retiro seguro de equipos
9.2.7 Control: Retirada de materiales propiedad de la empresa
9.2.8 Pol�ticas de Escritorios y Pantallas Limpias
10. Cl�usula: Gesti�n de Comunicaciones y Operaciones
10.1 Categor�a: Procedimientos y Responsabilidades Operativas
10.1.1 Control: Documentaci�n de los Procedimientos Operativos
10.1.2 Control: Cambios en las Operaciones
10.1.3 Control: Separaci�n de Funciones
10.1.4 Control: Separaci�n entre Instalaciones de Desarrollo e Instalaciones Operativas
10.2 Categor�a: Gesti�n de Provisi�n de Servicios
10.2.1 Control: Provisi�n de servicio
10.2.2 Control: Seguimiento y revisi�n de los servicios de las terceras partes
10.2.3 Control: Gesti�n del cambio de los servicios de terceras partes
10.3 Categor�a: Planificaci�n y Aprobaci�n de Sistemas
10.3.1 Control: Planificaci�n de la Capacidad
10.3.2 Control: Aprobaci�n del Sistema
10.4 Categor�a: Protecci�n Contra C�digo Malicioso
10.4.1 Control: C�digo Malicioso
10.4.2 Control: C�digo M�vil
10.5 Categor�a: Respaldo o Back-up
10.5.1 Control: Resguardo de la Informaci�n
10.5.2 Control: Registro de Actividades del Personal Operativo
10.5.3 Control: Registro de Fallas
10.6 Categor�a: Gesti�n de la Red
10.6.1 Control: Redes
10.7 Categor�a: Administraci�n y Seguridad de los medios de almacenamiento
10.7.1 Control: Administraci�n de Medios Inform�ticos Removibles
10.7.2 Control: Eliminaci�n de Medios de Informaci�n
10.7.3 Control: Procedimientos de Manejo de la Informaci�n
10.7.4 Control: Seguridad de la Documentaci�n del Sistema
10.8 Categor�a: Intercambios de Informaci�n y Software
10.8.1 Control: Procedimientos y controles de intercambio de la informaci�n
10.8.2 Control: Acuerdos de Intercambio de Informaci�n y Software
10.8.3 Control: Seguridad de los Medios en Tr�nsito
10.8.4 Control: Seguridad de los la Mensajer�a
10.8.5 Control: Seguridad del Gobierno Electr�nico
10.9 Categor�a: Seguridad del Correo Electr�nico
10.9.1 Control: Riesgos de Seguridad
10.9.2 Control: Pol�tica de Correo Electr�nico
10.9.3 Control: Seguridad de los Sistemas Electr�nicos de Oficina
10.9.4 Control: Sistemas de Acceso P�blico
10.9.5 Control: Otras Formas de Intercambio de Informaci�n
10.10 Categor�a: Seguimiento y control
10.10.1 Control: Registro de auditor�a
10.10.2 Control: Protecci�n de los registros
10.10.3 Control: Registro de actividad de administrador y operador
10.10.4 Control: Sincronizaci�n de Relojes
11. Cl�usula: Gesti�n de Accesos
11.1 Categor�a: Requerimientos para el Control de Acceso
11.1.1 Control: Pol�tica de Control de Accesos
11.1.2 Control: Reglas de Control de Acceso
11.2 Categor�a: Administraci�n de Accesos de Usuarios
11.2.1 Control: Registraci�n de Usuarios
11.2.2 Control: Gesti�n de Privilegios
11.2.3 Control: Gesti�n de Contrase�as de Usuario
11.2.4 Control: Administraci�n de Contrase�as Cr�ticas
11.2.5 Revisi�n de Derechos de Acceso de Usuarios
11.3 Categor�a: Responsabilidades del Usuario
11.3.1 Control: Uso de Contrase�as
11.3.2 Control: Equipos Desatendidos en Areas de Usuarios
11.4 Categor�a: Control de Acceso a la Red
11.4.1 Control: Pol�tica de Utilizaci�n de los Servicios de Red
11.4.2 Control: Camino Forzado
11.4.3 Control: Autenticaci�n de Usuarios para Conexiones Externas
11.4.4 Control: Autenticaci�n de Nodos
11.4.5 Control: Protecci�n de los Puertos (Ports) de Diagn�stico Remoto
11.4.6 Control: Subdivisi�n de Redes
11.4.7 Control: Acceso a Internet
11.4.8 Control: Conexi�n a la Red
11.4.9 Control: Ruteo de Red
11.4.10 Control: Seguridad de los Servicios de Red
11.5 Categor�a: Control de Acceso al Sistema Operativo
11.5.1 Control: Identificaci�n Autom�tica de Terminales
11.5.2 Control: Procedimientos de Conexi�n de Terminales
11.5.3 Control: Identificaci�n y Autenticaci�n de los Usuarios
11.5.4 Control: Sistema de Administraci�n de Contrase�as
11.5.5 Control: Uso de Utilitarios de Sistema
11.5.6 Control: Alarmas Silenciosas para la Protecci�n de los Usuarios
11.5.7 Control: Desconexi�n de Terminales por Tiempo Muerto
11.5.8 Control: Limitaci�n del Horario de Conexi�n
11.6 Categor�a: Control de Acceso a las Aplicaciones
11.6.1 Control: Restricci�n del Acceso a la Informaci�n
11.6.2 Control: Aislamiento de los Sistemas Sensibles
11.7 Categor�a: Monitoreo del Acceso y Uso de los Sistemas
11.7.1 Control: Registro de Eventos
11.7.2 Control: Procedimientos y Areas de Riesgo
11.8 Categor�a: Dispositivos M�viles y Trabajo Remoto
11.8.1 Control: Computaci�n M�vil
11.8.2 Control: Trabajo Remoto
12. Cl�usula: Adquisici�n, desarrollo y mantenimiento de sistemas
12.1 Categor�a: Requerimientos de Seguridad de los Sistemas
12.1.1 Control: An�lisis y Especificaciones de los Requerimientos de seguridad
12.2 Categor�a: Seguridad en los Sistemas de Aplicaci�n
12.2.1 Validaci�n de Datos de Entrada
12.2.2 Control: Controles de Procesamiento Interno
12.2.3 Control: Autenticaci�n de Mensajes
12.2.4 Control: Validaci�n de Datos de Salidas
12.3 Categor�a: Controles Criptogr�ficos
12.3.1 Control: Pol�tica de Utilizaci�n de Controles Criptogr�ficos
12.3.2 Control: Cifrado
12.3.4 Control: Firma Digital
12.3.5 Control: Servicios de No Repudio
12.3.6 Control: Protecci�n de claves criptogr�ficas
12.3.7 Control: Protecci�n de Claves criptogr�ficas: Normas y procedimientos
12.4 Categor�a: Seguridad de los Archivos del Sistema
12.4.1 Control: Software Operativo
12.4.2 Control: Protecci�n de los Datos de Prueba del Sistema
12.4.3 Control: Cambios a Datos Operativos
12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes
12.5 Categor�a: Seguridad de los Procesos de Desarrollo y Soporte
12.5.1 Control Procedimiento de Control de Cambios
12.5.2 Control: Revisi�n T�cnica de los Cambios en el sistema Operativo
12.5.3 control: Restricci�n del Cambio de Paquetes de Software
12.5.4 Control: Canales Ocultos y C�digo Malicioso
12.5.6 Control: Desarrollo Externo de Software
12.6 Categor�a: Gesti�n de vulnerabilidades t�cnicas
12.6.1 Control: Vulnerabilidades t�cnicas
13. Cl�usula: Gesti�n de Incidentes de Seguridad
13.1 Categor�a: Informe de los eventos y debilidades de la seguridad
13.1.1 Reporte de los eventos de la seguridad de informaci�n
13.1.2 Reporte de las debilidades de la seguridad
13.1.3 Comunicaci�n de Anomal�as del Software
13.2 Categor�a: Gesti�n de los Incidentes y mejoras de la seguridad
13.2.1 Control: Responsabilidades y procedimientos
13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la informaci�n
13.2.3 Procesos Disciplinarios
14. Cl�usula: Gesti�n de la Continuidad
14.1 Categor�a: Gesti�n de continuidad del Organismo
14.1.1 Control: Proceso de Administraci�n de la continuidad del Organismo
14.1.2 Control: Continuidad de las Actividades y An�lisis de los impactos
14.1.3 Control: Elaboraci�n e implementaci�n de os planes de continuidad de las Actividades del Organismo
14.1.4 Control: Marco para la Planificaci�n de la continuidad de las Actividades del Organismo
14.1.5 Control: Ensayo, Mantenimiento y Reevaluaci�n de los Planes de continuidad del Organismo
15. Cl�usula: Cumplimiento
15.1 Categor�a: Cumplimiento de Requisitos Legales
15.1.1 Control: Identificaci�n de la Legislaci�n Aplicable
15.1.2 Control: Derechos de Propiedad Intelectual
15.1.3 Control: Protecci�n de los Registros del Organismo
15.1.3 Control: Protecci�n de Datos y Privacidad de la Informaci�n Personal
15.1.4 Control: Prevenci�n del Uso Inadecuado de los Recursos de Procesamiento de Informaci�n
15.1.6 Regulaci�n de Controles para el Uso de Criptograf�a
15.1.7 Recolecci�n de Evidencia
15.1.8 Delitos Inform�ticos
15.2 Categor�a: Revisiones de la Pol�tica de Seguridad y la Compatibilidad
15.2.1 Control: Cumplimiento de la Pol�tica de Seguridad
15.2.2 Verificaci�n de la Compatibilidad T�cnica
15.3 Consideraciones de Auditor�as de Sistemas
15.3.1 Controles de Auditor�a de Sistemas
15.3.2 Protecci�n de los Elementos Utilizados por la Auditor�a de Sistemas
15.3.3 Sanciones Previstas por Incumplimiento
1 Introducci�n
En diciembre de 2004, la DA N� 669/2004 de la Jefatura de Gabinete de
Ministros estableci� la obligatoriedad para los organismos del Sector
P�blico Nacional (comprendidos en los incisos a) y c) del art�culo 8�
de la Ley N� 24.156 y sus modificatorias) de:
• Dictar una pol�tica de Seguridad de la Informaci�n conforme la
Pol�tica de Seguridad Modelo, o adecuar sus Pol�ticas de Seguridad
conforme al Modelo aprobado.
• Conformar un Comit� de Seguridad en la Informaci�n.
• Designar un coordinador del Comit� de Seguridad de la Informaci�n.
• Establecer las funciones del Comit� de Seguridad de la Informaci�n.
En 2005 mediante la Disposici�n N� 6/2005 de la Oficina Nacional de
Tecnolog�as de Informaci�n se aprueba la primera “Pol�tica de Seguridad
de la Informaci�n Modelo” y en septiembre del 2011 se procedi� a
realizar la actualizaci�n de aquel Modelo, en base a las
actualizaciones sufridas por la norma ISO/IEC 27002 y la incorporaci�n
de temas como los que se mencionan a continuaci�n:
Los aspectos clave de esta actualizaci�n son:
Fundamentales
• Compromiso y apoyo de la Direcci�n de la organizaci�n.
• Definici�n clara de un alcance apropiado.
• concientizaci�n y formaci�n del personal.
• Evaluaci�n de riesgos exhaustiva y adecuada a la organizaci�n.
• Compromiso de mejora continua.
• Establecimiento de pol�ticas y normas.
• Organizaci�n y comunicaci�n.
• Inclusi�n de la cl�usula o dominio gesti�n de incidentes de seguridad
Factores cr�ticos de �xito
• La concientizaci�n del empleado por la seguridad. Principal objetivo a conseguir.
• Realizaci�n de comit�s de direcci�n con descubrimiento continuo de no conformidades o acciones de mejora.
• Creaci�n de un sistema de gesti�n de incidentes que recoja
notificaciones continuas por parte de los usuarios (los incidentes de
seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el
programa de protecci�n requiere el soporte de la organizaci�n para
tener �xito.
• La seguridad debe ser inherente a los procesos de informaci�n y de la organizaci�n.
Riesgos
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comit�s de direcci�n.
• Delegaci�n de todas las responsabilidades en departamentos t�cnicos.
• No asumir que la seguridad de la informaci�n es inherente a los procesos de la organizaci�n.
• Planes de formaci�n y concientizaci�n inadecuados.
• Definici�n poco clara del alcance.
• Exceso de medidas t�cnicas en detrimento de la formaci�n, concientizaci�n y medidas de tipo organizativo.
• Falta de comunicaci�n de los progresos al personal de la organizaci�n.
Se hace saber que queda expresamente
prohibido el uso para fines comerciales del presente documento.
Asimismo, las personas autorizadas para usar la “Pol�tica Modelo”
podr�n copiarla, modificarla y reproducirla �nicamente para aquellos
fines a los cuales est� destinada.
El presente modelo podr� sufrir modificaciones futuras, de acuerdo a
las novedades que se registren en la materia que trata, las cuales
ser�n debidamente aprobadas y comunicadas.
1.1 Alcance
La presente Pol�tica de Seguridad de la Informaci�n se dicta en
cumplimiento de las disposiciones legales vigentes, con el objeto de
gestionar adecuadamente la seguridad de la informaci�n, los sistemas
inform�ticos y el ambiente tecnol�gico del Organismo.
Debe ser conocida y cumplida por toda la planta de personal del
Organismo, tanto se trate de funcionarios pol�ticos como t�cnicos, y
sea cual fuere su nivel jer�rquico y su situaci�n de revista.
1.2 Qu� es seguridad de la informaci�n
La informaci�n es un activo que, como otros activos importantes, es
esencial y en consecuencia necesita ser protegido adecuadamente.
La informaci�n puede existir en muchas formas. Puede estar impresa o
escrita en un papel, almacenada electr�nicamente, transmitida por
correo o utilizando medios electr�nicos, mostrada en pel�culas o
hablada en una conversaci�n. Cualquiera que sea la forma que tome la
informaci�n, o medio por el cual sea almacenada o compartida, siempre
debiera estar apropiadamente protegida.
La seguridad de la informaci�n es la protecci�n de la informaci�n de un
rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo de la operaci�n y la operaci�n normal del
organismo.
La seguridad de la informaci�n se logra implementando un adecuado
conjunto de controles; incluyendo pol�ticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware. Se
necesitan establecer, implementar, monitorear, revisar y mejorar estos
controles cuando sea necesario para asegurar que se cumplan los
objetivos de seguridad y comerciales espec�ficos. Esto se debiera
realizar en conjunci�n con otros procesos de gesti�n del organismo.
1.3 �Por qu� es necesario
La informaci�n y los procesos, sistemas y redes de apoyo son activos
importantes. Definir, lograr, mantener y mejorar la seguridad de la
informaci�n puede ser esencial para mantener una eficacia en la
operaci�n de las actividades del organismo, observancia legal e imagen.
Las organizaciones y sus sistemas y redes de informaci�n enfrentan
amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude
por computadora, espionaje, sabotaje, vandalismo, fuego o inundaci�n.
Las causas de da�o como c�digo malicioso, pirateo computarizado o
negaci�n de ataques de servicio se hacen cada vez m�s comunes, m�s
ambiciosas y cada vez m�s sofisticadas.
La seguridad de la informaci�n es importante tanto para negocios del
sector p�blico como privado, y para proteger las infraestructuras
cr�ticas. En ambos sectores, la seguridad de la informaci�n funcionar�
como un facilitador; por ejemplo para lograr e-gobierno o e-negocio,
para evitar o reducir los riesgos relevantes. La interconexi�n de redes
p�blicas y privadas y el intercambio de fuentes de informaci�n
incrementan la dificultad de lograr un control del acceso. La tendencia
a la computaci�n distribuida tambi�n ha debilitado la efectividad de un
control central y especializado.
Muchos sistemas de informaci�n no han sido dise�ados para ser seguros.
La seguridad que se puede lograr a trav�s de medios t�cnicos es
limitada, y debiera ser apoyada por la gesti�n y los procedimientos
adecuados. Identificar qu� controles establecer requiere de un
planeamiento cuidadoso y prestar atenci�n a los detalles. La gesti�n de
la seguridad de la informaci�n requiere, como m�nimo, la participaci�n
de los diferentes grupos de inter�s, proveedores, terceros, clientes u
otros grupos externos. Tambi�n se puede requerir asesor�a especializada
de organizaciones externas.
1.4 Requerimientos de seguridad
Todo comienza con identificar los requerimientos de seguridad. Existen
tres fuentes principales de requerimientos de seguridad, Una fuente se
deriva de evaluar los riesgos para la organizaci�n, tomando en cuenta
la estrategia general y los objetivos del organismo.
A trav�s de la evaluaci�n del riesgo, se identifican las amenazas para
los activos, se eval�a la vulnerabilidad y la probabilidad de
ocurrencia y se calcula el impacto potencial.
Otra fuente son los requerimientos legales, reguladores, estatutarios y
contractuales que tienen que satisfacer una organizaci�n, sus socios
comerciales, contratistas y proveedores de servicio; y su ambiente
socio-cultural.
Otra fuente es el conjunto particular de principios, objetivos y
requerimientos funcionales para el procesamiento de la informaci�n que
una organizaci�n ha desarrollado para sostener sus operaciones.
1.5 Evaluaci�n de los riesgos de seguridad
Los requerimientos de seguridad se identifican mediante una evaluaci�n
met�dica de los riesgos de seguridad. El gasto en controles debiera ser
equilibrado con el da�o operacional probable resultado de fallas en la
seguridad.
Los resultados de la evaluaci�n del riesgo ayudar�n a guiar y
determinar la acci�n de gesti�n apropiada y las prioridades para
manejar los riesgos de seguridad de la informaci�n, e implementar los
controles seleccionados para protegerse contra esos riesgos.
La evaluaci�n del riesgo se debiera repetir peri�dicamente para tratar
cualquier cambio que podr�a influir en los resultados de la evaluaci�n
del riesgo.
Se puede encontrar m�s informaci�n de la evaluaci�n de los riesgos de
seguridad en la cl�usula 4.1 “Evaluando los riesgos de la seguridad”.
1.6 Selecci�n de controles
Una vez que se han identificado los requerimientos y los riesgos de
seguridad y se han tomado las decisiones para el tratamiento de los
riesgos, se debieran seleccionar los controles apropiados y se debieran
implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.
La selecci�n de los controles de seguridad depende de las decisiones
organizacionales basadas en el criterio de aceptaci�n del riesgo,
opciones de tratamiento del riesgo y el enfoque general para la gesti�n
del riesgo aplicado a la organizaci�n, y tambi�n debieran estar sujetas
a todas las regulaciones y legislaci�n nacionales e internacionales
aplicables.
1.7 �C�mo empezar
Se pueden considerar un n�mero de controles como un buen punto de
inicio para la implementaci�n de la seguridad de la informaci�n. Estos
se basan en requerimientos legales esenciales o pueden ser considerados
como una pr�ctica com�n para la seguridad de la informaci�n.
Los controles considerados como esenciales para una organizaci�n desde
el punto de vista legislativo incluyen, dependiendo de la legislaci�n
aplicable:
a) protecci�n de datos y privacidad de la informaci�n personal
b) protecci�n de los registros organizacionales
c) derechos de propiedad intelectual
Los controles considerados pr�ctica com�n para la seguridad de la informaci�n incluyen:
a) documento de la pol�tica de seguridad de la informaci�n
b) asignaci�n de responsabilidades de la seguridad de la informaci�n
c) conocimiento, educaci�n y capacitaci�n en seguridad de la informaci�n
d) procesamiento correcto en las aplicaciones
e) gesti�n de la vulnerabilidad t�cnica
f) gesti�n de la continuidad operacional
g) gesti�n de los incidentes y mejoras de la seguridad de la informaci�n
Estos controles se aplican a la mayor�a de las organizaciones y en la mayor�a de los escenarios.
Se debiera notar que aunque los controles en esta pol�tica son
importantes y debieran ser considerados, se debiera determinar la
relevancia de cualquier control a la luz de los riesgos espec�ficos que
enfrenta la organizaci�n. Por lo tanto, aunque el enfoque arriba
mencionado es considerado como un buen punto de inicio, no reemplaza la
selecci�n de controles basada en la evaluaci�n del riesgo.
1.8 Factores cr�ticos de �xito
La experiencia ha demostrado que los siguientes factores con frecuencia
son cr�ticos para una exitosa implementaci�n de la seguridad de la
informaci�n dentro de una organizaci�n:
a) pol�tica, objetivos y actividades de seguridad de informaci�n que reflejan los objetivos del organismo;
b) un enfoque y marco referencial para implementar, mantener,
monitorear y mejorar la seguridad de la informaci�n que sea consistente
con la cultura organizacional;
c) soporte visible y compromiso de todos los niveles de gesti�n;
d) un buen entendimiento de los requerimientos de seguridad de la informaci�n, evaluaci�n del riesgo y gesti�n del riesgo;
e) comunicaci�n efectiva de la seguridad de la informaci�n con todo los
directores, empleados y otras partes para lograr conciencia sobre el
tema;
f) distribuci�n de lineamientos sobre la pol�tica y los est�ndares de
seguridad de la informaci�n para todos los directores, empleados y
otras partes involucradas;
g) provisi�n para el financiamiento de las actividades de gesti�n de la seguridad de la informaci�n;
h) proveer el conocimiento, capacitaci�n y educaci�n apropiados;
i) establecer un proceso de gesti�n de incidentes de seguridad de la informaci�n;
j) implementaci�n de un sistema de medici�n: que se utiliza para
evaluar el desempe�o en la gesti�n de la seguridad de la informaci�n y
retroalimentaci�n de sugerencias para el mejoramiento.
2 T�rminos y Definiciones
2.1 Seguridad de la Informaci�n
La seguridad de la informaci�n se entiende como la preservaci�n de las siguientes caracter�sticas:
• Confidencialidad: se garantiza que la informaci�n sea accesible s�lo a aquellas personas autorizadas a tener acceso a la misma.
• Integridad: se salvaguarda la exactitud y totalidad de la informaci�n y los m�todos de procesamiento.
• Disponibilidad: se garantiza
que los usuarios autorizados tengan acceso a la informaci�n y a los
recursos relacionados con la misma, toda vez que lo requieran.
Adicionalmente, deben considerarse los conceptos de:
• Autenticidad: busca asegurar
la validez de la informaci�n en tiempo, forma y distribuci�n. Asimismo,
se garantiza el origen de la informaci�n, validando el emisor para
evitar suplantaci�n de identidades.
• Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
• Protecci�n a la duplicaci�n:
consiste en asegurar que una transacci�n s�lo se realiza una vez, a
menos que se especifique lo contrario. Impedir que se grabe una
transacci�n para luego reproducirla, con el objeto de simular m�ltiples
peticiones del mismo remitente original.
• No repudio: se refiere a evitar que una entidad que haya enviado o recibido informaci�n alegue ante terceros que no la envi� o recibi�.
• Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que est� sujeto el Organismo.
• Confiabilidad de la Informaci�n:
es decir, que la informaci�n generada sea adecuada para sustentar la
toma de decisiones y la ejecuci�n de las misiones y funciones.
A los efectos de una correcta interpretaci�n de la presente Pol�tica, se realizan las siguientes definiciones:
• Informaci�n: Se refiere a
toda comunicaci�n o representaci�n de conocimiento como datos, en
cualquier forma, con inclusi�n de formas textuales, num�ricas,
gr�ficas, cartogr�ficas, narrativas o audiovisuales, y en cualquier
medio, ya sea magn�tico, en papel, en pantallas de computadoras,
audiovisual u otro.
• Sistema de Informaci�n: Se
refiere a un conjunto independiente de recursos de informaci�n
organizados para la recopilaci�n, procesamiento, mantenimiento,
transmisi�n y difusi�n de informaci�n seg�n determinados
procedimientos, tanto automatizados como manuales.
• Tecnolog�a de la Informaci�n:
Se refiere al hardware y software operados por el Organismo o por un
tercero que procese informaci�n en su nombre, para llevar a cabo una
funci�n propia del Organismo, sin tener en cuenta la tecnolog�a
utilizada, ya se trate de computaci�n de datos, telecomunicaciones u
otro tipo.
2.2 Evaluaci�n de Riesgos
Se entiende por evaluaci�n de riesgos a la evaluaci�n de las amenazas y
vulnerabilidades relativas a la informaci�n y a las instalaciones de
procesamiento de la misma, la probabilidad de que ocurran y su
potencial impacto en la operatoria del Organismo.
2.2 Tratamiento de Riesgos
Proceso de selecci�n e implementaci�n de medidas para modificar el riesgo.
2.3 Gesti�n de Riesgos
Actividades coordinadas para dirigir y controlar una organizaci�n en lo que concierne al riesgo.
NOTA. La gesti�n de riesgos usualmente incluye la evaluaci�n de
riesgos, el tratamiento de riesgos, la aceptaci�n de riesgos y la
comunicaci�n de riesgos.
2.4 Comit� de Seguridad de la Informaci�n
El Comit� de Seguridad de la Informaci�n, es un cuerpo integrado por
representantes de todas las �reas sustantivas del Organismo, destinado
a garantizar el apoyo manifiesto de las autoridades a las iniciativas
de seguridad.
2.5 Responsable de Seguridad de la Informaci�n
Es la persona que cumple la funci�n de supervisar el cumplimiento de la
presente Pol�tica y de asesorar en materia de seguridad de la
informaci�n a los integrantes del Organismo que as� lo requieran.
2.6 Incidente de Seguridad
Un incidente de seguridad es un evento adverso en un sistema de
computadoras, o red de computadoras, que puede comprometer o compromete
la confidencialidad, integridad y/o disponibilidad de la informaci�n.
Puede ser causado mediante la explotaci�n de alguna vulnerabilidad o un
intento o amenaza de romper los mecanismos de seguridad existentes.
2.8 Riesgo
Combinaci�n de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto.
2.9 Amenaza
Una causa potencial de un incidente no deseado, el cual puede ocasionar da�os a un sistema u organizaci�n.
2.10 Vulnerabilidad
Una debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza.
2.11 Control
Medio para gestionar el riesgo, incluyendo pol�ticas, procedimientos,
directrices, pr�cticas o estructuras organizacionales, las cuales
pueden ser de naturaleza administrativa, t�cnica, de gesti�n, o legal.
NOTA. Control es tambi�n utilizado como sin�nimo de salvaguarda o de contramedida.
3. Estructura de la pol�tica Modelo
Este modelo que se divide en dos partes, y guarda la siguiente estructura:
• Cuatro cap�tulos introductorios, con los t�rminos generales y el
establecimiento de la Evaluaci�n y el Tratamiento de los riesgos.
• Once cap�tulos que abarcan las diferentes cl�usulas, aspectos o
dominios de la seguridad de la informaci�n. Se presentan de manera
sistem�tica y consistente.
Cada cl�usula contiene un n�mero de categor�as o grupo de controles de
seguridad principales. Las diez cl�usulas (acompa�adas por el n�mero de
categor�as de seguridad principales incluidas dentro de cada cl�usula)
son:
- Pol�tica de Seguridad (1);
- Organizaci�n (2);
- Gesti�n de Activos (2);
- Recursos Humanos (3);
- Seguridad F�sica y Ambiental (2);
- Gesti�n de Comunicaciones y Operaciones (10);
- Gesti�n de Accesos (7);
- Adquisici�n, Desarrollo y Mantenimiento de Sistemas (6);
- Gesti�n de Incidentes de seguridad (2)
- Gesti�n de la Continuidad (1);
- Cumplimiento (3).
Por �ltimo, por cada
categor�a, se establece un
objetivo y contiene uno o m�s
controles a realizar.
A modo de s�ntesis se enuncia a continuaci�n la estructura de cada uno de los cap�tulos de cada cl�usula:
- Cap�tulo de la cl�usula o dominio
• Generalidades
• Objetivos
• Alcance
• Responsabilidades
• Pol�tica
• Categor�as
• Objetivo
• Controles
Las once cl�usulas o dominios son:
- Cl�usulas
• Pol�tica de seguridad
• Organizaci�n
• Gesti�n de activos
• Recursos humanos
• F�sica ambiental
• Gesti�n de comunicaciones y operaciones
• Gesti�n de Accesos
• Adquisici�n, desarrollo y mantenimiento de sistemas
• Gesti�n de Incidentes de seguridad
• Gesti�n de continuidad
• Cumplimento
4. Evaluaci�n y tratamiento de riesgos
Generalidades
Todo Organismo se encuentra expuesto a riesgos en materia de seguridad
de la informaci�n. No existe la seguridad completa, por lo que es
necesario conocer cu�l es el mapa de riesgos al cual se enfrenta el
organismo y tomar acciones tendientes a minimizar los posibles efectos
negativos de la materializaci�n de dichos riesgos.
Es por ello que resulta imprescindible gestionar los riesgos del Organismo, como pilar fundamental para la gesti�n de seguridad.
Objetivo
Conocer los riesgos a los que se expone el Organismo en materia de seguridad de la informaci�n.
Generar informaci�n de utilidad para la toma de decisiones en materia de controles de seguridad.
Alcance
Esta Pol�tica se aplica a toda la informaci�n administrada en el Organismo, cualquiera sea el soporte en que se encuentre.
Responsabilidad
El Comit� de Seguridad de la Informaci�n ser� responsable de que se
gestionen los riesgos de seguridad de la informaci�n, brindando su
apoyo para el desarrollo de dicho proceso y su mantenimiento en el
tiempo.
El Responsable de Seguridad de la Informaci�n junto con los Titulares
de Unidades Organizativas ser�n responsables del desarrollo del proceso
de gesti�n de riesgos de seguridad de la informaci�n.
Pol�tica
4.1 Evaluaci�n de los riesgos de seguridad
El Organismo evaluar� sus riesgos identific�ndolos, cuantific�ndolos y
prioriz�ndolos en funci�n de los criterios de aceptaci�n de riesgos y
de los objetivos de control relevantes para el mismo. Los resultados
guiar�n y determinar�n la apropiada acci�n de la direcci�n y las
prioridades para gestionar los riesgos de seguridad de la informaci�n y
para la implementaci�n de controles seleccionados para protegerse
contra estos riesgos.
Se debe efectuar la evaluaci�n de riesgos peri�dicamente, para tratar
con los cambios en los requerimientos de seguridad y en las situaciones
de riesgo, por ejemplo: cambios producidos en activos, amenazas,
vulnerabilidades, impactos, valoraci�n de riesgos. Asimismo, se debe
efectuar la evaluaci�n cada vez que ocurran cambios significativos. Es
conveniente que estas evaluaciones de riesgos se lleven a cabo de una
manera met�dica capaz de producir resultados comparables y
reproducibles.
El alcance de una evaluaci�n de riesgos puede incluir a todo el
Organismo, una parte, un sistema de informaci�n particular, componentes
espec�ficos de un sistema, o servicios. Resulta recomendable seguir una
metodolog�a de evaluaci�n de riesgos para llevar a cabo el proceso.
4.2 Tratamiento de riesgos de seguridad
Antes de considerar el tratamiento de un riesgo, el Organismo debe
decidir los criterios para determinar si los riesgos pueden, o no, ser
aceptados. Los riesgos pueden ser aceptados si por ejemplo: se evalu�
que el riesgo es bajo o que el costo del tratamiento no es
econ�micamente viable para la organizaci�n. Tales decisiones deben ser
tomadas por las autoridades y debidamente documentadas.
Para cada uno de los riesgos identificados durante la evaluaci�n de
riesgos, se necesita tomar una decisi�n para su tratamiento. Las
posibles opciones para el tratamiento de riesgos incluyen:
a) Mitigar los riesgos mediante la aplicaci�n de controles apropiados para reducir los riesgos;
b) Aceptar los riesgos de manera objetiva y consciente, siempre y
cuando �stos satisfagan claramente la pol�tica y los criterios de
aceptaci�n de riesgos del Organismo;
c) Evitar los riesgos, eliminando las acciones que dan origen a la ocurrencia de �stos;
d) Transferir los riesgos asociados a otras partes interesadas, por ejemplo: compa��as de seguro o proveedores.
Para aquellos riesgos donde la decisi�n ha sido la mitigaci�n, se
buscar� reducir los riesgos a un nivel aceptable mediante la
implementaci�n de controles, teniendo en cuenta lo siguiente:
a) requerimientos y restricciones de legislaciones y regulaciones nacionales e internacionales;
b) objetivos organizacionales;
c) requerimientos y restricciones operativos;
d) costo de implementaci�n y operaci�n en relaci�n directa a los
riesgos reducidos, y proporcionales a los requerimientos y
restricciones del Organismo;
e) la necesidad de equilibrar las inversiones en la implementaci�n y
operaci�n de los controles contra el da�o que podr�a resultar de las
fallas de seguridad.
Los controles a implementar pueden ser seleccionados del contenido de
los cap�tulos de esta pol�tica, o se pueden establecer nuevos controles
para satisfacer necesidades espec�ficas del Organismo. Es necesario
reconocer que algunos controles pueden no ser aplicables a todo sistema
de informaci�n o a su ambiente, y podr�an no ser aplicables en todos
los Organismos.
Se debe recordar que ning�n conjunto de controles puede alcanzar la
seguridad absoluta. Los controles implementados deben ser evaluados
permanentemente para que puedan ser mejorados en eficiencia y
efectividad.
5. Cl�usula: Pol�tica de Seguridad de la Informaci�n
Generalidades
La informaci�n es un recurso que, como el resto de los activos, tiene
valor para el Organismo y por consiguiente debe ser debidamente
protegida.
Las Pol�ticas de Seguridad de la Informaci�n protegen a la misma de una
amplia gama de amenazas, a fin de garantizar la continuidad de los
sistemas de informaci�n y de la operaci�n del Organismo, minimizar los
riesgos de da�o y asegurar el eficiente cumplimiento de los objetivos
del Organismo.
Es importante que los principios de la Pol�tica de Seguridad sean parte de la cultura organizacional.
Para esto, se debe asegurar un compromiso manifiesto de las m�ximas
Autoridades del Organismo y de los titulares de Unidades Organizativas
para la difusi�n, consolidaci�n y cumplimiento de la presente Pol�tica.
Objetivo
Proteger los recursos de informaci�n del Organismo y la tecnolog�a
utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el
cumplimiento de la confidencialidad, integridad, disponibilidad,
legalidad y confiabilidad de la informaci�n.
Asegurar la implementaci�n de las medidas de seguridad comprendidas en
esta Pol�tica, identificando los recursos y las partidas
presupuestarias correspondientes, sin que ello implique necesariamente
la asignaci�n de partidas adicionales.
Mantener la Pol�tica de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcance
Esta Pol�tica se aplica en todo el �mbito del Organismo, a sus recursos
y a la totalidad de los procesos, ya sean internos o externos
vinculados a la entidad a trav�s de contratos o acuerdos con terceros.
Responsabilidad
Todos los Directores Nacionales o Generales, Gerentes o equivalentes,
titulares de Unidades Organizativas, tanto se trate de autoridades
pol�ticas o personal t�cnico y sea cual fuere su nivel jer�rquico son
responsables de la implementaci�n de esta Pol�tica de Seguridad de la
Informaci�n dentro de sus �reas de responsabilidad, as� como del
cumplimiento de dicha Pol�tica por parte de su equipo de trabajo.
La Pol�tica de Seguridad de la Informaci�n es de aplicaci�n obligatoria
para todo el personal del Organismo, cualquiera sea su situaci�n de
revista, el �rea a la cual se encuentre afectado y cualquiera sea el
nivel de las tareas que desempe�e.
Las m�ximas autoridades del Organismo aprueban esta Pol�tica y son responsables de la autorizaci�n de sus modificaciones.
El
Comit� de Seguridad de la Informaci�n del Organismo,
• proceder� a revisar y proponer a la m�xima autoridad del Organismo
para su aprobaci�n la Pol�tica de Seguridad de la Informaci�n y las
funciones generales en materia de seguridad de la informaci�n;
• monitorear cambios significativos en los riesgos que afectan a los
recursos de informaci�n frente a las amenazas m�s importantes;
• tomar conocimiento y supervisar la investigaci�n y monitoreo de los incidentes relativos a la seguridad;
• aprobar las principales iniciativas para incrementar la seguridad de
la informaci�n, de acuerdo a las competencias y responsabilidades
asignadas a cada �rea1, as� como acordar y aprobar metodolog�as y
procesos espec�ficos relativos a seguridad de la informaci�n;
______
1 Se refiere a dar curso a las propuestas presentadas
por parte de las �reas de acuerdo a sus competencias, elev�ndolas a la
m�xima autoridad, a trav�s del Comit� de Seguridad, con relaci�n a la
seguridad de la informaci�n del Organismo. Dichas iniciativas deben ser
aprobadas luego por la m�xima autoridad del Organismo.
• garantizar que la seguridad sea parte del proceso de planificaci�n de
la informaci�n; evaluar y coordinar la implementaci�n de controles
espec�ficos de seguridad de la informaci�n para nuevos sistemas o
servicios;
• promover la difusi�n y apoyo a la seguridad de la informaci�n dentro
del Organismo y coordinar el proceso de administraci�n de la
continuidad de las actividades del Organismo.
El
Coordinador del Comit� de Seguridad de la Informaci�n ser� el responsable de:
• coordinar las acciones del Comit� de Seguridad de la Informaci�n y de
• impulsar la implementaci�n y cumplimiento de la presente Pol�tica.
El
Responsable de Seguridad de la Informaci�n
• cumplir� funciones relativas a la seguridad de los sistemas de informaci�n del Organismo,
• lo cual incluye: la supervisi�n de todos los aspectos inherentes a los temas tratados en la presente Pol�tica.
Los
Propietarios de la Informaci�n2 y
Propietarios de activos son responsables de:
• clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma,
• de documentar y mantener actualizada la clasificaci�n efectuada, y
• de definir qu� usuarios deben tener permisos de acceso a la informaci�n de acuerdo a sus funciones y competencia.
El Responsable del Area de Recursos Humanos o quien desempe�e esas funciones, cumplir� la funci�n de:
• notificar a todo el personal que ingresa de sus obligaciones respecto
del cumplimiento de la Pol�tica de Seguridad de la Informaci�n y de
todas las normas, procedimientos y pr�cticas que de ella surjan.
• Asimismo, tendr� a su cargo la notificaci�n de la presente Pol�tica a
todo el personal, de los cambios que en ella se produzcan, la
implementaci�n de la suscripci�n de los Compromisos de Confidencialidad
(entre otros) y las tareas de capacitaci�n continua en materia de
seguridad.
El
Responsable del Area Inform�tica
cumplir� la funci�n de cubrir los requerimientos de seguridad
inform�tica establecidos para la operaci�n, administraci�n y
comunicaci�n de los sistemas y recursos de tecnolog�a del Organismo.
Por otra parte tendr� la funci�n de efectuar las tareas de desarrollo y
mantenimiento de sistemas, siguiendo una metodolog�a de ciclo de vida
de sistemas apropiada, y que contemple la inclusi�n de medidas de
seguridad en los sistemas en todas las fases.
El
Responsable del Area Legal o Jur�dica
verificar� el cumplimiento de la presente Pol�tica en la gesti�n de
todos los contratos, acuerdos u otra documentaci�n del Organismo con
sus empleados y con terceros. Asimismo, asesorar� en materia legal al
Organismo, en lo que se refiere a la seguridad de la informaci�n.
Los
usuarios de la informaci�n y de los sistemas
utilizados para su procesamiento son responsables de conocer, dar a
conocer, cumplir y hacer cumplir la Pol�tica de Seguridad de la
Informaci�n vigente.
La
Unidad de Auditor�a Interna,
o en su defecto quien sea propuesto por el Comit� de Seguridad de la
Informaci�n es responsable de practicar auditor�as peri�dicas sobre los
sistemas y actividades vinculadas con la tecnolog�a de informaci�n,
debiendo informar sobre el cumplimiento de las especificaciones y
medidas de seguridad de la informaci�n establecidas por esta Pol�tica y
por las normas, procedimientos y pr�cticas que de ella surjan (Ver
cap�tulo 15 Cl�usula Cumplimiento).
Pol�tica
5.1 Categor�a: Pol�tica de Seguridad de la informaci�n
Objetivo
Proporcionar a la Direcci�n Superior la direcci�n y soporte para la
seguridad de la informaci�n en concordancia con los requerimientos y
las leyes y regulaciones relevantes. La gerencia debe establecer
claramente la direcci�n de la pol�tica en l�nea con los objetivos.
5.1.1 Control: Documento de la pol�tica de seguridad de la informaci�n
El documento de la pol�tica debe ser aprobado por el Comit� de
Seguridad, publicado y comunicado a todos los empleados y las partes
externas relevantes.
Esta Pol�tica se conforma de una serie de pautas sobre aspectos
espec�ficos de la Seguridad de la Informaci�n, que incluyen los
siguientes t�picos:
Organizaci�n de la Seguridad
Orientado a administrar la seguridad de la informaci�n dentro del
Organismo y establecer un marco gerencial para controlar su
implementaci�n.
Gesti�n de Activos
Destinado a mantener una adecuada protecci�n de los activos del Organismo.
Recursos Humanos
Orientado a reducir los riesgos de error humano, comisi�n de il�citos contra el Organismo o uso inadecuado de instalaciones.
F�sica y Ambiental
Destinado a impedir accesos no autorizados, da�os e interferencia a las sedes e informaci�n del Organismo.
_____
2 El concepto “Propietario de la Informaci�n” define
a la persona responsable de la integridad, confidencialidad y
disponibilidad de una cierta informaci�n.
Gesti�n de las Comunicaciones y las Operaciones
Dirigido a garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informaci�n y medios de
comunicaci�n.
Gesti�n de Accesos
Orientado a controlar el acceso l�gico a la informaci�n.
Adquisici�n. Desarrollo y Mantenimiento de los Sistemas
Orientado a garantizar la incorporaci�n de medidas de seguridad en los
sistemas de informaci�n desde su adquisici�n, desarrollo y/o
implementaci�n y durante su mantenimiento.
Gesti�n de Incidentes de seguridad
Orientado a administrar todos los eventos que atenten contra la
confidencialidad, integridad y disponibilidad de la informaci�n y los
activos tecnol�gicos
Gesti�n de Continuidad
Orientado a contrarrestar las interrupciones de las actividades y
proteger los procesos cr�ticos de los efectos de fallas significativas
o desastres.
Cumplimiento
Destinado a impedir infracciones y violaciones de las leyes del derecho
civil y penal; de las obligaciones establecidas por leyes, estatutos,
normas, reglamentos o contratos; y de los requisitos de seguridad.
A fin de asegurar la implementaci�n de las medidas de seguridad
comprendidas en esta Pol�tica, el Organismo identificar� los recursos
necesarios e indicar� formalmente las partidas presupuestarias
correspondientes, como anexo a la presente Pol�tica. Lo expresado
anteriormente no implicar� necesariamente la asignaci�n de partidas
presupuestarias adicionales.
La m�xima autoridad del Organismo aprobar� formalmente la Pol�tica y la
comunicar� a todos los empleados y terceras partes relevantes.
5-1-2 Control: Revisi�n de la pol�tica de seguridad de la informaci�n
La pol�tica de seguridad de la informaci�n debe tener un due�o,
responsable de las actividades de desarrollo, evaluaci�n y revisi�n de
la pol�tica.
La actividad de revisi�n debe incluir las oportunidades de mejoras, en
respuesta a los cambios, entre otros: organizacionales, normativos,
legales, tercero, tecnol�gicos.
Las mejoras tenidas en cuenta, deben quedar registradas y tener las aprobaciones de los responsables.
El Comit� de Seguridad de la Informaci�n debe revisarla a intervalos
planeados y prever el tratamiento de caso de los cambios no planeados,
a efectos de mantener actualizada la pol�tica.
Asimismo efectuar� toda modificaci�n que sea necesaria en funci�n a
posibles cambios que puedan afectar su definici�n, como ser, cambios
tecnol�gicos, variaci�n de los costos de los controles, impacto de los
incidentes de seguridad, etc.
6. Cl�usula: Organizaci�n
Generalidades
La presente Pol�tica de Seguridad establece la administraci�n de la
seguridad de la informaci�n, como parte fundamental de los objetivos y
actividades del Organismo.
Por ello, se definir� formalmente un �mbito de gesti�n para efectuar
tareas tales como la aprobaci�n de la Pol�tica, la coordinaci�n de su
implementaci�n y la asignaci�n de funciones y responsabilidades.
Asimismo, se contemplar� la necesidad de disponer de fuentes con
conocimiento y experimentadas para el asesoramiento, cooperaci�n y
colaboraci�n en materia de seguridad de la informaci�n.
Por otro lado debe tenerse en cuenta que ciertas actividades del
Organismo pueden requerir que terceros accedan a informaci�n interna, o
bien puede ser necesaria la tercerizaci�n de ciertas funciones
relacionadas con el procesamiento de la informaci�n. En estos casos se
considerar� que la informaci�n puede ponerse en riesgo si el acceso de
dichos terceros se produce en el marco de una inadecuada administraci�n
de la seguridad, por lo que se establecer�n las medidas adecuadas para
la protecci�n de la informaci�n.
Objetivo
Administrar la seguridad de la informaci�n dentro del Organismo y
establecer un marco gerencial para iniciar y controlar su
implementaci�n, as� como para la distribuci�n de funciones y
responsabilidades.
Fomentar la consulta y cooperaci�n con Organismos especializados para
la obtenci�n de asesor�a en materia de seguridad de la informaci�n.
Garantizar la aplicaci�n de medidas de seguridad adecuadas en los accesos de terceros a la informaci�n del Organismo.
Alcance
Esta Pol�tica se aplica a todos los recursos del Organismo y a todas
sus relaciones con terceros que impliquen el acceso a sus datos,
recursos y/o a la administraci�n y control de sus sistemas de
informaci�n.
Responsabilidad
El Coordinador del Comit� de Seguridad de la Informaci�n ser� el
responsable de impulsar la implementaci�n de la presente Pol�tica.
El Comit� de Seguridad de la Informaci�n tendr� a cargo el
mantenimiento y la presentaci�n para la aprobaci�n de la presente
Pol�tica, ante la m�xima autoridad del organismo, el seguimiento de
acuerdo a las incumbencias propias de cada �rea de las actividades
relativas a la seguridad de la informaci�n (an�lisis de riesgos,
monitoreo de incidentes, supervisi�n de la investigaci�n,
implementaci�n de controles, administraci�n de la continuidad,
impulsi�n de procesos de concientizaci�n, etc.) y la proposici�n de
asignaci�n de funciones.
El Responsable de Seguridad de la Informaci�n asistir� al personal del
Organismo en materia de seguridad de la informaci�n y coordinar� la
interacci�n con Organismos especializados. Asimismo, junto con los
propietarios de la informaci�n, analizar� el riesgo de los accesos de
terceros a la informaci�n del Organismo y verificar� la aplicaci�n de
las medidas de seguridad necesarias para la protecci�n de la misma.
Los Responsables de las Unidades Organizativas cumplir�n la funci�n de
autorizar la incorporaci�n de nuevos recursos de procesamiento de
informaci�n a las �reas de su incumbencia.
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n ser� responsable de realizar
revisiones independientes sobre la vigencia y el cumplimiento de la
presente Pol�tica.
El Responsable del Area de Administraci�n cumplir� la funci�n de
incluir en los contratos con proveedores de servicios de tecnolog�a y
cualquier otro proveedor de bienes o servicios cuya actividad afecte
directa o indirectamente a los activos de informaci�n, la
obligatoriedad del cumplimiento de la Pol�tica de Seguridad de la
Informaci�n y de todas las normas, procedimientos y pr�cticas
relacionadas.
El Responsable del Area Jur�dica participar� en dicha tarea.
Asimismo, notificar� a los proveedores sobre las modificaciones que se
efect�en a la Pol�tica de Seguridad de la Informaci�n del Organismo
Pol�tica
6.1 Categor�a: Organizaci�n interna
Objetivo
Manejar la seguridad de la informaci�n dentro del organismo.
Se debe establecer un marco referencial gerencial o pol�tica, para
iniciar y controlar la implementaci�n de la seguridad de la informaci�n
dentro del organismo.
La Direcci�n debe aprobar la pol�tica de seguridad de la informaci�n,
asignar los roles de seguridad y coordinar y revisar la implementaci�n
de la seguridad en todo el organismo.
6.1.1 Control: Compromiso de la direcci�n con la seguridad de la informaci�n
La direcci�n debe apoyar la seguridad de la informaci�n a trav�s de una
direcci�n clara, mostrando compromiso, asignando roles y reconociendo
responsabilidades expl�citas.
Debe formular, revisar y aprobar la pol�tica de seguridad de la
informaci�n, como asimismo revisar los beneficios de la implementaci�n
de la misma.
La seguridad de la informaci�n es una responsabilidad del Organismo
compartida por todas las Autoridades pol�ticas y Directores Nacionales
o Generales, Gerentes o equivalentes, por lo cual se crea el Comit� de
Seguridad de la Informaci�n, integrado por representantes de todos los
Directores mencionados, destinado a garantizar el apoyo manifiesto de
las autoridades a las iniciativas de seguridad de la informaci�n. El
mismo contar� con un Coordinador, quien cumplir� la funci�n de impulsar
la implementaci�n de la presente Pol�tica.
Conformaci�n del Comit� de Seguridad de la Informaci�n
| Area/Direcci�n | Representante |
|
|
|
|
|
|
Este Comit� tendr� entre sus funciones:
a) Revisar y proponer a la m�xima autoridad del Organismo para su
aprobaci�n, la Pol�tica y las funciones generales en materia de
seguridad de la informaci�n.
b) Monitorear cambios significativos en los riesgos que afectan a los
recursos de informaci�n frente a las amenazas m�s importantes.
c) Tomar conocimiento y supervisar la investigaci�n y monitoreo de los incidentes relativos a la seguridad.
d) Aprobar las principales iniciativas para incrementar la seguridad de
la informaci�n, de acuerdo a las competencias y responsabilidades
asignadas a cada �rea
3.
e) Acordar y aprobar metodolog�as y procesos espec�ficos relativos a la seguridad de la informaci�n.
f) Garantizar que la seguridad sea parte del proceso de planificaci�n inform�tica del Organismo.
g) Evaluar y coordinar la implementaci�n de controles espec�ficos de
seguridad de la informaci�n para nuevos sistemas o servicios.
h) Promover la difusi�n y apoyo a la seguridad de la informaci�n dentro del Organismo.
i) Coordinar el proceso de administraci�n de la continuidad de la
operatoria de los sistemas de tratamiento de la informaci�n del
Organismo frente a interrupciones imprevistas.
El ............ (Subsecretario de Coordinaci�n o equivalente en cada
�rea ministerial o Secretar�a de la Presidencia de la Naci�n o el
funcionario designado por las m�ximas autoridades en cada Organismo
descentralizado - Indicar cargo) coordinar� las actividades del Comit�
de Seguridad de la Informaci�n.
_______
3 Se refiere a dar curso a las propuestas presentadas
por parte de las �reas de acuerdo a sus competencias, elev�ndolas a la
m�xima autoridad, a trav�s del Comit� de Seguridad, con relaci�n a la
seguridad de la informaci�n del Organismo. Dichas iniciativas deben ser
aprobadas luego por la m�xima autoridad del Organismo.
6-1-2 Control: Coordinaci�n de la seguridad de la informaci�n
T�picamente, la coordinaci�n de la seguridad de la informaci�n debiera
involucrar la cooperaci�n y colaboraci�n de los Directores Nacionales o
Generales, Gerentes o equivalentes, usuarios, administradores,
dise�adores de aplicaci�n, auditores y personal de seguridad, y
capacidades especializadas en �reas como seguros, temas legales,
recursos humanos, TI o gesti�n del riesgo. Esta actividad debiera:
a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la pol�tica de seguridad de la informaci�n;
b) identificar c�mo manejar las no-conformidades;
c) aprobar las metodolog�as y procesos para la seguridad de la
informaci�n; por ejemplo, la evaluaci�n del riesgo, la clasificaci�n de
la informaci�n;
d) identificar cambios significativos en las amenazas y la exposici�n
de la informaci�n y los medios de procesamiento de la informaci�n ante
amenazas;
e) evaluar la idoneidad y coordinar la implementaci�n de los controles de la seguridad de informaci�n;
f) promover de manera efectiva la educaci�n, capacitaci�n y
conocimiento de la seguridad de la informaci�n a trav�s de toda la
organizaci�n;
g) evaluar la informaci�n recibida del monitoreo y revisar los
incidentes de seguridad de la informaci�n, y recomendar las acciones
apropiadas en respuesta a los incidentes de seguridad de informaci�n
identificados.
6-1-3 Control: Asignaci�n de responsabilidades de la seguridad de la informaci�n
La asignaci�n de responsabilidades de la seguridad de la informaci�n
debe ejecutarse en forma alineada a la pol�tica de seguridad de la
informaci�n (ver cl�usula 5 pol�tica de seguridad)
El ……………………………………………………………………………. (indicar la m�xima autoridad del
Organismo), asigna las funciones relativas a la Seguridad Inform�tica
del Organismo a .................................(indicar cargo), en
adelante el “Responsable de Seguridad de la Informaci�n”, quien tendr�
a cargo las funciones relativas a la seguridad de los sistemas de
informaci�n del Organismo, lo cual incluye la supervisi�n de todos los
aspectos inherentes a seguridad inform�tica tratados en la presente
Pol�tica.
El Comit� de Seguridad de la Informaci�n propondr� a la autoridad que
corresponda para su aprobaci�n la definici�n y asignaci�n de las
responsabilidades que surjan del presente Modelo.
A continuaci�n se detallan los procesos de seguridad, indic�ndose en
cada caso el/los responsable/s del cumplimiento de los aspectos de esta
Pol�tica aplicables a cada caso:
| Proceso | Responsable |
| Seguridad del Personal | ................ |
| Seguridad F�sica y Ambiental | ................ |
| Seguridad en las Comunicaciones y las Operaciones | ................ |
| Control de Accesos | ................ |
| Seguridad en el Desarrollo y Mantenimiento de Sistemas | ................ |
| Planificaci�n de la Continuidad Operativa | ................ |
| ........... | ................ |
De igual forma, seguidamente se detallan los propietarios de la
informaci�n, quienes ser�n los Responsables de las Unidades
Organizativas a cargo del manejo de la misma:
| Informaci�n | Propietario | Recursos asociados | Procesos involucrados | Administrador |
| Contable | ................. | Sistemas de informaci�n, equipamiento, bases de datos, comunicaciones, ................. | ................. | ................. |
| Presupuesto | ................. | ................. | ................. | ................. |
| Inventario |
|
|
|
|
| ............... |
|
|
|
|
| ............... |
|
|
|
|
Cabe aclarar que, si bien los propietarios pueden delegar la
administraci�n de sus funciones a personal id�neo a su cargo,
conservar�n la responsabilidad del cumplimiento de las mismas. La
delegaci�n de la administraci�n por parte de los propietarios de la
informaci�n ser� documentada por los mismos y proporcionada al
Responsable de Seguridad de la Informaci�n.
6-1-4 Control: Autorizaci�n para Instalaciones de Procesamiento de Informaci�n
Los nuevos recursos de procesamiento de informaci�n ser�n autorizados
por los Responsables de las Unidades Organizativas involucradas,
considerando su prop�sito y uso, conjuntamente con el Responsable de
Seguridad de la Informaci�n, a fin de garantizar que se cumplan todas
las Pol�ticas y requerimientos de seguridad pertinentes.
Las siguientes gu�as deben ser consideradas para el proceso de autorizaci�n:
a) Cumplir con los niveles de aprobaci�n vigentes en la organizaci�n,
incluso el responsable del ambiente de seguridad de la informaci�n,
asegurando el cumplimiento de las pol�ticas y requerimientos.
b) Cuando corresponda, se verificar� el hardware y software para
garantizar su compatibilidad con los componentes de otros sistemas del
Organismo.
c) El uso de recursos personales de procesamiento de informaci�n en el
lugar de trabajo puede ocasionar nuevas vulnerabilidades. En
consecuencia, su uso ser� evaluado en cada caso por el Responsable de
Seguridad de la Informaci�n y debe ser autorizado por el Responsable
del Area Inform�tica y por el Director Nacional (General, Gerente o
equivalente en el Organismo) responsable del �rea al que se destinen
los recursos.
6-1-5 Control: Acuerdos de confidencialidad
Se definir�n, implementar�n y revisar�n regularmente los acuerdos de
confidencialidad o de no divulgaci�n para la protecci�n de la
informaci�n del Organismo. Dichos acuerdos deben responder a los
requerimientos de confidencialidad o no divulgaci�n del Organismo, los
cuales ser�n revisaros peri�dicamente. Asimismo, deben cumplir con toda
legislaci�n o normativa que alcance al Organismo en materia de
confidencialidad de la informaci�n.
Dichos acuerdos deben celebrarse tanto con el personal del organismo
como con aquellos terceros que se relacionen de alguna manera con su
informaci�n.
6-1-6 Control: Contacto con otros organismos
A efectos de intercambiar experiencias y obtener asesoramiento para el
mejoramiento de las pr�cticas y controles de seguridad, se mantendr�n
contactos con los siguientes Organismos especializados en temas
relativos a la seguridad inform�tica:
•
Oficina Nacional de Tecnolog�as de Informaci�n (ONTI), y particularmente con:
- La Oficina Nacional de Tecnolog�as de Informaci�n - Coordinaci�n de Emergencias en Redes Teleinform�ticas.
La Coordinaci�n de Emergencias en Redes Teleinform�ticas es una unidad
de respuesta ante incidentes en redes, que centraliza y coordina los
esfuerzos para el manejo de los incidentes de seguridad que afecten a
los recursos inform�ticos del Sector P�blico.
• Direcci�n Nacional de Protecci�n de Datos Personales.
En los intercambios de informaci�n de seguridad, no se divulgar�
informaci�n sensible (de acuerdo a lo definido en la normativa vigente,
ej.: Ley 25.326) o confidencial perteneciente al Organismo a personas
no autorizadas.
El intercambio de informaci�n confidencial para fines de asesoramiento
o de transmisi�n de experiencias, s�lo se permite cuando se haya
firmado un Acuerdo de Confidencialidad previo o con aquellas
Organizaciones especializadas en temas relativos a la seguridad de la
Informaci�n cuyo personal est� obligado a mantener la confidencialidad
de los temas que trata.
6-1-7 Control: Contacto con grupos de inter�s especial
El Responsable de Seguridad de la Informaci�n ser� el encargado de
coordinar los conocimientos y las experiencias disponibles en el
Organismo a fin de brindar ayuda en la toma de decisiones en materia de
seguridad. Este podr� obtener asesoramiento de otros Organismos. Con el
objeto de optimizar su gesti�n, se habilitar� al Responsable de
Seguridad de la Informaci�n el contacto con las Unidades Organizativas
de todas las Areas del Organismo.
Debe considerar ser miembro de grupos de inter�s especial para:
a) Adquirir nuevos conocimientos acerca de las mejores pr�cticas y estar actualizado
b) Asegurar que la concientizaci�n acerca de la seguridad de la informaci�n est� actualizada y completa
c) Recibir alertas tempranas, avisos y recomendaciones ante ataques y vulnerabilidades
d) Proporcionar v�nculos adecuados durante el tratamiento de los incidentes de seguridad de la informaci�n.
6-1-8 Control: Revisi�n independiente de la seguridad de la informaci�n
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n realizar� revisiones
independientes sobre la vigencia, implementaci�n y gesti�n de la
Pol�tica de Seguridad de la Informaci�n, a efectos de garantizar que
las pr�cticas del Organismo reflejan adecuadamente sus disposiciones.
Estas revisiones deben incluir las oportunidades de evaluaci�n de
mejoras y las necesidades de cambios de enfoque en la seguridad,
incluyendo pol�ticas y objetivos de control.
Se deben registrar y reportar todas estas actividades.
6.2 Categor�a: Grupos o personas externas
Objetivo
Mantener la seguridad de la informaci�n y los medios de procesamiento
de informaci�n del Organismo que son ingresados, procesados,
comunicados a, o manejados por, grupos externos.
La seguridad de la informaci�n y los medios de procesamiento de la
informaci�n del Organismo no deben ser reducidos por la introducci�n de
productos y servicios de grupos externos.
6.2.1 Control: Identificaci�n de los riesgos relacionados con grupos externos
Cuando exista la necesidad de otorgar acceso a terceras partes a
informaci�n del Organismo, el Responsable de Seguridad de la
Informaci�n y el Propietario de la Informaci�n de que se trate,
llevar�n a cabo y documentar�n una evaluaci�n de riesgos para
identificar los requerimientos de controles espec�ficos, teniendo en
cuenta, entre otros aspectos:
a) Los medios de procesamiento de informaci�n a los cuales necesita tener acceso el grupo externo
b) El tipo de acceso requerido (f�sico/l�gico y a qu� recurso).
c) Los motivos para los cuales se solicita el acceso.
d) El valor de la informaci�n.
e) Los controles empleados por la tercera parte.
f) Diferentes medios y controles empleados por el grupo externo cuando
almacena, procesa, comunica, comparte e intercambia informaci�n.
g) La incidencia de este acceso en la seguridad de la informaci�n del Organismo.
En todos los contratos o acuerdos cuyo objeto sea la prestaci�n de
servicios a t�tulo personal bajo cualquier modalidad jur�dica que deban
desarrollarse dentro del Organismo, se establecer�n los controles,
requerimientos de seguridad y compromisos de confidencialidad
aplicables al caso, restringiendo al m�nimo necesario, los permisos a
otorgar.
Se cita a modo de ejemplo:
a) Personal de mantenimiento y soporte de hardware y software.
b) Limpieza, “catering”, guardia de seguridad y otros servicios de soporte tercerizados.
c) Pasant�as y otras designaciones de corto plazo.
d) Consultores.
e) Auditores
En ning�n caso se otorgar� acceso a terceros a la informaci�n, a las
instalaciones de procesamiento u otras �reas de servicios cr�ticos,
hasta tanto se hayan implementado los controles apropiados y se haya
firmado un contrato o acuerdo que defina las condiciones para la
conexi�n o el acceso.
6-2- 2 Control: Puntos de seguridad de la informaci�n a considerar en Contratos o Acuerdos con terceros
Se revisar�n los contratos o acuerdos existentes o que se efect�en con
terceros, teniendo en cuenta la necesidad de aplicar los siguientes
controles:
a) Cumplimiento de la Pol�tica de seguridad de la informaci�n del Organismo.
b) Protecci�n de los activos del Organismo, incluyendo:
• Procedimientos para proteger los bienes del Organismo, abarcando los activos f�sicos, la informaci�n y el software.
• Procedimientos para determinar si ha ocurrido alg�n evento que
comprometa los bienes, por ejemplo, debido a p�rdida o modificaci�n de
datos.
• Controles para garantizar la recuperaci�n o destrucci�n de la
informaci�n y los activos al finalizar el contrato o acuerdo, o en un
momento convenido durante la vigencia del mismo.
• Restricciones a la copia y divulgaci�n de informaci�n.
c) Descripci�n de los servicios disponibles.
d) Nivel de servicio esperado y niveles de servicio aceptables.
e) Permiso para la transferencia de personal cuando sea necesario.
f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales.
g) Existencia de Derechos de Propiedad Intelectual.
h) Definiciones relacionadas con la protecci�n de datos.
i) Acuerdos de control de accesos que contemplen:
• M�todos de acceso permitidos, y el control y uso de identificadores
�nicos como identificadores de usuario y contrase�as de usuarios.
• Proceso de autorizaci�n de accesos y privilegios de usuarios.
• Requerimiento para mantener actualizada una lista de individuos
autorizados a utilizar los servicios que han de implementarse y sus
derechos y privilegios con respecto a dicho uso.
j) Definici�n de criterios de desempe�o comprobables, de monitoreo y de presentaci�n de informes.
k) Adquisici�n de derecho a auditar responsabilidades contractuales o surgidas del acuerdo.
l) Establecimiento de un proceso para la resoluci�n de problemas y en
caso de corresponder disposiciones con relaci�n a situaciones de
contingencia.
m) Responsabilidades relativas a la instalaci�n y al mantenimiento de hardware y software.
n) Estructura de dependencia y del proceso de elaboraci�n y
presentaci�n de informes que contemple un acuerdo con respecto a los
formatos de los mismos.
o) Proceso claro y detallado de administraci�n de cambios.
p) Controles de protecci�n f�sica requeridos y los mecanismos que aseguren la implementaci�n de los mismos.
q) M�todos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad.
r) Controles que garanticen la protecci�n contra software malicioso.
s) Elaboraci�n y presentaci�n de informes, notificaci�n e investigaci�n de incidentes y violaciones relativos a la seguridad.
t) Relaci�n entre proveedores y subcontratistas.
6-2-3 Control: Puntos de Seguridad de la Informaci�n a ser considerados en acuerdos con terceros
Los contratos o acuerdos de tercerizaci�n total o parcial para la
administraci�n y control de sistemas de informaci�n, redes y/o
ambientes de equipamiento de Trabajo del Organismo, contemplar�n adem�s
de los puntos especificados en 6.2.2, los siguientes aspectos:
a) Forma en que se cumplir�n los requisitos legales aplicables.
b) Medios para garantizar que todas las partes involucradas en la
tercerizaci�n, incluyendo los subcontratistas, est�n al corriente de
sus responsabilidades en materia de seguridad.
c) Forma en que se mantendr� y comprobar� la integridad y confidencialidad de los activos del Organismo.
d) Controles f�sicos y l�gicos que se utilizar�n para restringir y delimitar el acceso a la informaci�n sensible del Organismo.
e) Forma en que se mantendr� la disponibilidad de los servicios ante la ocurrencia de desastres.
f) Niveles de seguridad f�sica que se asignar�n al equipamiento tercerizado.
g) Derecho a la auditor�a por parte del Organismo sobre los aspectos
tercerizados en forma directa o a trav�s de la contrataci�n de
servicios ad hoc.
Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.
7. Cl�usula: Gesti�n de Activos
Generalidades
El Organismo debe tener un conocimiento preciso sobre los activos que
posee como parte importante de la administraci�n de riesgos. Algunos
ejemplos de activos son:
• Recursos de informaci�n: bases de datos y archivos, documentaci�n de
sistemas, manuales de usuario, material de capacitaci�n, procedimientos
operativos o de soporte, planes de continuidad y contingencia,
informaci�n archivada, etc.
• Recursos de software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo y publicaci�n de contenidos, utilitarios,
etc.
• Activos f�sicos: equipamiento inform�tico (procesadores, monitores,
computadoras port�tiles, m�dems), equipos de comunicaciones (routers,
PABXs, m�quinas de fax, contestadores autom�ticos, switches de datos,
etc.), medios magn�ticos (cintas, discos, dispositivos m�viles de
almacenamiento de datos —pen drives, discos externos, etc.—), otros
equipos t�cnicos (relacionados con el suministro el�ctrico, unidades de
aire acondicionado, controles automatizados de acceso, etc.),
mobiliario, lugares de emplazamiento, etc.
• Servicios: servicios inform�ticos y de comunicaciones, utilitarios
generales (calefacci�n, iluminaci�n, energ�a el�ctrica, etc.).
Los activos de informaci�n deben ser clasificados de acuerdo a la
sensibilidad y criticidad de la informaci�n que contienen o bien de
acuerdo a la funcionalidad que cumplen y rotulados en funci�n a ello,
con el objeto de se�alar c�mo ha de ser tratada y protegida dicha
informaci�n.
Generalmente, la informaci�n deja de ser sensible o cr�tica despu�s de
un cierto per�odo de tiempo, por ejemplo, cuando la informaci�n se ha
hecho p�blica. Estos aspectos deben tenerse en cuenta, puesto que la
clasificaci�n por exceso puede traducirse en gastos adicionales
innecesarios para el Organismo.
Las pautas de clasificaci�n deben prever y contemplar el hecho de que
la clasificaci�n de un �tem de informaci�n determinado no
necesariamente debe mantenerse invariable por siempre, y que �sta puede
cambiar de acuerdo con una Pol�tica predeterminada. Se debe considerar
la cantidad de categor�as a definir para la clasificaci�n dado que los
esquemas demasiado complejos pueden tornarse engorrosos y
antiecon�micos o resultar poco pr�cticos.
La informaci�n adopta muchas formas, tanto en los sistemas inform�ticos
como fuera de ellos. Puede ser almacenada (en dichos sistemas o en
medios port�tiles), transmitida (a trav�s de redes o entre sistemas) e
impresa o escrita en papel. Cada una de estas formas debe contemplar
todas las medidas necesarias para asegurar la confidencialidad,
integridad y disponibilidad de la informaci�n.
Por �ltimo, la informaci�n puede pasar a ser obsoleta y por lo tanto,
ser necesario eliminarla. La destrucci�n de la informaci�n es un
proceso que debe asegurar la confidencialidad de la misma hasta el
momento de su eliminaci�n.
Objetivo
Garantizar que los activos de informaci�n reciban un apropiado nivel de protecci�n.
Clasificar la informaci�n para se�alar su sensibilidad y criticidad.
Definir niveles de protecci�n y medidas de tratamiento especial acordes a su clasificaci�n.
Alcance
Esta Pol�tica se aplica a toda la informaci�n administrada en el Organismo, cualquiera sea el soporte en que se encuentre.
Responsabilidad
Los Propietarios de los Activos son los encargados de clasificarlos de
acuerdo con su grado de sensibilidad y criticidad, de documentar y
mantener actualizada la clasificaci�n efectuada, de definir las
funciones que deben tener permisos de acceso a los activos y son
responsables de mantener los controles adecuados para garantizar su
seguridad.
El Responsable de Seguridad de la Informaci�n es el encargado de
asegurar que los lineamientos para la utilizaci�n de los recursos de la
tecnolog�a de informaci�n contemplen los requerimientos de seguridad
establecidos seg�n la criticidad de la informaci�n que procesan.
Cada Propietario de la Informaci�n supervisar� que el proceso de
clasificaci�n y r�tulo de informaci�n de su �rea de competencia sea
cumplimentado de acuerdo a lo establecido en la presente Pol�tica.
Pol�tica
7.1 Categor�a: Responsabilidad sobre los activos
Objetivo
Todos los activos deben ser inventariados y contar con un propietario nombrado.
Los propietarios deben identificar todos los activos y se debiera
asignar la responsabilidad por el mantenimiento de los controles
apropiados. La implementaci�n de controles espec�ficos puede ser
delegada por el propietario conforme sea apropiado, pero el propietario
sigue siendo responsable por la protecci�n apropiada de los activos.
7.1.1 Control: Inventario de activos
Se identificar�n los activos de informaci�n del Organismo. Existen muchos tipos de activos, que incluyen:
a) informaci�n: bases de datos, archivos de datos, documentaci�n, contratos, acuerdos;
b) activos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo, y utilitarios;
c) activos f�sicos: equipamiento de computaci�n, equipamiento de comunicaciones, medios removibles y otros equipamientos;
d) instalaciones: edificios, ubicaciones f�sicas, tendido el�ctrico, red de agua y gas, etc.;
e) servicios: servicios de c�mputo y de comunicaciones, servicios
generales, por ejemplo: calefacci�n, iluminaci�n, energ�a, y aire
acondicionado;
f) personas, y sus calificaciones, habilidades y experiencia;
g) activos intangibles, tales como la reputaci�n y la imagen del Organismo.
El inventario ser� actualizado ante cualquier modificaci�n de la
informaci�n registrada y revisado con una periodicidad de ......
(establecer per�odo no mayor a 6 meses).
El encargado de elaborar el inventario y mantenerlo actualizado es cada Responsable de Unidad Organizativa.
7.1.2 Control: Propiedad de los activos
Toda la informaci�n y los activos junto a sus medios de procesamiento
de informaci�n deben ser propiedad de un responsable designado en el
organismo.
Se designar�n los Propietarios de los activos identificados, quienes deben cumplir sus funciones de propietario, esto es:
a) informar sobre cualquier cambio que afecte el inventario de activos
b) clasificar los activos en funci�n a su valor
c) definir los requisitos de seguridad de los activos
d) velar por la implementaci�n y el mantenimiento de los controles de seguridad requeridos en los activos
Cabe aclarar que, si bien los propietarios pueden delegar la
administraci�n de sus funciones a personal id�neo a su cargo,
conservar�n la responsabilidad del cumplimiento de las mismas. La
delegaci�n de la administraci�n por parte de los propietarios de los
activos ser� documentada por los mismos y proporcionada al Responsable
de Seguridad de la Informaci�n.
7.1.3 Control: Uso aceptable de los activos
Se identificar�n, documentar�n e implementar�n reglas para el uso
aceptable de la informaci�n y los activos asociados con las
instalaciones de procesamiento de la informaci�n.
Todos los empleados, contratistas y usuarios de terceras partes deben
seguir las reglas para el uso aceptable de la informaci�n y los activos
asociados con las instalaciones de procesamiento de la misma,
incluyendo:
a) correo electr�nico,
b) sistemas de gesti�n,
c) estaciones de trabajo,
d) dispositivos m�viles,
e) herramientas y equipamiento de de publicaci�n de contenidos
f) etc.
7.2 Categor�a: Clasificaci�n de la informaci�n
Objetivo
Asegurar que la informaci�n reciba un nivel de protecci�n apropiado.
La informaci�n debe ser clasificada para indicar la necesidad,
prioridades y grado de protecci�n esperado cuando se maneja la
informaci�n.
La informaci�n tiene diversos grados de confidencialidad e importancia.
Algunos �tems pueden requerir un nivel de protecci�n adicional o manejo
especial. Se debe utilizar un esquema de clasificaci�n de informaci�n
para definir un conjunto apropiado de niveles de protecci�n y comunicar
la necesidad de medidas de uso especiales.
7.2.1 Control: Directrices de clasificaci�n
Para clasificar un Activo de Informaci�n, se evaluar�n las tres
caracter�sticas de la informaci�n en las cuales se basa la seguridad:
confidencialidad, integridad y disponibilidad.
A continuaci�n se establece la metodolog�a de clasificaci�n de la
informaci�n propuesta en funci�n a cada una de las mencionadas
caracter�sticas:
• Confidencialidad:
0- Informaci�n que puede ser conocida y utilizada sin autorizaci�n por
cualquier persona, sea empleado del Organismo o no. PUBLICO
1- Informaci�n que puede ser conocida y utilizada por todos los
empleados del Organismo y algunas entidades externas debidamente
autorizadas, y cuya divulgaci�n o uso no autorizados podr�a ocasionar
riesgos o p�rdidas leves para el Organismo, el Sector P�blico Nacional
o terceros. RESERVADA - USO INTERNO
2- Informaci�n que s�lo puede ser conocida y utilizada por un grupo de
empleados, que la necesiten para realizar su trabajo, y cuya
divulgaci�n o uso no autorizados podr�a ocasionar p�rdidas
significativas al Organismo, al Sector P�blico Nacional o a terceros.
RESERVADA - CONFIDENCIAL
3- Informaci�n que s�lo puede ser conocida y utilizada por un grupo muy
reducido de empleados, generalmente de la alta direcci�n del Organismo,
y cuya divulgaci�n o uso no autorizados podr�a ocasionar p�rdidas
graves al mismo, al Sector P�blico Nacional o a terceros. RESERVADA
SECRETA
• Integridad:
0- Informaci�n cuya modificaci�n no autorizada puede repararse f�cilmente, o no afecta la operatoria del Organismo.
1- Informaci�n cuya modificaci�n no autorizada puede repararse aunque
podr�a ocasionar p�rdidas leves para el Organismo, el Sector P�blico
Nacional o terceros.
2- Informaci�n cuya modificaci�n no autorizada es de dif�cil reparaci�n
y podr�a ocasionar p�rdidas significativas para el Organismo, el Sector
P�blico Nacional o terceros.
3- Informaci�n cuya modificaci�n no autorizada no podr�a repararse,
ocasionando p�rdidas graves al Organismo, al Sector P�blico Nacional o
a terceros.
• Disponibilidad:
0- Informaci�n cuya inaccesibilidad no afecta la operatoria del Organismo.
1- Informaci�n cuya inaccesibilidad permanente durante ....... (definir
un plazo no menor a una semana) podr�a ocasionar p�rdidas
significativas para el Organismo, el Sector P�blico Nacional o terceros.
2- Informaci�n cuya inaccesibilidad permanente durante ....... (definir
un plazo no menor a un d�a) podr�a ocasionar p�rdidas significativas al
Organismo, al Sector P�blico Nacional o a terceros.
3- Informaci�n cuya inaccesibilidad permanente durante ....... (definir
un plazo no menor a una hora) podr�a ocasionar p�rdidas significativas
al Organismo, al Sector P�blico Nacional o a terceros.
Al referirse a p�rdidas, se contemplan aquellas mesurables (materiales)
y no mesurables (imagen, valor estrat�gico de la informaci�n,
obligaciones contractuales o p�blicas, disposiciones legales, etc.).
Se asignar� a la informaci�n un valor por cada uno de estos criterios.
Luego, se clasificar� la informaci�n en una de las siguientes
categor�as:
• CRITICIDAD BAJA: ninguno de los valores asignados superan el 1.
• CRITICIDAD MEDIA: alguno de los valores asignados es 2
• CRITICIDAD ALTA: alguno de los valores asignados es 3
S�lo el Propietario de la Informaci�n puede asignar o cambiar su nivel
de clasificaci�n, cumpliendo con los siguientes requisitos previos:
• Asignarle una fecha de efectividad.
• Comunic�rselo al depositario del recurso.
• Realizar los cambios necesarios para que los Usuarios conozcan la nueva clasificaci�n.
Luego de clasificada la informaci�n, el propietario de la misma
identificar� los recursos asociados (sistemas, equipamiento, servicios,
etc.) y los perfiles funcionales que deben tener acceso a la misma.
En adelante se mencionar� como “informaci�n clasificada” (o “datos
clasificados”) a aquella que se encuadre en los niveles 1, 2 � 3 de
Confidencialidad.
7.2.2 Control: Etiquetado y manipulado de la informaci�n
Se definir�n procedimientos para el rotulado y manejo de informaci�n,
de acuerdo al esquema de clasificaci�n definido. Los mismos
contemplar�n los recursos de informaci�n tanto en formatos f�sicos como
electr�nicos e incorporar�n las siguientes actividades de procesamiento
de la informaci�n:
- Copia;
- Almacenamiento;
- Transmisi�n por correo, fax, correo electr�nico;
- Transmisi�n oral (telefon�a fija y m�vil, correo de voz, contestadores autom�ticos, etc.).
- Transmisi�n a trav�s de mecanismos de intercambio de archivos (FTP, almacenamiento masivo remoto, etc.)
Para cada uno de los niveles de clasificaci�n, se deben definir los
procedimientos de manejo seguros, incluyendo las actividades de
procesamiento, almacenaje, transmisi�n, de-clasificaci�n y destrucci�n.
8. Cl�usula: Recursos Humanos
Generalidades
La seguridad de la informaci�n se basa en la capacidad para preservar
su integridad, confidencialidad y disponibilidad, por parte de los
elementos involucrados en su tratamiento: equipamiento, software,
procedimientos, as� como de los recursos humanos que utilizan dichos
componentes.
En este sentido, es fundamental educar e informar al personal desde su
ingreso y en forma continua, cualquiera sea su situaci�n de revista,
acerca de las medidas de seguridad que afectan al desarrollo de sus
funciones y de las expectativas depositadas en ellos en materia de
seguridad y asuntos de confidencialidad. De la misma forma, es
necesario definir las sanciones que se aplicar�n en caso de
incumplimiento.
La implementaci�n de la Pol�tica de Seguridad de la Informaci�n tiene
como meta minimizar la probabilidad de ocurrencia de incidentes. Es por
ello que resulta necesario implementar un mecanismo que permita
reportar las debilidades y los incidentes tan pronto como sea posible,
a fin de subsanarlos y evitar eventuales replicaciones. Por lo tanto,
es importante analizar las causas del incidente producido y aprender
del mismo, a fin de corregir las pr�cticas existentes, que no pudieron
prevenirlo, y evitarlo en el futuro.
Objetivo
Reducir los riesgos de error humano, comisi�n de il�citos, uso
inadecuado de instalaciones y recursos, y manejo no autorizado de la
informaci�n.
Explicitar las responsabilidades en materia de seguridad en la etapa de
reclutamiento de personal e incluirlas en los acuerdos a firmarse y
verificar su cumplimiento durante el desempe�o del individuo como
empleado.
Garantizar que los usuarios est�n al corriente de las amenazas e
incumbencias en materia de seguridad de la informaci�n, y se encuentren
capacitados para respaldar la Pol�tica de Seguridad del Organismo en el
transcurso de sus tareas normales.
Establecer Compromisos de Confidencialidad con todo el personal y
usuarios externos de las instalaciones de procesamiento de informaci�n.
Establecer las herramientas y mecanismos necesarios para promover la
comunicaci�n de debilidades existentes en materia de seguridad, as�
como de los incidentes ocurridos, con el objeto de minimizar sus
efectos y prevenir su reincidencia.
Alcance
Esta Pol�tica se aplica a todo el personal del Organismo, cualquiera
sea su situaci�n de revista, y al personal externo que efect�e tareas
dentro del �mbito del Organismo.
Responsabilidad
El Responsable del Area de Recursos Humanos incluir� las funciones
relativas a la seguridad de la informaci�n en las descripciones de
puestos de los empleados, informar� a todo el personal que ingresa de
sus obligaciones respecto del cumplimiento de la Pol�tica de Seguridad
de la Informaci�n, gestionar� los Compromisos de Confidencialidad con
el personal y coordinar� las tareas de capacitaci�n de usuarios
respecto de la presente Pol�tica.
El Responsable del Area Jur�dica participar� en la confecci�n del
Compromiso de Confidencialidad a firmar por los empleados y terceros
que desarrollen funciones en el organismo, en el asesoramiento sobre
las sanciones a ser aplicadas por incumplimiento de la presente
Pol�tica y en el tratamiento de incidentes de seguridad que requieran
de su intervenci�n.
Pol�tica
8.1 Categor�a: Antes del empleo
Objetivo
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean id�neos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
Las responsabilidades de seguridad deben ser tratadas antes del empleo
en las definiciones de trabajo adecuadas y en los t�rminos y
condiciones del empleo
8.1.1 Control: Funciones y responsabilidades
Las funciones y responsabilidades en materia de seguridad ser�n
incorporadas en la descripci�n de las responsabilidades de los puestos
de trabajo.
Estas incluir�n las responsabilidades generales relacionadas con la
implementaci�n y el mantenimiento de la Pol�tica de Seguridad, y las
responsabilidades espec�ficas vinculadas a la protecci�n de cada uno de
los activos, o la ejecuci�n de procesos o actividades de seguridad
determinadas.
Se definir�n y comunicar�n claramente los roles y responsabilidades de
seguridad a los candidatos para el puesto de trabajo durante el proceso
de preselecci�n.
8.1.2 Control: Investigaci�n de antecedentes
Se llevar�n a cabo controles de verificaci�n del personal en el momento
en que se solicita el puesto. Estos controles incluir�n todos los
aspectos que indiquen las normas que a tal efecto, alcanzan al
Organismo.
Los chequeos de verificaci�n deben incluir:
a) Disponibilidad de referencias de car�cter satisfactorias
b) Chequeo del curr�culum vitae del postulante
c) Confirmaci�n de t�tulos acad�micos y profesionales mencionados por el postulante
d) Acreditaci�n de su identidad
8.1.3 Control: T�rminos y condiciones de contrataci�n
Como parte de sus t�rminos y condiciones iniciales de empleo, los
empleados, cualquiera sea su situaci�n de revista, firmar�n un
Compromiso de Confidencialidad o no divulgaci�n, en lo que respecta al
tratamiento de la informaci�n del Organismo. La copia firmada del
Compromiso debe ser retenida en forma segura por el Area de Recursos
Humanos u otra competente.
Asimismo, mediante el Compromiso de Confidencialidad el empleado
declarar� conocer y aceptar la existencia de determinadas actividades
que pueden ser objeto de control y monitoreo. Estas actividades deben
ser detalladas a fin de no violar el derecho a la privacidad del
empleado.
Se desarrollar� un procedimiento para la suscripci�n del Compromiso de Confidencialidad donde se incluir�n aspectos sobre:
a) Suscripci�n inicial del Compromiso por parte de la totalidad del personal.
b) Revisi�n del contenido del Compromiso cada ….(indicar per�odo no mayor al a�o).
c) M�todo de re-suscripci�n en caso de modificaci�n del texto del Compromiso.
Los t�rminos y condiciones de empleo establecer�n la responsabilidad del empleado en materia de seguridad de la informaci�n.
Cuando corresponda, los t�rminos y condiciones de empleo establecer�n
que estas responsabilidades se extienden m�s all� de los l�mites de la
sede del Organismo y del horario normal de trabajo.
Los derechos y obligaciones del empleado relativos a la seguridad de la
informaci�n, por ejemplo en relaci�n con las leyes de Propiedad
Intelectual o la legislaci�n de protecci�n de datos, se encontrar�n
aclarados e incluidos en los t�rminos y condiciones de empleo.
8.2 Categor�a: Durante el empleo
Objetivo
Asegurar que los usuarios empleados, contratistas y terceras personas
est�n al tanto de las amenazas e inquietudes de la seguridad de la
informaci�n, sus responsabilidades y obligaciones, y est�n equipadas
para apoyar la pol�tica de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.
Se deben definir las responsabilidades de la gerencia para asegurar que
se aplique la seguridad a lo largo de todo el tiempo del empleo de la
persona dentro del Organismo.
8.2.1 Control: Responsabilidad de la direcci�n
La direcci�n solicitar� a los empleados, contratistas y usuarios de
terceras partes que apliquen la seguridad en concordancia con las
pol�ticas y procedimientos establecidos por la organizaci�n, cumpliendo
con o siguiente:
a) estar adecuadamente informados de sus roles y responsabilidades de
seguridad de la informaci�n antes de que se les otorgue el acceso a
informaci�n sensible o a los sistemas de informaci�n;
b) ser provistos de gu�as para establecer las expectativas de seguridad de su rol dentro del Organismo;
c) ser motivados para cumplir con las pol�ticas de seguridad del Organismo;
d) alcancen un nivel de conciencia sobre la seguridad acorde con sus roles y responsabilidades dentro del Organismo;
e) cumplir con las condiciones y t�rminos del empleo, los cuales
incluyen las pol�ticas de seguridad de la informaci�n del Organismo y
m�todos adecuados de trabajo;
f) mantenerse con las habilidades y calificaciones adecuadas.
Si los empleados, contratistas y usuarios no son conscientes de sus
responsabilidades de seguridad, ellos pueden causar da�os considerables
al organismo. Un personal motivado tiene m�s probabilidades de ser m�s
confiable y causar menos incidentes de seguridad de la informaci�n.
8.2.2 Control: Concientizaci�n, formaci�n y capacitaci�n en seguridad de la informaci�n
Todos los empleados del Organismo y, cuando sea pertinente, los
usuarios externos y los terceros que desempe�en funciones en el
organismo, recibir�n una adecuada capacitaci�n y actualizaci�n
peri�dica en materia de la pol�tica, normas y procedimientos del
Organismo. Esto comprende los requerimientos de seguridad y las
responsabilidades legales, as� como la capacitaci�n referida al uso
correcto de las instalaciones de procesamiento de informaci�n y el uso
correcto de los recursos en general, como por ejemplo su estaci�n de
trabajo.
El Responsable del Area de Recursos Humanos ser� el encargado de
coordinar las acciones de capacitaci�n que surjan de la presente
Pol�tica.
Cada ........ (indicar periodicidad no mayor a un a�o) se revisar� el
material correspondiente a la capacitaci�n, a fin de evaluar la
pertinencia de su actualizaci�n, de acuerdo al estado del arte de ese
momento.
Las siguientes �reas ser�n encargadas de generar el material de capacitaci�n
| Areas Responsables del Material de Capacitaci�n |
| ................................................. |
| ................................................. |
Adicionalmente, las �reas responsables de generar el material de
capacitaci�n dispondr�n de informaci�n sobre seguridad de la
Informaci�n para la Administraci�n P�blica Nacional en la Coordinaci�n
de Emergencias en Redes Teleinform�ticas para complementar los
materiales por ellas generados.
El personal que ingrese al Organismo recibir� el material,
indic�ndosele el comportamiento esperado en lo que respecta a la
seguridad de la informaci�n, antes de serle otorgados los privilegios
de acceso a los sistemas que correspondan.
Por otra parte, se arbitrar�n los medios t�cnicos necesarios para
comunicar a todo el personal, eventuales modificaciones o novedades en
materia de seguridad, que deban ser tratadas con un orden preferencial.
8.2.3 Control: Proceso disciplinario
Se seguir� el proceso disciplinario formal contemplado en las normas
estatutarias, escalafonarias y convencionales que rigen al personal de
la Administraci�n P�blica Nacional, para los empleados que violen la
Pol�tica, Normas y Procedimientos de Seguridad del Organismo.
El proceso disciplinario tambi�n se puede utilizar como un elemento
disuasivo para evitar que los empleados, contratistas y terceros que
violen la pol�ticas y procedimientos de la seguridad del organismo y
cualquier otro incumplimiento de la seguridad.
8.3 Categor�a: Cese del empleo o cambio de puesto de trabajo
Objetivo
Asegurar que los usuarios empleados, contratistas y terceras personas
salgan del Organismo o cambien de empleo de una manera ordenada.
Se deben establecer las responsabilidades para asegurar que la salida
del Organismo del usuario empleado, contratista o tercera persona sea
manejada y se complete la devoluci�n de todo el equipo y se eliminen
todos los derechos de acceso.
8.3.1 Control: Responsabilidad del cese o cambio
Las responsabilidades para realizar la desvinculaci�n o cambio de
puesto deben ser claramente definidas y asignadas, incluyendo
requerimientos de seguridad y responsabilidades legales a posteriori y,
cuando sea apropiado, las responsabilidades contenidas dentro de
cualquier acuerdo de confidencialidad, y los t�rminos y condiciones de
empleo con continuidad por un per�odo definido de tiempo luego de la
finalizaci�n del trabajo del empleado, contratista o usuario de tercera
parte.
Puede ser necesario informar a los empleados, contratistas y terceros de los cambios en el personal y los acuerdos de operaci�n.
8.3.2 Control: Devoluci�n de activos
Todos los empleados, contratistas y usuarios de terceras partes deben
devolver todos los activos de la organizaci�n en su poder (software,
documentos corporativos, equipamiento, dispositivos de computaci�n
m�viles, tarjetas de cr�dito, tarjetas de ingreso, etc.) tras la
terminaci�n de su empleo, contrato, o acuerdo.
En los casos donde el empleado, contratista y usuarios tengan
conocimiento que es importante para las operaciones actuales, esa
informaci�n debe ser documentada y transferida al organismo.
8.3.3 Control: Retiro de los derechos de acceso
Se revisar�n los derechos de acceso de un individuo a los activos
asociados con los sistemas y servicios de informaci�n tras la
desvinculaci�n, Esto determinar� si es necesario remover los derechos
de acceso.
Con el cambio de un empleo deben removerse todos los derechos de acceso
que no fueron aprobados para el nuevo empleo, comprendiendo esto
accesos l�gicos y f�sicos, llaves, tarjetas de identificaci�n,
instalaciones de procesamiento de la informaci�n, suscripciones, y
remoci�n de cualquier documentaci�n que lo identifique como un miembro
corriente del Organismo.
Si un empleado, contratista o usuario de tercera parte que se est�
desvinculando tiene conocimiento de contrase�as para cuentas que
permanecen activas, �stas deben ser cambiadas tras la finalizaci�n o
cambio de empleo, contrato o acuerdo.
Se evaluar� la reducci�n o eliminaci�n de los derechos de acceso a los
activos de la informaci�n y a las instalaciones de procesamiento de la
informaci�n antes de que el empleo termine o cambie, dependiendo de
factores de riesgos, tales como:
a) si la terminaci�n o cambio es iniciado por el empleado, contratista
o usuario de tercera parte, o por la gesti�n y la raz�n de la
finalizaci�n;
b) las responsabilidades actuales del empleado, contratista o cualquier otro usuario;
c) el valor de los activos accesibles actualmente.
9. Cl�usula: F�sica y Ambiental
Generalidades
La seguridad f�sica y ambiental brinda el marco para minimizar los
riesgos de da�os e interferencias a la informaci�n y a las operaciones
del Organismo. Asimismo, pretende evitar al m�ximo el riesgo de accesos
f�sicos no autorizados, mediante el establecimiento de per�metros de
seguridad.
Se distinguen tres conceptos a tener en cuenta: la protecci�n f�sica de
accesos, la protecci�n ambiental y el transporte, protecci�n y
mantenimiento de equipamiento y documentaci�n.
El establecimiento de per�metros de seguridad y �reas protegidas
facilita la implementaci�n de controles tendientes a proteger las
instalaciones de procesamiento de informaci�n cr�tica o sensible del
Organismo, de accesos f�sicos no autorizados.
El control de los factores ambientales permite garantizar el correcto
funcionamiento de los equipos de procesamiento y minimizar las
interrupciones de servicio. Deben contemplarse tanto los riesgos en las
instalaciones del Organismo como en instalaciones pr�ximas a la sede
del mismo que puedan interferir con las actividades.
El equipamiento donde se almacena informaci�n es susceptible de
mantenimiento peri�dico, lo cual implica en ocasiones su traslado y
permanencia fuera de las �reas protegidas del Organismo. Dichos
procesos deben ser ejecutados bajo estrictas normas de seguridad y de
preservaci�n de la informaci�n almacenada en los mismos. As� tambi�n se
tendr� en cuenta la aplicaci�n de dichas normas en equipamiento
perteneciente al Organismo pero situado f�sicamente fuera del mismo
(“housing”) as� como en equipamiento ajeno que albergue sistemas y/o
preste servicios de procesamiento de informaci�n al Organismo
(“hosting”).
La informaci�n almacenada en los sistemas de procesamiento y la
documentaci�n contenida en diferentes medios de almacenamiento, son
susceptibles de ser recuperadas mientras no est�n siendo utilizados. Es
por ello que el transporte y la disposici�n final presentan riesgos que
deben ser evaluados.
Gran cantidad de informaci�n manejada en las oficinas se encuentra
almacenada en papel, por lo que es necesario establecer pautas de
seguridad para la conservaci�n de dicha documentaci�n; y para su
destrucci�n cuando as� lo amerite.
Objetivo
Prevenir e impedir accesos no autorizados, da�os e interferencia a las sedes, instalaciones e informaci�n del Organismo.
Proteger el equipamiento de procesamiento de informaci�n cr�tica del
Organismo ubic�ndolo en �reas protegidas y resguardadas por un
per�metro de seguridad definido, con medidas de seguridad y controles
de acceso apropiados. Asimismo, contemplar la protecci�n del mismo en
su traslado y permanencia fuera de las �reas protegidas, por motivos de
mantenimiento u otros.
Controlar los factores ambientales que podr�an perjudicar el correcto
funcionamiento del equipamiento inform�tico que alberga la informaci�n
del Organismo.
Implementar medidas para proteger la informaci�n manejada por el
personal en las oficinas, en el marco normal de sus labores habituales.
Proporcionar protecci�n proporcional a los riesgos identificados.
Alcance
Esta Pol�tica se aplica a todos los recursos f�sicos relativos a los
sistemas de informaci�n del Organismo: instalaciones, equipamiento,
cableado, expedientes, medios de almacenamiento, etc.
Responsabilidad
El Responsable de Seguridad de la Informaci�n definir� junto con el
Responsable del Area Inform�tica y los Propietarios de Informaci�n,
seg�n corresponda, las medidas de seguridad f�sica y ambiental para el
resguardo de los activos cr�ticos, en funci�n a un an�lisis de riesgos,
y controlar� su implementaci�n. Asimismo, verificar� el cumplimiento de
las disposiciones sobre seguridad f�sica y ambiental indicadas en el
presente Cap�tulo.
El Responsable del Area Inform�tica asistir� al Responsable de
Seguridad de la Informaci�n en la definici�n de las medidas de
seguridad a implementar en �reas protegidas, y coordinar� su
implementaci�n. Asimismo, controlar� el mantenimiento del equipamiento
inform�tico de acuerdo a las indicaciones de proveedores tanto dentro
como fuera de las instalaciones del Organismo.
Los Responsables de Unidades Organizativas definir�n los niveles de
acceso f�sico del personal del organismo a las a las �reas restringidas
bajo su responsabilidad.
Los Propietarios de la Informaci�n autorizar�n formalmente el trabajo
fuera de las instalaciones con informaci�n de su incumbencia a los
empleados del Organismo cuando lo crean conveniente.
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n revisar� los registros de
acceso a las �reas protegidas.
Todo el personal del Organismo es responsable del cumplimiento de la
pol�tica de pantallas y escritorios limpios, para la protecci�n de la
informaci�n relativa al trabajo diario en las oficinas.
Pol�tica
9.1 Categor�a: Areas Seguras
Objetivo
Evitar el acceso f�sico no autorizado, da�o e interferencia con la informaci�n y los locales del Organismo.
Los medios de procesamiento de informaci�n cr�tica o confidencial deben
ubicarse en �reas seguras, protegidas por los per�metros de seguridad
definidos, con las barreras de seguridad y controles de entrada
apropiados. Deben estar f�sicamente protegidos del acceso no
autorizado, da�o e interferencia.
9.1.1 Control: Per�metro de seguridad f�sica
La protecci�n f�sica se llevar� a cabo mediante la creaci�n de diversas
barreras o medidas de control f�sicas alrededor de las sedes del
Organismo y de las instalaciones de procesamiento de informaci�n.
El Organismo utilizar� per�metros de seguridad para proteger las �reas
que contienen instalaciones de procesamiento de informaci�n, de
suministro de energ�a el�ctrica, de aire acondicionado, y cualquier
otra �rea considerada cr�tica para el correcto funcionamiento de los
sistemas de informaci�n. Un per�metro de seguridad est� delimitado por
una barrera, por ejemplo una pared, una puerta de acceso controlado por
dispositivo de autenticaci�n o un escritorio u oficina de recepci�n
atendidos por personas. El emplazamiento y la fortaleza de cada barrera
estar�n definidas por el Responsable del Area Inform�tica con el
asesoramiento del Responsable de Seguridad de la Informaci�n, de
acuerdo a la evaluaci�n de riesgos efectuada.
Se considerar�n e implementar�n los siguientes lineamientos y controles, seg�n corresponda:
a) Definir y documentar claramente el per�metro de seguridad.
b) Ubicar las instalaciones de procesamiento de informaci�n dentro del
per�metro de un edificio o �rea de construcci�n f�sicamente s�lida (por
ejemplo no deben existir aberturas en el per�metro o �reas donde pueda
producirse f�cilmente una irrupci�n). Las paredes externas del �rea
deben ser s�lidas y todas las puertas que comunican con el exterior
deben estar adecuadamente protegidas contra accesos no autorizados, por
ejemplo mediante mecanismos de control, vallas, alarmas, cerraduras,
etc.
c) Verificar la existencia de un �rea de recepci�n atendida por
personal. Si esto no fuera posible se implementar�n los siguientes
medios alternativos de control de acceso f�sico al �rea o
edificio:....... (indicar otros medios alternativos de control). El
acceso a dichas �reas y edificios estar� restringido exclusivamente al
personal autorizado. Los m�todos implementados registrar�n cada ingreso
y egreso en forma precisa.
d) Extender las barreras f�sicas necesarias desde el piso (real) hasta
el techo (real), a fin de impedir el ingreso no autorizado y la
contaminaci�n ambiental, por ejemplo por incendio, humedad e inundaci�n.
e) Identificar claramente todas las puertas de incendio de un per�metro de seguridad.
Un �rea segura puede ser una oficina con llave, o varias oficinas
rodeadas por una barrera de seguridad f�sica interna continua. Pueden
ser necesarios barreras y per�metros adicionales para controlar el
acceso f�sico entre las �reas con diferentes requerimientos de
seguridad, dentro del mismo per�metro de seguridad
El Responsable de Seguridad de la Informaci�n llevar� un registro actualizado de los sitios protegidos, indicando:
a) Identificaci�n del Edificio y Area.
b) Principales elementos a proteger.
c) Medidas de protecci�n f�sica
9.1.2 Control: Controles f�sicos de entrada
Las �reas protegidas se resguardar�n mediante el empleo de controles de
acceso f�sico, los que ser�n determinados por el Responsable de
Seguridad de la Informaci�n junto con el Responsable del Area
Inform�tica, a fin de permitir el acceso s�lo al personal autorizado.
Estos controles de acceso f�sico tendr�n, por lo menos, las siguientes
caracter�sticas:
a) Supervisar o inspeccionar a los visitantes a �reas protegidas y
registrar la fecha y horario de su ingreso y egreso. S�lo se permitir�
el acceso mediando prop�sitos espec�ficos y autorizados e instruy�ndose
al visitante en el momento de ingreso sobre los requerimientos de
seguridad del �rea y los procedimientos de emergencia.
b) Controlar y limitar el acceso a la informaci�n clasificada y a las
instalaciones de procesamiento de informaci�n, exclusivamente a las
personas autorizadas. Se utilizar�n los siguientes controles de
autenticaci�n para autorizar y validar todos los accesos:....... (por
ejemplo: personal de guardia con listado de personas habilitadas o por
tarjeta magn�tica o inteligente y n�mero de identificaci�n personal
(PIN), etc.). Se mantendr� un registro protegido para permitir auditar
todos los accesos.
c) Implementar el uso de una identificaci�n un�voca visible para todo
el personal del �rea protegida e instruirlo acerca de cuestionar la
presencia de desconocidos no escoltados por personal autorizado y a
cualquier persona que no exhiba una identificaci�n visible.
d) Revisar y actualizar cada ……. (definir per�odo no mayor a 6 meses)
los derechos de acceso a las �reas protegidas, los que ser�n
documentados y firmados por el Responsable de la Unidad Organizativa de
la que dependa.
e) Revisar los registros de acceso a las �reas protegidas. Esta tarea
la realizar� la Unidad de Auditor�a Interna o en su defecto quien sea
propuesto por el Comit� de Seguridad de la Informaci�n.
9.1.3 Control: Seguridad de oficinas, despachos, instalaciones
Para la selecci�n y el dise�o de un �rea protegida se tendr� en cuenta
la posibilidad de da�o producido por incendio, inundaci�n, explosi�n,
agitaci�n civil, y otras formas de desastres naturales o provocados por
el hombre. Tambi�n se tomar�n en cuenta las disposiciones y normas
(est�ndares) en materia de sanidad y seguridad. Asimismo, se
considerar�n las amenazas a la seguridad que representan los edificios
y zonas aleda�as, por ejemplo, filtraci�n de agua desde otras
instalaciones.
Se definen los siguientes sitios como �reas protegidas del Organismo
| Areas Protegidas |
| .............................................. |
| .............................................. |
Se establecen las siguientes medidas de protecci�n para �reas protegidas:
a) Ubicar las instalaciones cr�ticas en lugares a los cuales no pueda acceder personal no autorizado.
b) Establecer que los edificios o sitios donde se realicen actividades
de procesamiento de informaci�n ser�n discretos y ofrecer�n un
se�alamiento m�nimo de su prop�sito, sin signos obvios, exteriores o
interiores.
c) Ubicar las funciones y el equipamiento de soporte, por ejemplo:
impresoras, fotocopiadoras, m�quinas de fax, adecuadamente dentro del
�rea protegida para evitar solicitudes de acceso, el cual podr�a
comprometer la informaci�n.
d) Establecer que las puertas y ventanas permanecer�n cerradas cuando
no haya vigilancia. Se agregar� protecci�n externa a las ventanas, en
particular las que se encuentran en planta baja o presenten riesgos
especiales.
e) Implementar los siguientes mecanismos de control para la detecci�n
de intrusos: ........... (detallar cu�les). Los mismos ser�n instalados
seg�n est�ndares profesionales y probados peri�dicamente. Estos
mecanismos de control comprender�n todas las puertas exteriores y
ventanas accesibles.
f) Separar las instalaciones de procesamiento de informaci�n
administradas por el Organismo de aqu�llas administradas por terceros.
g) Restringir el acceso p�blico a las gu�as telef�nicas y listados de
tel�fonos internos que identifican las ubicaciones de las instalaciones
de procesamiento de informaci�n sensible.
h) Almacenar los materiales peligrosos o combustibles en los siguientes
lugares seguros a una distancia prudencial de las �reas protegidas del
Organismo: ......... (incluir lista de lugares seguros). Los
suministros, como los �tiles de escritorio, no ser�n trasladados al
�rea protegida hasta que sean requeridos.
i) Almacenar los equipos redundantes y la informaci�n de resguardo
(back up) en un sitio seguro y distante del lugar de procesamiento,
para evitar da�os ocasionados ante eventuales contingencias en el sitio
principal: ............. (detallar ubicaci�n).
9.1.4 Control: Protecci�n contra amenazas externas y de origen ambiental
Se debe asignar y aplicar protecci�n f�sica contra da�o por fuego,
inundaci�n, terremoto, explosi�n, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
Se debe prestar consideraci�n a cualquier amenaza contra la seguridad
presentada por locales vecinos; por ejemplo, un fuego en un edificio
vecino, escape de agua en el techo o pisos en s�tano o una explosi�n en
la calle.
Se debe considerar los siguientes lineamientos para evitar el da�o por
fuego, inundaci�n, terremoto, explosi�n, revuelta civil y otras formas
de desastres naturales o causados por el hombre:
a) los materiales peligrosos o combustibles deben ser almacenados a una
distancia segura del �rea asegurada. Los suministros a granel como
papeler�a no deben almacenarse en el �rea asegurada;
b) el equipo de reemplazo y los medios de respaldo debieran ubicarse a
una distancia segura para evitar el da�o de un desastre que afecte el
local principal;
c) se debe proporcionar equipo contra-incendios ubicado adecuadamente.
9.1.5 Control: Trabajo en �reas seguras
Para incrementar la seguridad de las �reas protegidas, se establecen
los siguientes controles y lineamientos adicionales. Esto incluye
controles para el personal que trabaja en el �rea protegida, as� como
para las actividades de terceros que tengan lugar all�:
a) Dar a conocer al personal la existencia del �rea protegida, o de las
actividades que all� se llevan a cabo, s�lo si es necesario para el
desarrollo de sus funciones.
b) Evitar la ejecuci�n de trabajos por parte de terceros sin supervisi�n.
c) Bloquear f�sicamente e inspeccionar peri�dicamente las �reas protegidas desocupadas.
d) Limitar el acceso al personal del servicio de soporte externo a las
�reas protegidas o a las instalaciones de procesamiento de informaci�n
sensible. Este acceso, como el de cualquier otra persona ajena que
requiera acceder al �rea protegida, ser� otorgado solamente cuando sea
necesario y se encuentre autorizado y monitoreado. Se mantendr� un
registro de todos los accesos de personas ajenas.
e) Pueden requerirse barreras y per�metros adicionales para controlar
el acceso f�sico entre �reas con diferentes requerimientos de
seguridad, y que est�n ubicadas dentro del mismo per�metro de seguridad.
f) Impedir el ingreso de equipos de computaci�n m�vil, fotogr�ficos, de
v�deo, audio o cualquier otro tipo de equipamiento que registre
informaci�n, a menos que hayan sido formalmente autorizadas por el
Responsable de dicho �rea o el Responsable del Area Inform�tica y el
Responsable de Seguridad de la Informaci�n.
g) Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la informaci�n.
9.1.6 Control: Areas de acceso p�blico, de carga y descarga
Se controlar�n las �reas de Recepci�n y Distribuci�n, las cuales
estar�n aisladas de las instalaciones de procesamiento de informaci�n,
a fin de impedir accesos no autorizados.
Para ello se establecer�n controles f�sicos que considerar�n los siguientes lineamientos:
a) Limitar el acceso a las �reas de dep�sito, desde el exterior de la
sede del Organismo, s�lo al personal previamente identificado y
autorizado.
b) Dise�ar el �rea de dep�sito de manera tal que los suministros puedan
ser descargados sin que el personal que realiza la entrega acceda a
otros sectores del edificio.
c) Proteger todas las puertas exteriores del dep�sito cuando se abre la puerta interna.
d) Inspeccionar el material entrante para descartar peligros
potenciales antes de ser trasladado desde el �rea de dep�sito hasta el
lugar de uso.
e) Registrar el material entrante al ingresar al sitio pertinente.
f) Cuando fuese posible, el material entrante debe estar segregado o separado en sus diferentes partes que lo constituyan.
9.2 Categor�a: Seguridad de los equipos
Objetivo
Evitar p�rdida, da�o, robo o compromiso de los activos y la interrupci�n de las actividades del Organismo.
Se debe proteger el equipo de amenazas f�sicas y ambientales.
9.2.1 Control: emplazamiento y protecci�n de equipos
El equipamiento ser� ubicado y protegido de tal manera que se reduzcan
los riesgos ocasionados por amenazas y peligros ambientales, y las
oportunidades de acceso no autorizado, teniendo en cuenta los
siguientes puntos:
a) Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado.
b) Ubicar las instalaciones de procesamiento y almacenamiento de
informaci�n que manejan datos clasificados, en un sitio que permita la
supervisi�n durante su uso.
c) Aislar los elementos que requieren protecci�n especial para reducir el nivel general de protecci�n requerida.
d) Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales, por:
| Amenazas Potenciales | Controles |
| Robo o hurto |
|
| Incendio |
|
| Explosivos |
|
| Humo |
|
| Inundaciones o filtraciones de agua (o falta de suministro) |
|
| Polvo |
|
| Vibraciones |
|
| Efectos qu�micos |
|
| Interferencia en el suministro de energ�a el�ctrica (cortes de suministro, variaci�n de tensi�n) |
|
| Radiaci�n electromagn�tica |
|
| Derrumbes |
|
| ....... |
|
e) Se deben establecer lineamientos sobre las actividades de comer,
beber y fumar en la proximidad de los medios de procesamiento de la
informaci�n.
f) Revisar regularmente las condiciones ambientales para verificar que
las mismas no afecten de manera adversa el funcionamiento de las
instalaciones de procesamiento de la informaci�n. Esta revisi�n se
realizar� cada: ..............(indicar periodicidad, no mayor a seis
meses).
g) Se deben aplicar protecci�n contra rayos a todos los edificios y se
deben adaptar filtros de protecci�n contra rayos a todas las l�neas de
ingreso de energ�a y comunicaciones.
h) Considerar asimismo el impacto de las amenazas citadas en el punto
d) que tengan lugar en zonas pr�ximas a la sede del Organismo.
9.2.2 Control: Instalaciones de suministro
El equipamiento estar� protegido con respecto a las posibles fallas en
el suministro de energ�a u otras anomal�as el�ctricas. El suministro de
energ�a estar� de acuerdo con las especificaciones del fabricante o
proveedor de cada equipo. Para asegurar la continuidad del suministro
de energ�a, se contemplar�n las siguientes medidas de control:
a) Disponer de m�ltiples enchufes o l�neas de suministro para evitar un �nico punto de falla en el suministro de energ�a.
b) Contar con un suministro de energ�a interrumpible (UPS) para
asegurar el apagado regulado y sistem�tico o la ejecuci�n continua del
equipamiento que sustenta las operaciones cr�ticas del Organismo. La
determinaci�n de dichas operaciones cr�ticas, ser� el resultado del
an�lisis de impacto realizado por el Responsable de Seguridad de la
Informaci�n conjuntamente con los Propietarios de la Informaci�n con
incumbencia. Los planes de contingencia contemplar�n las acciones que
han de emprenderse ante una falla de la UPS. Los equipos de UPS ser�n
inspeccionados y probados peri�dicamente para asegurar que funcionan
correctamente y que tienen la autonom�a requerida.
c) Montar un generador de respaldo para los casos en que el
procesamiento deba continuar ante una falla prolongada en el suministro
de energ�a. Debe realizarse un an�lisis de impacto de las posibles
consecuencias ante una interrupci�n prolongada del procesamiento, con
el objeto de definir qu� componentes ser� necesario abastecer de
energ�a alternativa. Dicho an�lisis ser� realizado por el Responsable
de Seguridad de la Informaci�n conjuntamente con los Propietarios de la
Informaci�n. Se dispondr� de un adecuado suministro de combustible para
garantizar que el generador pueda funcionar por un per�odo prolongado.
Cuando el encendido de los generadores no sea autom�tico, se asegurar�
que el tiempo de funcionamiento de la UPS permita el encendido manual
de los mismos. Los generadores ser�n inspeccionados y probados
peri�dicamente para asegurar que funcionen seg�n lo previsto.
Asimismo, se procurar� que los interruptores de emergencia se ubiquen
cerca de las salidas de emergencia de las salas donde se encuentra el
equipamiento, a fin de facilitar un corte r�pido de la energ�a en caso
de producirse una situaci�n cr�tica. Se proveer� de iluminaci�n de
emergencia en caso de producirse una falla en el suministro principal
de energ�a. Se implementar� protecci�n contra descargas el�ctricas en
todos los edificios y l�neas de comunicaciones externas de acuerdo a
las normativas vigentes.
Las opciones para lograr la continuidad de los suministros de energ�a
incluyen m�ltiples alimentaciones para evitar que una falla en el
suministro de energ�a.
9.2.3 Control: Seguridad del cableado
El cableado de energ�a el�ctrica y de comunicaciones que transporta
datos o brinda apoyo a los servicios de informaci�n estar� protegido
contra intercepci�n o da�o, mediante las siguientes acciones:
a) Cumplir con los requisitos t�cnicos vigentes de la Rep�blica Argentina.
b) Utilizar pisoducto o cableado embutido en la pared, siempre que sea
posible, cuando corresponda a las instalaciones de procesamiento de
informaci�n. En su defecto estar�n sujetas a la siguiente protecci�n
alternativa: ...........(indicar protecci�n alternativa del cableado).
c) Proteger el cableado de red contra intercepci�n no autorizada o da�o
mediante los siguientes controles: ... (ejemplo: el uso de conductos o
evitando trayectos que atraviesen �reas p�blicas).
d) Separar los cables de energ�a de los cables de comunicaciones para evitar interferencias.
e) Proteger el tendido del cableado troncal (backbone) mediante la utilizaci�n de ductos blindados.
Para los sistemas sensibles o cr�ticos ........, ....... y .......
(detallar cu�les son), se implementar�n los siguientes controles
adicionales:
a) Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspecci�n.
b) Utilizar rutas o medios de transmisi�n alternativos.
9.2.4 Control: Mantenimiento de los equipos
Se realizar� el mantenimiento del equipamiento para asegurar su
disponibilidad e integridad permanentes. Para ello se debe considerar:
a) Someter el equipamiento a tareas de mantenimiento preventivo, de
acuerdo con los intervalos de servicio y especificaciones recomendados
por el proveedor y con la autorizaci�n formal del Responsables del Area
Inform�tica. El Area de Inform�tica mantendr� un listado actualizado
del equipamiento con el detalle de la frecuencia en que se realizar� el
mantenimiento preventivo.
b) Establecer que s�lo el personal de mantenimiento autorizado puede
brindar mantenimiento y llevar a cabo reparaciones en el equipamiento.
c) Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.
d) Registrar el retiro de equipamiento de la sede del Organismo para su mantenimiento.
e) Eliminar la informaci�n confidencial que contenga cualquier
equipamiento que sea necesario retirar, realiz�ndose previamente las
respectivas copias de resguardo.
9.2.5 Control: Seguridad de los equipos fuera de las instalaciones
El uso de equipamiento destinado al procesamiento de informaci�n, fuera
del �mbito del Organismo, ser� autorizado por el responsable
patrimonial. En el caso de que en el mismo se almacene informaci�n
clasificada, debe ser aprobado adem�s por el Propietario de la misma.
La seguridad provista debe ser equivalente a la suministrada dentro del
�mbito del Organismo para un prop�sito similar, teniendo en cuenta los
riesgos de trabajar fuera de la misma.
Se respetar�n permanentemente las instrucciones del fabricante respecto
del cuidado del equipamiento. Asimismo, se mantendr� una adecuada
cobertura de seguro para proteger el equipamiento fuera del �mbito del
Organismo, cuando sea conveniente.
Los riesgos de seguridad, por ejemplo: da�o, robo o intercepci�n; puede
variar considerablemente entre los edificios y se debe tomarlo en
cuenta para evaluar los controles apropiados.
9.2.6 Control: Reutilizaci�n o retiro seguro de equipos
La informaci�n puede verse comprometida por una desafectaci�n o una
reutilizaci�n descuidada del equipamiento. Los medios de almacenamiento
conteniendo material sensible, por ejemplo discos r�gidos no
removibles, ser�n f�sicamente destruidos o sobrescritos en forma segura
en lugar de utilizar las funciones de borrado est�ndar, seg�n
corresponda.
Los dispositivos que contengan informaci�n confidencial deben requerir
una evaluaci�n de riesgo para determinar si los �tems debieran ser
f�sicamente destruidos en lugar de enviarlos a reparar o descartar.
9.2.7 Control: Retirada de materiales propiedad de la empresa
El equipamiento, la informaci�n y el software no ser�n retirados de la sede del Organismo sin autorizaci�n formal.
Peri�dicamente, se llevar�n a cabo comprobaciones puntuales para
detectar el retiro no autorizado de activos del Organismo, las que
ser�n llevadas a cabo por ..... (indicar el Area responsable). El
personal ser� puesto en conocimiento de la posibilidad de realizaci�n
de dichas comprobaciones.
Los empleados deben saber que se llevan a cabo chequeos inesperados, y
los chequeos se deben realizar con la debida autorizaci�n de los
requerimientos legales y reguladores.
9.2.8 Pol�ticas de Escritorios y Pantallas Limpias. Se adopta una
pol�tica de escritorios limpios para proteger documentos en papel y
dispositivos de almacenamiento removibles y una pol�tica de pantallas
limpias en las instalaciones de procesamiento de informaci�n, a fin de
reducir los riesgos de acceso no autorizado, p�rdida y da�o de la
informaci�n, tanto durante el horario normal de trabajo como fuera del
mismo.
Se aplicar�n los siguientes lineamientos:
a) Almacenar bajo llave, cuando corresponda, los documentos en papel y
los medios inform�ticos, en gabinetes y/u otro tipo de mobiliario
seguro cuando no est�n siendo utilizados, especialmente fuera del
horario de trabajo.
b) Guardar bajo llave la informaci�n sensible o cr�tica del Organismo
(preferentemente en una caja fuerte o gabinete a prueba de incendios)
cuando no est� en uso, especialmente cuando no hay personal en la
oficina.
c) Desconectar de la red/sistema/servicio las computadoras personales,
terminales e impresoras asignadas a funciones cr�ticas, cuando est�n
desatendidas. Las mismas deben ser protegidas mediante cerraduras de
seguridad, contrase�as u otros controles cuando no est�n en uso (como
por ejemplo la utilizaci�n de protectores de pantalla con contrase�a).
Los responsables de cada �rea mantendr�n un registro de las contrase�as
o copia de las llaves de seguridad utilizadas en el sector a su cargo.
Tales elementos se encontrar�n protegidos en sobre cerrado o caja de
seguridad para impedir accesos no autorizados, debiendo dejarse
constancia de todo acceso a las mismas, y de los motivos que llevaron a
tal acci�n.
d) Proteger los puntos de recepci�n y env�o de correo postal y las m�quinas de fax no atendidas.
e) Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo.
f) Retirar inmediatamente la informaci�n sensible o confidencial, una vez impresa.
10. Cl�usula: Gesti�n de Comunicaciones y Operaciones
Generalidades
La proliferaci�n de software malicioso, como virus, troyanos, etc.,
hace necesario que se adopten medidas de prevenci�n, a efectos de
evitar la ocurrencia de tales amenazas.
Es conveniente separar los ambientes de desarrollo, prueba y
operaciones de los sistemas del Organismo, estableciendo procedimientos
que aseguren la calidad de los procesos que se implementen en el �mbito
operativo, a fin de minimizar los riesgos de incidentes producidos por
la manipulaci�n de informaci�n operativa.
Los sistemas de informaci�n est�n comunicados entre s�, tanto dentro
del Organismo como con terceros fuera de �l. Por lo tanto es necesario
establecer criterios de seguridad en las comunicaciones que se
establezcan.
Las comunicaciones establecidas permiten el intercambio de informaci�n,
que debe estar regulado para garantizar las condiciones de
confidencialidad, integridad y disponibilidad de la informaci�n que se
emite o recibe por los distintos canales.
Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informaci�n y comunicaciones.
Establecer responsabilidades y procedimientos para su gesti�n y
operaci�n, incluyendo instrucciones operativas, procedimientos para la
respuesta a incidentes y separaci�n de funciones.
Alcance
Todas las instalaciones de procesamiento y transmisi�n de informaci�n del Organismo.
Responsabilidad
El Responsable de Seguridad de la informaci�n tendr� a su cargo, entre otros:
• Definir procedimientos para el control de cambios a los procesos
operativos documentados, los sistemas e instalaciones de procesamiento
de informaci�n, y verificar su cumplimiento, de manera que no afecten
la seguridad de la informaci�n.
• Establecer criterios de aprobaci�n para nuevos sistemas de
informaci�n, actualizaciones y nuevas versiones, contemplando la
realizaci�n de las pruebas necesarias antes de su aprobaci�n
definitiva. Verificar que dichos procedimientos de aprobaci�n de
software incluyan aspectos de seguridad para todas las aplicaciones.
• Definir procedimientos para el manejo de incidentes de seguridad y para la administraci�n de los medios de almacenamiento.
• Definir y documentar una norma clara con respecto al uso del correo electr�nico.
• Controlar los mecanismos de distribuci�n y difusi�n de informaci�n dentro del Organismo.
• Definir y documentar controles para la detecci�n y prevenci�n del
acceso no autorizado, la protecci�n contra software malicioso y para
garantizar la seguridad de los datos y los servicios conectados en las
redes del Organismo.
• Desarrollar procedimientos adecuados de concientizaci�n de usuarios
en materia de seguridad, controles de acceso al sistema y
administraci�n de cambios.
• Verificar el cumplimiento de las normas, procedimientos y controles establecidos.
El Responsable del Area Inform�tica tendr� a su cargo lo siguiente:
• Controlar la existencia de documentaci�n actualizada relacionada con los procedimientos de comunicaciones y operaciones.
• Evaluar el posible impacto operativo de los cambios previstos a
sistemas y equipamiento y verificar su correcta implementaci�n,
asignando responsabilidades.
• Administrar los medios t�cnicos necesarios para permitir la segregaci�n de los ambientes de procesamiento.
• Monitorear las necesidades de capacidad de los sistemas en operaci�n
y proyectar las futuras demandas de capacidad, a fin de evitar
potenciales amenazas a la seguridad del sistema o a los servicios del
usuario.
• Controlar la realizaci�n de las copias de resguardo de informaci�n, as� como la prueba peri�dica de su restauraci�n.
• Asegurar el registro de las actividades realizadas por el personal operativo, para su posterior revisi�n.
• Desarrollar y verificar el cumplimiento de procedimientos para
comunicar las fallas en el procesamiento de la informaci�n o los
sistemas de comunicaciones, que permita tomar medidas correctivas.
• Implementar los controles de seguridad definidos (software malicioso y accesos no autorizados).
• Definir e implementar procedimientos para la administraci�n de medios
inform�ticos de almacenamiento, como cintas, discos, casetes e informes
impresos y para la eliminaci�n segura de los mismos.
• Participar en el tratamiento de los incidentes de seguridad, de acuerdo a los procedimientos establecidos.
El Responsable de Seguridad de la informaci�n junto con el Responsable
del Area Inform�tica y el Responsable del Area Jur�dica del Organismo
evaluar�n los contratos y acuerdos con terceros para garantizar la
incorporaci�n de consideraciones relativas a la seguridad de la
informaci�n involucrada en la gesti�n de los productos o servicios
prestados.
Cada Propietario de la Informaci�n, junto con el Responsable de
Seguridad de la Informaci�n y el Responsable del Area Inform�tica,
determinar� los requerimientos para resguardar la informaci�n por la
cual es responsable. Asimismo, aprobar� los servicios de mensajer�a
autorizados para transportar la informaci�n cuando sea requerido, de
acuerdo a su nivel de criticidad.
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n, revisar� las actividades que
no hayan sido posibles segregar. Asimismo, revisar� los registros de
actividades del personal operativo.
Pol�tica
10.1 Categor�a: Procedimientos y Responsabilidades Operativas
Objetivo
Asegurar la operaci�n correcta y segura de los medios de procesamiento de la informaci�n.
Se deben establecer las responsabilidades y procedimientos para la
gesti�n y operaci�n de todos los medios de procesamiento de la
informaci�n. Esto incluye el desarrollo de los procedimientos de
operaci�n apropiados.
10.1.1 Control: Documentaci�n de los Procedimientos Operativos
Se documentar�n y mantendr�n actualizados los procedimientos operativos
identificados en esta Pol�tica y sus cambios ser�n autorizados por el
Responsable de Seguridad de la Informaci�n.
Los procedimientos especificar�n instrucciones para la ejecuci�n detallada de cada tarea, incluyendo:
a) Procesamiento y manejo de la informaci�n.
b) Requerimientos de programaci�n de procesos, interdependencias con
otros sistemas, tiempos de inicio de las primeras tareas y tiempos de
terminaci�n de las �ltimas tareas.
c) Instrucciones para el manejo de errores u otras condiciones excepcionales que puedan surgir durante la ejecuci�n de tareas.
d) Restricciones en el uso de utilitarios del sistema.
e) Personas de soporte a contactar en caso de dificultades operativas o t�cnicas imprevistas.
f) Instrucciones especiales para el manejo de “salidas”, como el uso de
papeler�a especial o la administraci�n de salidas confidenciales,
incluyendo procedimientos para la eliminaci�n segura de salidas
fallidas de tareas.
g) Reinicio del sistema y procedimientos de recuperaci�n en caso de producirse fallas en el sistema.
Se preparar� adicionalmente documentaci�n sobre procedimientos referidos a las siguientes actividades:
a) Instalaci�n y mantenimiento de equipamiento para el procesamiento de informaci�n y comunicaciones.
b) Instalaci�n y mantenimiento de las plataformas de procesamiento.
c) Monitoreo del procesamiento y las comunicaciones.
d) Inicio y finalizaci�n de la ejecuci�n de los sistemas.
e) Programaci�n y ejecuci�n de procesos.
f) Gesti�n de servicios.
g) Resguardo de informaci�n.
h) Gesti�n de incidentes de seguridad en el ambiente de procesamiento y comunicaciones.
i) Reemplazo o cambio de componentes del ambiente de procesamiento y comunicaciones.
j) Uso del correo electr�nico.
10.1.2 Control: Cambios en las Operaciones
Se definir�n procedimientos para el control de los cambios en el
ambiente operativo y de comunicaciones. Todo cambio debe ser evaluado
previamente en aspectos t�cnicos y de seguridad.
El Responsable de Seguridad de la Informaci�n controlar� que los
cambios en los componentes operativos y de comunicaciones no afecten la
seguridad de los mismos ni de la informaci�n que soportan. El
Responsable del Area Inform�tica evaluar� el posible impacto operativo
de los cambios previstos y verificar� su correcta implementaci�n.
Se retendr� un registro de auditor�a que contenga toda la informaci�n relevante de cada cambio implementado.
Los procedimientos de control de cambios contemplar�n los siguientes puntos:
a) Identificaci�n y registro de cambios significativos.
b) Evaluaci�n del posible impacto de dichos cambios.
c) Aprobaci�n formal de los cambios propuestos.
d) Planificaci�n del proceso de cambio.
e) Prueba del nuevo escenario.
f) Comunicaci�n de detalles de cambios a todas las personas pertinentes.
g) Identificaci�n de las responsabilidades por la cancelaci�n de los cambios fallidos y la recuperaci�n respecto de los mismos.
10.1.3 Control: Separaci�n de Funciones
Se separar� la gesti�n o ejecuci�n de ciertas tareas o �reas de
responsabilidad, a fin de reducir el riesgo de modificaciones no
autorizadas o mal uso de la informaci�n o los servicios por falta de
independencia en la ejecuci�n de funciones cr�ticas.
Si este m�todo de control no se pudiera cumplir en alg�n caso, se implementar�n controles como:
a) Monitoreo de las actividades.
b) Registros de auditor�a y control peri�dico de los mismos.
c) Supervisi�n por parte de la Unidad de Auditor�a Interna o en su
defecto quien sea propuesto a tal efecto, siendo independiente al �rea
que genera las actividades auditadas.
Asimismo, se documentar� la justificaci�n formal por la cual no fue posible efectuar la segregaci�n de funciones.
Se asegurar� la independencia de las funciones de auditor�a de
seguridad, tomando recaudos para que ninguna persona pueda realizar
actividades en �reas de responsabilidad �nica sin ser monitoreada, y la
independencia entre el inicio de un evento y su autorizaci�n,
considerando los siguientes puntos:
a) Separar actividades que requieren connivencia para defraudar, por
ejemplo efectuar una orden de compra y verificar que la mercader�a fue
recibida.
b) Dise�ar controles, si existe peligro de connivencia de manera tal
que dos o m�s personas est�n involucradas, reduciendo la posibilidad de
conspiraci�n.
10.1.4 Control: Separaci�n entre Instalaciones de Desarrollo e Instalaciones Operativas
Los ambientes de desarrollo, prueba y operaciones, siempre que sea
posible, estar�n separados preferentemente en forma f�sica, y se
definir�n y documentar�n las reglas para la transferencia de software
desde el estado de desarrollo hacia el estado productivo.
Para ello, se tendr�n en cuenta los siguientes controles:
a) Ejecutar el software de desarrollo y de producci�n, en diferentes ambientes de operaciones, equipos, o directorios.
b) Separar las actividades de desarrollo y prueba, en entornos diferentes.
c) Impedir el acceso a los compiladores, editores y otros utilitarios
del sistema en el ambiente de producci�n, cuando no sean indispensables
para el funcionamiento del mismo.
d) Utilizar sistemas de autenticaci�n y autorizaci�n independientes
para los diferentes ambientes, as� como perfiles de acceso a los
sistemas. Prohibir a los usuarios compartir contrase�as en estos
sistemas. Las interfaces de los sistemas identificar�n claramente a qu�
instancia se est� realizando la conexi�n.
e) Definir propietarios de la informaci�n para cada uno de los ambientes de procesamiento existentes.
f) El personal de desarrollo no tendr� acceso al ambiente productivo.
De ser extrema dicha necesidad, se establecer� un procedimiento de
emergencia para la autorizaci�n, documentaci�n y registro de dichos
accesos.
Para el caso que no puedan mantener separados los distintos ambientes
en forma f�sica, deben implementarse los controles indicados en el
punto “10.1.3 Control: Separaci�n de Funciones”.
En el Anexo al cap�tulo 12 se presenta un esquema modelo de segregaci�n de ambientes de procesamiento.
10.2 Categor�a: Gesti�n de Provisi�n de Servicios
Objetivo
Implementar y mantener el nivel apropiado de seguridad de la
informaci�n y la entrega del servicio en l�nea con los acuerdos de
entrega de servicios de terceros.
La organizaci�n debe chequear la implementaci�n de los acuerdos,
monitorear su cumplimiento con los est�ndares y manejar los cambios
para asegurar que los servicios sean entregados para satisfacer todos
los requerimientos acordados por la tercera persona.
10.2.1 Control: Provisi�n de servicio
Se verificar� que los servicios brindados por una tercera parte
incluyan los acuerdos de seguridad arreglados, definiciones de
servicio, y aspectos de la gesti�n del servicio. En el caso de acuerdos
de tercerizaci�n, el Organismo debe planificar las transiciones
necesarias (de la informaci�n, de las instalaciones de procesamiento de
informaci�n, y cualquier otro componente que necesite ser trasladado),
y que asegure que la seguridad es mantenida a lo largo del per�odo de
transici�n.
En el caso de tercerizar la administraci�n de las instalaciones de
procesamiento, se acordar�n controles con el proveedor del servicio y
se incluir�n en el contrato, contemplando las siguientes cuestiones
espec�ficas (Ver 6-2-2 Control: Puntos de seguridad de la informaci�n a
considerar en Contratos o Acuerdos con terceros):
a) Identificar las aplicaciones sensibles o cr�ticas que convenga retener en el Organismo.
b) Obtener la aprobaci�n de los propietarios de aplicaciones espec�ficas.
c) Identificar las implicancias para la continuidad de los planes de las actividades del Organismo.
d) Especificar las normas de seguridad y el proceso de medici�n del cumplimiento.
e) Asignar funciones espec�ficas y procedimientos para monitorear todas las actividades de seguridad.
f) Definir las funciones y procedimientos de comunicaci�n y manejo de incidentes relativos a la seguridad.
Dichas consideraciones deben ser acordadas entre el Responsable de
Seguridad de la Informaci�n, el Responsable del Area de Inform�tica y
el Responsable del Area Jur�dica del Organismo.
10.2.2 Control: Seguimiento y revisi�n de los servicios de las terceras partes
Se llevar� a cabo el seguimiento, control y revisi�n de los servicios
de las terceras partes asegurando que se encuentran adheridos a los
t�rminos de seguridad de la informaci�n y las condiciones definidas en
los acuerdos, y que los incidentes de seguridad de la informaci�n y los
problemas son manejados en forma apropiada.
El Organismo mantendr� control suficiente y visi�n general de todos los
aspectos de seguridad para la informaci�n sensible o cr�tica, o de las
instalaciones de procesamiento de informaci�n accedidas, procesadas o
gestionadas por una tercera parte. Se recomienda que la organizaci�n
asegure que se mantenga la visibilidad de las actividades de seguridad
como gesti�n de cambios, identificaci�n de vulnerabilidades y
reporte/respuesta de incidentes de seguridad de informaci�n a trav�s de
un proceso de reportes claro y definido, con formato y estructura.
10.2.3 Control: Gesti�n del cambio de los servicios de terceras partes
Se gestionar�n los cambios en la provisi�n de los servicios, incluyendo
el mantenimiento y las mejoras de las pol�ticas, procedimientos y
controles de seguridad de la informaci�n existentes, teniendo en cuenta
la criticidad de los sistemas y procesos del negocio involucrados y la
reevaluaci�n de los riesgos.
El proceso de gesti�n del cambio de un servicio de tercera parte necesita tener cuenta:
• Los cambios realizados por la organizaci�n para implementar:
- mejoras a los servicios corrientes ofrecidos;
- desarrollo de cualquier aplicaciones y sistemas nuevos;
- modificaciones o actualizaciones de las pol�ticas y procedimientos del Organismo;
- nuevos controles para resolver los incidentes de la seguridad de la informaci�n y para mejorar la seguridad;
• cambios en los servicios de las terceras partes para implementar:
- cambios y mejoras de las redes;
- uso de nuevas tecnolog�as;
- adopci�n de nuevos productos o nuevas versiones/publicaciones;
- nuevas herramientas de desarrollo y ambientes;
- cambios de las ubicaciones f�sicas de las instalaciones de servicio;
- cambio de los vendedores.
10.3 Categor�a: Planificaci�n y Aprobaci�n de Sistemas
Objetivo
Minimizar el riesgo de fallas en los sistemas. Se requiere
planificaci�n y preparaci�n anticipadas para asegurar la disponibilidad
de la capacidad y los recursos adecuados para entregar el desempe�o del
sistema requerido.
Se deben realizar proyecciones de los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.
Se deben establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptaci�n y uso.
10.3.1 Control: Planificaci�n de la Capacidad
El Responsable del Area Inform�tica, o el personal que �ste designe,
efectuar� el monitoreo de las necesidades de capacidad de los sistemas
en operaci�n y proyectar las futuras demandas, a fin de garantizar un
procesamiento y almacenamiento adecuados. Para ello tomar� en cuenta
adem�s los nuevos requerimientos de los sistemas as� como las
tendencias actuales y proyectadas en el procesamiento de la informaci�n
del Organismo para el per�odo estipulado de vida �til de cada
componente. Asimismo, informar� las necesidades detectadas a las
autoridades competentes para que puedan identificar y evitar
potenciales cuellos de botella, que podr�an plantear una amenaza a la
seguridad o a la continuidad del procesamiento, y puedan planificar una
adecuada acci�n correctiva.
10.3.2 Control: Aprobaci�n del Sistema
El Responsable del Area Inform�tica y el Responsable de Seguridad de la
Informaci�n sugerir�n criterios de aprobaci�n para nuevos sistemas de
informaci�n, actualizaciones y nuevas versiones, solicitando la
realizaci�n de las pruebas necesarias antes de su aprobaci�n
definitiva. Se deben considerar los siguientes puntos:
a) Verificar el impacto en el desempe�o y los requerimientos de capacidad de las computadoras.
b) Garantizar la recuperaci�n ante errores.
c) Preparar y poner a prueba los procedimientos operativos de rutina seg�n normas definidas.
d) Garantizar la implementaci�n de un conjunto acordado de controles de seguridad.
e) Confeccionar disposiciones relativas a la continuidad de las actividades del Organismo.
f) Asegurar que la instalaci�n del nuevo sistema no afectar�
negativamente los sistemas existentes, especialmente en los per�odos
pico de procesamiento.
g) Considerar el efecto que tiene el nuevo sistema en la seguridad global del Organismo.
h) Disponer la realizaci�n de entrenamiento en la operaci�n y/o uso de nuevos sistemas.
10.4 Categor�a: Protecci�n Contra C�digo Malicioso
Objetivo
Proteger la integridad del software y la integraci�n. Se requiere tomar
precauciones para evitar y detectar la introducci�n de c�digos
maliciosos y c�digos m�viles no-autorizados. El software y los medios
de procesamiento de la informaci�n son vulnerables a la introducci�n de
c�digos maliciosos; como ser, entre otros, virus Troyanos, bombas
l�gicas, etc. Los usuarios deben estar al tanto de los peligros de los
c�digos maliciosos. Cuando sea apropiado, los gerentes deben introducir
controles para evitar, detectar y eliminar los c�digos maliciosos y
controlar los c�digos m�viles.
10.4.1 Control: C�digo Malicioso
El Responsable de Seguridad de la Informaci�n definir� controles de
detecci�n y prevenci�n para la protecci�n contra software malicioso. El
Responsable del Area Inform�tica, o el personal designado por �ste,
implementar�n dichos controles.
El Responsable de Seguridad de la Informaci�n desarrollar�
procedimientos adecuados de concientizaci�n de usuarios en materia de
seguridad, controles de acceso al sistema y administraci�n de cambios.
Estos controles deben considerar establecer pol�ticas y procedimientos formales que contemplen las siguientes acciones:
a) Prohibir la instalaci�n y uso de software no autorizado por el
Organismo (Ver 0 Derecho de Propiedad Intelectual del Software).
b) Redactar procedimientos para evitar los riesgos relacionados con la
obtenci�n de archivos y software desde o a trav�s de redes externas, o
por cualquier otro medio (ej.: dispositivos port�tiles), se�alando las
medidas de protecci�n a tomar.
c) Instalar y actualizar peri�dicamente software de detecci�n y
reparaci�n de virus, examinado computadoras y medios inform�ticos, como
medida precautoria y rutinaria.
d) Mantener los sistemas al d�a con las �ltimas actualizaciones de
seguridad disponibles (probar dichas actualizaciones en un entorno de
prueba previamente si es que constituyen cambios cr�ticos a los
sistemas).
e) Revisar peri�dicamente el contenido de software y datos de los
equipos de procesamiento que sustentan procesos cr�ticos del Organismo,
investigando formalmente la presencia de archivos no aprobados o
modificaciones no autorizadas, en especial, realizar revisi�n y
an�lisis de logs.
f) Verificar antes de su uso, la presencia de virus en archivos de
medios electr�nicos de origen incierto, o en archivos recibidos a
trav�s de redes no confiables.
g) Redactar procedimientos para verificar toda la informaci�n relativa
a software malicioso, garantizando que los boletines de alerta sean
exactos e informativos.
h) Concientizar al personal acerca del problema de los falsos antivirus
(rogues) y las cadenas falsas (hoax) y de c�mo proceder frente a los
mismos.
i) Redactar normas de protecci�n y habilitaci�n de puertos de conexi�n de dispositivos m�viles y sus derechos de acceso.
10.4.2 Control: C�digo M�vil
En caso que el c�digo m�vil sea autorizado, se debe garantizar que la
configuraci�n asegure que el c�digo m�vil autorizado opere de acuerdo a
una configuraci�n de seguridad claramente definida, previniendo que el
c�digo m�vil no autorizado sea ejecutado.
Asimismo, se implementar�n acciones para la protecci�n contra acciones
maliciosas resultantes de la ejecuci�n no autorizada de c�digo m�vil,
como ser:
a) ejecuci�n del c�digo m�vil en un ambiente l�gicamente aislado;
b) bloqueo del uso de c�digo m�vil;
c) bloqueo de la recepci�n de c�digo m�vil;
d) activaci�n de medidas t�cnicas como sea disponible en un sistema espec�fico para asegurar que el c�digo m�vil es gestionado;
e) control de los recursos disponibles para el acceso del c�digo m�vil;
f) implementaci�n de controles criptogr�ficos para autenticar de forma un�voca el c�digo m�vil.
10.5 Categor�a: Respaldo o Back-up
Objetivo
Mantener la integridad y disponibilidad de la informaci�n y los medios de procesamiento de informaci�n.
Se deben establecer los procedimientos de rutina para implementar la
pol�tica de respaldo acordada y la estrategia (ver tambi�n Cap�tulo
14.1 Gesti�n de Continuidad del Organismo) para tomar copias de
respaldo de los datos y practicar su restauraci�n oportuna.
10.5.1 Control: Resguardo de la Informaci�n
El Responsable del Area Inform�tica y el de Seguridad de la Informaci�n
junto al Responsable del Area Inform�tica y los Propietarios de
Informaci�n determinar�n los requerimientos para resguardar cada
software o dato en funci�n de su criticidad. En base a ello, se
definir� y documentar� un esquema de resguardo de la informaci�n.
El Responsable del Area Inform�tica dispondr� y controlar� la
realizaci�n de dichas copias, as� como la prueba peri�dica de su
restauraci�n e integridad. Para esto se debe contar con instalaciones
de resguardo que garanticen la disponibilidad de toda la informaci�n y
del software cr�tico del Organismo. Los sistemas de resguardo deben
probarse peri�dicamente, asegur�ndose que cumplen con los
requerimientos de los planes de continuidad de las actividades del
organismo, seg�n el punto (ver tambi�n Cap�tulo 14.1 Gesti�n de
Continuidad del Organismo).
Se definir�n procedimientos para el resguardo de la informaci�n, que deben considerar los siguientes puntos:
a) Definir un esquema de r�tulo de las copias de resguardo, que permita
contar con toda la informaci�n necesaria para identificar cada una de
ellas y administrarlas debidamente.
b) Establecer un esquema de remplazo de los medios de almacenamiento de
las copias de resguardo, una vez concluida la posibilidad de ser
reutilizados, de acuerdo a lo indicado por el proveedor, y asegurando
la destrucci�n de los medios desechados.
c) Almacenar en una ubicaci�n remota copias recientes de informaci�n de
resguardo junto con registros exactos y completos de las mismas y los
procedimientos documentados de restauraci�n, a una distancia suficiente
como para evitar da�os provenientes de un desastre en el sitio
principal. Se deben retener al menos tres generaciones o ciclos de
informaci�n de resguardo para la informaci�n y el software esenciales
para el Organismo. Para la definici�n de informaci�n m�nima a ser
resguardada en el sitio remoto, se debe tener en cuenta el nivel de
clasificaci�n otorgado a la misma, en t�rminos de disponibilidad y
requisitos legales a los que se encuentre sujeta.
d) Asignar a la informaci�n de resguardo un nivel de protecci�n f�sica
y ambiental seg�n las normas aplicadas en el sitio principal. Extender
los mismos controles aplicados a los dispositivos en el sitio principal
al sitio de resguardo.
e) Probar peri�dicamente los medios de resguardo.
f) Verificar y probar peri�dicamente los procedimientos de restauraci�n
garantizando su eficacia y cumplimiento dentro del tiempo asignado a la
recuperaci�n en los procedimientos operativos.
Los procedimientos de realizaci�n de copias de resguardo y su
almacenamiento deben respetar las disposiciones cap�tulo 7 Gesti�n de
Activos y 15.1.3 Control: Protecci�n de los Registros del Organismo la
presente Pol�tica.
10.5.2 Control: Registro de Actividades del Personal Operativo
El Responsable del Area Inform�tica asegurar� el registro de las
actividades realizadas en los sistemas, incluyendo seg�n corresponda:
a) Tiempos de inicio y cierre del sistema.
b) Errores del sistema y medidas correctivas tomadas.
c) Intentos de acceso a sistemas, recursos o informaci�n cr�tica o acciones restringidas
d) Ejecuci�n de operaciones cr�ticas
e) Cambios a informaci�n cr�tica
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n contrastar� los registros de
actividades del personal operativo con relaci�n a los procedimientos
operativos.
10.5.3 Control: Registro de Fallas
El Responsable del Area Inform�tica desarrollar� y verificar� el
cumplimiento de procedimientos para comunicar las fallas en el
procesamiento de la informaci�n o los sistemas de comunicaciones, que
permita tomar medidas correctivas.
Se registrar�n las fallas comunicadas, debiendo existir reglas claras para el manejo de las mismas, con inclusi�n de:
a) Revisi�n de registros de fallas para garantizar que las mismas fueron resueltas satisfactoriamente.
b) Revisi�n de medidas correctivas para garantizar que los controles no
fueron comprometidos, y que las medidas tomadas fueron autorizadas.
c) Documentaci�n de la falla con el objeto de prevenir su repetici�n o facilitar su resoluci�n en caso de reincidencia.
d) Integrar la comunicaci�n y gesti�n de la falla acorde a lo definido en el Cap�tulo 13 – Gesti�n de Incidentes.
10.6 Categor�a: Gesti�n de la Red
Objetivo
Asegurar la protecci�n de la informaci�n en redes y la protecci�n de la infraestructura de soporte.
La gesti�n segura de las redes, la cual puede abarcar los l�mites
organizacionales, requiere de la cuidadosa consideraci�n del flujo de
datos, implicancias legales, monitoreo y protecci�n.
Tambi�n se pueden requerir controles adicionales para proteger la informaci�n confidencial que pasa a trav�s de redes p�blicas.
10.6.1 Control: Redes
El Responsable de Seguridad de la Informaci�n definir� controles para
garantizar la seguridad de los datos y los servicios conectados en las
redes del Organismo, contra el acceso no autorizado, considerando la
ejecuci�n de las siguientes acciones:
a) Establecer los procedimientos para la administraci�n del
equipamiento remoto, incluyendo los equipos en las �reas usuarias, la
que ser� llevada a cabo por el responsable establecido en el punto
“6-1-3 control: Asignaci�n de responsabilidad de la seguridad de la
informaci�n”.
b) Establecer controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan
a trav�s de redes p�blicas, y para proteger los sistemas conectados.
Implementar controles especiales para mantener la disponibilidad de los
servicios de red y computadoras conectadas.
c) Garantizar mediante actividades de supervisi�n, que los controles se
aplican uniformemente en toda la infraestructura de procesamiento de
informaci�n.
El Responsable del Area Inform�tica implementar� dichos controles.
10.7 Categor�a: Administraci�n y Seguridad de los medios de almacenamiento
Objetivo
Evitar la divulgaci�n no-autorizada; modificaci�n, eliminaci�n o
destrucci�n de activos; y la interrupci�n de las actividades
comerciales. Los medios se debieran controlar y proteger f�sicamente.
Se deben establecer los procedimientos de operaci�n apropiados para
proteger los documentos, medios de c�mputo (por ejemplo, cintas y
discos), entrada/salida de datos (input/output) y documentaci�n del
sistema de una divulgaci�n no-autorizada, modificaci�n, eliminaci�n y
destrucci�n.
10.7.1 Control: Administraci�n de Medios Inform�ticos Removibles
El Responsable del Area Inform�tica, con la asistencia del Responsable
de Seguridad de la Informaci�n, implementar� procedimientos para la
administraci�n de medios inform�ticos removibles, como cintas, discos,
pendrives e informes impresos. El cumplimiento de los procedimientos se
har� de acuerdo al cap�tulo “11.1 Categor�a: Requerimientos para el
Control de Acceso”.
Se deben considerar las siguientes acciones para la implementaci�n de los procedimientos:
a) Eliminar de forma segura los contenidos, si ya no son requeridos, de
cualquier medio reutilizable que ha de ser retirado o reutilizado por
el Organismo.
b) Requerir autorizaci�n para retirar cualquier medio del Organismo y
realizar un control de todos los retiros a fin de mantener un registro
de auditor�a.
c) Almacenar todos los medios en un ambiente seguro y protegido, de
acuerdo con las especificaciones de los fabricantes o proveedores y la
criticidad de la informaci�n almacenada.
Se documentar�n todos los procedimientos y niveles de autorizaci�n, en
concordancia con el cap�tulo 7.1.1 Control: Inventario de activos.
10.7.2 Control: Eliminaci�n de Medios de Informaci�n
El Responsable del Area Inform�tica, junto con el Responsable de
Seguridad de la Informaci�n, definir� procedimientos para la
eliminaci�n segura de los medios de soporte de informaci�n respetando
la normativa vigente.
Los procedimientos deben considerar que los siguientes elementos requerir�n almacenamiento y eliminaci�n segura:
a) Documentos en papel.
b) Voces u otras grabaciones.
c) Papel carb�nico.
d) Informes de salida.
e) Cintas de impresora de un solo uso.
f) Cintas magn�ticas.
g) Discos u otros dispositivos removibles.
h) Medios de almacenamiento �ptico (todos los formatos incluyendo todos
los medios de distribuci�n de software del fabricante o proveedor).
i) Listados de programas.
j) Datos de prueba.
k) Documentaci�n del sistema.
La evaluaci�n del mecanismo de eliminaci�n debe contemplar el tipo de dispositivo y la criticidad de la informaci�n contenida.
10.7.3 Control: Procedimientos de Manejo de la Informaci�n
Se definir�n procedimientos para el manejo y almacenamiento de la
informaci�n de acuerdo a la clasificaci�n establecida en el cap�tulo
7.1.1 Control: Inventario de activos.
En los procedimientos se contemplar�n las siguientes acciones:
a) Incluir en la protecci�n a documentos, sistemas inform�ticos, redes,
computaci�n m�vil, comunicaciones m�viles, correo, correo de voz,
comunicaciones de voz en general, multimedia, servicios e instalaciones
postales, uso de m�quinas de fax y cualquier otro �tem potencialmente
sensible.
b) Restringir el acceso s�lo al personal debidamente autorizado.
c) Mantener un registro formal de los receptores autorizados de datos.
d) Garantizar que los datos de entrada son completos, que el
procesamiento se lleva a cabo correctamente y que se valida las salidas.
e) Proteger los datos en espera (“colas”) y memorias temporales (ej.: cache).
f) Conservar los medios de almacenamiento en un ambiente que concuerde
con las especificaciones de los fabricantes o proveedores.
10.7.4 Control: Seguridad de la Documentaci�n del Sistema
La documentaci�n del sistema puede contener informaci�n sensible o
confidencial, por lo que se considerar�n los siguientes recaudos para
su protecci�n:
a) Almacenar la documentaci�n del sistema en forma segura.
b) Restringir el acceso a la documentaci�n del sistema al personal
estrictamente necesario. Dicho acceso ser� autorizado por el
Propietario de la Informaci�n relativa al sistema.
10.8 Categor�a: Intercambios de Informaci�n y Software
Objetivo
Mantener la seguridad en el intercambio de informaci�n y software dentro del Organismo y con cualquier otra entidad externa.
Los intercambios de informaci�n y software dentro de las organizaciones
se deben basar en una pol�tica formal de intercambio, seguida en l�nea
con los acuerdos de intercambio, y debiera cumplir con cualquier
legislaci�n relevante (ver cap�tulo 15 Cumplimiento).
Se deben establecer los procedimientos y est�ndares para proteger la
informaci�n y los medios f�sicos que contiene la informaci�n
en-tr�nsito.
10.8.1 Control: Procedimientos y controles de intercambio de la informaci�n
Se establecer�n procedimientos y controles formales para proteger el
intercambio de informaci�n a trav�s del uso de todos los tipos de
instalaciones de comunicaci�n, considerando lo siguiente:
a) Protecci�n de la informaci�n intercambiada de la intercepci�n,
copiado, modificaci�n, de que sea mal dirigida, y de su destrucci�n
b) detecci�n de y la protecci�n contra el c�digo malicioso que puede
ser transmitido a trav�s del uso de comunicaciones electr�nicas
c) definici�n del uso aceptable de las instalaciones de comunicaci�n electr�nicas
d) uso seguro de comunicaciones inal�mbricas
e) responsabilidades del empleado, contratista y cualquier otro usuario
de no comprometer a la organizaci�n, por ejemplo, a trav�s de la
difamaci�n, hostigamiento, personificaci�n, reenv�o de cadenas de
comunicaci�n epistolar, compras no autorizadas y cualquier otro medio
(ej.: redes sociales)
f) uso de t�cnicas criptogr�ficas para proteger la confidencialidad, integridad y la autenticidad de la informaci�n
g) directrices de retenci�n y eliminaci�n para toda la correspondencia
en concordancia con las leyes y regulaciones relevantes, locales y
nacionales
h) instrucci�n del personal sobre las precauciones que deben tomar a la hora de transmitir informaci�n del Organismo.
10.8.2 Control: Acuerdos de Intercambio de Informaci�n y Software
Cuando se realicen acuerdos entre organizaciones para el intercambio de
informaci�n y software, se especificar�n el grado de sensibilidad de la
informaci�n del Organismo involucrada y las consideraciones de
seguridad sobre la misma. Se tendr�n en cuenta los siguientes aspectos:
a) Responsabilidades gerenciales por el control y la notificaci�n de transmisiones, env�os y recepciones.
b) Procedimientos de notificaci�n de emisi�n, transmisi�n, env�o y recepci�n.
c) Normas t�cnicas para el empaquetado y la transmisi�n.
d) Pautas para la identificaci�n del prestador del servicio de correo.
e) Responsabilidades y obligaciones en caso de p�rdida, exposici�n o divulgaci�n no autorizada de datos.
f) Uso de un sistema convenido para el rotulado de informaci�n
clasificada, garantizando que el significado de los r�tulos sea
inmediatamente comprendido y que la informaci�n sea adecuadamente
protegida.
g) T�rminos y condiciones de la licencia bajo la cual se suministra el software.
h) Informaci�n sobre la propiedad de la informaci�n suministrada y las condiciones de su uso.
i) Normas t�cnicas para la grabaci�n y lectura de la informaci�n y del software.
j) Controles especiales que puedan requerirse para proteger �tems sensibles, (claves criptogr�ficas, etc.).
10.8.3 Control: Seguridad de los Medios en Tr�nsito
Los procedimientos de transporte de medios inform�ticos entre diferentes puntos (env�os postales y mensajer�a) deben contemplar:
a) La utilizaci�n de medios de transporte o servicios de mensajer�a
confiables. El Propietario de la Informaci�n a transportar determinar�
qu� servicio de mensajer�a se utilizar� conforme la criticidad de la
informaci�n a transmitir.
b) Suficiente embalaje para env�o de medios a trav�s de servicios
postales o de mensajer�a, siguiendo las especificaciones de los
fabricantes o proveedores.
c) La adopci�n de controles especiales, cuando resulte necesario, a fin
de proteger la informaci�n sensible contra divulgaci�n o modificaci�n
no autorizadas. Entre los ejemplos se incluyen:
1. Uso de recipientes cerrados.
2. Entrega en mano.
3. Embalaje a prueba de apertura no autorizada (que revele cualquier intento de acceso).
4. En casos excepcionales, divisi�n de la mercader�a a enviar en m�s de una entrega y env�o por diferentes rutas.
10.8.4 Control: Seguridad de los la Mensajer�a
La mensajer�a electr�nica como el correo electr�nico, el intercambio de
datos electr�nicos (EDI por sus siglas en ingl�s), la mensajer�a
instant�nea y las redes sociales juegan un muy importante en las
comunicaciones organizacionales. La mensajer�a electr�nica tiene
diferentes riesgos que las comunicaciones basadas en papel.
Se considerar�n las siguientes medidas de seguridad en los mensajes electr�nicos:
- protecci�n de mensajes por el acceso no autorizado, modificaciones o denegaci�n de servicio;
- correcta asignaci�n de la direcci�n y el transporte del mensaje;
- confiabilidad y disponibilidad general del servicio;
- consideraciones legales, por ejemplo, requerimientos para firmas electr�nicas;
- obtenci�n de aprobaci�n previa al uso de los servicios p�blicos
externos tales como mensajer�a instant�nea o el compartir archivos;
- niveles altos de controles de autenticaci�n para los accesos desde las redes p�blicamente accesibles.
10.8.5 Control: Seguridad del Gobierno Electr�nico
El Responsable de Seguridad de la Informaci�n verificar� que los
procedimientos de aprobaci�n de Software del punto “10.3.2 Control:
Aprobaci�n del Sistema” incluyan los siguientes aspectos para las
aplicaciones de Gobierno Electr�nico:
a)
Autenticaci�n: Nivel de confianza rec�proca suficiente sobre la identidad del usuario y el Organismo.
b)
Autorizaci�n: Niveles de
Autorizaci�n adecuados para establecer disposiciones, emitir o firmar
documentos clave, etc. Forma de comunicarlo al otro participante de la
transacci�n electr�nica.
c)
Procesos de oferta y contrataci�n p�blica: Requerimientos de confidencialidad, integridad y prueba de env�o y recepci�n de documentos clave y de no repudio de contratos.
d)
Tr�mites en l�nea:
Confidencialidad, integridad y no repudio de los datos suministrados
con respecto a tr�mites y presentaciones ante el Estado y confirmaci�n
de recepci�n.
e)
Verificaci�n: Grado de verificaci�n apropiado para constatar la informaci�n suministrada por los usuarios.
f)
Cierre de la transacci�n: Forma de interacci�n m�s adecuada para evitar fraudes.
g)
Protecci�n a la duplicaci�n: Asegurar que una transacci�n s�lo se realiza una vez, a menos que se especifique lo contrario.
h)
No repudio: Manera de evitar que una entidad que haya enviado o recibido informaci�n alegue que no la envi� o recibi�.
i)
Responsabilidad: Asignaci�n de responsabilidades ante el riesgo de eventuales presentaciones, tramitaciones o transacciones fraudulentas.
j)
Seguridad: contemplas los
requisitos de Integridad, Confidencialidad y Disponibilidad de las
Aplicaciones, por ejemplo asegurando que las aplicaciones disponibles a
trav�s de redes de acceso p�blico (ej.: Internet) no puedan ser
alteradas en su contenido, infectadas con c�digo ni susceptibles a
vulnerabilidades derivadas de malas pr�cticas de desarrollo.
Las consideraciones mencionadas se implementar�n mediante la aplicaci�n
de las t�cnicas criptogr�ficas enumeradas en el punto “12.3.1 Control:
Pol�tica de Utilizaci�n de Controles Criptogr�ficos” y tomando en
cuenta el cumplimiento de los requisitos legales emanados de toda la
normativa vigente.
Se dar�n a conocer a los usuarios, los t�rminos y condiciones
aplicables, asegur�ndose que los mismos fueron le�dos y comprendidos
por los mismos.
Todas las medidas vinculadas al plan de gobierno electr�nico del
organismo deben dictarse conforme lo dispuesto por el Decreto N�
378/2005.
10.9 Categor�a: Seguridad del Correo Electr�nico
Objetivo
Garantizar la seguridad de los servicios de correo electr�nico y su uso seguro.
Se debieran considerar las implicancias de seguridad asociadas con el uso de servicios de correo electr�nico.
10.9.1 Control: Riesgos de Seguridad
Se implementar�n controles para reducir los riesgos de incidentes de seguridad en el correo electr�nico, contemplando:
a) La vulnerabilidad de los mensajes al acceso o modificaci�n no autorizados o a la denegaci�n de servicio.
b) La posible intercepci�n y el consecuente acceso a los mensajes en
los medios de transferencia que intervienen en la distribuci�n de los
mismos.
c) Las posibles vulnerabilidades a errores, por ejemplo, consignaci�n
incorrecta de la direcci�n o direcci�n err�nea, y la confiabilidad y
disponibilidad general del servicio.
d) La posible recepci�n de c�digo malicioso en un mensaje de correo, el
cual afecte la seguridad de la terminal receptora o de la red a la que
se encuentra conectada.
e) El impacto de un cambio en el medio de comunicaci�n en los procesos del Organismo.
f) Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, env�o, entrega y aceptaci�n.
g) Las implicancias de la publicaci�n externa de informaci�n sensible o confidencial, accesibles al p�blico.
h) El acceso de usuarios remotos a las cuentas de correo electr�nico.
i) El uso inadecuado por parte del personal.
10.9.2 Control: Pol�tica de Correo Electr�nico
El Responsable de Seguridad de la Informaci�n junto con el Responsable
del Area Inform�tica definir�n y documentar�n normas y procedimientos
claros con respecto al uso del correo electr�nico, que incluya al menos
los siguientes aspectos:
a) Protecci�n contra ataques al correo electr�nico, por ejemplo virus, intercepci�n, etc.
b) Protecci�n de archivos adjuntos de correo electr�nico.
c) Uso de t�cnicas criptogr�ficas para proteger la confidencialidad e
integridad de los mensajes electr�nicos (Ver 12.3 Categor�a: Controles
Criptogr�ficos).
d) Retenci�n de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio.
e) Controles adicionales para examinar mensajes electr�nicos que no pueden ser autenticados.
f) Aspectos operativos para garantizar el correcto funcionamiento del
servicio (ej.: tama�o m�ximo de informaci�n transmitida y recibida,
cantidad de destinatarios, tama�o m�ximo del buz�n del usuario, etc.).
g) Definici�n de los alcances del uso del correo electr�nico por parte del personal del Organismo.
h) Potestad del Organismo para auditar los mensajes recibidos o
emitidos por los servidores del Organismo, lo cual se incluir� en el
“Compromiso de Confidencialidad”.
Estos dos �ltimos puntos deben ser le�dos a la luz de las normas
vigentes que no s�lo proh�ben a los empleados a hacer uso indebido o
con fines particulares del patrimonio estatal sino que tambi�n imponen
la obligaci�n de usar los bienes y recursos del Estado con los fines
autorizados y de manera racional, evitando su abuso, derroche o
desaprovechamiento.
Entender al correo electr�nico como una herramienta m�s de trabajo
provista al empleado a fin de ser utilizada conforme el uso al cual
est� destinada, faculta al empleador a implementar sistemas de
controles destinados a velar por la protecci�n y el buen uso de sus
recursos.
Esta facultad, sin embargo, debe ejercerse salvaguardando la dignidad
del trabajador y su derecho a la intimidad. Por tal motivo, el
Organismos debe informar claramente a sus empleados:
a) cu�l es el uso que el organismo espera que los empleados hagan del correo electr�nico provisto por el organismo; y
b) bajo qu� condiciones los mensajes pueden ser objeto de control y monitoreo.
10.9.3 Control: Seguridad de los Sistemas Electr�nicos de Oficina
Se controlar�n los mecanismos de distribuci�n y difusi�n tales como
documentos, computadoras, dispositivos de computaci�n m�vil,
comunicaciones m�viles, correo, correo de voz, comunicaciones de voz en
general (anal�gica o digital), multimedia, servicios o instalaciones
postales, equipos de fax, etc.
Al interconectar dichos medios, se considerar�n las implicancias en lo
que respecta a la seguridad y a las actividades propias del Organismo,
incluyendo:
a) Vulnerabilidades de la informaci�n en los sistemas de oficina, por
ejemplo la grabaci�n de llamadas telef�nicas o teleconferencias, la
confidencialidad de las llamadas, el almacenamiento de faxes, la
apertura o distribuci�n del correo.
b) Procedimientos y controles apropiados para administrar la
distribuci�n de informaci�n, por ejemplo el uso de boletines
electr�nicos institucionales.
c) Exclusi�n de categor�as de informaci�n sensible del Organismo, si el sistema no brinda un adecuado nivel de protecci�n.
d) Limitaci�n del acceso a la informaci�n de las actividades que
desarrollan determinadas personas, por ejemplo aquellas que trabaja en
proyectos sensibles.
e) La aptitud del sistema para dar soporte a las aplicaciones del Organismo, como la comunicaci�n de �rdenes o autorizaciones.
f) Categor�as de personal y contratistas o terceros a los que se
permite el uso del sistema y las ubicaciones desde las cuales se puede
acceder al mismo.
g) Restricci�n de acceso a determinadas instalaciones a espec�ficas categor�as de usuarios.
h) Identificaci�n de la posici�n o categor�a de los usuarios, por
ejemplo empleados del Organismo o contratistas, en directorios
accesibles por otros usuarios.
i) Retenci�n y resguardo de la informaci�n almacenada en el sistema.
j) Requerimientos y disposiciones relativos a sistemas de soporte de reposici�n de informaci�n previa.
10.9.4 Control: Sistemas de Acceso P�blico
Se tomar�n recaudos para la protecci�n de la integridad de la
informaci�n publicada electr�nicamente, a fin de prevenir la
modificaci�n no autorizada que podr�a da�ar la reputaci�n del Organismo
que emite la publicaci�n. Es posible que la informaci�n de un sistema
de acceso p�blico, por ejemplo la informaci�n en un servidor Web
accesible por Internet, deba cumplir con ciertas normas de la
jurisdicci�n en la cual se localiza el sistema o en la cual tiene lugar
la transacci�n electr�nica.
Se implementar� un proceso de autorizaci�n formal antes de que la
informaci�n se ponga a disposici�n del p�blico, estableci�ndose en
todos los casos los encargados de dicha aprobaci�n.
Todos los sistemas de acceso p�blico deben prever que:
a) La informaci�n se obtenga, procese y proporcione de acuerdo a la
normativa vigente, en especial la Ley de Protecci�n de Datos Personales.
b) La informaci�n que se ingresa al sistema de publicaci�n, o aquella
que procesa el mismo, sea procesada en forma completa, exacta y
oportuna.
c) La informaci�n sensible o confidencial sea protegida durante el proceso de recolecci�n y su almacenamiento.
d) El acceso al sistema de publicaci�n no permita el acceso accidental a las redes a las cuales se conecta el mismo.
e) El responsable de la publicaci�n de informaci�n en sistemas de acceso p�blico sea claramente identificado.
f) La informaci�n se publique teniendo en cuenta las normas establecidas al respecto.
g) Se garantice la validez y vigencia de la informaci�n publicada.
10.9.5 Control: Otras Formas de Intercambio de Informaci�n
Se implementar�n normas, procedimientos y controles para proteger el
intercambio de informaci�n a trav�s de medios de comunicaciones de voz,
fax y v�deo, contemplando las siguientes acciones:
a) Concientizar al personal sobre la toma de debidas precauciones, por
ejemplo no revelar informaci�n sensible como para evitar ser escuchado
o interceptado, al hacer una llamada telef�nica, por:
1. Personas cercanas, en especial al utilizar tel�fonos m�viles o smartphones.
2. Terceros que tengan acceso a la comunicaci�n mediante la
Intervenci�n de la l�nea telef�nica, y otras formas de escucha
subrepticias, a trav�s del acceso f�sico al aparato o a la l�nea
telef�nica, o mediante equipos de barrido de frecuencias al utilizar
tel�fonos m�viles an�logos.
3. Terceros en el lado receptor.
b) Recordar al personal que no sostengan conversaciones confidenciales
en lugares p�blicos u oficinas abiertas y lugares de reuni�n con
paredes delgadas.
c) No dejar mensajes en contestadores autom�ticos puesto que �stos
pueden ser escuchados por personas no autorizadas, almacenados en
sistemas p�blicos o almacenados incorrectamente como resultado de un
error de discado.
d) Recordar al personal los problemas ocasionados por el uso de m�quinas de fax, en particular:
1. El acceso no autorizado a sistemas incorporados de almacenamiento de mensajes con el objeto de recuperarlos.
2. La programaci�n deliberada o accidental de equipos para enviar mensajes a determinados n�meros.
El env�o de documentos y mensajes a un n�mero equivocado por errores de discado o por utilizar el n�mero almacenado equivocado.
10.10 Categor�a: Seguimiento y control
Objetivo
Detectar las actividades de procesamiento de informaci�n no autorizadas.
Se deben monitorear los sistemas y se deben reportar los eventos de
seguridad de la informaci�n. Se deben utilizar bit�coras de operador y
se deben registrar las fallas para asegurar que se identifiquen los
problemas en los sistemas de informaci�n. Una organizaci�n debe cumplir
con todos los requerimientos legales relevantes aplicables a sus
actividades de monitoreo y registro.
Se debe utilizar el monitoreo del sistema para chequear la efectividad
de los controles adoptados y para verificar la conformidad con un
modelo de pol�tica de acceso.
10.10.1 Control: Registro de auditor�a
Se producir�n y mantendr�n registros de auditor�a en los cuales se
registren las actividades, excepciones, y eventos de seguridad de la
informaci�n de los usuarios, por un per�odo acordado para permitir la
detecci�n e investigaci�n de incidentes.
Se debe evaluar la registraci�n en los mencionados registros de la siguiente informaci�n:
a) identificaci�n de los usuarios;
b) fechas, tiempos, y detalles de los eventos principales, por ejemplo, inicio y cierre de sesi�n;
c) identidad del equipo o la ubicaci�n si es posible;
d) registros de intentos de acceso al sistema exitosos y fallidos;
e) registros de intentos de acceso a los datos u otro recurso, exitosos y rechazados;
f) cambios a la configuraci�n del sistema;
g) uso de privilegios;
h) uso de utilitarios y aplicaciones de sistemas;
i) archivos accedidos y el tipo de acceso;
j) direcciones de redes y protocolos;
k) alarmas que son ejecutadas por el sistema de control de accesos;
l) activaci�n y desactivaci�n de los sistemas de protecci�n, tales como sistemas antivirus y sistemas de detecci�n de intrusos.
10.10.2 Control: Protecci�n de los registros
Se implementar�n controles para la protecci�n de los registros de
auditor�a contra cambios no autorizados y problemas operacionales,
incluyendo:
a) alteraciones de los tipos de mensajes que son grabados;
b) edici�n o eliminaci�n de archivos de registro;
Exceso de la capacidad de almacenamiento de los archivos de registro,
resultando en la falla para registrar los eventos o sobrescribiendo
eventos registrados en el pasado.
10.10.3 Control: Registro de actividad de administrador y operador
Se registrar�n y revisar�n peri�dicamente en particular las actividades
de los administradores y operadores de sistema incluyendo:
a) cuenta de administraci�n u operaci�n involucrada;
b) momento en el cual ocurre un evento (�xito o falla);
c) informaci�n acerca del evento (por ejemplo, los archivos
manipulados) o las fallas (por ejemplo, los errores ocurridos y las
acciones correctivas tomadas);
d) procesos involucrados.
10.10.4 Control: Sincronizaci�n de Relojes
A fin de garantizar la exactitud de los registros de auditor�a, al
menos los equipos que realicen estos registros, deben tener una
correcta configuraci�n de sus relojes.
Para ello, se dispondr� de un procedimiento de ajuste de relojes, el
cual indicar� tambi�n la verificaci�n de los relojes contra una fuente
externa del dato y la modalidad de correcci�n ante cualquier variaci�n
significativa.
11. Cl�usula: Gesti�n de Accesos
Generalidades
El acceso por medio de un sistema de restricciones y excepciones a la
informaci�n es la base de todo sistema de seguridad inform�tica. Para
impedir el acceso no autorizado a los sistemas de informaci�n se deben
implementar procedimientos formales para controlar la asignaci�n de
derechos de acceso a los sistemas de informaci�n, bases de datos y
servicios de informaci�n, y �stos deben estar claramente documentados,
comunicados y controlados en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas del ciclo de vida de los
accesos de los usuarios de todos los niveles, desde el registro inicial
de nuevos usuarios hasta la privaci�n final de derechos de los usuarios
que ya no requieren el acceso.
La cooperaci�n de los usuarios es esencial para la eficacia de la
seguridad, por lo tanto es necesario concientizar a los mismos acerca
de sus responsabilidades por el mantenimiento de controles de acceso
eficaces, en particular aquellos relacionados con el uso de contrase�as
y la seguridad del equipamiento.
Objetivo
Impedir el acceso no autorizado a los sistemas de informaci�n, bases de
datos y servicios de informaci�n. Implementar seguridad en los accesos
de usuarios por medio de t�cnicas de autenticaci�n y autorizaci�n.
Controlar la seguridad en la conexi�n entre la red del Organismo y
otras redes p�blicas o privadas. Registrar y revisar eventos y
actividades cr�ticas llevadas a cabo por los usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la utilizaci�n de contrase�as y equipos.
Garantizar la seguridad de la informaci�n cuando se utiliza computaci�n m�vil e instalaciones de trabajo remoto.
Alcance
La Pol�tica definida en este documento se aplica a todas las formas de
acceso de aquellos a quienes se les haya otorgado permisos sobre los
sistemas de informaci�n, bases de datos o servicios de informaci�n del
Organismo, cualquiera sea la funci�n que desempe�e.
Asimismo se aplica al personal t�cnico que define, instala, administra
y mantiene los permisos de acceso y las conexiones de red, y a los que
administran su seguridad.
Responsabilidad
El Responsable de Seguridad de la Informaci�n estar� a cargo de:
Definir normas y procedimientos para: la gesti�n de accesos a todos los
sistemas, bases de datos y servicios de informaci�n multiusuario; el
monitoreo del uso de las instalaciones de procesamiento de la
informaci�n; la solicitud y aprobaci�n de accesos a Internet; el uso de
computaci�n m�vil, trabajo remoto y reportes de incidentes
relacionados; la respuesta a la activaci�n de alarmas silenciosas; la
revisi�n de registros de actividades (logs); y el ajuste de relojes de
acuerdo a un est�ndar preestablecido.
- Definir pautas de utilizaci�n de Internet para todos los usuarios.
- Participar en la definici�n de normas y procedimientos de seguridad a
implementar en el ambiente inform�tico (ej.: sistemas operativos,
servicios de red, enrutadores o gateways, etc.) y validarlos
peri�dicamente.
- Controlar peri�dicamente la asignaci�n de privilegios a usuarios.
- Analizar y sugerir medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.
- Verificar el cumplimiento de las pautas establecidas, relacionadas
con control de accesos, registraci�n de usuarios, administraci�n de
privilegios, administraci�n de contrase�as, utilizaci�n de servicios de
red, autenticaci�n de usuarios y nodos, uso controlado de utilitarios
del sistema, alarmas silenciosas, desconexi�n de terminales por tiempo
muerto, limitaci�n del horario de conexi�n, registro de eventos,
protecci�n de puertos (f�sicos y l�gicos), subdivisi�n de redes,
control de conexiones a la red, control de ruteo de red, etc.
- Concientizar a los usuarios sobre el uso apropiado de contrase�as y de equipos de trabajo.
- Verificar peri�dicamente el cumplimiento de los procedimientos de revisi�n de registros de auditor�a.
- Asistir a los usuarios que corresponda en el an�lisis de riesgos a
los que se expone la informaci�n y los componentes del ambiente
inform�tico que sirven de soporte a la misma.
Los Propietarios de la Informaci�n estar�n encargados de:
- Evaluar los riesgos a los cuales se expone la informaci�n con el objeto de:
• determinar los controles de accesos, autenticaci�n y utilizaci�n a ser implementados en cada caso.
• definir los eventos y actividades de usuarios a ser registrados en
los sistemas de procesamiento de su incumbencia y la periodicidad de
revisi�n de los mismos.
- Aprobar y solicitar la asignaci�n de privilegios a usuarios.
- Llevar a cabo un proceso formal y peri�dico de revisi�n de los derechos de acceso a la informaci�n.
- Definir un cronograma de depuraci�n de registros de auditor�a en l�nea.
Los Propietarios de la Informaci�n junto con la Unidad de Auditor�a
Interna o en su defecto quien sea propuesto por el Comit� de Seguridad
de la Informaci�n, definir�n un cronograma de depuraci�n de logs y
registros de auditor�a en l�nea en funci�n a normas vigentes y a sus
propias necesidades.
Los Responsable de las Unidades Organizativas, junto con el Responsable
de Seguridad de la Informaci�n, autorizar�n el trabajo remoto del
personal a su cargo, en los casos en que se verifique que son adoptadas
todas las medidas que correspondan en materia de seguridad de la
informaci�n, de modo de cumplir con las normas vigentes. Asimismo
autorizar�n el acceso de los usuarios a su cargo a los servicios y
recursos de red y a Internet.
El Responsable del Area Inform�tica cumplir� las siguientes funciones:
- Implementar procedimientos para la activaci�n y desactivaci�n de derechos de acceso a las redes.
- Analizar e implementar los m�todos de autenticaci�n y control de acceso definidos en los sistemas, bases de datos y servicios.
- Evaluar el costo y el impacto de la implementaci�n de “enrutadores”,
“gateways” y/o firewalls adecuados para subdividir la red y recomendar
el esquema apropiado.
- Implementar el control de puertos, de conexi�n a la red y de ruteo de red.
- Implementar el registro de eventos o actividades (logs) de usuarios
de acuerdo a lo definido por los propietarios de la informaci�n, as�
como la depuraci�n de los mismos.
- Definir e implementar los registros de eventos y actividades
correspondientes a sistemas operativos y otras plataformas de
procesamiento.
- Evaluar los riesgos sobre la utilizaci�n de las instalaciones de
procesamiento de informaci�n, con el objeto de definir medios de
monitoreo y tecnolog�as de identificaci�n y autenticaci�n de usuarios
(Ej.: biometr�a, verificaci�n de firma, uso de autenticadores de
hardware).
- Definir e implementar la configuraci�n que debe efectuarse para cada
servicio de red, de manera de garantizar la seguridad en su operatoria.
- Analizar las medidas a ser implementadas para efectivizar el control de acceso a Internet de los usuarios.
- Otorgar acceso a los servicios y recursos de red, �nicamente de acuerdo al pedido formal correspondiente.
- Efectuar un control de los registros de auditor�a generados por los sistemas operativos y de comunicaciones.
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n, tendr� acceso a los registros
de eventos a fin de colaborar en el control y efectuar recomendaciones
sobre modificaciones a los aspectos de seguridad.
El Comit� de Seguridad de la Informaci�n aprobar� el an�lisis de
riesgos de la informaci�n efectuado. Asimismo, aprobar� el per�odo
definido para el mantenimiento de los registros de auditor�a generados.
Pol�tica
11.1 Categor�a: Requerimientos para el Control de Acceso
Objetivo
Controlar el acceso a la informaci�n. Se debe controlar el acceso a la
informaci�n, medios de procesamiento de la informaci�n y procesos de
negocio sobre la base de los requerimientos de negocio y de seguridad.
Las reglas de control del acceso deben tomar en cuenta las pol�ticas para la divulgaci�n y autorizaci�n de la informaci�n.
11.1.1 Control: Pol�tica de Control de Accesos
En la aplicaci�n de controles de acceso, se contemplar�n los siguientes aspectos:
a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.
b) Identificar toda la informaci�n relacionada con las aplicaciones.
c) Establecer criterios coherentes entre esta Pol�tica de Control de
Acceso y la Pol�tica de Clasificaci�n de Informaci�n de los diferentes
sistemas y redes (Ver cap�tulo 7 Gesti�n de Activos).
d) Identificar la legislaci�n aplicable y las obligaciones
contractuales con respecto a la protecci�n del acceso a datos y
servicios.
e) Definir los perfiles de acceso de usuarios est�ndar, comunes a cada categor�a de puestos de trabajo.
f) Administrar los derechos de acceso en un ambiente distribuido y de
red, que reconozcan todos los tipos de conexiones y dispositivos
disponibles.
11.1.2 Control: Reglas de Control de Acceso
Las reglas de control de acceso especificadas, deben:
a) Indicar expresamente si las reglas son obligatorias u optativas.
b) Establecer reglas sobre la premisa “Todo debe estar prohibido a
menos que se permita expresamente” y no sobre la premisa inversa de
“Todo est� permitido a menos que se proh�ba expresamente”.
g) Controlar los cambios en los r�tulos de informaci�n que son
iniciados autom�ticamente por herramientas de procesamiento de
informaci�n, de aquellos que son iniciados a discreci�n del usuario
(Ver cap�tulo 7 Gesti�n de Activos).
c) Controlar los cambios en los permisos de usuario que son iniciados
autom�ticamente por el sistema de informaci�n y aquellos que son
iniciados por el administrador.
d) Controlar las reglas que requieren la aprobaci�n del administrador o
del Propietario de la Informaci�n de que se trate, antes de entrar en
vigencia, y aquellas que no requieren aprobaci�n.
11.2 Categor�a: Administraci�n de Accesos de Usuarios
Objetivo
Con el objetivo de impedir el acceso no autorizado a la informaci�n se
implementar�n procedimientos formales para controlar la asignaci�n de
derechos de acceso a los sistemas, datos y servicios de informaci�n.
Los procedimientos debieran abarcar todas las etapas en el ciclo de
vida del acceso del usuario, desde el registro inicial de usuarios
nuevos hasta la baja final de los usuarios que ya no requieren acceso a
los sistemas y servicios de informaci�n.
11.2.1 Control: Registraci�n de Usuarios
El Responsable de Seguridad de la Informaci�n definir� un procedimiento
formal de registro de usuarios para otorgar y revocar el acceso a todos
los sistemas, bases de datos y servicios de informaci�n multiusuario,
el cual debe comprender:
a) Utilizar identificadores de usuario �nicos, de manera que se pueda
identificar a los usuarios por sus acciones evitando la existencia de
m�ltiples perfiles de acceso para un mismo empleado. El uso de
identificadores grupales s�lo debe ser permitido cuando sean
convenientes para el trabajo a desarrollar debido a razones operativas.
b) Verificar que el usuario tiene autorizaci�n del Propietario de la
Informaci�n para el uso del sistema, base de datos o servicio de
informaci�n.
c) Verificar que el nivel de acceso otorgado es adecuado para el
prop�sito de la funci�n del usuario y es coherente con la Pol�tica de
Seguridad del Organismo, por ejemplo que no compromete la segregaci�n
de funciones.
d) Entregar a los usuarios un detalle escrito de sus derechos de acceso.
e) Requerir que los usuarios firmen declaraciones se�alando que comprenden y aceptan las condiciones para el acceso.
f) Garantizar que los proveedores de servicios no otorguen acceso hasta
que se hayan completado los procedimientos de autorizaci�n.
g) Mantener un registro formal de todas las personas registradas para utilizar el servicio.
h) Cancelar inmediatamente los derechos de acceso de los usuarios que
cambiaron sus tareas, o de aquellos a los que se les revoc� la
autorizaci�n, se desvincularon del Organismo o sufrieron la
p�rdida/robo de sus credenciales de acceso.
i) Efectuar revisiones peri�dicas con el objeto de:
- cancelar identificadores y cuentas de usuario redundantes
- inhabilitar cuentas inactivas por m�s de ....... (indicar per�odo no mayor a 60 d�as)
- eliminar cuentas inactivas por m�s de....... (indicar per�odo no mayor a 120 d�as)
En el caso de existir excepciones, deben ser debidamente justificadas y aprobadas.
j) Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios.
k) Incluir cl�usulas en los contratos de personal y de servicios que
especifiquen sanciones si el personal o los agentes que prestan un
servicio intentan accesos no autorizados.
11.2.2 Control: Gesti�n de Privilegios
Se limitar� y controlar� la asignaci�n y uso de privilegios, debido a
que el uso inadecuado de los privilegios del sistema resulta
frecuentemente en el factor m�s importante que contribuye a la falla de
los sistemas a los que se ha accedido ilegalmente.
Los sistemas multiusuario que requieren protecci�n contra accesos no
autorizados, deben prever una asignaci�n de privilegios controlada
mediante un proceso de autorizaci�n formal. Se deben tener en cuenta
los siguientes pasos:
a) Identificar los privilegios asociados a cada producto del sistema,
por ejemplo sistema operativo, sistema de administraci�n de bases de
datos y aplicaciones, y las categor�as de personal a las cuales deben
asignarse los productos.
b) Asignar los privilegios a individuos sobre la base de la necesidad
de uso y evento por evento, por ejemplo el requerimiento m�nimo para su
rol funcional.
c) Mantener un proceso de autorizaci�n y un registro de todos los
privilegios asignados. Los privilegios no deben ser otorgados hasta que
se haya completado el proceso formal de autorizaci�n.
d) Establecer un per�odo de vigencia para el mantenimiento de los
privilegios (en base a la utilizaci�n que se le dar� a los mismos)
luego del cual los mismos ser�n revocados.
e) Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.
Los Propietarios de Informaci�n ser�n los encargados de aprobar la
asignaci�n de privilegios a usuarios y solicitar su implementaci�n, lo
cual ser� supervisado por el Responsable de Seguridad de la Informaci�n.
11.2.3 Control: Gesti�n de Contrase�as de Usuario
La asignaci�n de contrase�as se controlar� a trav�s de un proceso de
administraci�n formal, mediante el cual deben respetarse los siguientes
pasos:
a) Requerir que los usuarios firmen una declaraci�n por la cual se
comprometen a mantener sus contrase�as personales en secreto y las
contrase�as de los grupos de trabajo exclusivamente entre los miembros
del grupo. Esta declaraci�n bien puede estar incluida en el Compromiso
de Confidencialidad.
b) Garantizar que los usuarios cambien las contrase�as iniciales que
les han sido asignadas la primera vez que ingresan al sistema. Las
contrase�as provisorias, que se asignan cuando los usuarios olvidan su
contrase�a, s�lo debe suministrarse una vez acreditada la identidad del
usuario.
c) Generar contrase�as provisorias seguras para otorgar a los usuarios.
Se debe evitar la participaci�n de terceros o el uso de mensajes de
correo electr�nico sin protecci�n (texto claro) en el mecanismo de
entrega de la contrase�a y los usuarios deben dar acuse de recibo
formal cuando la reciban.
d) Almacenar las contrase�as s�lo en sistemas inform�ticos protegidos.
e) Utilizar otras tecnolog�as de autenticaci�n y autorizaci�n de
usuarios, como ser la biom�trica (por ejemplo verificaci�n de huellas
dactilares), verificaci�n de firma, uso de autenticadores de hardware
(como las tarjetas de circuito integrado), etc. El uso de esas
herramientas se dispondr� cuando la evaluaci�n de riesgos realizada por
el Responsable de Seguridad de la Informaci�n conjuntamente con el
Responsable del Area de Inform�tica y el Propietario de la Informaci�n
lo determine necesario (o lo justifique).
f) Configurar los sistemas de tal manera que:
- las contrase�as sean del tipo “password fuerte” y tengan ... (especificar cantidad no menor a 8 caracteres) caracteres,
- suspendan o bloqueen permanentemente al usuario luego de ...
(especificar cantidad no mayor a 3) intentos de entrar con una
contrase�a incorrecta (debe pedir la rehabilitaci�n ante quien
corresponda),
- solicitar el cambio de la contrase�a cada ... (especificar lapso no mayor a 45 d�as),
- impedir que las �ltimas .... (especificar cantidad no menor a 12) contrase�as sean reutilizadas,
- establecer un tiempo de vida m�nimo de ... (especificar cantidad no mayor a 3) d�as para las contrase�as.
11.2.4 Control: Administraci�n de Contrase�as Cr�ticas
En los diferentes ambientes de procesamiento existen cuentas de
usuarios con las cuales es posible efectuar actividades cr�ticas como
ser instalaci�n de plataformas o sistemas, habilitaci�n de servicios,
actualizaci�n de software, configuraci�n de componentes inform�ticos,
etc. Dichas cuentas no ser�n de uso habitual (diario), sino que s�lo
ser�n utilizadas ante una necesidad espec�fica de realizar alguna tarea
que lo requiera y se encontrar�n protegidas por contrase�as con un
mayor nivel de complejidad que el habitual. El Responsable de Seguridad
de la Informaci�n definir� procedimientos para la administraci�n de
dichas contrase�as cr�ticas que contemplen lo siguiente:
a) Se definir�n las causas que justificar�n el uso de contrase�as cr�ticas as� como el nivel de autorizaci�n requerido.
b) Las contrase�as seleccionadas ser�n seguras, y su definici�n ser�
efectuada como m�nimo por dos personas, de manera que ninguna de ellas
conozca la contrase�a completa.
c) Las contrase�as y los nombres de las cuentas cr�ticas a las que pertenecen ser�n resguardadas debidamente.
d) La utilizaci�n de las contrase�as cr�ticas ser� registrada,
documentando las causas que determinaron su uso, as� como el
responsable de las actividades que se efect�en con la misma.
e) Cada contrase�a cr�tica se renovar� una vez utilizada y se definir�
un per�odo luego del cual la misma ser� renovada en caso de que no se
la haya utilizado.
f) Se registrar�n todas las actividades que se efect�en con las cuentas
cr�ticas para luego ser revisadas. Dicho registro ser� revisado
posteriormente por el Responsable de Seguridad de la Informaci�n.
11.2.5 Revisi�n de Derechos de Acceso de Usuarios
A fin de mantener un control eficaz del acceso a los datos y servicios
de informaci�n, el Propietario de la Informaci�n de que se trate
llevar� a cabo un proceso formal, a intervalos regulares de .....
(indicar periodicidad no mayor a 6 meses), a fin de revisar los
derechos de acceso de los usuarios. Se deben contemplar los siguientes
controles:
a) Revisar los derechos de acceso de los usuarios a intervalos de ..... (especificar tiempo no mayor a 6 meses).
b) Revisar las autorizaciones de privilegios especiales de derechos de
acceso a intervalos de ..... (especificar tiempo no mayor a 3 meses).
c) Revisar las asignaciones de privilegios a intervalos de .....
(especificar tiempo no mayor a 6 meses), a fin de garantizar que no se
obtengan privilegios no autorizados.
11.3 Categor�a: Responsabilidades del Usuario
Objetivo
Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la
informaci�n y evitar el robo de informaci�n y los medios de
procesamiento de la informaci�n.
La cooperaci�n de los usuarios autorizados es esencial para una seguridad efectiva.
Los usuarios deben estar al tanto de sus responsabilidades para
mantener controles de acceso efectivos, particularmente con relaci�n al
uso de claves secretas y la seguridad del equipo del usuario.
Se debe implementar una pol�tica de escritorio y pantalla limpios para
reducir el riesgo de acceso no autorizado o da�o a los papeles, medios
y medios de procesamiento de la informaci�n.
11.3.1 Control: Uso de Contrase�as
Los usuarios deben seguir buenas pr�cticas de seguridad en la selecci�n y uso de contrase�as.
Las contrase�as constituyen un medio de validaci�n y autenticaci�n de
la identidad de un usuario, y consecuentemente un medio para establecer
derechos de acceso a las instalaciones o servicios de procesamiento de
informaci�n.
Los usuarios deben cumplir las siguientes directivas:
a) Mantener las contrase�as en secreto.
b) Pedir el cambio de la contrase�a siempre que exista un posible indicio de compromiso del sistema o de las contrase�as.
c) Seleccionar contrase�as de calidad, de acuerdo a las prescripciones
informadas por el Responsable del Activo de Informaci�n de que se
trate, que:
1. Sean f�ciles de recordar.
2. No est�n basadas en alg�n dato que otra persona pueda adivinar u
obtener f�cilmente mediante informaci�n relacionada con la persona, por
ejemplo nombres, n�meros de tel�fono, fecha de nacimiento, etc.
3. No tengan caracteres id�nticos consecutivos o grupos totalmente num�ricos o totalmente alfab�ticos.
d) Cambiar las contrase�as cada vez que el sistema se lo solicite y evitar reutilizar o reciclar viejas contrase�as.
e) Cambiar las contrase�as provisorias en el primer inicio de sesi�n (“log on”).
f) Evitar incluir contrase�as en los procesos automatizados de inicio
de sesi�n, por ejemplo, aquellas almacenadas en una tecla de funci�n o
macro.
g) Notificar de acuerdo a lo establecido en cap�tulo 13 (Gesti�n de
Incidentes de Seguridad), cualquier incidente de seguridad relacionado
con sus contrase�as: p�rdida, robo o indicio de p�rdida de
confidencialidad.
Si los usuarios necesitan acceder a m�ltiples servicios o plataformas y
se requiere que mantengan m�ltiples contrase�as, se notificar� a los
mismos que pueden utilizar una �nica contrase�a para todos los
servicios que brinden un nivel adecuado de protecci�n de las
contrase�as almacenadas y en tr�nsito.
11.3.2 Control: Equipos Desatendidos en Areas de Usuarios
Los usuarios deben garantizar que los equipos desatendidos sean protegidos adecuadamente.
Los equipos instalados en �reas de usuarios, por ejemplo estaciones de
trabajo o servidores de archivos, requieren una protecci�n espec�fica
contra accesos no autorizados cuando se encuentran desatendidos.
El Responsable de Seguridad de la Informaci�n debe coordinar con el
Area de Recursos Humanos las tareas de concientizaci�n a todos los
usuarios y contratistas, acerca de los requerimientos y procedimientos
de seguridad, para la protecci�n de equipos desatendidos, as� como de
sus funciones en relaci�n a la implementaci�n de dicha protecci�n.
Los usuarios cumplir�n con las siguientes pautas:
a) Concluir las sesiones activas al finalizar las tareas, a menos que
puedan protegerse mediante un mecanismo de bloqueo adecuado, por
ejemplo, un protector de pantalla protegido por contrase�a.
b) Proteger las PC’s o terminales contra usos no autorizados mediante
un bloqueo de seguridad o control equivalente, por ejemplo, contrase�a
de acceso cuando no se utilizan.
11.4 Categor�a: Control de Acceso a la Red
Objetivo
Evitar el acceso no autorizado a los servicios de la red.
Se debe controlar el acceso a los servicios de redes internas y externas.
El acceso del usuario a las redes y servicios de las redes no deben
comprometer la seguridad de los servicios de la red asegurando:
a) que existan las interfaces apropiadas entre la red del Organismo y las redes de otras organizaciones, y redes p�blicas;
b) se apliquen los mecanismos de autenticaci�n apropiados para los usuarios y el equipo;
c) el control del acceso del usuario a la informaci�n sea obligatorio.
11.4.1 Control: Pol�tica de Utilizaci�n de los Servicios de Red
Las conexiones no seguras a los servicios de red pueden afectar a todo
el Organismo, por lo tanto, se controlar� el acceso a los servicios de
red tanto internos como externos. Esto es necesario para garantizar que
los usuarios que tengan acceso a las redes y a sus servicios, no
comprometan la seguridad de los mismos.
El Responsable del Area Inform�tica tendr� a cargo el otorgamiento del
acceso a los servicios y recursos de red, �nicamente de acuerdo al
pedido formal del titular de una Unidad Organizativa que lo solicite
para personal de su incumbencia.
Este control es particularmente importante para las conexiones de red a
aplicaciones que procesen informaci�n clasificada o aplicaciones
cr�ticas, o a usuarios que utilicen el acceso desde sitios de alto
riesgo, por ejemplo �reas p�blicas o externas que est�n fuera de la
administraci�n y del control de seguridad del Organismo.
Para ello, se desarrollar�n procedimientos para la activaci�n y
desactivaci�n de derechos de acceso a las redes, los cuales
comprender�n:
a) Identificar las redes y servicios de red a los cuales se permite el acceso.
b) Realizar normas y procedimientos de autorizaci�n para determinar las
personas y las redes y servicios de red a los cuales se les otorgar� el
acceso.
c) Establecer controles y procedimientos de gesti�n para proteger el acceso a las conexiones y servicios de red.
Esta Pol�tica ser� coherente con la Pol�tica de Control de Accesos del Organismo .
11.4.2 Control: Camino Forzado
Las redes est�n dise�adas para permitir el m�ximo alcance de
distribuci�n de recursos y flexibilidad en la elecci�n de la ruta a
utilizar. Estas caracter�sticas tambi�n pueden ofrecer oportunidades
para el acceso no autorizado a las aplicaciones del Organismo, o para
el uso no autorizado de servicios de informaci�n. Por esto, el camino
de las comunicaciones ser� controlado.
Se limitar�n las opciones de elecci�n de la ruta entre la terminal de
usuario y los servicios a los cuales el mismo se encuentra autorizado a
acceder, mediante la implementaci�n de controles en diferentes puntos
de la misma.
A continuaci�n se enumeran algunos ejemplos a considerar en caso de implementar estos controles a los sistemas existentes:
a) Asignar n�meros telef�nicos o l�neas, en forma dedicada.
b) Establecer la conexi�n autom�tica de puertos a gateways de seguridad o a sistemas de aplicaci�n espec�ficos.
c) Limitar las opciones de men� y submen� de cada uno de los usuarios.
d) Evitar la navegaci�n ilimitada por la red.
e) Imponer el uso de sistemas de aplicaci�n y/o gateways de seguridad espec�ficos para usuarios externos de la red.
f) Controlar activamente las comunicaciones con origen y destino
autorizados a trav�s de un gateway, por ejemplo utilizando firewalls y
generando alertas ante eventos no previstos.
g) Restringir el acceso a redes, estableciendo dominios l�gicos
separados, por ejemplo, redes privadas virtuales para grupos de
usuarios dentro o fuera del Organismo.
Los requerimientos relativos a caminos forzados se basar�n en la
Pol�tica de Control de Accesos del Organismo. El Responsable de
Seguridad de la Informaci�n, conjuntamente con el Propietario de la
Informaci�n de que se trate, realizar� una evaluaci�n de riesgos a fin
de determinar los mecanismos de control que corresponda en cada caso.
11.4.3 Control: Autenticaci�n de Usuarios para Conexiones Externas
Las conexiones externas son de gran potencial para accesos no
autorizados a la informaci�n del Organismo. Por consiguiente, el acceso
de usuarios remotos estar� sujeto al cumplimiento de procedimientos de
autenticaci�n. Existen diferentes m�todos de autenticaci�n, algunos de
los cuales brindan un mayor nivel de protecci�n que otros. El
Responsable de Seguridad de la Informaci�n, conjuntamente con el
Propietario de la Informaci�n de que se trate, realizar� una evaluaci�n
de riesgos a fin de determinar el mecanismo de autenticaci�n que
corresponda en cada caso.
La autenticaci�n de usuarios remotos puede llevarse a cabo utilizando:
a) Un m�todo de autenticaci�n f�sico (por ejemplo tokens de hardware),
para lo que debe implementarse un procedimiento que incluya:
• Asignaci�n de la herramienta de autenticaci�n.
• Registro de los poseedores de autenticadores.
• Mecanismo de rescate al momento de la desvinculaci�n del personal al que se le otorg�.
• M�todo de revocaci�n de acceso del autenticador, en caso de compromiso de seguridad.
b) Un protocolo de autenticaci�n (por ejemplo desaf�o/respuesta), para lo que debe implementarse un procedimiento que incluya:
• Establecimiento de las reglas con el usuario.
• Establecimiento de un ciclo de vida de las reglas para su renovaci�n.
c) Tambi�n pueden utilizarse l�neas dedicadas privadas o una
herramienta de verificaci�n de la direcci�n del usuario de red, a fin
de constatar el origen de la conexi�n.
Los procedimientos y controles de rellamada, o dial-back, pueden
brindar protecci�n contra conexiones no autorizadas a las instalaciones
de procesamiento de informaci�n del Organismo. Al aplicar este tipo de
control, el Organismo no debe utilizar servicios de red que incluyan
desv�o de llamadas. Si por alguna causa es preciso mantener el desv�o
de llamadas, no ser� posible aplicar el control de rellamada. Asimismo,
es importante que el proceso de re-llamada garantice que se produzca a
su t�rmino, una desconexi�n real del lado del Organismo.
En caso de utilizarse sistemas de Voz sobre IP, deben ajustarse los
controles a fin de que no sean utilizados para efectuar comunicaciones
no autorizadas (ej: bloqueo de puertos).
11.4.4 Control: Autenticaci�n de Nodos
Una herramienta de conexi�n autom�tica a una computadora remota podr�a
brindar un medio para obtener acceso no autorizado a una aplicaci�n del
Organismo. Por consiguiente, las conexiones a sistemas inform�ticos
remotos ser�n autenticadas. Esto es particularmente importante si la
conexi�n utiliza una red que est� fuera de control de la gesti�n de
seguridad del Organismo. En el punto anterior se mencionan algunos
ejemplos de autenticaci�n y de c�mo puede lograrse. La autenticaci�n de
nodos puede servir como un medio alternativo de autenticaci�n de grupos
de usuarios remotos, cuando �stos est�n conectados a un servicio
inform�tico seguro y compartido.
11.4.5 Control: Protecci�n de los Puertos (Ports) de Diagn�stico Remoto
Muchas computadoras y sistemas de comunicaci�n son instalados y
administrados con una herramienta de diagn�stico remoto. Si no est�n
protegidos, estos puertos de diagn�stico proporcionan un medio de
acceso no autorizado. Por consiguiente, ser�n protegidos por un
mecanismo de seguridad apropiado, con las mismas caracter�sticas del
punto “11.4.3 Control: Autenticaci�n de Usuarios para Conexiones
Externas”. Tambi�n para este caso debe tenerse en cuenta el punto
“11.4.2 Control: Camino Forzado”.
11.4.6 Control: Subdivisi�n de Redes
Para controlar la seguridad en redes extensas, se podr�n dividir en
dominios l�gicos separados. Para esto se definir�n y documentar�n los
per�metros de seguridad que sean convenientes. Estos per�metros se
implementar�n mediante la instalaci�n de “gateways” con funcionalidades
de “firewall” o redes privadas virtuales, para filtrar el tr�fico entre
los dominios y para bloquear el acceso no autorizado de acuerdo a la
Pol�tica de Control de Accesos.
La subdivisi�n en dominios de la red tomar� en cuenta criterios como
los requerimientos de seguridad comunes de grupos de integrantes de la
red, la mayor exposici�n de un grupo a peligros externos, separaci�n
f�sica, u otros criterios de aglutinamiento o segregaci�n preexistentes.
Bas�ndose en la Pol�tica de Control de Accesos y los requerimientos de
acceso (11.1 Categor�a: Requerimientos para el Control de Acceso), el
Responsable del Area Inform�tica evaluar� el costo relativo y el
impacto en el desempe�o que ocasione la implementaci�n de enrutadores o
gateways adecuados para subdividir la red. Luego decidir�, junto con el
Responsable de Seguridad de la Informaci�n, el esquema m�s apropiado a
implementar.
11.4.7 Control: Acceso a Internet
El acceso a Internet ser� utilizado con prop�sitos autorizados o con el destino por el cual fue provisto.
El Responsable de Seguridad de la Informaci�n definir� procedimientos
para solicitar y aprobar accesos a Internet. Los accesos ser�n
autorizados formalmente por el Responsable de la Unidad Organizativa a
cargo del personal que lo solicite. Asimismo, se definir�n las pautas
de utilizaci�n de Internet para todos los usuarios.
Se evaluar� la conveniencia de generar un registro de los accesos de
los usuarios a Internet, con el objeto de realizar revisiones de los
accesos efectuados o analizar casos particulares. Dicho control ser�
comunicado a los usuarios de acuerdo a lo establecido en el punto 6-1-5
Control Acuerdos de confidencialidad. Para ello, el Responsable de
Seguridad de la Informaci�n junto con el Responsable del Area de
Inform�tica analizar�n las medidas a ser implementadas para efectivizar
dicho control, como ser la instalaci�n de “firewalls”, “proxies”, etc.
11.4.8 Control: Conexi�n a la Red
Sobre la base de lo definido en el punto “11.1 Categor�a:
Requerimientos”, se implementar�n controles para limitar la capacidad
de conexi�n de los usuarios. Dichos controles se podr�n implementar en
los “gateways” que separen los diferentes dominios de la red .
Algunos ejemplos de los entornos a las que deben implementarse restricciones son:
a) Correo electr�nico.
b) Transferencia de archivos.
c) Acceso interactivo.
d) Acceso a la red fuera del horario laboral.
11.4.9 Control: Ruteo de Red
En las redes compartidas, especialmente aquellas que se extienden fuera
de los l�mites del Organismo, se incorporar�n controles de ruteo, para
asegurar que las conexiones inform�ticas y los flujos de informaci�n no
violen la Pol�tica de Control de Accesos. Estos controles contemplar�n
m�nimamente la verificaci�n positiva de direcciones de origen y
destino. Adicionalmente, para este objetivo pueden utilizarse diversos
m�todos incluyendo entre otros autenticaci�n de protocolos de ruteo,
ruteo est�tico, traducci�n de direcciones y listas de control de acceso.
11.4.10 Control: Seguridad de los Servicios de Red
El Responsable de Seguridad de la Informaci�n junto con el Responsable
del Area Inform�tica definir�n las pautas para garantizar la seguridad
de los servicios de red del Organismo, tanto p�blicos como privados.
Para ello se tendr�n en cuenta las siguientes directivas:
- Mantener instalados y habilitados s�lo aquellos servicios que sean utilizados.
- Controlar el acceso l�gico a los servicios, tanto a su uso como a su administraci�n.
- Configurar cada servicio de manera segura, evitando las vulnerabilidades que pudieran presentar.
- Instalar peri�dicamente las actualizaciones de seguridad.
Dicha configuraci�n ser� revisada peri�dicamente por el Responsable de Seguridad de la Informaci�n.
11.5 Categor�a: Control de Acceso al Sistema Operativo
Objetivo
Evitar el acceso no autorizado a los sistemas operativos.
Se deben utilizar medios de seguridad para restringir el acceso a los
sistemas operativos a los usuarios autorizados. Los medios deben tener
la capacidad para:
a) autenticar a los usuarios autorizados, en concordancia con una pol�tica de control de acceso definida;
b) registrar los intentos exitosos y fallidos de autenticaci�n del sistema;
c) registrar el uso de los privilegios especiales del sistema;
d) emitir alarmas cuando se violan las pol�ticas de seguridad del sistema;
e) proporcionar los medios de autenticaci�n apropiados;
f) cuando sea apropiado, restringir el tiempo de conexi�n de los usuarios
11.5.1 Control: Identificaci�n Autom�tica de Terminales
El Responsable de Seguridad de la Informaci�n junto con el Responsable
del Area Inform�tica realizar�n una evaluaci�n de riesgos a fin de
determinar el m�todo de protecci�n adecuado para el acceso al Sistema
Operativo.
Si del an�lisis realizado surgiera la necesidad de proveer un m�todo de
identificaci�n de terminales, se redactar� un procedimiento que indique:
a) El m�todo de identificaci�n autom�tica de terminales utilizado.
b) El detalle de transacciones permitidas por terminal o dispositivo.
11.5.2 Control: Procedimientos de Conexi�n de Terminales
El acceso a los servicios de informaci�n s�lo ser� posible a trav�s de
un proceso de conexi�n seguro. El procedimiento de conexi�n en un
sistema inform�tico ser� dise�ado para minimizar la oportunidad de
acceso no autorizado.
Este procedimiento, por lo tanto, debe divulgar la m�nima informaci�n
posible acerca del sistema, a fin de evitar proveer de asistencia
innecesaria a un usuario no autorizado.
El procedimiento de identificaci�n debe:
a) Mantener en secreto los identificadores de sistemas o aplicaciones
hasta tanto se halla llevado a cabo exitosamente el proceso de conexi�n.
b) Desplegar un aviso general advirtiendo que s�lo los usuarios autorizados pueden acceder a la computadora.
c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexi�n.
d) Validar la informaci�n de la conexi�n s�lo al completarse la
totalidad de los datos de entrada. Si surge una condici�n de error, el
sistema no debe indicar que parte de los datos es correcta o incorrecta.
e) Limitar el n�mero de intentos de conexi�n no exitosos permitidos y:
• Registrar los intentos no exitosos.
• Impedir otros intentos de identificaci�n, una vez superado el l�mite permitido.
• Desconectar conexiones de comunicaciones de datos.
f) Limitar el tiempo m�ximo permitido para el procedimiento de
conexi�n. Si �ste es excedido, el sistema debe finalizar la conexi�n.
g) Desplegar la siguiente informaci�n, al completarse una conexi�n exitosa:
• Fecha y hora de la conexi�n exitosa anterior.
• Detalles de los intentos de conexi�n no exitosos desde la �ltima conexi�n exitosa.
11.5.3 Control: Identificaci�n y Autenticaci�n de los Usuarios
Todos los usuarios (incluido el personal de soporte t�cnico, como los
operadores, administradores de red, programadores de sistemas y
administradores de bases de datos) tendr�n un identificador �nico (ID
de usuario) solamente para su uso personal exclusivo, de manera que las
actividades puedan rastrearse con posterioridad hasta llegar al
individuo responsable, a fin de garantizar la trazabilidad de las
transacciones. Los identificadores de usuario no dar�n ning�n indicio
del nivel de privilegio otorgado.
En circunstancias excepcionales, cuando existe un claro beneficio para
el Organismo, podr� utilizarse un identificador compartido para un
grupo de usuarios o una tarea espec�fica. Para casos de esta �ndole, se
documentar� la justificaci�n y aprobaci�n del Propietario de la
Informaci�n de que se trate.
Si se utilizar� un m�todo de autenticaci�n f�sico (por ejemplo
autenticadores de hardware), debe implementarse un procedimiento que
incluya:
a) Asignar la herramienta de autenticaci�n.
b) Registrar los poseedores de autenticadores.
c) Rescatar el autenticador al momento de la desvinculaci�n del personal al que se le otorg�.
d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.
11.5.4 Control: Sistema de Administraci�n de Contrase�as
Las contrase�as constituyen uno de los principales medios de validaci�n
de la autoridad de un usuario para acceder a un servicio inform�tico.
Los sistemas de administraci�n de contrase�as deben constituir una
herramienta eficaz e interactiva que garantice contrase�as de calidad.
El sistema de administraci�n de contrase�as debe:
f) Imponer el uso de contrase�as individuales para determinar responsabilidades.
g) Permitir que los usuarios seleccionen y cambien sus propias
contrase�as (luego de cumplido el plazo m�nimo de mantenimiento de las
mismas) e incluir un procedimiento de confirmaci�n para contemplar los
errores de ingreso.
h) Imponer una selecci�n de contrase�as de calidad seg�n lo se�alado en el punto “11.3.1 Control: Uso de Contrase�as”.
i) Imponer cambios en las contrase�as en aquellos casos en que los
usuarios mantengan sus propias contrase�as, seg�n lo se�alado en el
punto “11.3.1 Control: Uso de Contrase�as”.
j) Obligar a los usuarios a cambiar las contrase�as provisorias en su
primer procedimiento de identificaci�n, en los casos en que ellos
seleccionen sus contrase�as.
k) Mantener un registro de las �ltimas 13 contrase�as utilizadas por el usuario, y evitar la reutilizaci�n de las mismas.
l) Evitar mostrar las contrase�as en pantalla, cuando son ingresadas.
m) Almacenar en forma separada los archivos de contrase�as y los datos de sistemas de aplicaci�n.
n) Almacenar las contrase�as en forma cifrada utilizando un algoritmo de cifrado unidireccional.
o) Modificar todas las contrase�as predeterminadas por el vendedor, una
vez instalado el software y el hardware (por ejemplo claves de
impresoras, hubs, routers, etc.).
p) Garantizar que el medio utilizado para acceder/utilizar el sistema
de contrase�as, asegure que no se tenga acceso a informaci�n temporal o
en tr�nsito de forma no protegida.
11.5.5 Control: Uso de Utilitarios de Sistema
La mayor�a de las instalaciones inform�ticas tienen uno o m�s programas
utilitarios que podr�an tener la capacidad de pasar por alto los
controles de sistemas y aplicaciones. Es esencial que su uso sea
limitado y minuciosamente controlado. Se deben considerar los
siguientes controles:
a) Utilizar procedimientos de autenticaci�n para utilitarios del sistema.
b) Separar entre utilitarios del sistema y software de aplicaciones.
c) Limitar el uso de utilitarios del sistema a la cantidad m�nima viable de usuarios fiables y autorizados.
d) Evitar que personas ajenas al Organismo tomen conocimiento de la
existencia y modo de uso de los utilitarios instalados en las
instalaciones inform�ticas.
e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema.
f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado.
g) Registrar todo uso de utilitarios del sistema.
h) Definir y documentar los niveles de autorizaci�n para utilitarios del sistema.
i) Remover todo el software basado en utilitarios y software de sistema innecesarios.
11.5.6 Control: Alarmas Silenciosas para la Protecci�n de los Usuarios
Se considerar� la provisi�n de alarmas silenciosas para los usuarios
que podr�an ser objetos de coerci�n. La decisi�n de suministrar una
alarma de esta �ndole se basar� en una evaluaci�n de riesgos que
realizar� el Responsable de Seguridad de la Informaci�n junto con el
Responsable del Area Inform�tica. En este caso, se definir�n y
asignar�n funciones y procedimientos para responder a la utilizaci�n de
una alarma silenciosa.
11.5.7 Control: Desconexi�n de Terminales por Tiempo Muerto
El Responsable de Seguridad de la Informaci�n, junto con los
Propietarios de la Informaci�n de que se trate definir�n cu�les se
consideran terminales de alto riesgo, por ejemplo �reas p�blicas o
externas fuera del alcance de la gesti�n de seguridad del Organismo, o
que sirven a sistemas de alto riesgo. Las mismas se apagar�n despu�s de
un per�odo definido de inactividad, tiempo muerto, para evitar el
acceso de personas no autorizadas. Esta herramienta de desconexi�n por
tiempo muerto debe limpiar la pantalla de la terminal y debe cerrar
tanto la sesi�n de la aplicaci�n como la de red. El lapso por tiempo
muerto responder� a los riesgos de seguridad del �rea y de la
informaci�n que maneje la terminal.
Para las estaciones de trabajo, se implementar� la desconexi�n por
tiempo muerto, que limpie la pantalla y evite el acceso no autorizado,
pero que no cierra las sesiones de aplicaci�n o de red.
Por otro lado, si un agente debe abandonar su puesto de trabajo
moment�neamente, activar� protectores de pantalla con contrase�as, a
los efectos de evitar que terceros puedan ver su trabajo o continuar
con la sesi�n de usuario habilitada.
11.5.8 Control: Limitaci�n del Horario de Conexi�n
Las restricciones al horario de conexi�n deben suministrar seguridad
adicional a las aplicaciones de alto riesgo. La limitaci�n del per�odo
durante el cual se permiten las conexiones de terminales a los
servicios inform�ticos reduce el espectro de oportunidades para el
acceso no autorizado. Se implementar� un control de esta �ndole para
aplicaciones inform�ticas sensibles, especialmente aquellas terminales
instaladas en ubicaciones de alto riesgo, por ejemplo �reas p�blicas o
externas que est�n fuera del alcance de la gesti�n de seguridad del
Organismo.
Entre los controles que se deben aplicar, se enuncian:
a) Utilizar lapsos predeterminados, por ejemplo para transmisiones de
archivos en lote, o sesiones interactivas peri�dicas de corta duraci�n.
b) Limitar los tiempos de conexi�n al horario normal de oficina, de no
existir un requerimiento operativo de horas extras o extensi�n horaria.
c) Documentar debidamente los agentes que no tienen restricciones
horarias y las razones de su autorizaci�n. Tambi�n cuando el
Propietario de la Informaci�n autorice excepciones para una extensi�n
horaria ocasional.
11.6 Categor�a: Control de Acceso a las Aplicaciones
Objetivo
Evitar el acceso no autorizado a la informaci�n mantenida en los sistemas de aplicaci�n.
Se deben utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicaci�n.
El acceso l�gico al software de la aplicaci�n y la informaci�n se debe
limitar a los usuarios autorizados. Los sistemas de aplicaci�n debieran:
a) controlar el acceso del usuario a la informaci�n y las funciones del
sistema de aplicaci�n, en concordancia con una pol�tica de control de
acceso definida;
b) proporcionar protecci�n contra un acceso no autorizado de cualquier
utilidad, software del sistema de operaci�n y software malicioso que
sea capaz de superar o pasar los controles del sistema o la aplicaci�n;
c) no comprometer a otros sistemas con los cuales se comparten recursos de informaci�n.
11.6.1 Control: Restricci�n del Acceso a la Informaci�n
Los usuarios de sistemas de aplicaci�n, con inclusi�n del personal de
soporte, tendr�n acceso a la informaci�n y a las funciones de los
sistemas de aplicaci�n de conformidad con la Pol�tica de Control de
Acceso definida, sobre la base de los requerimientos de cada
aplicaci�n, y conforme a la Pol�tica del Organismo para el acceso a la
informaci�n.
Se aplicar�n los siguientes controles, para brindar apoyo a los requerimientos de limitaci�n de accesos:
a) Proveer una interfaz para controlar el acceso a las funciones de los
sistemas de aplicaci�n. El Propietario de la Informaci�n involucrada
ser� responsable de la adjudicaci�n de accesos a las funciones. En el
caso de que las actividades involucradas en el otorgamiento de acceso
revistan un car�cter t�cnico elevado, las mismas ser�n llevadas a cabo
por personal del �rea de sistemas, conforme a una autorizaci�n formal
emitida por el Propietario de la Informaci�n.
b) Restringir el conocimiento de los usuarios acerca de la informaci�n
o de las funciones de los sistemas de aplicaci�n a las cuales no sean
autorizados a acceder, con la adecuada edici�n de la documentaci�n de
usuario.
c) Controlar los derechos de acceso de los usuarios, por ejemplo, lectura, escritura, supresi�n y ejecuci�n.
d) Garantizar que las salidas de los sistemas de aplicaci�n que
administran informaci�n sensible, contengan s�lo la informaci�n que
resulte pertinente para el uso de la salida, y que la misma se env�e
solamente a las terminales y ubicaciones autorizadas.
e) Revisar peri�dicamente dichas salidas a fin de garantizar la remoci�n de la informaci�n redundante.
f) Restringir el acceso a la informaci�n por fuera del sistema
encargado de su procesamiento, es decir, la modificaci�n directa del
dato almacenado.
11.6.2 Control: Aislamiento de los Sistemas Sensibles
Los sistemas cr�ticos podr�an requerir de un ambiente inform�tico
dedicado (aislado). Algunos sistemas de aplicaci�n son suficientemente
sensibles a p�rdidas potenciales y requieren un tratamiento especial.
La sensibilidad puede se�alar que el sistema de aplicaci�n debe
ejecutarse en una computadora dedicada, que s�lo debe compartir
recursos con los sistemas de aplicaci�n confiables, o no tener
limitaciones. Son aplicables las siguientes consideraciones:
a) Identificar y documentar claramente la sensibilidad de un sistema de
aplicaci�n. Esta tarea ser� llevada a cabo por el administrador de la
aplicaci�n.
b) Identificar y acordar con el administrador de la aplicaci�n sensible
cuando la aplicaci�n ha de ejecutarse en un ambiente compartido, los
sistemas de aplicaci�n con los cuales �sta compartir� los recursos.
c) Coordinar con el Responsable del Area inform�tica, qu� servicios
estar�n disponibles en el entorno donde se ejecutar� la aplicaci�n, de
acuerdo a los requerimientos de operaci�n y seguridad especificados por
el administrador de la aplicaci�n.
d) Considerar la seguridad en la administraci�n de las copias de respaldo de la informaci�n que procesan las aplicaciones.
e) Considerar las mismas precauciones de seguridad y privacidad, en la
elaboraci�n del plan de continuidad y/o contingencia de la ejecuci�n de
la aplicaci�n. Ejemplo: el equipamiento alternativo o las instalaciones
de emergencia donde restablecer la aplicaci�n.
11.7 Categor�a: Monitoreo del Acceso y Uso de los Sistemas
Objetivo
Asegurar que se registren y se eval�en todos los eventos significativos para la seguridad de accesos.
Verificar la existencia de procedimientos para monitorear el uso de las instalaciones de procesamiento de la informaci�n.
11.7.1 Control: Registro de Eventos
Se generar�n registros de auditor�a que contengan excepciones y otros eventos relativos a la seguridad.
Los registros de auditor�a deben incluir:
a) Identificaci�n del usuario.
b) Fecha y hora de inicio y terminaci�n.
c) Identidad o ubicaci�n de la terminal, si se hubiera dispuesto identificaci�n autom�tica para la misma.
d) Registros de intentos exitosos y fallidos de acceso al sistema.
e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos.
En todos los casos, los registros de auditor�a ser�n archivados
preferentemente en un equipo diferente al que los genere y conforme los
requerimientos de la Pol�tica de Retenci�n de Registros.
Los Propietarios de la Informaci�n junto con la Unidad de Auditor�a
Interna o en su defecto quien sea propuesto por el Comit� de Seguridad
de la Informaci�n, definir�n un cronograma de depuraci�n de registros
en l�nea en funci�n a normas vigentes y a sus propias necesidades.
11.7.2 Control: Procedimientos y Areas de Riesgo
Se desarrollar�n procedimientos para monitorear el uso de las
instalaciones de procesamiento de la informaci�n, a fin de garantizar
que los usuarios s�lo est�n desempe�ando actividades que hayan sido
autorizadas expl�citamente.
Todos los empleados deben conocer el alcance preciso del uso adecuado
de los recursos inform�ticos, y se les advertir� que determinadas
actividades pueden ser objeto de control y monitoreo.
El alcance de estos procedimientos debe corresponderse a la evaluaci�n
de riesgos que realice el Responsable del Area Inform�tica y el
Responsable de Seguridad de la Informaci�n.
Entre las �reas que deben tenerse en cuenta se enumeran las siguientes:
a) Acceso no autorizado, incluyendo detalles como:
1. Identificaci�n del usuario.
2. Fecha y hora de eventos clave.
3. Tipos de eventos.
4. Archivos a los que se accede.
5. Utilitarios y programas utilizados.
b) Todas las operaciones con privilegio, como:
1. Utilizaci�n de cuenta de supervisor.
2. Inicio y cierre del sistema.
3. Conexi�n y desconexi�n de dispositivos de Ingreso y Salida de informaci�n o que permitan copiar datos.
4. Cambio de fecha/hora.
5. Cambios en la configuraci�n de la seguridad.
6. Alta de servicios.
c) Intentos de acceso no autorizado, como:
1. Intentos fallidos.
2. Violaciones de la Pol�tica de Accesos y notificaciones para “gateways” de red y “firewalls”.
3. Alertas de sistemas de detecci�n de intrusiones.
d) Alertas o fallas de sistema como:
1. Alertas o mensajes de consola.
2. Excepciones del sistema de registro.
3. Alarmas del sistema de administraci�n de redes.
4. Accesos remotos a los sistemas.
Entre los factores de riesgo que se deben considerar se encuentran:
a) La criticidad de los procesos de aplicaciones.
b) El valor, la sensibilidad o criticidad de la informaci�n involucrada.
c) La experiencia acumulada en materia de infiltraci�n y uso inadecuado del sistema.
d) El alcance de la interconexi�n del sistema (en particular las redes p�blicas).
Los Propietarios de la Informaci�n manifestar�n la necesidad de
registrar aquellos eventos que consideren cr�ticos para la operatoria
que se encuentra bajo su responsabilidad.
11.7.3 Registro y Revisi�n de Eventos
Se implementar� un procedimiento de registro y revisi�n de los
registros de auditor�a, orientado a producir un informe de las amenazas
detectadas contra los sistemas y los m�todos utilizados.
La periodicidad de dichas revisiones ser� definida por los Propietarios
de la Informaci�n y el Responsable de Seguridad de la Informaci�n, de
acuerdo a la evaluaci�n de riesgos efectuada.
Si el volumen de la informaci�n contenida en alguno de los registros
fuera muy grande, el procedimiento indicar� cu�les de los registros m�s
significativos se copiar�n autom�ticamente en registros auxiliares.
Por otra parte, el Responsable del Area Inform�tica, podr� disponer la
utilizaci�n de herramientas de auditor�a o utilitarios adecuados para
llevar a cabo el control unificado de los registros.
En la asignaci�n de funciones en materia de seguridad de la informaci�n
(Ver 6-1-3 Control: Asignaci�n de responsabilidades de la seguridad de
la informaci�n), se debe separar las funciones entre quienes realizan
la revisi�n y aquellos cuyas actividades est�n siendo monitoreadas.
Las herramientas de registro deben contar con los controles de acceso necesarios, a fin de garantizar que no ocurra:
a) La desactivaci�n de la herramienta de registro.
b) La alteraci�n de mensajes registrados.
c) La edici�n o supresi�n de archivos de registro.
d) La saturaci�n de un medio de soporte de archivos de registro.
e) La falla en los registros de los eventos.
f) La sobrescritura de los registros.
La Unidad de Auditor�a Interna o en su defecto quien sea propuesto por
el Comit� de Seguridad de la Informaci�n, tendr� acceso a los registros
de eventos a fin de colaborar en el control y efectuar recomendaciones
sobre modificaciones a los aspectos de seguridad. Adicionalmente
podr�an evaluar las herramientas de registro, pero no tendr�n libre
acceso a ellas.
11.8 Categor�a: Dispositivos M�viles y Trabajo Remoto
Objetivo
Asegurar la seguridad de la informaci�n cuando se utiliza medios de computaci�n y tele-trabajo m�viles.
La protecci�n requerida se debe conmensurar con los riesgos que causan
estas maneras de trabajo espec�ficas. Cuando se utiliza computaci�n
m�vil, se deben considerar los riesgos de trabajar en un ambiente
desprotegido y se debiera aplicar la protecci�n apropiada. En el caso
del tele-trabajo, la organizaci�n debe aplicar protecci�n al lugar del
tele-trabajo y asegurar que se establezcan los arreglos adecuados para
esta manera de trabajar.
11.8.1 Control: Computaci�n M�vil
Cuando se utilizan dispositivos inform�ticos m�viles se debe tener
especial cuidado en garantizar que no se comprometa la informaci�n ni
la infraestructura del Organismo.
Se debe tener en cuenta en este sentido, cualquier dispositivo m�vil
y/o removible, incluyendo: Notebooks, Laptop o PDA (Asistente Personal
Digital), Tel�fonos Celulares y sus tarjetas de memoria, Dispositivos
de Almacenamiento removibles, tales como CDs, DVDs, Disquetes, Tapes, y
cualquier dispositivo de almacenamiento de conexi�n USB, Tarjetas de
identificaci�n personal (control de acceso), dispositivos
criptogr�ficos, c�maras digitales, etc.
Esta lista no es taxativa, ya que deben incluirse todos los
dispositivos que pudieran contener informaci�n confidencial del
Organismo y por lo tanto, ser pasibles de sufrir un incidente en el que
se comprometa la seguridad del mismo.
Se desarrollar�n procedimientos adecuados para estos dispositivos, que abarquen los siguientes conceptos:
e) La protecci�n f�sica necesaria
f) El acceso seguro a los dispositivos
g) La utilizaci�n segura de los dispositivos en lugares p�blicos.
h) El acceso a los sistemas de informaci�n y servicios del Organismo a trav�s de dichos dispositivos.
i) Las t�cnicas criptogr�ficas a utilizar para la transmisi�n de informaci�n clasificada.
j) Los mecanismos de resguardo de la informaci�n contenida en los dispositivos.
k) La protecci�n contra software malicioso.
La utilizaci�n de dispositivos m�viles incrementa la probabilidad de
ocurrencia de incidentes del tipo de p�rdida, robo o hurto. En
consecuencia debe entrenarse especialmente al personal que los utilice.
Se desarrollar�n normas y procedimientos sobre los cuidados especiales
a observar ante la posesi�n de dispositivos m�viles, que contemplar�n
las siguientes recomendaciones:
a) Permanecer siempre cerca del dispositivo.
b) No dejar desatendidos los equipos.
c) No llamar la atenci�n acerca de portar un equipo valioso.
d) No poner identificaciones del Organismo en el dispositivo, salvo los estrictamente necesarios.
e) No poner datos de contacto t�cnico en el dispositivo.
f) Mantener cifrada la informaci�n clasificada.
Por otra parte, se confeccionar�n procedimientos que permitan al
propietario del dispositivo reportar r�pidamente cualquier incidente
sufrido y mitigar los riesgos a los que eventualmente estuvieran
expuestos los sistemas de informaci�n del Organismo, los que incluir�n:
a) Revocaci�n de las credenciales afectadas
b) Notificaci�n a grupos de Trabajo donde potencialmente se pudieran haber comprometido recursos.
11.8.2 Control: Trabajo Remoto
El trabajo remoto utiliza tecnolog�a de comunicaciones para permitir
que el personal trabaje en forma remota desde un lugar externo al
Organismo.
El trabajo remoto s�lo ser� autorizado por el Responsable de la Unidad
Organizativa, o superior jer�rquico correspondiente, a la cual
pertenezca el usuario solicitante, conjuntamente con el Responsable de
Seguridad de la Informaci�n, cuando se verifique que son adoptadas
todas las medidas que correspondan en materia de seguridad de la
informaci�n, de modo de cumplir con la pol�tica, normas y
procedimientos existentes.
Estos casos ser�n de excepci�n y ser�n contemplados en situaciones que
justifiquen la imposibilidad de otra forma de acceso y la urgencia,
tales como horarios del Organismo, solicitud de las autoridades, etc.
Para ello, se establecer�n normas y procedimientos para el trabajo remoto, que consideren los siguientes aspectos:
a) La seguridad f�sica existente en el sitio de trabajo remoto, tomando
en cuenta la seguridad f�sica del edificio y del ambiente local.
b) El ambiente de trabajo remoto propuesto.
c) Los requerimientos de seguridad de comunicaciones, tomando en cuenta
la necesidad de acceso remoto a los sistemas internos del Organismo, la
sensibilidad de la informaci�n a la que se acceder� y que pasar� a
trav�s del v�nculo de comunicaci�n y la sensibilidad del sistema
interno.
d) La amenaza de acceso no autorizado a informaci�n o recursos por
parte de otras personas que utilizan el lugar, por ejemplo, familia y
amigos.
e) Evitar la instalaci�n/desinstalaci�n de software no autorizada por el Organismo.
Los controles y disposiciones comprenden:
a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto.
b) Definir el trabajo permitido, el horario de trabajo, la
clasificaci�n de la informaci�n que se puede almacenar en el equipo
remoto desde el cual se accede a la red del Organismo y los sistemas
internos y servicio a los cuales el trabajador remoto est� autorizado a
acceder.
c) Proveer de un adecuado equipo de comunicaci�n, con inclusi�n de m�todos para asegurar el acceso remoto.
d) Incluir seguridad f�sica.
e) Definir reglas y orientaci�n respecto del acceso de terceros al equipamiento e informaci�n.
f) Proveer el hardware y el soporte y mantenimiento del software.
g) Definir los procedimientos de backup y de continuidad de las operaciones.
h) Efectuar auditor�a y monitoreo de la seguridad.
i) Realizar la anulaci�n de las autorizaciones, derechos de acceso y
devoluci�n del equipo cuando finalicen las actividades remotas.
j) Asegurar el reintegro del equipamiento en las mismas condiciones en
que fue entregado, en el caso en que cese la necesidad de trabajar en
forma remota.
Se implementar�n procesos de auditor�a espec�ficos para los casos de
accesos remotos, que ser�n revisados regularmente. Se llevar� un
registro de incidentes a fin de corregir eventuales fallas en la
seguridad de este tipo de accesos.
12. Cl�usula: Adquisici�n, desarrollo y mantenimiento de sistemas
Generalidades
El desarrollo y mantenimiento de las aplicaciones es un punto cr�tico de la seguridad.
Durante el an�lisis y dise�o de los procesos que soportan estas
aplicaciones se deben identificar, documentar y aprobar los
requerimientos de seguridad a incorporar durante las etapas de
desarrollo e implementaci�n. Adicionalmente, se deben dise�ar controles
de validaci�n de datos de entrada, procesamiento interno y salida de
datos.
Dado que los analistas y programadores tienen el conocimiento total de
la l�gica de los procesos en los sistemas, se deben implementar
controles que eviten maniobras dolosas por parte de estas personas u
otras que puedan operar sobre los sistemas, bases de datos y
plataformas de software de base (por ejemplo, operadores que puedan
manipular los datos y/o atacantes que puedan comprometer/alterar la
integridad de las bases de datos) y en el caso de que se lleven a cabo,
identificar r�pidamente al responsable.
Asimismo, es necesaria una adecuada administraci�n de la
infraestructura de base, Sistemas Operativos y Software de Base, en las
distintas plataformas, para asegurar una correcta implementaci�n de la
seguridad, ya que en general los aplicativos se asientan sobre este
tipo de software.
Objetivo
Asegurar la inclusi�n de controles de seguridad y validaci�n de datos
en la adquisici�n y el desarrollo de los sistemas de informaci�n.
Definir y documentar las normas y procedimientos que se aplicar�n
durante el ciclo de vida de los aplicativos y en la infraestructura de
base en la cual se apoyan.
Definir los m�todos de protecci�n de la informaci�n cr�tica o sensible.
Alcance
Esta Pol�tica se aplica a todos los sistemas inform�ticos, tanto
desarrollos propios o de terceros, y a todos los Sistemas Operativos
y/o Software de Base que integren cualquiera de los ambientes
administrados por el Organismo en donde residan los desarrollos
mencionados.
Responsabilidad
El Responsable de Seguridad de la Informaci�n junto con el Propietario
de la Informaci�n y la Unidad de Auditor�a Interna, definir�n los
controles a ser implementados en los sistemas desarrollados
internamente o por terceros, en funci�n de una evaluaci�n previa de
riesgos.
El Responsable de Seguridad de la Informaci�n, junto con el Propietario
de la Informaci�n, definir�n en funci�n a la criticidad de la
informaci�n, los requerimientos de protecci�n mediante m�todos
criptogr�ficos. Luego, el Responsable de Seguridad de la Informaci�n
definir� junto con el Responsable del Area de Sistemas, los m�todos de
encripci�n a ser utilizados.
Asimismo, el Responsable de Seguridad de la Informaci�n cumplir� las siguientes funciones:
- Definir los procedimientos de administraci�n de claves.
- Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas.
- Garantizar el cumplimiento de los requerimientos de seguridad para el software.
- Definir procedimientos para: el control de cambios a los sistemas; la
verificaci�n de la seguridad de las plataformas y bases de datos que
soportan e interact�an con los sistemas; el control de c�digo
malicioso; y la definici�n de las funciones del personal involucrado en
el proceso de entrada de datos.
El Responsable del Area Inform�tica, propondr� para su aprobaci�n por
parte del superior jer�rquico que corresponda, la asignaci�n de
funciones de “implementador” y “administrador de programas fuentes” al
personal de su �rea que considere adecuado, cuyas responsabilidades se
detallan en el presente cap�tulo. Asimismo, verificar� el cumplimiento
de las definiciones establecidas sobre los controles y las medidas de
seguridad a ser incorporadas a los sistemas.
El Area de Sistemas propondr� qui�nes realizar�n la administraci�n de las t�cnicas criptogr�ficas y claves.
El Responsable del Area de Administraci�n incorporar� aspectos
relacionados con el licenciamiento, la calidad del software y la
seguridad de la informaci�n en los contratos con terceros por el
desarrollo de software. El Responsable del Area Jur�dica participar� en
dicha tarea.
Pol�tica
12.1 Categor�a: Requerimientos de Seguridad de los Sistemas
Objetivo
Garantizar que la seguridad sea una parte integral de los sistemas de informaci�n.
Los sistemas de informaci�n incluyen sistemas de operaci�n,
infraestructura, aplicaciones operativas, productos de venta masiva,
servicios y aplicaciones desarrolladas por el usuario. El dise�o e
implementaci�n del sistema de informaci�n que soporta el proceso
operativo puede ser crucial para la seguridad. Se deben identificar y
acordar los requerimientos de seguridad antes del desarrollo y/o
implementaci�n de los sistemas de informaci�n.
12.1.1 Control: An�lisis y Especificaciones de los Requerimientos de seguridad
Esta Pol�tica se implementa para incorporar seguridad a los sistemas de
informaci�n (propios o de terceros) y a las mejoras o actualizaciones
que se les incorporen.
Los requerimientos para nuevos sistemas o mejoras a los existentes
especificar�n la necesidad de controles. Estas especificaciones deben
considerar los controles autom�ticos a incorporar al sistema, como as�
tambi�n controles manuales de apoyo.
Se deben tener en cuenta las siguientes consideraciones:
a) Definir un procedimiento para que durante las etapas de an�lisis y
dise�o del sistema, se incorporen a los requerimientos, los
correspondientes controles de seguridad. Este procedimiento debe
incluir una etapa de evaluaci�n de riesgos previa al dise�o, para
definir los requerimientos de seguridad e identificar los controles
apropiados. En esta tarea deben participar las �reas usuarias, de
sistemas, de seguridad inform�tica y auditor�a, especificando y
aprobando los controles autom�ticos a incorporar al sistema y las
necesidades de controles manuales complementarios. Las �reas
involucradas podr�n solicitar certificaciones y evaluaciones
independientes para los productos a utilizar.
b) Evaluar los requerimientos de seguridad y los controles requeridos,
teniendo en cuenta que �stos deben ser proporcionales en costo y
esfuerzo al valor del bien que se quiere proteger y al da�o potencial
que pudiera ocasionar a las actividades realizadas.
c) Considerar que los controles introducidos en la etapa de dise�o, son
significativamente menos costosos de implementar y mantener que
aquellos incluidos durante o despu�s de la implementaci�n.
12.2 Categor�a: Seguridad en los Sistemas de Aplicaci�n
Objetivo
Para evitar la p�rdida, modificaci�n o uso inadecuado de los datos
pertenecientes a los sistemas de informaci�n, se establecer�n controles
y registros de auditor�a, verificando:
a) La validaci�n efectiva de datos de entrada.
b) El procesamiento interno.
c) La autenticaci�n de mensajes (interfaces entre sistemas)
d) La validaci�n de datos de salida.
12.2.1 Validaci�n de Datos de Entrada
Se definir� un procedimiento que durante la etapa de dise�o,
especifique controles que aseguren la validez de los datos ingresados,
tan cerca del punto de origen como sea posible, controlando tambi�n
datos permanentes y tablas de par�metros.
Este procedimiento considerar� los siguientes controles:
a) Control de secuencia.
b) Control de monto l�mite por operaci�n y tipo de usuario.
c) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados.
d) Control de paridad.
e) Control contra valores cargados en las tablas de datos.
f) Controles por oposici�n, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa.
Por otra parte, se llevar�n a cabo las siguientes acciones:
a) Se definir� un procedimiento para realizar revisiones peri�dicas de
contenidos de campos claves o archivos de datos, definiendo qui�n lo
realizar�, en qu� forma, con qu� m�todo, qui�nes deben ser informados
del resultado, etc.
b) Se definir� un procedimiento que explicite las alternativas a seguir para responder a errores de validaci�n en un aplicativo.
c) Se definir� un procedimiento que permita determinar las
responsabilidades de todo el personal involucrado en el proceso de
entrada de datos.
12.2.2 Control: Controles de Procesamiento Interno
Se definir� un procedimiento para que durante la etapa de dise�o, se
incorporen controles de validaci�n a fin de eliminar o minimizar los
riesgos de fallas de procesamiento y/o vicios por procesos de errores.
Para ello se implementar�n:
a) Procedimientos que permitan identificar el uso y localizaci�n en los
aplicativos, de funciones de incorporaci�n y eliminaci�n que realizan
cambios en los datos.
b) Procedimientos que establezcan los controles y verificaciones
necesarios para prevenir la ejecuci�n de programas fuera de secuencia o
cuando falle el procesamiento previo.
c) Procedimientos que establezcan la revisi�n peri�dica de los
registros de auditor�a o alertas de forma de detectar cualquier
anomal�a en la ejecuci�n de las transacciones.
d) Procedimientos que realicen la validaci�n de los datos generados por el sistema.
e) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras.
f) Procedimientos que controlen la integridad de registros y archivos.
g) Procedimientos que verifiquen la ejecuci�n de los aplicativos en el momento adecuado.
h) Procedimientos que aseguren el orden correcto de ejecuci�n de los
aplicativos, la finalizaci�n programada en caso de falla, y la
detenci�n de las actividades de procesamiento hasta que el problema sea
resuelto.
12.2.3 Control: Autenticaci�n de Mensajes
Cuando una aplicaci�n tenga previsto el env�o de mensajes que contengan
informaci�n clasificada, se implementar�n los controles criptogr�ficos
determinados en el punto “12.3 Categor�a: Controles Criptogr�ficos”.
12.2.4 Control: Validaci�n de Datos de Salidas
Se establecer�n procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:
a) Comprobaciones de la razonabilidad para probar si los datos de salida son plausibles.
b) Control de conciliaci�n de cuentas para asegurar el procesamiento de todos los datos.
c) Provisi�n de informaci�n suficiente, para que el lector o sistema de
procesamiento subsiguiente determine la exactitud, totalidad, precisi�n
y clasificaci�n de la informaci�n.
d) Procedimientos para responder a las pruebas de validaci�n de salidas.
e) Definici�n de las responsabilidades de todo el personal involucrado en el proceso de salida de datos.
12.3 Categor�a: Controles Criptogr�ficos
Objetivo
Se utilizar�n sistemas y t�cnicas criptogr�ficas para la protecci�n de
la informaci�n en base a un an�lisis de riesgo efectuado, con el fin de
asegurar una adecuada protecci�n de su confidencialidad e integridad.
Se debe desarrollar una pol�tica sobre el uso de controles
criptogr�ficos. Se debe establecer una gesti�n clave para sostener el
uso de t�cnicas criptogr�ficas.
12.3.1 Control: Pol�tica de Utilizaci�n de Controles Criptogr�ficos
El Organismo establece la presente Pol�tica de uso de controles
criptogr�ficos, a fin de determinar su correcto uso. Para ello se
indica que:
a) Se utilizar�n controles criptogr�ficos en los siguientes casos:
1. Para la protecci�n de claves de acceso a sistemas, datos y servicios.
2. Para la transmisi�n de informaci�n clasificada, fuera del �mbito del Organismo.
3. Para el resguardo de informaci�n, cuando as� surja de la evaluaci�n
de riesgos realizada por el Propietario de la Informaci�n y el
Responsable de Seguridad de la Informaci�n.
b) Se desarrollar�n procedimientos respecto de la administraci�n de
claves, de la recuperaci�n de informaci�n cifrada en caso de p�rdida,
compromiso o da�o de las claves y en cuanto al reemplazo de las claves
de cifrado.
c) El Responsable del Area Inform�tica propondr� la siguiente asignaci�n de funciones:
| Funci�n | Cargo |
| Implementaci�n de la Pol�tica de Controles Criptogr�ficos |
|
| Administraci�n de Claves |
|
d) Se utilizar�n los siguientes algoritmos de cifrado y tama�os de clave:
1. Cifrado Sim�trico
| Algoritmo | Longitud de Clave |
| AES | 128/192/256 |
| 3DES | 168 bits |
| IDEA | 128 bits |
| RC4 | 128 bits |
| RC2 | 128 bits |
2. Cifrado Asim�trico
| Casos de Utilizaci�n | Algoritmo | Longitud de Clave |
| Para
certificados utilizados en servicios relacionados a la firma digital
(sellado de tiempo, almacenamiento seguro de documentos electr�nicos,
etc.) | RSA | 2048 bits |
| DSA | 2048 bits |
| ECDSA | 210 bits |
| Para certificados de sitio seguro | RSA | 1024 bits |
| Para certificados de Certificador o de informaci�n de estado de certificados | RSA | 2048 bits |
| DSA | 2048 bits |
| ECDSA | 210 bits |
| Para certificados de usuario (personas f�sicas o jur�dicas) | RSA | 1024 bits |
| DSA | 1024 bits |
| ECDSA | 160 bits |
| Para digesto seguro | SHA-1 | 256 bits |
Los algoritmos y longitudes de clave mencionados son los que a la fecha
se consideran seguros. Se recomienda verificar esta condici�n
peri�dicamente con el objeto de efectuar las actualizaciones
correspondientes.
12.3.2 Control: Cifrado
Mediante la evaluaci�n de riesgos que llevar� a cabo el Propietario de
la Informaci�n y el Responsable de Seguridad de la Informaci�n, se
identificar� el nivel requerido de protecci�n, tomando en cuenta el
tipo y la calidad del algoritmo de cifrado utilizado y la longitud de
las claves criptogr�ficas a utilizar.
Al implementar la Pol�tica del Organismo en materia criptogr�fica, se
considerar�n los controles aplicables a la exportaci�n e importaci�n de
tecnolog�a criptogr�fica.
12.3.4 Control: Firma Digital
Las firmas digitales proporcionan un medio de protecci�n de la
autenticidad e integridad de los documentos electr�nicos. Pueden
aplicarse a cualquier tipo de documento que se procese
electr�nicamente. Se implementan mediante el uso de una t�cnica
criptogr�fica sobre la base de dos claves relacionadas de manera �nica,
donde una clave, denominada privada, se utiliza para crear una firma y
la otra, denominada p�blica, para verificarla.
Se tomar�n recaudos para proteger la confidencialidad de las claves privadas.
Asimismo, es importante proteger la integridad de la clave p�blica.
Esta protecci�n se provee mediante el uso de un certificado de clave
p�blica.
Los algoritmos de firma utilizados, como as� tambi�n la longitud de
clave a emplear, son las enumeradas en el punto 0. 12.3.1 Control:
Pol�tica de Utilizaci�n de Controles Criptogr�ficos, en el cuadro de
cifrado asim�trico.
Se recomienda que las claves criptogr�ficas utilizadas para firmar
digitalmente no sean empleadas en procedimientos de cifrado de
informaci�n. Dichas claves deben ser resguardadas bajo el control
exclusivo de su titular.
Al utilizar firmas y certificados digitales, se considerar� la
legislaci�n vigente (Ley N� 25.506, el Decreto N� 2628/02 y el conjunto
de normas complementarias que fijan o modifican competencias y
establecen procedimientos) que describa las condiciones bajo las cuales
una firma digital es legalmente v�lida.
En algunos casos podr�a ser necesario establecer acuerdos especiales
para respaldar el uso de las firmas digitales. A tal fin se debe
obtener asesoramiento legal con respecto al marco normativo aplicable y
la modalidad del acuerdo a implementar. (Ver Cap�tulo 12-3-1 Control:
Pol�tica de utilizaci�n de controles criptogr�ficos, en el cuadro de
cifrado asim�trico).
12.3.5 Control: Servicios de No Repudio
Estos servicios se utilizar�n cuando sea necesario resolver disputas
acerca de la ocurrencia de un evento o acci�n. Su objetivo es
proporcionar herramientas para evitar que aquel que haya originado una
transacci�n electr�nica niegue haberla efectuado.
12.3.6 Control: Protecci�n de claves criptogr�ficas
Se implementar� un sistema de administraci�n de claves criptogr�ficas
para respaldar la utilizaci�n por parte del Organismo de los dos tipos
de t�cnicas criptogr�ficas, a saber:
a) T�cnicas de clave secreta (criptograf�a sim�trica), cuando dos o m�s
actores comparten la misma clave y �sta se utiliza tanto para cifrar
informaci�n como para descifrarla.
b) T�cnicas de clave p�blica (criptograf�a asim�trica), cuando cada
usuario tiene un par de claves: una clave p�blica (que puede ser
revelada a cualquier persona) utilizada para cifrar y una clave privada
(que debe mantenerse en secreto) utilizada para descifrar. Las claves
asim�tricas utilizadas para cifrado no deben ser las mismas que se
utilizan para firmar digitalmente.
Todas las claves ser�n protegidas contra modificaci�n y destrucci�n, y
las claves secretas y privadas ser�n protegidas contra copia o
divulgaci�n no autorizada.
Se aplicar�n con �ste prop�sito los algoritmos criptogr�ficos
enumerados en el punto 0. 12.3.1 Control: Pol�tica de Utilizaci�n de
Controles Criptogr�ficos.
Se proporcionar� una protecci�n adecuada al equipamiento utilizado para
generar, almacenar y archivar claves, consider�ndolo cr�tico o de alto
riesgo.
12.3.7 Control: Protecci�n de Claves criptogr�ficas: Normas y procedimientos
Se redactar�n las normas y procedimientos necesarios para:
a) Generar claves para diferentes sistemas criptogr�ficos y diferentes aplicaciones.
b) Generar y obtener certificados de clave p�blica de manera segura.
c) Distribuir claves de forma segura a los usuarios que corresponda,
incluyendo informaci�n sobre c�mo deben activarse cuando se reciban.
d) Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados.
e) Cambiar o actualizar claves, incluyendo reglas sobre cu�ndo y c�mo deben cambiarse las claves.
f) Revocar claves, incluyendo c�mo deben retirarse o desactivarse las
mismas, por ejemplo cuando las claves est�n comprometidas o cuando un
usuario se desvincula del Organismo (en cuyo caso las claves tambi�n
deben archivarse).
g) Recuperar claves p�rdidas o alteradas como parte de la
administraci�n de la continuidad de las actividades del Organismo, por
ejemplo para la recuperaci�n de la informaci�n cifrada.
h) Archivar claves, por ejemplo, para la informaci�n archivada o resguardada.
i) Destruir claves.
j) Registrar y auditar las actividades relativas a la administraci�n de claves.
A fin de reducir la probabilidad de compromiso, las claves tendr�n
fechas de inicio y caducidad de vigencia, definidas de manera que s�lo
puedan ser utilizadas por el lapso de .......... (indicar lapso no
mayor a 12 meses).
Adem�s de la administraci�n segura de las claves secretas y privadas,
debe tenerse en cuenta la protecci�n de las claves p�blicas. Este
problema es abordado mediante el uso de un certificado de clave
p�blica. Este certificado se generar� de forma que vincule de manera
�nica la informaci�n relativa al propietario del par de claves
p�blica/privada con la clave p�blica.
En consecuencia es importante que el proceso de administraci�n de los
certificados de clave p�blica sea absolutamente confiable. Este proceso
es llevado a cabo por una entidad denominada Autoridad de Certificaci�n
(AC) o Certificador.
12.4 Categor�a: Seguridad de los Archivos del Sistema
Objetivo
Se garantizar� que los desarrollos y actividades de soporte a los
sistemas se lleven a cabo de manera segura, controlando el acceso a los
archivos del mismo.
12.4.1 Control: Software Operativo
Se definen los siguientes controles a realizar durante la
implementaci�n del software en producci�n, a fin de minimizar el riesgo
de alteraci�n de los sistemas.
• Toda aplicaci�n, desarrollada por el Organismo o por un tercero
tendr� un �nico Responsable designado formalmente por el Responsable
del Area Inform�tica.
• Ning�n programador o analista de desarrollo y mantenimiento de aplicaciones podr� acceder a los ambientes de producci�n.
• El Responsable del Area Inform�tica, propondr� para su aprobaci�n por
parte del superior jer�rquico que corresponda, la asignaci�n de la
funci�n de “implementador” al personal de su �rea que considere
adecuado, quien tendr� como funciones principales:
a) Coordinar la implementaci�n de modificaciones o nuevos programas en el ambiente de Producci�n.
b) Asegurar que los sistemas aplicativos en uso, en el ambiente de
Producci�n, sean los autorizados y aprobados de acuerdo a las normas y
procedimientos vigentes.
c) Instalar las modificaciones, controlando previamente la recepci�n de
la prueba aprobada por parte del Analista Responsable, del sector
encargado del testeo y del usuario final.
d) Rechazar la implementaci�n en caso de encontrar defectos y/o si faltara la documentaci�n est�ndar establecida.
Otros controles a realizar son:
a) Guardar s�lo los ejecutables en el ambiente de producci�n.
b) Llevar un registro de auditor�a de las actualizaciones realizadas.
c) Retener las versiones previas del sistema, como medida de contingencia.
d) Definir un procedimiento que establezca los pasos a seguir para
implementar las autorizaciones y conformes pertinentes, las pruebas
previas a realizarse, etc.
e) Denegar permisos de modificaci�n al implementador sobre los programas fuentes bajo su custodia.
f) Evitar, que la funci�n de implementador sea ejercida por personal que pertenezca al sector de desarrollo o mantenimiento.
12.4.2 Control: Protecci�n de los Datos de Prueba del Sistema
Las pruebas de los sistemas se efectuar�n sobre datos extra�dos del
ambiente operativo. Para proteger los datos de prueba se establecer�n
normas y procedimientos que contemplen lo siguiente:
g) Prohibir el uso de bases de datos operativas. En caso contrario se
deben despersonalizar los datos antes de su uso. Aplicar id�nticos
procedimientos de control de acceso que en la base de producci�n.
h) Solicitar autorizaci�n formal para realizar una copia de la base
operativa como base de prueba, llevando registro de tal autorizaci�n.
i) Eliminar inmediatamente, una vez completadas las pruebas, la informaci�n operativa utilizada.
12.4.3 Control: Cambios a Datos Operativos
La modificaci�n, actualizaci�n o eliminaci�n de los datos operativos
ser�n realizados a trav�s de los sistemas que procesan dichos datos y
de acuerdo al esquema de control de accesos implementado en los mismos.
Una modificaci�n por fuera de los sistemas a un dato, almacenado ya sea
en un archivo o base de datos, podr�a poner en riesgo la integridad de
la informaci�n.
Los casos en los que no fuera posible la aplicaci�n de la precedente
pol�tica, se considerar�n como excepciones. El Responsable de Seguridad
de la Informaci�n definir� procedimientos para la gesti�n de dichas
excepciones que contemplar�n lo siguiente:
a) Se generar� una solicitud formal para la realizaci�n de la modificaci�n, actualizaci�n o eliminaci�n del dato.
b) El Propietario de la Informaci�n afectada y del Responsable de
Seguridad de la Informaci�n aprobar�n la ejecuci�n del cambio evaluando
las razones por las cuales se solicita.
c) Se generar�n cuentas de usuario de emergencia para ser utilizadas en
la ejecuci�n de excepciones. Las mismas ser�n protegidas mediante
contrase�as, sujetas al procedimiento de administraci�n de contrase�as
cr�ticas y habilitadas s�lo ante un requerimiento de emergencia y por
el lapso que �sta dure.
d) Se designar� un encargado de implementar los cambios, el cual no
ser� personal del �rea de Desarrollo. En el caso de que esta funci�n no
pueda ser segregada, se aplicar�n controles adicionales de acuerdo a lo
establecido en 0. 10.1.3 Control: Separaci�n de Funciones.
e) Se registrar�n todas las actividades realizadas con las cuentas de
emergencia. Dicho registro ser� revisado posteriormente por el
Responsable de Seguridad de la Informaci�n.
12.4.4 Control: Acceso a las Bibliotecas de Programas fuentes
Para reducir la probabilidad de alteraci�n de programas fuentes, se aplicar�n los siguientes controles:
a) El Responsable del Area Inform�tica, propondr� para su aprobaci�n
por parte del superior jer�rquico que corresponda la funci�n de
“administrador de programas fuentes” al personal de su �rea que
considere adecuado, quien tendr� en custodia los programas fuentes y
debe:
• Proveer al Area de Desarrollo los programas fuentes solicitados para
su modificaci�n, manteniendo en todo momento la correlaci�n programa
fuente/ejecutable.
• Llevar un registro actualizado de todos los programas fuentes en uso,
indicando nombre del programa, programador, Analista Responsable que
autoriz�, versi�n, fecha de �ltima modificaci�n y fecha/hora de
compilaci�n y estado (en modificaci�n, en producci�n).
• Verificar que el Analista Responsable que autoriza la solicitud de un
programa fuente sea el designado para la aplicaci�n, rechazando el
pedido en caso contrario. Registrar cada solicitud aprobada.
• Administrar las distintas versiones de una aplicaci�n.
• Asegurar que un mismo programa fuente no sea modificado simult�neamente por m�s de un desarrollador.
b) Denegar al “administrador de programas fuentes” permisos de modificaci�n sobre los programas fuentes bajo su custodia.
c) Establecer que todo programa objeto o ejecutable en producci�n tenga
un �nico programa fuente asociado que garantice su origen.
d) Establecer que el implementador de producci�n efectuar� la
generaci�n del programa objeto o ejecutable que estar� en producci�n
(compilaci�n), a fin de garantizar tal correspondencia.
e) Desarrollar un procedimiento que garantice que toda vez que se migre
a producci�n el m�dulo fuente, se cree el c�digo ejecutable
correspondiente en forma autom�tica.
f) Evitar que la funci�n de “administrador de programas fuentes” sea
ejercida por personal que pertenezca al sector de desarrollo y/o
mantenimiento.
g) Prohibir la guarda de programas fuentes hist�ricos (que no sean los
correspondientes a los programas operativos) en el ambiente de
producci�n.
h) Prohibir el acceso a todo operador y/o usuario de aplicaciones a los
ambientes y a las herramientas que permitan la generaci�n y/o
manipulaci�n de los programas fuentes.
i) Realizar las copias de respaldo de los programas fuentes cumpliendo
los requisitos de seguridad establecidos por el Organismo en los
procedimientos que surgen de la presente pol�tica.
12.5 Categor�a: Seguridad de los Procesos de Desarrollo y Soporte
Objetivo
Esta Pol�tica provee seguridad al software y a la informaci�n del
sistema de aplicaci�n, por lo tanto se controlar�n los entornos y el
soporte dado a los mismos.
12.5.1 Control Procedimiento de Control de Cambios
A fin de minimizar los riesgos de alteraci�n de los sistemas de
informaci�n, se implementar�n controles estrictos durante la
implementaci�n de cambios imponiendo el cumplimiento de procedimientos
formales. Estos garantizar�n que se cumplan los procedimientos de
seguridad y control, respetando la divisi�n de funciones.
Para ello se establecer� un procedimiento que incluya las siguientes consideraciones:
a) Verificar que los cambios sean propuestos por usuarios autorizados y
respete los t�rminos y condiciones que surjan de la licencia de uso.
b) Mantener un registro de los niveles de autorizaci�n acordados.
c) Solicitar la autorizaci�n del Propietario de la Informaci�n, en caso
de tratarse de cambios a sistemas de procesamiento de la misma.
d) Efectuar un an�lisis de riesgos del cambio.
e) Determinar los requisitos de seguridad para el cambio.
f) Analizar el impacto de los cambios sobre los controles de seguridad existentes.
g) Obtener aprobaci�n formal por parte del Responsable del Area
Inform�tica para las tareas detalladas, antes que comiencen las tareas.
h) Solicitar la revisi�n del Responsable de Seguridad de la Informaci�n
para garantizar que no se violen los requerimientos de seguridad que
debe cumplir el software.
i) Efectuar las actividades relativas al cambio en el ambiente de desarrollo.
j) Obtener la aprobaci�n por parte del usuario autorizado y del �rea de pruebas mediante pruebas en el ambiente correspondiente.
k) Actualizar la documentaci�n para cada cambio implementado, tanto de
los manuales de usuario como de la documentaci�n operativa.
l) Mantener un control de versiones para todas las actualizaciones de software.
m) Garantizar que la implementaci�n se llevar� a cabo minimizando la
discontinuidad de las actividades y sin alterar los procesos
involucrados.
n) Informar a las �reas usuarias antes de la implementaci�n de un cambio que pueda afectar su operatoria.
o) Garantizar que sea el implementador quien efect�e el pasaje de los
objetos modificados al ambiente operativo, de acuerdo a lo establecido
en “12.4.1 Control: Software Operativo”.
En el Anexo al presente cap�tulo se presenta un esquema modelo de segregaci�n de ambientes de procesamiento.
12.5.2 Control: Revisi�n T�cnica de los Cambios en el sistema Operativo
Toda vez que sea necesario realizar un cambio en el Sistema Operativo,
los sistemas ser�n revisados para asegurar que no se produzca un
impacto en su funcionamiento o seguridad.
Para ello, se definir� un procedimiento que incluya:
a) Revisar los procedimientos de integridad y control de aplicaciones
para garantizar que no hayan sido comprometidas por el cambio.
b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementaci�n.
c) Asegurar la actualizaci�n del Plan de Continuidad de las Actividades del Organismo.
12.5.3 Control: Restricci�n del Cambio de Paquetes de Software
En caso de considerarlo necesario la modificaci�n de paquetes de
software suministrados por proveedores, y previa autorizaci�n del
Responsable del Area Inform�tica, se debe:
a) Analizar los t�rminos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas.
b) Determinar la conveniencia de que la modificaci�n sea efectuada por el Organismo, por el proveedor o por un tercero.
c) Evaluar el impacto que se produce si el Organismo se hace cargo del mantenimiento.
d) Retener el software original realizando los cambios sobre una copia
perfectamente identificada, documentando exhaustivamente por si fuera
necesario aplicarlo a nuevas versiones.
12.5.4 Control: Canales Ocultos y C�digo Malicioso
Un canal oculto puede exponer informaci�n utilizando algunos medios
indirectos y desconocidos. El c�digo malicioso est� dise�ado para
afectar a un sistema en forma no autorizada y no requerida por el
usuario.
En este sentido, se redactar�n normas y procedimientos que incluyan:
a) Adquirir programas a proveedores acreditados o productos ya evaluados.
b) Examinar los c�digos fuentes (cuando sea posible) antes de utilizar los programas.
c) Controlar el acceso y las modificaciones al c�digo instalado.
d) Utilizar herramientas para la protecci�n contra la infecci�n del software con c�digo malicioso.
e) Ejecutar controles y tests de evaluaci�n de seguridad peri�dicamente y, en especial, previo a su puesta en producci�n.
12.5.6 Control: Desarrollo Externo de Software
Para el caso que se considere la tercerizaci�n del desarrollo de
software, se establecer�n normas y procedimientos que contemplen los
siguientes puntos:
a) Acuerdos de licencias, propiedad de c�digo y derechos conferidos (Ver 15-1-2 Derechos de Propiedad Intelectual).
b) Requerimientos contractuales con respecto a la calidad y seguridad del c�digo y la existencia de garant�as.
c) Procedimientos de certificaci�n de la calidad y precisi�n del
trabajo llevado a cabo por el proveedor, que incluyan auditor�as,
revisi�n de c�digo para detectar c�digo malicioso, verificaci�n del
cumplimiento de los requerimientos de seguridad del software
establecidos, etc.
d) Verificaci�n del cumplimiento de las condiciones de seguridad.
e) Acuerdos de custodia de los fuentes del software (y cualquier otra
informaci�n requerida) en caso de quiebra de la tercera parte.
12.6 Categor�a: Gesti�n de vulnerabilidades t�cnicas
Objetivo
Se implementar� la gesti�n de las vulnerabilidades t�cnicas de forma
efectiva, sistem�tica y repetible, con mediciones que confirmen su
efectividad. Dichas consideraciones incluir�n los sistemas operativos,
y cualquier otra aplicaci�n en uso.
12.6.1 Control: Vulnerabilidades t�cnicas
Se obtendr� informaci�n oportuna acerca de las vulnerabilidades
t�cnicas de los sistemas de informaci�n utilizados, la exposici�n del
Organismo a tales vulnerabilidades evaluadas, y se tomar�n las medidas
necesarias para tratar los riesgos asociados.
Para ello se contar� con un inventario de software donde se detalle
informaci�n de versiones del mismo as� como datos del proveedor y
responsable interno.
El proceso de gesti�n de las vulnerabilidades t�cnicas debe comprender:
a) Definici�n de roles y responsabilidades asociados con la gesti�n de vulnerabilidades t�cnicas;
b) Procedimientos de identificaci�n de vulnerabilidades t�cnicas potenciales;
c) Definici�n de una l�nea de tiempo para reaccionar ante las
notificaciones de las vulnerabilidades t�cnicas potencialmente
relevantes;
d) Definici�n de prioridades para la atenci�n de necesidades relacionadas con actualizaciones de seguridad;
e) Identificaci�n de los riesgos asociados y las acciones a llevar a cabo ante vulnerabilidades identificadas;
f) Identificaci�n de los riesgos asociados a la instalaci�n de parches;
g) Aprobaci�n y evaluaci�n de los parches antes de que sean instalados
para garantizar que son efectivos y que no resultan en efectos
secundarios que no puedan ser tolerados;
h) Consideraci�n de controles alternativos en caso de inexistencia de parches;
i) Generaci�n y mantenimiento de un registro de auditor�a para todos los procedimientos emprendidos;
j) Seguimiento y evaluaci�n regular del proceso de gesti�n de las
vulnerabilidades t�cnicas para garantizar su efectividad y eficiencia.
Anexo
Para cumplir con esta Pol�tica, en lo referente a los puntos “Seguridad
de los Archivos del Sistema” y “Seguridad de los Procesos de Desarrollo
y Soporte”, se sugiere implementar un modelo de separaci�n de funciones
entre los distintos ambientes involucrados.
Toda aplicaci�n generada en el sector de desarrollo o adquirida a un
proveedor es, en alg�n momento, implementada en un ambiente de
producci�n. Los controles de esta transferencia deben ser rigurosos a
fin de asegurar que no se instalen programas fraudulentos. Es
conveniente implementar alg�n software para la administraci�n de
versiones y para la transmisi�n de programas entre los ambientes
definidos, con un registro asociado para su control.
A continuaci�n se presenta un modelo ideal formado por tres ambientes
que debe ser adaptado a las caracter�sticas propias de cada Organismo,
teniendo en cuenta las capacidades instaladas, los recursos y el
equipamiento existente.
• Ambiente de Desarrollo
Es donde se desarrollan los programas fuentes y donde se almacena toda
la informaci�n relacionada con el an�lisis y dise�o de los sistemas. El
analista o programador (desarrollador) tiene total dominio sobre el
ambiente. Puede recibir alg�n fuente para modificar, quedando
registrado en el sistema de control de versiones que administra el
“administrador de programas fuentes”.
El desarrollador realiza las pruebas con los datos de la base de
desarrollo. Cuando considera que el programa est� terminado, lo pasa al
ambiente de pruebas junto con la documentaci�n requerida que le
entregar� al implementador de ese ambiente.
• Ambiente de Pruebas
El implementador de este ambiente recibe el programa y la documentaci�n
respectiva y realiza una prueba general con un lote de datos para tal
efecto, junto con el usuario de ser posible.
El testeador realiza las pruebas con los datos de la base de pruebas.
Si no detectan errores de ejecuci�n, los resultados de las rutinas de
seguridad son correctas de acuerdo a las especificaciones y considera
que la documentaci�n presentada es completa, entonces remite el
programa fuente al implementador de producci�n por medio del sistema de
control de versiones y le entrega las instrucciones. Caso contrario,
vuelve atr�s el ciclo devolviendo el programa al desarrollador, junto
con un detalle de las observaciones.
• Ambiente de Producci�n
Es donde se ejecutan los sistemas y se encuentran los datos
productivos. Los programas fuentes certificados se guardan en un
repositorio de fuentes de producci�n, almacen�ndolos mediante un
sistema de control de versiones que maneja el “administrador de
programas fuentes” y donde se dejan los datos del programador que hizo
la modificaci�n, fecha, hora y tama�o de los programas fuentes y
objetos o ejecutables.
El “implementador” compila el programa fuente dentro del ambiente de
producci�n en el momento de realizar el pasaje para asegurar de esta
forma que hay una correspondencia biun�voca con el ejecutable en
producci�n y luego se elimina, dej�ndolo en el repositorio productivo
de programas fuentes.
Deben aplicarse procedimientos de la misma naturaleza y alcance para
las modificaciones de cualquier otro elemento que forme parte del
sistema, por ejemplo: modelo de datos de la base de datos o cambios en
los par�metros, etc. Las modificaciones realizadas al software de base
(Sistemas Operativos, Motores de bases de datos, Productos middleware)
deben cumplir id�nticos pasos, s�lo que las implementaciones las
realizar�n los propios administradores.
Cabe aclarar que tanto el personal de desarrollo, como el proveedor de
los aplicativos, no deben tener acceso al ambiente de producci�n, as�
como tampoco a los datos reales para la realizaci�n de las pruebas en
el Ambiente de Prueba. Para casos excepcionales, se debe documentar
adecuadamente la autorizaci�n, los trabajos realizados y monitorearlos
en todo momento.
13. Cl�usula: Gesti�n de Incidentes de Seguridad
Generalidades
Existen numerosas amenazas que atentan contra la seguridad de la
informaci�n, representando riesgos latentes que de materializarse
pueden ocasionar incidentes de seguridad.
Los Organismos cuentan con innumerables activos de informaci�n, cada
uno de los cuales puede encontrarse expuesto a sufrir incidentes de
seguridad. Es por ello que resulta sumamente necesario contar con una
capacidad de gesti�n de dichos incidentes que permita comenzar por su
detecci�n, llevar a cabo su tratamiento y colaborar en la prevenci�n de
futuros incidentes similares.
Objetivo
Garantizar que los eventos de seguridad de la informaci�n y las
debilidades asociados a los sistemas de informaci�n sean comunicados de
forma tal que se apliquen las acciones correctivas en el tiempo
oportuno.
Alcance
La Pol�tica definida en este documento se aplica a todo incidente que
pueda afectar la seguridad de la informaci�n del Organismo.
Responsabilidad
El Comit� de Seguridad de la Informaci�n ser� responsable de
implementar los medios y canales necesarios para que el Responsable de
Seguridad de la Informaci�n maneje los reportes de incidentes y
anomal�as de los sistemas. Asimismo, dicho Comit�, tomar� conocimiento,
efectuar� el seguimiento de la investigaci�n, controlar� la evoluci�n e
impulsar� la resoluci�n de los incidentes relativos a la seguridad.
El Responsable de Seguridad de la Informaci�n tiene a cargo el
seguimiento, documentaci�n y an�lisis de los incidentes de seguridad
reportados as� como su comunicaci�n al Comit� de Seguridad de la
Informaci�n, a los propietarios de la informaci�n y al Programa
Nacional de Infraestructuras Cr�ticas de Informaci�n y Ciberseguridad
(ICIC).4
Asimismo, el Responsable de Seguridad de la Informaci�n y el �rea
de Gesti�n de Recursos Humanos son responsables de comunicar
fehacientemente los procedimientos de Gesti�n de Incidentes a los
empleados y contratados al inicio de la relaci�n laboral.
El Responsable del Area Jur�dica participar� en el tratamiento de incidentes de seguridad que requieran de su intervenci�n.
Todo el personal del Organismo es responsable de reportar debilidades e incidentes de seguridad que oportunamente se detecten.
Pol�tica
13.1 Categor�a Informe de los eventos y debilidades de la seguridad de la informaci�n
Objetivo
Asegurar que los eventos y debilidades de la seguridad de la
informaci�n asociados con los sistemas de informaci�n sean comunicados
de una manera que permita que se realice una acci�n correctiva oportuna.
13.1.1 Reporte de los eventos de la seguridad de informaci�n
Los incidentes relativos a la seguridad ser�n comunicados a trav�s de
las autoridades o canales apropiados tan pronto como sea posible.
_______
4 El Programa Nacional tiene entre sus objetivos
brindar respuesta ante incidentes en redes, centralizar y coordinar los
esfuerzos para el manejo de los incidentes de seguridad que afecten a
los recursos inform�ticos del Sector P�blico Nacional.
Se establecer� un procedimiento formal de comunicaci�n y de respuesta a
incidentes, indicando la acci�n que ha de emprenderse al recibir un
informe sobre incidentes.
Dicho procedimiento debe contemplar que ante la detecci�n de un
supuesto incidente o violaci�n de la seguridad, el Responsable de
Seguridad de la Informaci�n sea informado tan pronto como se haya
tomado conocimiento. Este indicar� los recursos necesarios para la
investigaci�n y resoluci�n del incidente, y se encargar� de su
monitoreo. Asimismo, mantendr� al Comit� de Seguridad al tanto de la
ocurrencia de incidentes de seguridad.
Sin perjuicio de informar a otros Organismos de competencia, el
Responsable de Seguridad de la Informaci�n, comunicar� al Programa
Nacional de Infraestructuras Cr�ticas de Informaci�n y Ciberseguridad
(ICIC) todo incidente o violaci�n de la seguridad, que involucre
recursos inform�ticos.
Todos los empleados y contratistas deben conocer fehacientemente el
procedimiento de comunicaci�n de incidentes de seguridad, y deben
informar formalmente los mismos tan pronto hayan tomado conocimiento de
su ocurrencia.
13.1.2 Reporte de las debilidades de la seguridad
Los usuarios de servicios de informaci�n, al momento de tomar
conocimiento directa o indirectamente acerca de una debilidad de
seguridad, son responsables de registrar y comunicar formalmente las
mismas al Responsable de Seguridad de la Informaci�n.
Se proh�be expresamente a los usuarios la realizaci�n de pruebas para
detectar y/o utilizar una supuesta debilidad o falla de seguridad.
13.1.3 Comunicaci�n de Anomal�as del Software
Se establecer�n procedimientos para la comunicaci�n de anomal�as de software, los cuales deben contemplar:
a) Registrar los s�ntomas del problema y los mensajes que aparecen en pantalla.
b) Establecer las medidas de aplicaci�n inmediata ante la presencia de una anomal�a.
c) Alertar inmediatamente de modo formal al Responsable de Seguridad de la Informaci�n o del Activo de que se trate.
Se proh�be a los usuarios quitar el software que supuestamente tiene
una anomal�a, a menos que est�n autorizados formalmente para hacerlo.
La recuperaci�n ser� realizada por personal experimentado,
adecuadamente habilitado.
13.2 Categor�a Gesti�n de los Incidentes y mejoras de la seguridad de la informaci�n
Objetivo
Asegurar que se aplique un enfoque consistente y efectivo a la gesti�n de los incidentes en la seguridad de la informaci�n.
Se deben establecer las responsabilidades y procedimientos para manejar
de manera efectiva los eventos y debilidades en la seguridad de la
informaci�n una vez que han sido reportados. Se debe aplicar un proceso
de mejora continua para la respuesta, monitoreo, evaluaci�n y gesti�n
general de los incidentes en la seguridad de la informaci�n.
13.2.1 Control: Responsabilidades y procedimientos
Se establecer�n funciones y procedimientos de manejo de incidentes
garantizando una respuesta r�pida, eficaz y sistem�tica a los
incidentes relativos a seguridad. Se deben considerar los siguientes
�tems:
a) Contemplar y definir todos los tipos probables de incidentes relativos a seguridad, incluyendo como m�nimo:
1. Fallas operativas
2. C�digo malicioso
3. Intrusiones
4. Fraude inform�tico
5. Error humano
6. Cat�strofes naturales
b) Comunicar formalmente los incidentes a trav�s de autoridades o canales apropiados tan pronto como sea posible.
c) Contemplar los siguientes puntos en los procedimientos para los
planes de contingencia normales (dise�ados para recuperar sistemas y
servicios tan pronto como sea posible):
1. Definici�n de las primeras medidas a implementar
2. An�lisis e identificaci�n de la causa del incidente.
3. Planificaci�n e implementaci�n de soluciones para evitar la repetici�n del mismo, si fuera necesario.
4. Comunicaci�n formal con las personas afectadas o involucradas con la recuperaci�n, del incidente.
5. Notificaci�n de la acci�n a la autoridad y/u Organismos pertinentes.
d) Registrar pistas de auditor�a y evidencia similar para:
1. An�lisis de problemas internos.
2. Uso como evidencia en relaci�n con una probable violaci�n
contractual o infracci�n normativa, o en marco de un proceso judicial
(Ver cap�tulo 15.1. Categor�a: Cumplimiento de Requisitos Legales).
3. Negociaci�n de compensaciones por parte de los proveedores de software y de servicios.
e) Implementar controles detallados y formalizados de las acciones de
recuperaci�n respecto de las violaciones de la seguridad y de
correcci�n de fallas del sistema, garantizando:
1. Acceso a los sistemas y datos existentes s�lo al personal claramente identificado y autorizado.
2. Documentaci�n de todas las acciones de emergencia emprendidas en forma detallada.
3. Comunicaci�n de las acciones de emergencia al titular de la Unidad Organizativa y revisi�n de su cumplimiento.
4. Constataci�n de la integridad de los controles y sistemas del Organismo en un plazo m�nimo.
En los casos en los que se considere necesario, se solicitar� la
participaci�n del Responsable del Area Jur�dica del Organismo en el
tratamiento de incidentes de seguridad ocurridos.
13.2.2 Aprendiendo a partir de los incidentes de la seguridad de la informaci�n
Se definir� un proceso que permita documentar, cuantificar y monitorear
los tipos, vol�menes y costos de los incidentes y anomal�as. Esta
informaci�n se utilizar� para identificar aquellos que sean recurrentes
o de alto impacto. Esto ser� evaluado a efectos de establecer la
necesidad de mejorar o agregar controles para limitar la frecuencia,
da�o y costo de casos futuros.
13.2.3 Procesos Disciplinarios
Se seguir� el proceso disciplinario formal contemplado en las normas
estatutarias, escalafonarias y convencionales que rigen al personal de
la Administraci�n P�blica Nacional, para los empleados que violen la
Pol�tica, Normas y Procedimientos de Seguridad del Organismo (Ver
cap�tulo 15 Cumplimiento)
14. Cl�usula: Gesti�n de la Continuidad
Generalidades
La administraci�n de la continuidad de las actividades es un proceso
cr�tico que debe involucrar a todos los niveles del Organismo.
El desarrollo e implementaci�n de planes de contingencia es una
herramienta b�sica para garantizar que las actividades del Organismo
puedan restablecerse dentro de los plazos requeridos.
Dichos planes deben mantenerse actualizados y transformarse en una
parte integral del resto de los procesos de administraci�n y gesti�n,
debiendo incluir necesariamente controles destinados a identificar y
reducir riesgos, atenuar las consecuencias de eventuales interrupciones
de las actividades del organismo y asegurar la reanudaci�n oportuna de
las operaciones indispensables.
Objetivo
Minimizar los efectos de las posibles interrupciones de las actividades
normales del Organismo (sean �stas resultado de desastres naturales,
accidentes, fallas en el equipamiento, acciones deliberadas u otros
hechos) y proteger los procesos cr�ticos mediante una combinaci�n de
controles preventivos y acciones de recuperaci�n.
Analizar las consecuencias de la interrupci�n del servicio y tomar las
medidas correspondientes para la prevenci�n de hechos similares en el
futuro.
Maximizar la efectividad de las operaciones de contingencia del
Organismo con el establecimiento de planes que incluyan al menos las
siguientes etapas:
a) Notificaci�n/Activaci�n: Consistente en la detecci�n y determinaci�n del da�o y la activaci�n del plan.
b) Reanudaci�n: Consistente en la restauraci�n temporal de las
operaciones y recuperaci�n del da�o producido al sistema original.
c) Recuperaci�n: Consistente en la restauraci�n de las capacidades de
proceso del sistema a las condiciones de operaci�n normales.
Asegurar la coordinaci�n con el personal del Organismo y los contactos
externos que participar�n en las estrategias de planificaci�n de
contingencias. Asignar funciones para cada actividad definida.
Alcance
Esta Pol�tica se aplica a todos los procesos cr�ticos identificados del Organismo.
Responsabilidad
El Responsable de Seguridad de la Informaci�n participar� activamente
en la definici�n, documentaci�n, prueba y actualizaci�n de los planes
de contingencia.
Los Propietarios de la Informaci�n y el Responsable de Seguridad de la Informaci�n cumplir�n las siguientes funciones:
- Identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo.
- Evaluar los riesgos para determinar el impacto de dichas interrupciones.
- Identificar los controles preventivos.
- Desarrollar un plan estrat�gico para determinar el enfoque global con
el que se abordar� la continuidad de las actividades del Organismo.
- Elaborar los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo.
Los Responsables de Procesos revisar�n peri�dicamente los planes bajo
su incumbencia, como as� tambi�n identificar cambios en las
disposiciones relativas a las actividades del Organismo a�n no
reflejadas en los planes de continuidad.
Los administradores de cada plan verificar�n el cumplimiento de los
procedimientos implementados para llevar a cabo las acciones
contempladas en cada plan de continuidad.
El Comit� de Seguridad de la Informaci�n tendr� a cargo la coordinaci�n
del proceso de administraci�n de la continuidad de la operatoria de los
sistemas de tratamiento de informaci�n del Organismo frente a
interrupciones imprevistas.
Pol�tica
14.1 Categor�a: Gesti�n de continuidad del Organismo
Objetivo
Contraatacar las interrupciones a las actividades del organismo y
proteger los procesos cr�ticos de los efectos de fallas importantes o
desastres en los sistemas de informaci�n y asegurar su reanudaci�n
oportuna.
14.1.1 Control: Proceso de Administraci�n de la continuidad del Organismo
El Comit� de Seguridad de la Informaci�n, ser� el responsable de la
coordinaci�n del desarrollo de los procesos que garanticen la
continuidad de las actividades del Organismo.
Este Comit� tendr� a cargo la coordinaci�n del proceso de
administraci�n de la continuidad de la operatoria de los sistemas de
tratamiento de informaci�n del Organismo frente a interrupciones
imprevistas, lo cual incluye las siguientes funciones:
a) Identificar y priorizar los procesos cr�ticos de las actividades del Organismo.
b) Asegurar que todos los integrantes del Organismo comprendan los
riesgos que la misma enfrenta, en t�rminos de probabilidad de
ocurrencia e impacto de posibles amenazas, as� como los efectos que una
interrupci�n puede tener en la actividad del Organismo.
c) Elaborar y documentar una estrategia de continuidad de las
actividades del Organismo consecuente con los objetivos y prioridades
acordados.
d) Proponer planes de continuidad de las actividades del Organismo de conformidad con la estrategia de continuidad acordada.
e) Establecer un cronograma de pruebas peri�dicas de cada uno de los
planes de contingencia, proponiendo una asignaci�n de funciones para su
cumplimiento.
f) Coordinar actualizaciones peri�dicas de los planes y procesos implementados.
g) Considerar la contrataci�n de seguros que podr�an formar parte del proceso de continuidad de las actividades del Organismo.
h) Proponer las modificaciones a los planes de contingencia.
14.1.2 Control: Continuidad de las Actividades y An�lisis de los impactos
Con el fin de establecer un Plan de Continuidad de las Actividades del Organismo se deben contemplar los siguientes puntos:
• Identificar los eventos (amenazas) que puedan ocasionar
interrupciones en los procesos de las actividades, por ejemplo, fallas
en el equipamiento, comisi�n de il�citos, interrupci�n del suministro
de energ�a el�ctrica, inundaci�n e incendio, desastres naturales,
destrucci�n edilicia, atentados, etc.
• Evaluar los riesgos para determinar el impacto de dichas
interrupciones, tanto en t�rminos de magnitud de da�o como del per�odo
de recuperaci�n. Dicha evaluaci�n debe identificar los recursos
cr�ticos, los impactos producidos por una interrupci�n, los tiempos de
interrupci�n aceptables o permitidos, y debe especificar las
prioridades de recuperaci�n.
• Identificar los controles preventivos, como por ejemplo sistemas de
supresi�n de fuego, detectores de humo y fuego, contenedores
resistentes al calor y a prueba de agua para los medios de backup, los
registros no electr�nicos vitales, etc.
Esta actividad ser� llevada a cabo con la activa participaci�n de los
propietarios de los procesos y recursos de informaci�n de que se trate
y el Responsable de Seguridad de la Informaci�n, considerando todos los
procesos de las actividades del Organismo y no limit�ndose a las
instalaciones de procesamiento de la informaci�n.
Seg�n los resultados de la evaluaci�n de esta actividad, se
desarrollar� un plan estrat�gico para determinar el enfoque global con
el que se abordar� la continuidad de las actividades del Organismo. Una
vez que se ha creado este plan, el mismo debe ser propuesto por el
Comit� de Seguridad de la Informaci�n a la m�xima autoridad del
Organismo para su aprobaci�n.
14.1.3 Control: Elaboraci�n e implementaci�n de los planes de continuidad de las Actividades del Organismo
Los propietarios de procesos y recursos de informaci�n, con la
asistencia del Responsable de Seguridad de la Informaci�n, elaborar�n
los planes de contingencia necesarios para garantizar la continuidad de
las actividades del Organismo. Estos procesos deben ser propuestos por
el Comit� de Seguridad de la Informaci�n.
El proceso de planificaci�n de la continuidad de las actividades considerar� los siguientes puntos:
a) Identificar y acordar respecto a todas las funciones y procedimientos de emergencia.
b) Analizar los posibles escenarios de contingencia y definir las acciones correctivas a implementar en cada caso.
c) Implementar procedimientos de emergencia para permitir la
recuperaci�n y restablecimiento en los plazos requeridos. Se debe
dedicar especial atenci�n a la evaluaci�n de las dependencias de
actividades externas y a los contratos vigentes.
d) Documentar los procedimientos y procesos acordados.
e) Instruir adecuadamente al personal, en materia de procedimientos y
procesos de emergencia acordados, incluyendo el manejo de crisis.
f) Instruir al personal involucrado en los procedimientos de reanudaci�n y recuperaci�n en los siguientes temas:
1. Objetivo del plan.
2. Mecanismos de coordinaci�n y comunicaci�n entre equipos (personal involucrado).
3. Procedimientos de divulgaci�n.
4. Requisitos de la seguridad.
5. Procesos espec�ficos para el personal involucrado.
6. Responsabilidades individuales.
g) Probar y actualizar los planes, guardando evidencia formal de las pruebas y sus resultados.
Asimismo, el proceso de planificaci�n debe concentrarse en los
objetivos de las actividades del Organismo requeridos, por ejemplo,
restablecimiento de los servicios a los usuarios en un plazo aceptable.
Deben considerarse los servicios y recursos que permitir�n que esto
ocurra, incluyendo, dotaci�n de personal, recursos que no procesan
informaci�n, as� como acuerdos para reanudaci�n de emergencia en sitios
alternativos de procesamiento de la informaci�n.
14.1.4 Control: Marco para la Planificaci�n de la continuidad de las Actividades del Organismo
Se mantendr� un solo marco para los planes de continuidad de las
actividades del Organismo, a fin de garantizar que los mismos sean
uniformes e identificar prioridades de prueba y mantenimiento.
Cada plan de continuidad especificar� claramente las condiciones para
su puesta en marcha, as� como las personas a cargo de ejecutar cada
componente del mismo. Cuando se identifiquen nuevos requerimientos, se
modificar�n los procedimientos de emergencia establecidos, por ejemplo,
los planes de evacuaci�n o los recursos de emergencia existentes.
El administrador de cada plan de continuidad ser� el encargado de coordinar las tareas definidas en el mismo.
Estas modificaciones deben ser propuestas por el Comit� de Seguridad de la Informaci�n para su aprobaci�n.
El marco para la planificaci�n de la continuidad de las actividades del Organismo, tendr� en cuenta los siguientes puntos:
a) Prever las condiciones de implementaci�n de los planes que describan
el proceso a seguir (c�mo evaluar la situaci�n, qu� personas estar�n
involucradas, etc.) antes de poner en marcha los mismos.
b) Definir los procedimientos de emergencia que describan las acciones
a emprender una vez ocurrido un incidente que ponga en peligro las
operaciones del Organismo y/o la vida humana. Esto debe incluir
disposiciones con respecto a la gesti�n de las relaciones p�blicas y a
v�nculos eficaces a establecer con las autoridades p�blicas
pertinentes, por ejemplo, la polic�a, bomberos y autoridades locales.
c) Realizar los procedimientos de emergencia que describan las acciones
a emprender para el traslado de actividades esenciales del Organismo o
de servicios de soporte a ubicaciones transitorias alternativas, y para
el restablecimiento de los procesos en los plazos requeridos.
d) Redactar los procedimientos de recuperaci�n que describan las
acciones a emprender para restablecer las operaciones normales del
Organismo.
e) Definir un cronograma de mantenimiento que especifique c�mo y cu�ndo
ser� probado el plan, y el proceso para el mantenimiento del mismo.
f) Efectuar actividades de concientizaci�n e instrucci�n al personal,
dise�adas para propiciar la comprensi�n de los procesos de continuidad
las actividades y garantizar que los procesos sigan siendo eficaces.
g) Documentar las responsabilidades y funciones de las personas,
describiendo los responsables de la ejecuci�n de cada uno de los
componentes del plan y las v�as de contacto posibles. Se deben
mencionar alternativas cuando corresponda. Es de suma importancia
definir a un responsable de declarar el estado de contingencia, lo cual
dar� inicio al plan.
Los administradores de los planes de contingencia son:
| Plan de Contingencia | Administrador |
| .................. |
|
| .................. |
|
El cumplimiento de los procedimientos implementados para llevar a cabo
las acciones contempladas en cada plan de continuidad, deben contarse
entre las responsabilidades de los administradores de cada plan. Las
disposiciones de emergencia para servicios t�cnicos alternativos, como
instalaciones de comunicaciones o de procesamiento de informaci�n,
normalmente se cuentan entre las responsabilidades de los proveedores
de servicios.
14.1.5 Control: Ensayo, Mantenimiento y Reevaluaci�n de los Planes de continuidad del Organismo
Debido a que los planes de continuidad de las actividades del Organismo
pueden fallar, por suposiciones incorrectas, errores o cambios en el
equipamiento, se establecen las siguientes pautas de acci�n:
• El Comit� de Seguridad de la Informaci�n establecer� un cronograma de
pruebas peri�dicas de cada uno de los planes de contingencia.
• El cronograma indicar� qui�nes son los responsables de llevar a cabo
cada una de las pruebas y de elevar el resultado obtenido al citado
Comit�.
Se deben utilizar diversas t�cnicas para garantizar que los planes de
contingencia funcionar�n ante un hecho real, y �stas incluir�n por lo
menos:
a) Efectuar pruebas de discusi�n de diversos escenarios (discutiendo
medidas para la recuperaci�n las actividades utilizando ejemplos de
interrupciones).
b) Realizar simulaciones (especialmente para entrenar al personal en el
desempe�o de sus roles de gesti�n posterior a incidentes o crisis).
c) Efectuar pruebas de recuperaci�n t�cnica (garantizando que los
sistemas de informaci�n puedan ser restablecidos con eficacia).
d) Realizar ensayos completos probando que el Organismo, el personal,
el equipamiento, las instalaciones y los procesos pueden afrontar las
interrupciones.
Para las operaciones cr�ticas del Organismo se tomar�n en cuenta, adem�s, los siguientes mecanismos:
a) Efectuar pruebas de recuperaci�n en un sitio alternativo (ejecutando
los procesos de las actividades del Organismo en paralelo, con
operaciones de recuperaci�n fuera del sitio principal).
b) Realizar pruebas de instalaciones y servicios de proveedores
(garantizando que los productos y servicios de proveedores externos
cumplan con los compromisos contra�dos).
Todas las pruebas efectuadas deben ser documentadas, resguard�ndose la
evidencia formal de la ejecuci�n y de los resultados obtenidos.
Los planes de continuidad de las actividades del Organismo ser�n
revisados y actualizados peri�dicamente, para garantizar su eficacia
permanente. Se incluir�n procedimientos en el programa de
administraci�n de cambios del Organismo para garantizar que se aborden
adecuadamente los t�picos de continuidad de las actividades.
La periodicidad de revisi�n de los planes de contingencia es la siguiente:
| Plan de Contingencia | Revisar cada | Responsable de Revisi�n |
|
|
|
|
|
|
Cada uno de los Responsables de Procesos es el responsable de las
revisiones peri�dicas de cada uno de los planes de continuidad de su
incumbencia, como as� tambi�n de la identificaci�n de cambios en las
disposiciones relativas a las actividades del Organismo a�n no
reflejadas en dichos planes.
Debe prestarse atenci�n, especialmente, a los cambios de:
a) Personal.
b) Direcciones o n�meros telef�nicos.
c) Estrategia del Organismo.
d) Ubicaci�n, instalaciones y recursos.
e) Legislaci�n.
f) Contratistas, proveedores y clientes cr�ticos.
g) Procesos, o procesos nuevos/eliminados.
h) Tecnolog�as.
i) Requisitos operacionales.
j) Requisitos de seguridad.
k) Hardware, software y otros equipos (tipos, especificaciones, y cantidad).
l) Requerimientos de los sitios alternativos.
m) Registros de datos vitales.
Todas las modificaciones efectuadas ser�n propuestas por el Comit� de
Seguridad de la Informaci�n para su aprobaci�n por el superior
jer�rquico que corresponda.
Por otra parte, el resultado de este proceso ser� dado a conocer a fin
de que todo el personal involucrado tenga conocimiento de los cambios
incorporados.
15. Cl�usula: Cumplimiento
Generalidades
El dise�o, operaci�n, uso y administraci�n de los sistemas de
informaci�n est�n regulados por disposiciones legales y contractuales.
Los requisitos normativos y contractuales pertinentes a cada sistema de
informaci�n deben estar debidamente definidos y documentados.
El Area Jur�dica del Organismo, ser� responsable de encuadrar jur�dicamente la formulaci�n e implementaci�n de la pol�tica.
Objetivos
Cumplir con las disposiciones normativas y contractuales a fin de
evitar sanciones administrativas al Organismo y/o al empleado o que
incurran en responsabilidad civil o penal como resultado de su
incumplimiento.
Garantizar que los sistemas cumplan con la pol�tica, normas y procedimientos de seguridad del Organismo.
Revisar la seguridad de los sistemas de informaci�n peri�dicamente a
efectos de garantizar la adecuada aplicaci�n de la pol�tica, normas y
procedimientos de seguridad, sobre las plataformas tecnol�gicas y los
sistemas de informaci�n.
Optimizar la eficacia del proceso de auditor�a de sistemas y minimizar
los problemas que pudiera ocasionar el mismo, o los obst�culos que
pudieran afectarlo.
Garantizar la existencia de controles que protejan los sistemas en
producci�n y las herramientas de auditor�a en el transcurso de las
auditor�as de sistemas.
Determinar los plazos para el mantenimiento de informaci�n y para la recolecci�n de evidencia del Organismo.
Alcance
Esta Pol�tica se aplica a todo el personal del Organismo, cualquiera sea su situaci�n de revista.
Asimismo se aplica a los sistemas de informaci�n, normas,
procedimientos, documentaci�n y plataformas t�cnicas del Organismo y a
las auditor�as efectuadas sobre los mismos.
Responsabilidad
El Responsable de Seguridad de la Informaci�n cumplir� las siguientes funciones:
- Definir normas y procedimientos para garantizar el cumplimiento de
las restricciones legales al uso del material protegido por normas de
propiedad intelectual y a la conservaci�n de registros.
- Realizar revisiones peri�dicas de todas las �reas del Organismo a
efectos de garantizar el cumplimiento de la pol�tica, normas y
procedimientos de seguridad.
- Verificar peri�dicamente que los sistemas de informaci�n cumplan la
pol�tica, normas y procedimientos de seguridad establecidos.
- Garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditor�a.
El Responsable del Area Jur�dica del Organismo, con la asistencia del
Responsable de Seguridad de la Informaci�n cumplir�n las siguientes
funciones:
- Definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de informaci�n.
- Redactar un Compromiso de Confidencialidad a ser firmado por todo el personal.
Los Responsables de Unidades Organizativas velar�n por la correcta
implementaci�n y cumplimiento de las normas y procedimientos de
seguridad establecidos en la presente Pol�tica, dentro de su �rea de
responsabilidad.
Todos los empleados de los mandos medios y superiores conocer�n,
comprender�n, dar�n a conocer, cumplir�n y har�n cumplir la presente
Pol�tica y la normativa vigente.
Pol�tica
15.1 Categor�a: Cumplimiento de Requisitos Legales
Objetivo
Evitar las violaciones a cualquier ley; regulaci�n estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad.
El dise�o, operaci�n, uso y gesti�n de los sistemas de informaci�n
pueden estar sujetos a requerimientos de seguridad estatutarios,
reguladores y contractuales.
15.1.1 Control: Identificaci�n de la Legislaci�n Aplicable
Se definir�n y documentar�n claramente todos los requisitos normativos
y contractuales pertinentes para cada sistema de informaci�n. Del mismo
modo se definir�n y documentar�n los controles espec�ficos y las
responsabilidades y funciones individuales para cumplir con dichos
requisitos.
15.1.2 Control: Derechos de Propiedad Intelectual
Se implementar�n procedimientos adecuados para garantizar el
cumplimiento de las restricciones legales al uso del material protegido
por normas de propiedad intelectual.
Los empleados �nicamente podr�n utilizar material autorizado por el Organismo.
El Organismo s�lo podr� autorizar el uso de material producido por el
mismo, o material autorizado o suministrado al mismo por su titular,
conforme los t�rminos y condiciones acordados y lo dispuesto por la
normativa vigente.
La infracci�n a estos derechos puede tener como resultado acciones legales que podr�an derivar en demandas penales.
Se deben tener presentes las siguientes normas:
• Ley de Propiedad Intelectual N� 11.723: Protege los derechos de autor
de las obras cient�ficas, literarias y art�sticas, incluyendo los
programas de computaci�n fuente y objeto; las compilaciones de datos o
de otros materiales.
• Ley de Marcas N� 22.362: Protege la propiedad de una marca y la exclusividad de su uso.
• Ley de Patentes de Invenci�n y Modelos de Utilidad N� 24.481: Protege
el derecho del titular de la patente de invenci�n a impedir que
terceros utilicen su producto o procedimiento.
Derecho de Propiedad Intelectual del Software
El software es considerado una obra intelectual que goza de la protecci�n de la Ley 11.723 de Propiedad Intelectual.
Esta Ley establece que la explotaci�n de la propiedad intelectual sobre
los programas de computaci�n incluir�, entre otras formas, los
contratos de licencia para su uso o reproducci�n.
Los productos de software se suministran normalmente bajo acuerdos de
licencia que suelen limitar el uso de los productos al equipamiento
espec�fico y su copia a la creaci�n de copias de resguardo solamente.
El Responsable de Seguridad de la Informaci�n, con la asistencia del
Area Jur�dica, analizar� los t�rminos y condiciones de la licencia, e
implementar� los siguientes controles:
a) Definir normas y procedimientos para el cumplimiento del derecho de
propiedad intelectual de software que defina el uso legal de productos
de informaci�n y de software.
b) Divulgar las pol�ticas de adquisici�n de software y las
disposiciones de la Ley de Propiedad Intelectual, y notificar la
determinaci�n de tomar acciones disciplinarias contra el personal que
las infrinja.
c) Mantener un adecuado registro de activos.
d) Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc.
e) Implementar controles para evitar el exceso del n�mero m�ximo permitido de usuarios.
f) Verificar que s�lo se instalen productos con licencia y software autorizado.
g) Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias.
h) Elaborar y divulgar un procedimiento relativo a la eliminaci�n o transferencia de software a terceros.
i) Utilizar herramientas de auditor�a adecuadas.
j) Cumplir con los t�rminos y condiciones establecidos para obtener software e informaci�n en redes p�blicas.
15.1.3 Control: Protecci�n de los Registros del Organismo
Los registros cr�ticos del Organismo se proteger�n contra p�rdida,
destrucci�n y falsificaci�n. Algunos registros pueden requerir una
retenci�n segura para cumplir requisitos legales o normativos, as� como
para respaldar actividades esenciales del Organismo.
Los registros se clasificar�n en diferentes tipos, por ejemplo
registros contables, registros de base de datos, registros de auditor�a
y procedimientos operativos, cada uno de ellos detallando los per�odos
de retenci�n y el tipo de medios de almacenamiento, por ejemplo papel,
microfichas, medios magn�ticos u �pticos.
| Tipo de Registro | Sistema de Informaci�n | Per�odo de Retenci�n | Medio de Almacenamiento | Responsable |
|
|
|
|
|
|
|
|
|
|
Las claves criptogr�ficas asociadas con archivos cifrados se mantendr�n
en forma segura y estar�n disponibles para su uso por parte de personas
autorizadas cuando resulte necesario (Ver 0. 12.3 Categor�a: Controles
Criptogr�ficos).
Se debe considerar la posibilidad de degradaci�n de los medios
utilizados para el almacenamiento de los registros. Los procedimientos
de almacenamiento y manipulaci�n se implementar�n de acuerdo con las
recomendaciones del fabricante. (Ver 0. 12.3.1 Control: Pol�tica de
Utilizaci�n de Controles Criptogr�ficos).
Si se seleccionan medios de almacenamiento electr�nicos, se incluir�n
los procedimientos para garantizar la capacidad de acceso a los datos
(tanto legibilidad de formato como medios) durante todo el per�odo de
retenci�n, a fin de salvaguardar los mismos contra eventuales p�rdidas
ocasionadas por futuros cambios tecnol�gicos.
Los sistemas de almacenamiento de datos ser�n seleccionados de modo tal
que los datos requeridos puedan recuperarse de una manera que resulte
aceptable para un tribunal de justicia, por ejemplo que todos los
registros requeridos puedan recuperarse en un plazo y un formato
aceptable.
El sistema de almacenamiento y manipulaci�n garantizar� una clara
identificaci�n de los registros y de su per�odo de retenci�n legal o
normativa. Asimismo, se permitir� una adecuada destrucci�n de los
registros una vez transcurrido dicho per�odo, si ya no resultan
necesarios para el Organismo.
A fin de cumplir con estas obligaciones, se tomar�n las siguientes medidas:
a) Elaborar y divulgar los lineamientos para la retenci�n,
almacenamiento, manipulaci�n y eliminaci�n de registros e informaci�n.
b) Preparar un cronograma de retenci�n identificando los tipos
esenciales de registros y el per�odo durante el cual deben ser
retenidos.
c) Mantener un inventario de programas fuentes de informaci�n clave.
d) Implementar adecuados controles para proteger la informaci�n y los
registros esenciales contra p�rdida, destrucci�n y falsificaci�n.
En particular, se deben tener presente las siguientes normas:
• Etica en el Ejercicio de la Funci�n P�blica. Ley 25.188: Establece
que las personas que se desempe�en en la funci�n p�blica deben proteger
y conservar la propiedad del Estado y s�lo emplear sus bienes con los
fines autorizados.
• C�digo de Etica de la Funci�n P�blica: Dispone que el funcionario
p�blico debe proteger y conservar los bienes del Estado y utilizar los
que le fueran asignados para el desempe�o de sus funciones de manera
racional, evitando su abuso, derroche o desaprovechamiento.
• C�digo Penal Art. 255: Sanciona a quien sustrajere, ocultare,
destruyere o inutilizare objetos destinados a servir de prueba ante la
autoridad competente, registros o documentos confiados a la custodia de
un funcionario o de otra persona en el inter�s del servicio p�blico. Si
el culpable fuere el mismo depositario, sufrir� adem�s inhabilitaci�n
especial por doble tiempo.
• Ley N� 24.624. Art�culo 30: Autoriza el archivo y la conservaci�n en
soporte electr�nico u �ptico indeleble de la documentaci�n financiera,
de personal y de control de la Administraci�n P�blica Nacional y otorga
valor jur�dico y probatorio a la documentaci�n existente que se
incorpore al Archivo General de la Administraci�n, mediante la
utilizaci�n de tecnolog�a que garantice la estabilidad, perdurabilidad,
inmutabilidad e inalterabilidad del soporte de guarda f�sico de la
mencionada documentaci�n.
• Decisi�n Administrativa 43/96: Reglamenta el Art. 30 de la Ley
24.624. Determina su �mbito de aplicaci�n, define conceptos y precisa
los requisitos de car�cter general, los relacionados con los documentos
en particular y con el soporte a utilizar en la redacci�n, producci�n o
reproducci�n de aqu�llos.
• Ley de Propiedad Intelectual N� 11.723: Protege los derechos de autor
de las obras cient�ficas, literarias y art�sticas, incluyendo las
compilaciones de datos o de otros materiales.
• Ley N� 25.506: Establece que la exigencia legal de conservar
documentos, registros o datos, tambi�n queda satisfecha con la
conservaci�n de los correspondientes documentos digitales firmados
digitalmente, seg�n los procedimientos que determine la reglamentaci�n,
siempre que sean accesibles para su posterior consulta y permitan
determinar fehacientemente el origen, destino, fecha y hora de su
generaci�n, env�o y/o recepci�n.
• C�digo Penal: Sanciona a aquel que alterare, destruyere o inutilizare
datos, documentos, programas o sistemas inform�ticos (Art. 183).
15.1.3 Control: Protecci�n de Datos y Privacidad de la Informaci�n Personal
Todos los empleados deben conocer las restricciones al tratamiento de
los datos y de la informaci�n respecto a la cual tengan conocimiento
con motivo del ejercicio de sus funciones.
El Organismo redactar� un “Compromiso de Confidencialidad”, el cual
debe ser suscrito por todos los empleados y contratistas. La copia
firmada del compromiso ser� retenida en forma segura por el Organismo.
Mediante este instrumento el empleado se comprometer� a utilizar la
informaci�n solamente para el uso espec�fico al que se ha destinado y a
no comunicar, diseminar o de alguna otra forma hacer p�blica la
informaci�n a ninguna persona, firma, compa��a o tercera persona, salvo
autorizaci�n previa y escrita del Responsable del Activo de que se
trate. A trav�s del “Compromiso de Confidencialidad” se debe advertir
al empleado que determinadas actividades pueden ser objeto de control y
monitoreo. Estas actividades deben ser detalladas a fin de no violar el
derecho a la privacidad del empleado (Ver 6-1-5 Control: Acuerdos de
confidencialidad).
En particular, se deben tener presente las siguientes normas:
• Ley Marco de Regulaci�n de Empleo P�blico Nacional. Ley 25.164:
Establece que los Funcionarios P�blicos deben observar el deber de
fidelidad que se derive de la �ndole de las tareas que le fueron
asignadas y guardar la discreci�n correspondiente o la reserva
absoluta, en su caso, de todo asunto del servicio que as� lo requiera.
• Convenio Colectivo de Trabajo General: Dispone que todos los agentes
deben observar el deber de fidelidad que se derive de la �ndole de las
tareas que le fueran asignadas y guardar la discreci�n correspondiente,
con respecto a todos los hechos e informaciones de los cuales tenga
conocimiento en el ejercicio o con motivo del ejercicio de sus
funciones.
• Etica en el Ejercicio de la Funci�n P�blica. Ley 25.188: Obliga a
todas las personas que se desempe�en en la funci�n p�blica a abstenerse
de utilizar informaci�n adquirida en el cumplimiento de sus funciones
para realizar actividades no relacionadas con sus tareas oficiales o de
permitir su uso en beneficio de intereses privados.
• C�digo de Etica de la Funci�n P�blica: Establece que el funcionario
p�blico debe abstenerse de difundir toda informaci�n que hubiera sido
calificada como reservada o secreta conforme a las disposiciones
vigentes, ni la debe utilizar, en beneficio propio o de terceros o para
fines ajenos al servicio, informaci�n de la que tenga conocimiento con
motivo o en ocasi�n del ejercicio de sus funciones y que no est�
destinada al p�blico en general.
• Protecci�n de Datos Personales. Ley 25.326: Establece
responsabilidades para aquellas personas que recopilan, procesan y
divulgan informaci�n personal y define criterios para procesar datos
personales o cederlos a terceros.
• Confidencialidad. Ley N� 24.766: Impide la divulgaci�n a terceros, o
su utilizaci�n sin previo consentimiento y de manera contraria a los
usos comerciales honestos, de informaci�n secreta y con valor comercial
que haya sido objeto de medidas razonables para mantenerla secreta.
• C�digo Penal: Sanciona a aquel que abriere o accediere indebidamente
a una comunicaci�n electr�nica o indebidamente la suprimiere o desviare
(Art. 153), al que a sabiendas accediere por cualquier medio, sin la
debida autorizaci�n o excediendo la que posea, a un sistema o dato
inform�tico de acceso restringido (Art. 153 bis), al que el que
hall�ndose en posesi�n de una correspondencia, una comunicaci�n
electr�nica, un pliego cerrado, un despacho telegr�fico, telef�nico o
de otra naturaleza, no destinados a la publicidad, los hiciere publicar
indebidamente, si el hecho causare o pudiere causar perjuicios a
terceros. (Art. 155), al que teniendo noticias de un secreto cuya
divulgaci�n pueda causar da�o, lo revelare sin justa causa (Art. 156),
al funcionario p�blico que revelare hechos, actuaciones o documentos
que por la ley deben quedar secretos (Art. 157), al que a sabiendas e
ileg�timamente, o violando sistemas de confidencialidad y seguridad de
datos, accediere, de cualquier forma, a un banco de datos personales,
ileg�timamente proporcionare o revelare a otro informaci�n registrada
en un archivo o en un banco de datos personales cuyo secreto estuviere
obligado a preservar por disposici�n de la ley e ileg�timamente
insertare o hiciere insertar datos en un archivo de datos personales
(Art. 157 bis), al que alterare, destruyere o inutilizare datos,
documentos, programas o sistemas inform�ticos (Art. 183), al que
revelare secretos pol�ticos o militares concernientes a la seguridad, a
los medios de defensa o a las relaciones exteriores de la Naci�n, o al
que por imprudencia o negligencia diere a conocer los secretos
mencionados anteriormente, de los que se hallare en posesi�n en virtud
de su empleo u oficio (Art. 222 y 223).
Asimismo, debe considerarse lo establecido en el Decreto 1172/03, que
regula el acceso a la informaci�n p�blica por parte de los ciudadanos.
15.1.4 Control: Prevenci�n del Uso Inadecuado de los Recursos de Procesamiento de Informaci�n
Los recursos de procesamiento de informaci�n del Organismo se
suministran con un prop�sito determinado. Toda utilizaci�n de estos
recursos con prop�sitos no autorizados o ajenos al destino por el cual
fueron provistos debe ser considerada como uso indebido.
Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos inform�ticos y deben respetarlo.
En particular, se debe respetar lo dispuesto por las siguientes normas:
• Ley Marco de Regulaci�n de Empleo P�blico Nacional. Ley 25.164:
Proh�be hacer uso indebido o con fines particulares del patrimonio
estatal.
• Convenio Colectivo de Trabajo General: Obliga a los agentes a no
hacer uso indebido o con fines particulares del patrimonio estatal.
• Etica en el Ejercicio de la Funci�n P�blica. Ley 25.188: Obliga a las
personas que se desempe�en en la funci�n p�blica a proteger y conservar
la propiedad del Estado y s�lo emplear sus bienes con los fines
autorizados.
• C�digo de Etica de la Funci�n P�blica: Obliga al funcionario p�blico
a proteger y conservar los bienes del Estado y utilizar los que le
fueran asignados para el desempe�o de sus funciones de manera racional,
evitando su abuso, derroche o desaprovechamiento.
• C�digo Penal: Sanciona a aquel que alterare, destruyere o inutilizare
datos, documentos, programas o sistemas inform�ticos; o vendiere,
distribuyere, hiciere circular o introdujere en un sistema inform�tico,
cualquier programa destinado a causar da�os (Art. 183).
15.1.6 Regulaci�n de Controles para el Uso de Criptograf�a
Al utilizar firmas digitales o electr�nicas, se debe considerar lo
dispuesto por la Ley 25.506 y su decreto reglamentario Decreto 2628/02,
que establecen las condiciones bajo las cuales una firma digital es
legalmente v�lida.
Respecto a la comercializaci�n de controles criptogr�ficos, nuestro
pa�s ha suscrito el acuerdo Wassennar, que establece un listado de
materiales y tecnolog�as de doble uso, cuya comercializaci�n puede ser
considerada peligrosa.
El Decreto 603/92 regula el R�gimen de Control de las Exportaciones
Sensitivas y de Material B�lico, estableciendo un tratamiento especial
para la exportaci�n de determinados bienes que pueden ser comprendidos
dentro del concepto de material b�lico.
Se debe obtener asesoramiento antes de transferir a otro pa�s
informaci�n cifrada o controles criptogr�ficos. Para ello se puede
consultar a la Direcci�n General de Pol�tica, de la Secretar�a de
Asuntos Militares, Ministerio de Defensa, a fin de saber si el material
exportable requiere alg�n tratamiento especial.
15.1.7 Recolecci�n de Evidencia
Es necesario contar con adecuada evidencia para respaldar una acci�n
contra una persona u organizaci�n. Siempre que esta acci�n responda a
una medida disciplinaria interna, la evidencia necesaria estar�
descrita en los procedimientos internos.
Cuando la acci�n implique la aplicaci�n de una ley, tanto civil como
penal, la evidencia presentada debe cumplir con lo establecido por las
normas procesales. Para lograr la validez de la evidencia, el Organismo
garantizar� que sus sistemas de informaci�n cumplen con la normativa y
los est�ndares o c�digos de pr�ctica relativos a la producci�n de
evidencia v�lida.
Para lograr la calidad y totalidad de la evidencia es necesaria una
s�lida pista de la misma. Esta pista se establecer� cumpliendo las
siguientes condiciones:
a) Almacenar los documentos en papel originales en forma segura y
mantener registros acerca de qui�n lo hall�, d�nde se hall�, cu�ndo se
hall� y qui�n presenci� el hallazgo. Cualquier investigaci�n debe
garantizar que los originales no sean alterados.
b) Copiar la informaci�n para garantizar su disponibilidad. Se
mantendr� un registro de todas las acciones realizadas durante el
proceso de copia. Se almacenar� en forma segura una copia de los medios
y del registro.
Cuando se detecta un incidente, puede no resultar obvio si �ste
derivar� en una demanda legal por lo tanto se deben tomar todos los
recaudos establecidos para la obtenci�n y preservaci�n de la evidencia.
Se debe tener presente lo dispuesto por el Reglamento de
Investigaciones Administrativas, procedimiento administrativo especial,
de naturaleza correctiva interna que constituye garant�a suficiente
para la protecci�n de los derechos y correcto ejercicio de las
responsabilidades impuestas a los agentes p�blicos. Este Decreto debe
ser complementado por lo dispuesto en la Ley N� 19.549 (Ley de
Procedimientos Administrativos) y por toda otra normativa aplicable,
incluido el C�digo Penal, el que sanciona a quien sustrajere, alterare,
ocultare, destruyere o inutilizare en todo o en parte objetos
destinados a servir de prueba ante la autoridad competente, registros o
documentos confiados a la custodia de un funcionario p�blico o de otra
persona en el inter�s del servicio p�blico (Art. 255).
15.1.8 Delitos Inform�ticos
Todos los empleados deben conocer la existencia de la Ley 26.388 de
Delitos Inform�ticos, a partir de cuyo dictado se castigan penalmente
ciertas conductas cometidas mediante medios inform�ticos. En tal
sentido, los agentes p�blicos deben conocer con exactitud el alcance de
los nuevos tipos penales introducidos por la norma mencionada.
Cabe se�alar que la mayor�a de las conductas descritas por dicha norma
vinculada ya han sido se�aladas en los apartados precedentes.
15.2 Categor�a: Revisiones de la Pol�tica de Seguridad y la Compatibilidad T�cnica
Objetivo
Asegurar el cumplimiento de los sistemas con las pol�ticas y est�ndares de seguridad organizacional.
La seguridad de los sistemas de informaci�n se debiera revisar regularmente.
Estas revisiones deben realizarse en base a las pol�ticas de seguridad
apropiadas y las plataformas t�cnicas, y los sistemas de informaci�n
deben ser auditados en cumplimiento con los est�ndares de
implementaci�n de seguridad aplicables y los controles de seguridad
documentados.
15.2.1 Control: Cumplimiento de la Pol�tica de Seguridad
Cada Responsable de Unidad Organizativa, velar� por la correcta
implementaci�n y cumplimiento de las normas y procedimientos de
seguridad establecidos, dentro de su �rea de responsabilidad.
El Responsable de Seguridad de la Informaci�n, realizar� revisiones
peri�dicas de todas las �reas del Organismo a efectos de garantizar el
cumplimiento de la pol�tica, normas y procedimientos de seguridad.
Entre las �reas a revisar se incluyen las siguientes:
a) Sistemas de informaci�n.
b) Proveedores de sistemas.
c) Propietarios de informaci�n.
d) Usuarios.
Los Propietarios de la Informaci�n brindar�n apoyo a la revisi�n
peri�dica del cumplimiento de la pol�tica, normas, procedimientos y
otros requisitos de seguridad aplicables.
15.2.2 Verificaci�n de la Compatibilidad T�cnica
El Responsable de Seguridad de la Informaci�n verificar� peri�dicamente
que los sistemas de informaci�n cumplan con la pol�tica, normas y
procedimientos de seguridad, las que incluir�n la revisi�n de los
sistemas en producci�n a fin de garantizar que los controles de
hardware y software hayan sido correctamente implementados. En caso de
ser necesario, estas revisiones contemplar�n la asistencia t�cnica
especializada.
El resultado de la evaluaci�n se volcar� en un informe t�cnico para su
ulterior interpretaci�n por parte de los especialistas. Para ello, la
tarea podr� ser realizada por un profesional experimentado (en forma
manual o con el apoyo de herramientas de software), o por un paquete de
software automatizado que genere reportes que ser�n interpretados por
un especialista t�cnico.
La verificaci�n del cumplimiento comprender� pruebas de penetraci�n y
tendr� como objetivo la detecci�n de vulnerabilidades en el sistema y
la verificaci�n de la eficacia de los controles con relaci�n a la
prevenci�n de accesos no autorizados. Se tomar�n los recaudos
necesarios en el caso de pruebas de penetraci�n exitosas que
comprometan la seguridad del sistema.
Las verificaciones de cumplimiento s�lo ser�n realizadas por personas
competentes, formalmente autorizadas y bajo la supervisi�n.
15.3 Consideraciones de Auditor�as de Sistemas
Objetivo
Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditor�a del sistema de informaci�n.
Durante las auditor�as de los sistemas de informaci�n debieran existir
controles para salvaguardar los sistemas operacionales y herramientas
de auditor�a.
Con relaci�n a las auditor�as, ser�n de aplicaci�n las Normas de
Control Interno para Tecnolog�as de Informaci�n, aprobadas por la
resoluci�n SIGEN N� 48/05.
15.3.1 Controles de Auditor�a de Sistemas
Cuando se realicen actividades de auditor�a que involucren
verificaciones de los sistemas en producci�n, se tomar�n recaudos en la
planificaci�n de los requerimientos y tareas, y se acordar� con las
�reas involucradas a efectos de minimizar el riesgo de interrupciones
en las operaciones.
Se contemplar�n los siguientes puntos:
a) Acordar con el Area que corresponda los requerimientos de auditor�a.
b) Controlar el alcance de las verificaciones. Esta funci�n ser� realizada por el responsable de auditor�a.
c) Limitar las verificaciones a un acceso de s�lo lectura del software
y datos de producci�n. Caso contrario, se tomar�n los resguardos
necesarios a efectos de aislar y contrarrestar los efectos de las
modificaciones realizadas, una vez finalizada la auditor�a. Por ejemplo:
• Eliminar archivos transitorios.
• Eliminar entidades ficticias y datos incorporados en archivos maestros.
• Revertir transacciones.
• Revocar privilegios otorgados
d) Identificar claramente los recursos de tecnolog�as de informaci�n
(TI) para llevar a cabo las verificaciones, los cuales ser�n puestos a
disposici�n de los auditores. A tal efecto, la Unidad de Auditor�a o en
su defecto quien sea propuesto por el Comit� de Seguridad de la
Informaci�n completar� el siguiente formulario, el cual debe ser puesto
en conocimiento de las �reas involucradas:
| Recursos de TI a utilizar en la Verificaci�n |
| Sistemas de informaci�n | ................... |
| Base de datos | ................... |
| Hardware | ................... |
| Software de Auditor�a | ................... |
| Medios Magn�ticos | ................... |
| Personal de Auditor�a | ................... |
| Interlocutores de las Areas de Inform�tica | ................... |
| Interlocutores de las Areas Usuarias | ................... |
| Conexiones a Red | ................... |
| ............ | ................... |
e) Identificar y acordar los requerimientos de procesamiento especial o adicional.
f) Monitorear y registrar todos los accesos, a fin de generar una pista
de referencia. Los datos a resguardar deben incluir como m�nimo:
• Fecha y hora.
• Puesto de trabajo.
• Usuario.
• Tipo de acceso.
• Identificaci�n de los datos accedidos.
• Estado previo y posterior.
• Programa y/o funci�n utilizada.
g) Documentar todos los procedimientos de auditor�a, requerimientos y responsabilidades.
15.3.2 Protecci�n de los Elementos Utilizados por la Auditor�a de Sistemas
Se proteger� el acceso a los elementos utilizados en las auditor�as de
sistemas, o sea archivos de datos o software, a fin de evitar el mal
uso o el compromiso de los mismos.
Dichas herramientas estar�n separadas de los sistemas en producci�n y
de desarrollo, y se les otorgar� el nivel de protecci�n requerido.
Se tomar�n los recaudos necesarios a efectos de cumplimentar las normas
de auditor�a dispuestas por la Sindicatura General de la Naci�n.
15.3.3 Sanciones Previstas por Incumplimiento
Se sancionar� administrativamente a todo aquel que viole lo dispuesto
en la presente Pol�tica de Seguridad conforme a lo dispuesto por las
normas estatutarias, escalafonarias y convencionales que rigen al
personal de la Administraci�n P�blica Nacional, y en caso de
corresponder, se realizar�n las acciones correspondientes ante el o los
Organismos pertinentes.
Las sanciones s�lo pueden imponerse mediante un acto administrativo que
as� lo disponga cumpliendo las formalidades impuestas por los preceptos
constitucionales, la Ley de Procedimiento Administrativo y dem�s
normativas espec�ficas aplicables.
Am�n de las sanciones disciplinarias o administrativas, el agente que
no da debido cumplimiento a sus obligaciones pueden incurrir tambi�n en
responsabilidad civil o patrimonial —cuando ocasiona un da�o que debe
ser indemnizado— y/o en responsabilidad penal —cuando su conducta
constituye un comportamiento considerado delito por el C�digo Penal y
leyes especiales.
