Política de Seguridad Informática
Maribel202022 de Agosto de 2013
2.634 Palabras (11 Páginas)384 Visitas
Política de Seguridad Informática
Página 1 de 9
NO-UTE-SI-0001/02
POLÍTICA DE SEGURIDAD INFORMATICA
- Versión Abreviada -
2007-04-19
Elaborado por:
Aprobado por:
Grupo de Mejora de las Políticas de Seguridad Informática
RE 07-456
Directorio de UTE
FECHA:
21 de noviembre de 2006
FECHA:
19 de abril de 2007
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 2 de 9
0.- OBJETIVO
El presente documento es una extracción de las Políticas de Seguridad Informática de UTE para su difusión y conocimiento en ámbitos ajenos o externos a UTE.
1.- INTRODUCCIÓN
UTE ha desarrollado sistemas de información que apoyan muchas de las actividades diarias de la mayoría de las unidades de la Empresa. Estos sistemas no sólo se han transformado en herramientas imprescindibles para gran parte de los procesos de los niveles operativos, sino que constituyen una importante fuente de datos para la toma de decisiones operativas, tácticas y estratégicas. La base de la eficacia y eficiencia de estos sistemas de información es su credibilidad, que está dada por la confiabilidad y seguridad de la información que mantienen.
Con tal motivo se ha definido la Política de Seguridad Informática, que comprende un conjunto de normas y controles aplicables a la información utilizada en la Empresa, a los procesos de administración de la misma y a toda la infraestructura y tecnología asociada, utilizada por UTE para sí o para terceros.
1.1 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN
La información y los procesos que la apoyan, los sistemas y las redes son importantes activos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la información es esencial para lograr los objetivos del negocio de la organización.
Cualquiera sea la forma que tome la información o los medios por los que se comparta o almacene, la misma debe estar siempre protegida adecuadamente.
La información manejada y producida por los sistemas de información debe ser relevante y pertinente para los procesos del negocio, debe ser entregada de manera oportuna, correcta, consistente y utilizable (principio de efectividad), procurando ser provista a través de la óptima utilización de los recursos (principio de eficiencia). Debe además ser apropiada para que la Gerencia pueda cumplir con sus responsabilidades relacionadas con la operación de la Empresa (principio de confiabilidad) y con el cumplimiento de leyes, regulaciones y acuerdos contractuales (principio de cumplimiento).
La seguridad de la información se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad: La información debe estar protegida contra la divulgación no autorizada y solo puede ser accedida por las personas autorizadas.
Integridad: La información debe ser precisa, completa y válida de acuerdo con los valores y expectativas del negocio, por lo que debe estar protegida contra la alteración, eliminación o destrucción no autorizadas o en forma accidental.
Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos de negocios, ahora y en el futuro; esto incluye la salvaguarda de los recursos necesarios y capacidades asociadas.
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 3 de 9
1.2 OBJETIVO DE LA SEGURIDAD DE LA INFORMACIÓN
El objetivo principal de la seguridad de la información es la protección de la información contra una amplia gama de amenazas para asegurar la continuidad de las operaciones de la Empresa, reducir al mínimo los daños causados por una contingencia y maximizar el retorno de las inversiones y las oportunidades de negocio.
Los controles que se consideran práctica habitual para conseguir la seguridad de la información, comprenden:
a) la documentación de la política de seguridad de la información
b) la asignación de responsabilidades de seguridad
c) la concienciación, formación y capacitación en seguridad de la información
d) el correcto procesamiento de las aplicaciones
e) la gestión de la vulnerabilidad técnica
f) la gestión de la continuidad del negocio
g) la gestión de incidentes de seguridad de la información
2.- MARCO DE REFERENCIA
La seguridad de la información se consigue implementando un conjunto adecuado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurar que se cumplen los objetivos específicos de seguridad de la Empresa. Estas tareas deben realizarse en forma conjunta con los otros procesos de la administración del negocio.
Sobre la base de la familia de normas ISO/IEC relativas a la seguridad de la información y a las mejores prácticas recomendadas por organismos de reconocido prestigio tales como Colegio Nacional de Contadores, Information Systems Audit & Control Association, Information Systems Audit & Control Foundation, Instituto Uruguayo de Auditoría Interna, Institute of Internal Auditors, UNIT, etc., la Empresa identificará los requisitos de seguridad, considerando la evaluación de los riesgos de la Organización, los requisitos externos (legales, normativos y contractuales) y los requisitos internos (principios y objetivos que forman parte del procesamiento de la información). En base a estos criterios se implementarán los controles y los procesos que permitan evaluar, mantener y gestionar la seguridad de la información.
3.- POLÍTICAS GENERALES
3.1 CUMPLIMIENTO DE REQUISITOS LEGALES, REGULADORES Y CONTRACTUALES
Se debe identificar, analizar y aplicar en los procesos de negocio las normas relativas a la seguridad de la información incluidas en leyes, decretos y reglamentaciones de organismos nacionales e internacionales que sean de aplicación obligatoria en UTE.
La utilización de cualquier producto de software o información de terceras partes debe ceñirse a las especificaciones de uso de su autor.
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 4 de 9
3.2 REQUISITOS DE FORMACIÓN, ENTRENAMIENTO Y CONOCIMIENTO EN SEGURIDAD
Todos los empleados (en cualquier carácter), consultores y personal contratado, que hacen uso de la información provista por UTE, deben participar de las actividades de capacitación necesarias para proteger adecuadamente los recursos de información de UTE. Estas actividades deben estar incluidas en un plan de formación continua que abarque los diferentes aspectos de la presente Política.
Todas las personas que brinden sus servicios a UTE, ya sean proveedores, o socios de negocio, deben estar en conocimiento y cumplir con la Política de Seguridad Informática. Esta obligación estará debidamente especificada en los acuerdos contractuales que tengan con UTE dependiendo de la naturaleza del servicio.
3.3 ATRIBUTOS DE LA INFORMACIÓN
La información presenta grados variables de sensibilidad y criticidad.
El esquema de sensibilidad a utilizar en UTE considera cuatro niveles:
• Confidencial: solo puede acceder a este tipo de información una lista de personas.
• Restringida a la Empresa: el acceso a este tipo de información solo es permitido a personas dentro de la Empresa.
• Compartible con terceros ajenos a la Empresa: información que se puede compartir con grupos de personas u organismos ajenos a la Empresa, previo acuerdo escrito de divulgación o confidencialidad.
• Pública: información que por sus características la Empresa puede publicar en prensa, Internet, etc.
La información deberá ser protegida contra la divulgación no autorizada, por ejemplo a través del correo electrónico, disquetes, o cualquier otro medio.
La información confidencial que sea trasportada por terceros o trasmitida por un medio de comunicación inseguro (Internet, disquete, etc.) deberá contar con protecciones adicionales (encriptación, contratos, precintos, etc.).
La información confidencial debe ser explícitamente identificada como tal y debe ser destruida al final de su vida útil.
Los informes de naturaleza confidencial deben imprimirse de acuerdo a un procedimiento que garantice la privacidad de la información.
La información debe estar disponible cuando ésta es requerida por los procesos de negocio de la Empresa. En consecuencia, se deben adoptar las medidas necesarias para salvaguardar la misma así como los recursos necesarios para su procesamiento.
3.4 GESTIÓN DE CONTINUIDAD DEL NEGOCIO
La información involucrada en operaciones críticas de la Empresa, debe contar alternativas adecuadas que permitan recuperar la operativa ante contingencias, de modo de reducir al mínimo los daños causados por las mismas.
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 5 de 9
3.5 INCIDENTES DE SEGURIDAD
Los usuarios, ante cualquier sospecha o evidencia de violación de seguridad de la información o de la presente política, deben reportar en forma directa o a través de su línea jerárquica la situación inmediatamente a la División Sistemas de Información (en adelante SIS) y/o a la correspondiente Unidad Administradora de Recursos Informáticos (en adelante UARI) según entienda conveniente.
SIS y la UARI ante un incidente de seguridad deben tomar las medidas pertinentes para minimizar el impacto
...