Poltica de Seguridad Informtica

NO-UTE-SI-0001/02

POLTICA DE SEGURIDAD INFORMATICA

- Versin Abreviada 2007-04-19

Elaborado por:

Aprobado por:

Grupo de Mejora de las RE 07-456 Polticas de Seguridad Informtica Directorio de UTE

FECHA: 21 de noviembre de FECHA: 19 de abril de 2007 2006

Pgina 1 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

0.- OBJETIVO
El presente documento es una extraccin de las Polticas de Seguridad Informtica de UTE para su difusin y conocimiento en mbitos ajenos o externos a UTE.

1.- INTRODUCCIN
UTE ha desarrollado sistemas de informacin que apoyan muchas de las actividades diarias de la mayora de las unidades de la Empresa. Estos sistemas no slo se han transformado en herramientas imprescindibles para gran parte de los procesos de los niveles operativos, sino que constituyen una importante fuente de datos para la toma de decisiones operativas, tcticas y estratgicas. La base de la eficacia y eficiencia de estos sistemas de informacin es su credibilidad, que est dada por la confiabilidad y seguridad de la informacin que mantienen. Con tal motivo se ha definido la Poltica de Seguridad Informtica, que comprende un conjunto de normas y controles aplicables a la informacin utilizada en la Empresa, a los procesos de administracin de la misma y a toda la infraestructura y tecnologa asociada, utilizada por UTE para s o para terceros.

1.1

DEFINICIN DE SEGURIDAD DE LA INFORMACIN

La informacin y los procesos que la apoyan, los sistemas y las redes son importantes activos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la informacin es esencial para lograr los objetivos del negocio de la organizacin. Cualquiera sea la forma que tome la informacin o los medios por los que se comparta o almacene, la misma debe estar siempre protegida adecuadamente. La informacin manejada y producida por los sistemas de informacin debe ser relevante y pertinente para los procesos del negocio, debe ser entregada de manera oportuna, correcta, consistente y utilizable (principio de efectividad), procurando ser provista a travs de la ptima utilizacin de los recursos (principio de eficiencia). Debe adems ser apropiada para que la Gerencia pueda cumplir con sus responsabilidades relacionadas con la operacin de la Empresa (principio de confiabilidad) y con el cumplimiento de leyes, regulaciones y acuerdos contractuales (principio de cumplimiento). La seguridad de la informacin se orienta a preservar los siguientes principios de la seguridad informtica: Confidencialidad: La informacin debe estar protegida contra la divulgacin no autorizada y solo puede ser accedida por las personas autorizadas. Integridad: La informacin debe ser precisa, completa y vlida de acuerdo con los valores y expectativas del negocio, por lo que debe estar protegida contra la alteracin, eliminacin o destruccin no autorizadas o en forma accidental. Disponibilidad: La informacin debe estar disponible cuando sea requerida por los procesos de negocios, ahora y en el futuro; esto incluye la salvaguarda de los recursos necesarios y capacidades asociadas.

Pgina 2 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

1.2

OBJETIVO DE LA SEGURIDAD DE LA INFORMACIN

El objetivo principal de la seguridad de la informacin es la proteccin de la informacin contra una amplia gama de amenazas para asegurar la continuidad de las operaciones de la Empresa, reducir al mnimo los daos causados por una contingencia y maximizar el retorno de las inversiones y las oportunidades de negocio. Los controles que se consideran prctica habitual para conseguir la seguridad de la informacin, comprenden: a) la documentacin de la poltica de seguridad de la informacin b) la asignacin de responsabilidades de seguridad c) la concienciacin, formacin y capacitacin en seguridad de la informacin d) el correcto procesamiento de las aplicaciones e) la gestin de la vulnerabilidad tcnica f) la gestin de la continuidad del negocio g) la gestin de incidentes de seguridad de la informacin

2.- MARCO DE REFERENCIA

La seguridad de la informacin se consigue implementando un conjunto adecuado de controles, incluyendo polticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurar que se cumplen los objetivos especficos de seguridad de la Empresa. Estas tareas deben realizarse en forma conjunta con los otros procesos de la administracin del negocio. Sobre la base de la familia de normas ISO/IEC relativas a la seguridad de la informacin y a las mejores prcticas recomendadas por organismos de reconocido prestigio tales como Colegio Nacional de Contadores, Information Systems Audit & Control Association, Information Systems Audit & Control Foundation, Instituto Uruguayo de Auditora Interna, Institute of Internal Auditors, UNIT, etc., la Empresa identificar los requisitos de seguridad, considerando la evaluacin de los riesgos de la Organizacin, los requisitos externos (legales, normativos y contractuales) y los requisitos internos (principios y objetivos que forman parte del procesamiento de la informacin). En base a estos criterios se implementarn los controles y los procesos que permitan evaluar, mantener y gestionar la seguridad de la informacin.

3.- POLTICAS GENERALES

3.1 CUMPLIMIENTO DE CONTRACTUALES REQUISITOS LEGALES, REGULADORES Y

Se debe identificar, analizar y aplicar en los procesos de negocio las normas relativas a la seguridad de la informacin incluidas en leyes, decretos y reglamentaciones de organismos nacionales e internacionales que sean de aplicacin obligatoria en UTE. La utilizacin de cualquier producto de software o informacin de terceras partes debe ceirse a las especificaciones de uso de su autor.

Pgina 3 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

3.2

REQUISITOS DE FORMACIN, ENTRENAMIENTO Y CONOCIMIENTO EN SEGURIDAD

Todos los empleados (en cualquier carcter), consultores y personal contratado, que hacen uso de la informacin provista por UTE, deben participar de las actividades de capacitacin necesarias para proteger adecuadamente los recursos de informacin de UTE. Estas actividades deben estar incluidas en un plan de formacin continua que abarque los diferentes aspectos de la presente Poltica. Todas las personas que brinden sus servicios a UTE, ya sean proveedores, o socios de negocio, deben estar en conocimiento y cumplir con la Poltica de Seguridad Informtica. Esta obligacin estar debidamente especificada en los acuerdos contractuales que tengan con UTE dependiendo de la naturaleza del servicio.

3.3

ATRIBUTOS DE LA INFORMACIN

La informacin presenta grados variables de sensibilidad y criticidad. El esquema de sensibilidad a utilizar en UTE considera cuatro niveles: Confidencial: solo puede acceder a este tipo de informacin una lista de personas. Restringida a la Empresa: el acceso a este tipo de informacin solo es permitido a personas dentro de la Empresa. Compartible con terceros ajenos a la Empresa: informacin que se puede compartir con grupos de personas u organismos ajenos a la Empresa, previo acuerdo escrito de divulgacin o confidencialidad. Pblica: informacin que por sus caractersticas la Empresa puede publicar en prensa, Internet, etc. La informacin deber ser protegida contra la divulgacin no autorizada, por ejemplo a travs del correo electrnico, disquetes, o cualquier otro medio. La informacin confidencial que sea trasportada por terceros o trasmitida por un medio de comunicacin inseguro (Internet, disquete, etc.) deber contar con protecciones adicionales (encriptacin, contratos, precintos, etc.). La informacin confidencial debe ser explcitamente identificada como tal y debe ser destruida al final de su vida til. Los informes de naturaleza confidencial deben imprimirse de acuerdo a un procedimiento que garantice la privacidad de la informacin. La informacin debe estar disponible cuando sta es requerida por los procesos de negocio de la Empresa. En consecuencia, se deben adoptar las medidas necesarias para salvaguardar la misma as como los recursos necesarios para su procesamiento.

3.4

GESTIN DE CONTINUIDAD DEL NEGOCIO

La informacin involucrada en operaciones crticas de la Empresa, debe contar alternativas adecuadas que permitan recuperar la operativa ante contingencias, de modo de reducir al mnimo los daos causados por las mismas.

Pgina 4 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

3.5

INCIDENTES DE SEGURIDAD

Los usuarios, ante cualquier sospecha o evidencia de violacin de seguridad de la informacin o de la presente poltica, deben reportar en forma directa o a travs de su lnea jerrquica la situacin inmediatamente a la Divisin Sistemas de Informacin (en adelante SIS) y/o a la correspondiente Unidad Administradora de Recursos Informticos (en adelante UARI) segn entienda conveniente. SIS y la UARI ante un incidente de seguridad deben tomar las medidas pertinentes para minimizar el impacto en la continuidad del negocio, dando aviso al responsable funcional. De acuerdo al caso se dispondr la adopcin de las medidas cautelares que se considere necesarias. SIS y la UARI deben reportar todo incidente de seguridad cuanto antes a la Unidad de Seguridad Informtica, quien registrar el mismo y realizar la investigacin tcnica correspondiente. En funcin de los resultados del estudio tcnico podr solicitar el inicio de una investigacin administrativa. Seguridad Informtica debe informar a las UARIs y a las unidades administradoras de recursos de SIS de todo incidente de seguridad que pueda afectar alguno de los recursos que dichas unidades administran. Seguridad Informtica debe: disear los procedimientos para el reporte y administracin de problemas, que permitan registrar los mismos, reducir su incidencia y prevenir su recurrencia. Los usuarios deben estar en conocimiento de estos procedimientos, los que sern difundidos en los planes de formacin correspondientes, realizar anualmente un anlisis de las violaciones y problemas reportados (y de los efectos asociados) y elevar un plan de accin al Comit de Seguridad de la Informacin, informar peridicamente a las UARIs sobre las incidencias de seguridad detectadas y los efectos que provocaron en la Empresa. conservar bajo custodia, la informacin relativa a violaciones, problemas o investigaciones relacionadas con la seguridad de la informacin durante al menos cinco (5) aos. SIS y las UARIS debern informar a Seguridad Informtica y al Comit de Seguridad de la Informacin las violaciones y problemas reportados en su mbito de forma de contar con un nico repositorio de incidentes.

3.6

RESPONSABILIDAD DE LA DIRECCIN

Es responsabilidad de la Direccin y de las gerencias y jefaturas de UTE, el velar por el cumplimiento de esta Poltica, as como proveer los recursos necesarios para asegurar la seguridad de la informacin corporativa.

4.- POLTICAS ESPECFICAS

Todos los usuarios estn obligados a cumplir y hacer cumplir (en su marco de actuacin) todas las polticas y procedimientos de seguridad vigentes.

Pgina 5 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

4.1

POLTICA SOBRE PROPIEDAD INTELECTUAL DE SOFTWARE

Todo software de terceros que se utilice en la Empresa debe tener un acuerdo de licencia debidamente documentado. Este acuerdo deber indicar si existe alguna limitacin en su utilizacin, como ser alguna limitacin al nmero de equipos informticos en los cuales puede ser instalado el software, alguna limitacin al nmero de usuarios concurrentes, etc. Se deben realizar revisiones peridicas del software instalado en los equipos informticos de la Empresa a efectos de verificar el cumplimiento de los acuerdos de licencia vigentes. Todo software desarrollado en la Empresa por personal propio o ajeno es propiedad intelectual de UTE, debiendo analizarse en todo caso la conveniencia de su inscripcin en el Registro de Derechos de Autor.

4.2

POLTICA SOBRE CONTROLES DE SEGURIDAD FSICA

La seguridad fsica de los Centros de Procesamiento de Datos, de las bvedas de almacenamiento y de todos los locales donde existan recursos informticos o de comunicaciones de uso Empresarial, es necesaria por las siguientes razones: a) Para evitar la utilizacin no autorizada de los recursos. b) Para garantizar que los recursos estn protegidos contra peligros naturales, hurto y dao. 4.2.1.- Acceso fsico El acceso fsico al equipamiento informtico, fuentes de energa elctrica, cableado, aire acondicionado, provisin de agua, sector de conexiones de telecomunicaciones y perifricos, debe limitarse al personal que lo necesita para el desempeo de sus tareas habituales. El acceso fsico a las instalaciones y al equipamiento informtico ser autorizado por el responsable de la instalacin de acuerdo a un procedimiento establecido para ello. Debe registrarse en un sistema de control de visitas, cualquier acceso por parte de terceros y funcionarios a los locales con equipamiento informtico crtico, cualquiera sea el motivo de la visita. Al acceder al local, la persona deber estar debidamente identificada, por ejemplo presentando su cdula de identidad o tarjeta de identificacin de funcionario. 4.2.2.- Controles y servicios auxiliares El equipamiento informtico crtico debe albergarse en un ambiente equipado con dispositivos para la deteccin y extincin de incendios. Los dispositivos mencionados debern ser probados peridicamente. Las instalaciones deben contar con rutas de escape y salidas de emergencia adecuadamente sealizadas, para facilitar la evacuacin del personal en forma rpida y segura en caso de siniestro. Deben existir fuentes de energa ininterrumpibles (UPS, bancos de bateras, inversores y grupos generadores si corresponde) para garantizar la disponibilidad del servicio en caso de falla del suministro de energa elctrica, de acuerdo a los niveles de servicio requeridos.

Pgina 6 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

Deben instalarse unidades de aire acondicionado para mantener un ambiente con los niveles de temperatura y humedad determinados por los fabricantes del equipamiento informtico. Las instalaciones que alberguen las principales componentes de la infraestructura tecnolgica (Centros de Procesamiento de Datos, Palacio de la Luz, etc.) deben tener un sistema de control que permita monitorizar todos los servicios auxiliares (detectores de humo, temperatura y humedad), y que permita visualizar la actividad en cada una de las salas. Los controles de acceso fsico y lgico para las copias de respaldo (back-up) de registros y datos esenciales que se conservan en bvedas de almacenamiento deben tener el mismo nivel de proteccin que se da para los originales. Los soportes que se utilizan para mantener datos fuera de lnea deben tener el mismo nivel de proteccin que se brinda para los datos en lnea. La ubicacin del equipamiento informtico, de las instalaciones de comunicaciones y de los respaldos de informacin debe estar en reas diseadas para garantizar que el acceso fsico est bajo control y se mantienen las condiciones edilicias y ambientales adecuadas. Todo el equipamiento informtico debe estar identificado e inventariado mediante un cdigo nico que adems se pueda visualizar en el equipo y cualquier modificacin al inventario debe ser autorizada por SIS o por la UARI si corresponde a equipamiento dentro de su mbito de accin. Peridicamente SIS y las UARIs en sus respectivos mbitos de accin deben realizar una revisin general de las instalaciones y de su equipamiento informtico, que incluya la verificacin de los contratos de seguros sobre la base de un anlisis costo-beneficio y a las directrices impartidas por la Empresa.

4.3

POLTICA SOBRE ADQUISICIN DE HARDWARE Y SOFTWARE

Siempre que se adquiera hardware y/o software para procesar informacin crtica de la Empresa se deber evaluar la trayectoria del proveedor, la continuidad del producto y sus certificaciones en calidad del proceso y producto. La seguridad debe ser considerada a lo largo de todo el proceso de adquisicin, desde la especificacin de los requerimientos hasta la implantacin del software. Los requerimientos de seguridad deben estar identificados y documentados antes de la eleccin del software a adquirir. Se debe procurar que el proveedor firme un acuerdo escrito de integridad en el cual asegure que todas las caractersticas del hardware y/o software estn documentadas y que no contiene mecanismos ocultos que puedan comprometer la seguridad informtica. Las contraseas que provee el vendedor del software debern ser cambiadas, en forma inmediata una vez terminada su instalacin, por otras que cumplan con las reglas definidas en la presenta poltica, excepto que exista una razn tcnica que lo haga desaconsejable (lo cual se deber documentar). En toda adquisicin de hardware y/o software debe asegurarse el cumplimiento de la poltica de seguridad de la Empresa. Toda adquisicin de equipamiento informtico y/o software debe ser gestionada a travs de SIS o por otras unidades en coordinacin con SIS, salvo excepciones acordadas y debidamente documentadas. Pgina 7 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

Todo software que se adquiera deber contar con una licencia que permita la realizacin de copias con fines de respaldo. SIS o las UARIs en sus correspondientes mbitos de accin realizarn la administracin de los usuarios predefinidos en el software adquirido a terceros, como si fueran usuarios reales. El acceso a las contraseas de estos usuarios estar fuertemente restringido sobre la base de los principios "necesidad de saber" y "necesidad de hacer".

Pgina 8 de 9

NO-UTE-SI-0001/02

Poltica de Seguridad Informtica

NDICE 0.1.1.1 1.2 2.3.OBJETIVO ................................................................................................................................ 2 INTRODUCCIN..................................................................................................................... 2 DEFINICIN DE SEGURIDAD DE LA INFORMACIN ................................................... 2 OBJETIVO DE LA SEGURIDAD DE LA INFORMACIN................................................. 3 MARCO DE REFERENCIA ................................................................................................... 3 POLTICAS GENERALES ..................................................................................................... 3

3.1 CUMPLIMIENTO DE REQUISITOS LEGALES, REGULADORES Y CONTRACTUALES........................................................................................................................... 3 3.2 REQUISITOS DE FORMACIN, ENTRENAMIENTO Y CONOCIMIENTO EN SEGURIDAD...................................................................................................................................... 4 3.3 ATRIBUTOS DE LA INFORMACIN ................................................................................. 4 3.4 GESTIN DE CONTINUIDAD DEL NEGOCIO.................................................................. 4 3.5 INCIDENTES DE SEGURIDAD ........................................................................................... 5 3.6 RESPONSABILIDAD DE LA DIRECCIN ......................................................................... 5 4.POLTICAS ESPECFICAS.................................................................................................... 5 4.1 POLTICA SOBRE PROPIEDAD INTELECTUAL DE SOFTWARE ................................. 6 4.2 POLTICA SOBRE CONTROLES DE SEGURIDAD FSICA ............................................. 6 4.2.1.- Acceso fsico .................................................................................................................... 6 4.2.2.- Controles y servicios auxiliares ...................................................................................... 6 4.3 POLTICA SOBRE ADQUISICIN DE HARDWARE Y SOFTWARE .............................. 7

Pgina 9 de 9