Política de Seguridad Informática

Política de Seguridad Informática

Página 1 de 9

NO-UTE-SI-0001/02

POLÍTICA DE SEGURIDAD INFORMATICA

- Versión Abreviada -

2007-04-19

Elaborado por:

Aprobado por:

Grupo de Mejora de las Políticas de Seguridad Informática

RE 07-456

Directorio de UTE

FECHA:

21 de noviembre de 2006

FECHA:

19 de abril de 2007

NO-UTE-SI-0001/02

Política de Seguridad Informática

Página 2 de 9

0.- OBJETIVO

El presente documento es una extracción de las Políticas de Seguridad Informática de UTE para su difusión y conocimiento en ámbitos ajenos o externos a UTE.

1.- INTRODUCCIÓN

UTE ha desarrollado sistemas de información que apoyan muchas de las actividades diarias de la mayoría de las unidades de la Empresa. Estos sistemas no sólo se han transformado en herramientas imprescindibles para gran parte de los procesos de los niveles operativos, sino que constituyen una importante fuente de datos para la toma de decisiones operativas, tácticas y estratégicas. La base de la eficacia y eficiencia de estos sistemas de información es su credibilidad, que está dada por la confiabilidad y seguridad de la información que mantienen.

Con tal motivo se ha definido la Política de Seguridad Informática, que comprende un conjunto de normas y controles aplicables a la información utilizada en la Empresa, a los procesos de administración de la misma y a toda la infraestructura y tecnología asociada, utilizada por UTE para sí o para terceros.

1.1 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN

La información y los procesos que la apoyan, los sistemas y las redes son importantes activos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la información es esencial para lograr los objetivos del negocio de la organización.

Cualquiera sea la forma que tome la información o los medios por los que se comparta o almacene, la misma debe estar siempre protegida adecuadamente.

La información manejada y producida por los sistemas de información debe ser relevante y pertinente para los procesos del negocio, debe ser entregada de manera oportuna, correcta, consistente y utilizable (principio de efectividad), procurando ser provista a través de la óptima utilización de los recursos (principio de eficiencia). Debe además ser apropiada para que la Gerencia pueda cumplir con sus responsabilidades relacionadas con la operación de la Empresa (principio de confiabilidad) y con el cumplimiento de leyes, regulaciones y acuerdos contractuales (principio de cumplimiento).

La seguridad de la información se orienta a preservar los siguientes principios de la seguridad informática:

Confidencialidad: La información debe estar protegida contra la divulgación no autorizada y solo puede ser accedida por las personas autorizadas.

Integridad: La información debe ser precisa, completa y válida de acuerdo con los valores y expectativas del negocio, por lo que debe estar protegida contra la alteración, eliminación o destrucción no autorizadas o en forma accidental.

Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos de negocios, ahora y en el futuro; esto incluye la salvaguarda de los recursos necesarios y capacidades asociadas.

NO-UTE-SI-0001/02

Política de Seguridad Informática

Página 3 de 9

1.2 OBJETIVO DE LA SEGURIDAD DE LA INFORMACIÓN

El objetivo principal de la seguridad de la información es la protección de la información contra una amplia gama de amenazas para asegurar la continuidad de las operaciones de la Empresa, reducir al mínimo los daños causados por una contingencia y maximizar el retorno de las inversiones y las oportunidades de negocio.

Los controles que se consideran práctica habitual para conseguir la seguridad de la información, comprenden:

a) la documentación de la política de seguridad de la información

b) la asignación de responsabilidades de seguridad

c) la concienciación, formación y capacitación en seguridad de la información

d) el correcto procesamiento de las aplicaciones

e) la gestión de la vulnerabilidad técnica

f) la gestión de la continuidad del negocio

g) la gestión de incidentes de seguridad de la información

2.- MARCO DE REFERENCIA

La seguridad de la información se consigue implementando un conjunto adecuado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurar que se cumplen los objetivos específicos de seguridad de la Empresa. Estas tareas deben realizarse en forma conjunta con los otros procesos de la administración del negocio.

Sobre la base de la familia de normas ISO/IEC relativas a la seguridad de la información y a las mejores prácticas recomendadas por organismos de reconocido prestigio tales como Colegio Nacional de Contadores, Information Systems Audit & Control Association, Information Systems Audit & Control Foundation, Instituto Uruguayo de Auditoría Interna, Institute of Internal Auditors, UNIT, etc., la Empresa identificará los requisitos de seguridad, considerando la evaluación de los riesgos de la Organización, los requisitos externos (legales, normativos y contractuales) y los requisitos internos (principios y objetivos que forman parte del procesamiento de la información). En base a estos criterios se implementarán los controles y los procesos que permitan evaluar, mantener y gestionar la seguridad de la información.

3.- POLÍTICAS GENERALES

...