Politicas Seguridad

Nom bre del
Polticas de Seguridad de Informacin de PDVSA Normativa

CLASIFICACIN USO GENERAL
EMISIN
SERIAL N
20/09/06
NORMATIVA
S/S
Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:
Revisado por:
Aprobado por:
Versin:
G/B (Ej.) Wilmer Barrientos

Gerente Corporativo de Prevencin y Control de Prdidas Fecha ltima revisin:
Ing. Rafael Ramrez

Ministro de MEMPEP y Presidente de PDVSA
v-1.0
Pgina N:
26/11/07
27/07/06
1/39
Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,
INTRODUCCIN Las normas que integran las Polticas de Seguridad de Informacin sern de obligatorio cumplimiento para el personal de Petrleos de Venezuela S.A. y de sus empresas filiales y es, as mismo, responsabilidad de los niveles supervisorios respectivos ejecutar y hacer cumplir estas disposiciones regulatorias de los aspectos relacionados con la seguridad de los activos de informacin pertenecientes a, o bajo custodia de, la Corporacin. La Gerencia de Seguridad Lgica de la Gerencia Corporativa de Prevencin y Control de Prdidas (PCP), ejercer la custodia de las referidas normas y ser responsable de definir procedimientos de control especficos, as como de administrar, implementar y mantener medidas de supervisin y vigilancia de acceso a los Activos de Informacin y suministrar formas de recuperacin, en concordancia con las instrucciones emanadas de los Gerentes Propietarios de los Activos de Informacin. De igual manera, queda establecido que estas Polticas se debern aplicar independientemente de la manera en que se representa la informacin, la tecnologa usada para manipular la informacin, la ubicacin de la informacin o la categorizacin de la informacin.
Gerencia Corporativa de Prevencin y Control de Prdidas Trabajo, Honestidad, Excelencia
La Corporacin se reserva el derecho de cambiar estas Polticas en cualquier momento y sin previo aviso
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
2/39
POLTICAS DE SEGURIDAD DE INFORMACIN
CAPTULO 01 PROTECCIN DE LA PLATAFORMA TECNOLGICA SECCIN 01 Proteccin de la Plataforma Tecnolgica PSI-010101: Declaracin de Seguridad: Los Activos de Informacin de la Corporacin debern estar debidamente protegidos contra acciones o eventos que perjudiquen los principios y estndares establecidos de seguridad de informacin. PSI-010102: Regulacin sobre Aspectos de Seguridad de Informacin: La Corporacin, a travs de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, deber regular las actividades inherentes y conexas con la Seguridad de la Plataforma Tecnolgica. PSI-010103: Responsabilidades Legales en Materia de Seguridad: La Corporacin, en defensa de sus Activos de Informacin, proceder de acuerdo al Ordenamiento Jurdico y a los Tratados Internacionales de la Repblica. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Informacin, de su propiedad o bajo su custodia, iniciar a travs de la Gerencia Corporativa de Prevencin y Control de Prdidas (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactar, previa opinin de la organizacin jurdica de la Corporacin, a los organismos competentes del Estado para que stos efecten las actuaciones correspondientes en aplicacin de las disposiciones legales que regulan la materia.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
3/39
CAPTULO 02 CLASIFICACIN DE ACTIVOS DE INFORMACIN SECCIN 01 Clasificacin de Activos de Informacin PSI-020101: Clasificacin de Activos de Informacin: Todo Activo de Informacin perteneciente a, o bajo la custodia, de la Corporacin, deber ser clasificado de acuerdo a la normativa de clasificacin vigente en materia de Proteccin de Activos de Informacin de la Corporacin. PSI-020102: Asignacin de Propiedad de Informacin: La responsabilidad de proteccin, resguardo y custodia sobre cada Activo de Informacin de la Corporacin deber ser asignada a un Gerente Propietario. PSI-020103: Rotular Activos de Informacin: Todo Activo de Informacin de la Corporacin deber ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificacin y valor de dicha informacin. PSI-020104: Inventario de Activos de Informacin: La Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que permitan mantener un inventario vigente de los Activos de Informacin de la Corporacin. PSI-020105: Tratamiento y Resguardo de los Activos de Informacin: Todo Activo de Informacin deber ser protegido, custodiado y resguardado de conformidad con los niveles de clasificacin que le fueron asignados, utilizando para ello los mtodos y/o tcnicas de seguridad aprobados por la Corporacin.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
4/39
CAPTULO 03 CONTROL DE ACCESO A LA INFORMACIN Y SISTEMAS SECCIN 01 Control de Acceso a la Informacin y Sistemas PSI-030101: Administracin del Control Acceso: El Control de Acceso a la Informacin y Sistemas deber ser administrado por el personal autorizado debida y formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica a solicitud del Gerente Propietario, respetando los perfiles organizacionales de la Corporacin, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepcin y las prioridades del Negocio. PSI-030102: Control de Acceso al Usuario: El acceso de los usuarios a la Informacin y Sistemas deber ser permitido cuando est debidamente justificado por el Gerente Propietario, autorizado debida y formalmente por el Administrador Responsable de esta informacin y/o sistemas y procesado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, respetando los roles y perfiles organizacionales de la Corporacin. Todas las referidas autorizaciones debern efectuarse por escrito. PSI-030103: Proteccin de Equipos de Tecnologa de Informacin Desatendidos: Todo Equipo de Tecnologa de Informacin desatendido deber estar protegido fsica y lgicamente, de acuerdo a su clasificacin. PSI-030104: Administracin del Control de Acceso a la Red: El Control de Acceso a la Red deber ser administrado por personal autorizado debida y formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, a solicitud del Gerente Propietario, respetando los perfiles organizacionales de la Corporacin, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepcin y las prioridades del Negocio. PSI-030105: Control de Acceso al Sistema Operativo: El acceso al Sistema Operativo deber ser permitido slo a aquellas personas autorizadas, en forma escrita, por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y cuyas funciones del cargo lo requieran. PSI-030106: Mecanismos de Identificacin y Autenticacin: Las personas designadas por la Gerencia Responsable de la Plataforma Tecnolgica debern ser responsables del diseo, elaboracin y verificacin de mecanismos de identificacin
Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia: Revisado por: Aprobado por: Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
5/39
y autentificacin confiables. Ser responsabilidad de la Gerencia Corporativa de Prevencin y Control de Prdidas (PCP) hacer los respectivos requerimientos, definir su especificacin funcional, efectuar las pruebas necesarias, certificar los referidos mecanismos y lograr el uso eficiente de los mismos. PSI-030107: Restriccin de Acceso a la Informacin: Las restricciones a la informacin debern establecerse atendiendo los niveles apropiados asociados al cargo y perfil organizacional y de acuerdo a la poltica de Control de Acceso, a fin de minimizar los riesgos en seguridad de informacin. PSI-030108: Monitoreo del Acceso y Uso del Sistema: Todo acceso a los recursos de Tecnologa de Informacin deber ser registrado y monitoreado de acuerdo a las mejores prcticas vigentes aceptadas por la Corporacin. PSI-030109: Brindar Acceso a los Activos de Informacin: El acceso a los Activos de Informacin deber ser controlado, asegurando su disponibilidad, slo al personal autorizado debida y formalmente por el Gerente Propietario y avalado por la respectiva Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de conformidad con las Polticas de clasificacin de Activos de Informacin. PSI-030110: Control del Acceso a Usuarios Remotos: El control de acceso a los Activos de Informacin, en el caso de usuarios remotos, deber establecerse de conformidad con su clasificacin, ser autorizado debida y formalmente por el Gerente Propietario, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y estar limitado al perfil de usuario, para no utilizar a estos fines ms privilegios del necesario para lograr los objetivos especficos del Negocio. PSI-030111: Administracin de Seguridad de Aplicaciones: Toda aplicacin administrada por la Corporacin deber tener un Administrador de Seguridad debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de conformidad con la poltica de clasificacin de los Activos de Informacin y los Acuerdos de Servicio. PSI-030112: Claves de Mximos Privilegios: Las Claves de Mximos Privilegios de las aplicaciones y sistemas de la Corporacin debern tener el mximo nivel de clasificacin establecido en la Corporacin. La Gerencia Responsable de la Proteccin de los Activos de la Corporacin deber establecer los mecanismos de asignacin, administracin, custodia y uso, de conformidad con los eventuales Estados de Excepcin y las prioridades del Negocio.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
6/39
CAPTULO 04 PROCESAMIENTO DE INFORMACIN Y DOCUMENTOS SECCIN 01 Redes PSI-040101: Arquitectura y Configuracin de la Red: La arquitectura y configuracin de la Red debern cubrir las necesidades y los procesos del Negocio, manteniendo un alto nivel de desempeo. PSI-040102: Administracin de la Red: Slo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica y avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber administrar la Red de la Corporacin, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepcin y las prioridades del Negocio. PSI-040103: Administracin de la Plataforma de Seguridad: La Plataforma de Seguridad de la Red de la Corporacin deber ser administrada slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de conformidad con los Acuerdos de Servicio, los eventuales Estados de Excepcin y las prioridades del Negocio. PSI-040104: Acceso Remoto a la Red: El Acceso Remoto a la Red y sus recursos deber estar debidamente justificado por el demandante del servicio, autorizado formalmente por el Gerente Propietario de la informacin, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y procesado por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin. SECCIN 02 Operaciones y Administracin de Sistemas PSI-040201: Administracin de Sistemas: Los Sistemas de la Corporacin debern ser administrados por personal debidamente calificado y autorizado formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con los Acuerdos de Servicio establecidos. PSI-040202: Control de Distribucin de Informacin: El Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
7/39
Tecnolgica de la Corporacin, deber establecer los mecanismos que garanticen la existencia de controles y reportes tcnicos que permitan efectuar una distribucin adecuada de la informacin, a todas aquellas personas que formalmente autorice. PSI-040203: Revisin de Registros de Eventos: Todo registro de eventos de error, de excepcin y de seguridad de los sistemas en la Plataforma Tecnolgica de la Corporacin deber ser revisado permanentemente, analizado, documentado y resguardado de forma apropiada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica. PSI-040204: Programacin de Operaciones de Sistemas: La programacin de operaciones de sistemas de la Corporacin deber ser formalmente planificada, autorizada y certificada por personal debidamente calificado y autorizado formalmente por el Gerente Propietario de la informacin, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. El diseo, desarrollo, prueba, documentacin y operacionalizacin le corresponder a la Gerencia Responsable de la Plataforma Tecnolgica. PSI-040205: Cambio y/o Mantenimiento de la Programacin de la Operacin de los Sistemas: Toda modificacin y/o mantenimiento de la Programacin de Operacin de los Sistemas deber contar con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y se regir estrictamente por las Polticas de Control de Cambio de la Corporacin. PSI-040206: Revisin de Registros de Auditoria: Los registros de auditoria de los Sistemas debern ser revisados permanentemente por el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de conformidad con el Acuerdo de Servicio con el Gerente Propietario. PSI-040207: Sincronizacin de Relojes de los Sistemas: Los Relojes de los Sistemas debern estar sincronizados, especialmente entre las diversas plataformas de procesamiento de la Corporacin. PSI-040208: Atencin de Fallas de los Sistemas: Slo personal debidamente calificado y autorizado formalmente deber atender las fallas de los sistemas de la Plataforma Tecnolgica de la Corporacin, de conformidad con los Acuerdos de Servicio celebrados entre el Gerente Propietario y la Gerencia Responsable de la Plataforma Tecnolgica. PSI-040209: Contratacin de Servicios Externos de Tecnologa de Informacin: La contratacin y uso de servicios externos y de otros activos de Tecnologa de

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
8/39
Informacin en la Corporacin, debern estar avalados por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y debern contemplar clusulas y penalidades que garanticen el fiel cumplimiento de lo estipulado y la confidencialidad de la informacin a la cual acceden.
SECCIN 03 Correo Electrnico e Internet PSI-040301: Uso del Correo Electrnico de la Corporacin: El personal autorizado slo deber hacer uso del correo electrnico de la Corporacin para fines del Negocio, de conformidad con las normas y procedimientos relacionadas con la recepcin, envo, reenvo, almacenamiento y retencin del mismo, para tal objeto establecidas. PSI-040302: Uso de Internet dentro de la Corporacin: El uso de Internet ser permitido en la Corporacin, con el fin de formar al personal, innovar y prestar apoyo en la implementacin de mejores prcticas en el sector petrolero. En aquellos casos de requerimientos de acceso a la Internet de personas no autorizadas, deber elevarse dicho requerimiento a la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin para su correspondiente anlisis y eventual autorizacin. PSI-040303: Descarga de Archivos e Informacin desde Internet: La descarga de informacin y archivos desde Internet, deber estar directamente relacionada con el rol que desempea el empleado y orientada exclusivamente a las actividades propias del Negocio, de conformidad con la poltica de Uso de Internet dentro de la Corporacin. PSI-040304: Uso de Firmas Digitales: Las firmas digitales debern ser utilizadas para el intercambio de informacin en la Corporacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040305: Acceso a la Intranet: Slo personal autorizado debida y formalmente por la gerencia que ejerza la respectiva custodia de las aplicaciones a ser utilizadas en la Corporacin, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, podr acceder a la Intranet, de conformidad al rol que desempea. PSI-040306: Acceso a la Extranet: La Extranet es de uso masivo, es nuestro mecanismo de divulgacin de informacin oficial al pas y al mundo, por lo tanto, su

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
9/39
uso es extenso. Los niveles de autorizacin y control de acceso a la Extranet de la Corporacin, debern realizarse con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y de conformidad con las Polticas de Administracin del Control de Acceso a la Red. SECCIN 04 Dispositivos de Transmisin de Informacin PSI-040401: Administracin de Dispositivos de Transmisin de Informacin: Los Dispositivos de Transmisin de Informacin debern ser administrados y controlados, en la Corporacin, de forma segura y eficiente, a travs de la Gerencia Responsable de la Plataforma Tecnolgica. PSI-040402: Uso de Dispositivos de Transmisin de Informacin: El uso de los Dispositivos de Transmisin de Informacin en la Corporacin deber ser autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, previo aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y de conformidad con las Polticas de Clasificacin de Activos de Informacin. SECCIN 05 Manejo de Informacin PSI-040501: Transferencia y/o Intercambio de Informacin: Toda transferencia y/o intercambio de informacin interna o externa de la Corporacin, a travs de cualquier medio electrnico, mecnico o manual, debern ser autorizados formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040503: Administracin de las Bases de Datos: Slo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, ser responsable de la administracin de las bases de datos, tomando en cuenta la seguridad de las mismas, de conformidad con los Acuerdos de Servicio establecidos con el Gerente Propietario. PSI-040504: Cambios de Emergencia en la Informacin: Slo el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica podr ejecutar los cambios de emergencia en la informacin
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
10/39
de la Corporacin, sin arriesgar la seguridad de sta, de conformidad con las Polticas de Control de Cambios. PSI-040505: Administracin de Directorios, Carpetas y/o Estructuras de Informacin: Slo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica podr administrar los directorios, carpetas y/o estructuras de informacin de la Corporacin, de conformidad con lo establecido por el Gerente Propietario y los respectivos Acuerdos de Servicio. PSI-040506: Archivo Fsico de Documentos: El archivo fsico de documentos deber realizarse por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Polticas de Clasificacin de Activos de Informacin, las ms adelantadas prcticas tecnolgicas, los aspectos legales, la normativa interna y las caractersticas del respectivo Negocio. PSI-040507: Preservacin de Informacin: La informacin creada y almacenada por los sistemas de informacin de la Corporacin, deber preservarse de conformidad con las Polticas de Clasificacin de Activos de Informacin y a los Acuerdos de Servicio con el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de manera de cumplir con los aspectos legales, la normativa interna y las caractersticas del respectivo Negocio. PSI-040508: Establecer Nuevas Bases de Datos: Slo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica deber encargarse de la evaluacin, diseo y creacin de nuevas bases de datos, de conformidad con las Polticas de Clasificacin de Activos de Informacin, cumpliendo con los requerimientos del Gerente Propietario. PSI-040509: Vinculacin de Informacin entre Documentos y Archivos: Toda informacin vinculada con las actividades propias del Negocio, deber estar disponible en su totalidad para evitar depender de la disponibilidad o integridad de archivos de informacin externos o propiedad de terceros y/o relacionados. PSI-040510: Administracin de Reportes Borradores o Preliminares: Toda informacin de la Corporacin considerada borrador o revisin preliminar, deber cumplir con las Polticas de Clasificacin de Activos de Informacin y ser suprimida despus de emitirse el reporte definitivo. PSI-040511: Administracin de Informacin de Proyectos relacionados con Tecnologa de Informacin: Slo personal autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin y avalada por la

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
11/39
Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber administrar la informacin referente a los Proyectos relacionados con Tecnologa de Informacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040512: Uso de Nomenclatura Estndar para nombrar Archivos y Carpetas: Slo personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica y avalada por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber establecer mecanismos que permitan crear una nomenclatura estndar para la identificacin de los archivos y carpetas de la Plataforma Tecnolgica de la Corporacin. PSI-040513: Uso de Encabezados y Pies de Pgina: Todo documento oficial perteneciente a la Corporacin deber poseer encabezados y pie de pgina estndar, segn la aplicacin a la cual pertenecen, autorizados por la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Polticas de Rotulacin de Activos de Informacin y de la Clasificacin de Activos de Informacin, del Ordenamiento Jurdico y del Negocio. PSI-040514: Administracin de Archivos Temporales: Los Archivos Temporales generados por Sistemas Operativos y/o Aplicaciones instalados en la Plataforma Tecnolgica de la Corporacin, con el propsito de registrar informacin tcnica, debern ser administrados por personal autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas de Monitoreo y auditoria de Informacin y slo sern eliminados cuando se constate la prdida de su vigencia.
SECCIN 06 Respaldo, Almacenaje y Recuperacin PSI-040601: Respaldo: Todos los sistemas, su data y/o documentos de usuario, asociados, debern ser respaldados peridicamente por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes del personal que realiza el almacenaje y la recuperacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin, los Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. la normativa interna y el Ordenamiento Jurdico.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
12/39
PSI-040602: Almacenaje: Todos los respaldos de los sistemas, su data y/o documentos de usuario asociados debern tener una copia y ser almacenados en sitios separados bajo condiciones ambientales seguras, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, previo aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, con funciones excluyentes del personal que realiza respaldos, de conformidad con las Polticas de Clasificacin de Activos de Informacin, los Acuerdos de Servicio con el Gerente Propietario, normativa interna y el Ordenamiento Jurdico. PSI-040603: Recuperacin: Todos los sistemas, su data y/o documentos de usuario asociados debern ser recuperados cuando se requiera, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes de la funcin de respaldo, de conformidad con las Polticas de Clasificacin de Activos de Informacin, los Acuerdos de Servicio con el Gerente Propietario en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, la normativa interna y el Ordenamiento Jurdico. PSI-040604: Hardware de Respaldo y Recuperacin: El Hardware de respaldo y recuperacin de la Corporacin deber ser estndar, compatible con la arquitectura de la Plataforma Tecnolgica y con capacidad de proceso simultneo de distintas unidades de almacenamiento masivo, de conformidad con las necesidades del Negocio. PSI-040605: Software de Respaldo y Recuperacin: El Software de respaldo y recuperacin de la Corporacin deber ser estndar, compatible con la arquitectura de la Plataforma Tecnolgica, proveer capacidad de proceso simultneo de distintas unidades de almacenamiento masivo y producir indicadores relevantes del proceso realizado. PSI-040606: Documentacin de Procesos de Respaldo y Recuperacin: Deber mantenerse una documentacin detallada de los procesos de respaldo y recuperacin, elaborada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. Dicha documentacin deber contener indicaciones del entorno donde los referidos procesos se desarrollan y las acciones a tomar en caso de fallas, de conformidad con las normas y procedimientos establecidos para tal fin. PSI-040607: Ejecucin Programada de los Procesos de Respaldo y Recuperacin: Deber mantenerse una ejecucin programada y automatizada de

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
13/39
los procesos de respaldo y recuperacin, elaborada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin y avalada por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. Dicha ejecucin deber contener indicaciones del entorno donde los referidos procesos se desarrollan y las acciones a tomar en caso de fallas, de conformidad con la poltica de Documentacin de Procesos de Respaldo y Recuperacin. PSI-040608: Perodo de Retencin de Respaldo: Los respaldos y/o copias de seguridad de la informacin de la Corporacin, debern ser retenidos por un perodo de tiempo determinado en el momento de su generacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin, los Acuerdos de Servicio con el Gerente Propietario, la normativa interna y el Ordenamiento Jurdico. PSI-040609: Etiquetado de los Respaldos: La identificacin para los respaldos y los medios de almacenaje deber ser un estndar para toda la Corporacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin.
SECCIN 07 Manejo de Documentos PSI-040701: Administracin de Documentos: Todo documento perteneciente a la Corporacin deber ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040702: Manejo de Copias de Documentos: Toda copia de documentos de la Corporacin deber recibir el mismo tratamiento y resguardo que el respectivo documento original y ser autorizada formalmente por el Gerente Propietario, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040703: Autenticidad de Documentos: Los documentos que obligan o comprometen a la Corporacin debern ser refrendados manual o electrnicamente slo por personal autorizado debida y formalmente y, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040704: Envo de Documentos: El envo de documentos que obligan o comprometen a la Corporacin, deber ser aprobado por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Polticas de

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
14/39
Clasificacin de Activos de Informacin y Manejo de Documentos, manteniendo un control y registro de su envo. PSI-040705: Correspondencia Interna: Toda correspondencia interna de la Corporacin deber ser identificada debidamente y manejada slo por personal autorizado formalmente por el Gerente Propietario. PSI-040706: Estilo y Presentacin de Reportes: Los documentos corporativos debern elaborarse bajo un formato estndar acordado entre el Gerente Propietario y la Gerencia Responsable de la Imagen Corporativa, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040707: Transmisin o Transporte de Documentos: Todo documento deber ser transmitido o transportado por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040708: Destruccin de Documentos: Todo documento que haya perdido vigencia y/o valor para la Corporacin deber ser destruido por personal autorizado debida y formalmente por el Gerente Propietario, de conformidad con los mecanismos y normativas para tal fin establecidos. SECCIN 08 Seguridad de la Informacin PSI-040801: Uso de Tcnicas de Cifrado: El uso de tcnicas de cifrado para la Corporacin deber ser administrado debidamente por la Gerencia Responsable de la Plataforma Tecnolgica y autorizado formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica. PSI-040802: Manejo de la Informacin: La Gerencia Responsable de la Proteccin de los Activos de la Corporacin deber establecer mecanismos de divulgacin que contribuyan a que todos sus empleados, terceros y/o relacionados, conozcan sus compromisos legales y corporativos, en el manejo de la informacin que est bajo su responsabilidad, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040803: Intercambio de Informacin con Terceros y/o Relacionados: Toda informacin perteneciente a la Corporacin que sea intercambiada con terceros y/o relacionados, deber ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
15/39
Tecnolgica de la Corporacin y de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040804: Manejo de Informacin de Clientes y Terceros: Toda informacin sobre clientes, terceros y/o relacionados, que sea confiada a la Corporacin para fines del Negocio, deber ser asignada a un Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de acuerdo a los compromisos previamente establecidos y de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040805: Riesgos de Prdida y/o Dao de Informacin y Documentos: Toda la Informacin de la Corporacin, en cualquiera de sus formas, deber estar protegida contra cualquier evento que pueda atentar contra su integridad, confidencialidad y disponibilidad. PSI-040806: Proteccin de Informacin: El acceso a toda informacin de la Corporacin o delegada a sta, deber ser protegido por la gerencia que ejercer la custodia, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, con mecanismos de identificacin y autentificacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040807: Impresin de Documentos: Los documentos de la Corporacin, de conformidad con la poltica de Clasificacin de los Activos de Informacin, debern ser impresos y retirados inmediatamente de las impresoras, slo por personal autorizado debida y formalmente por el Gerente Propietario. SECCIN 09 Manejo y Procesamiento de Otra Informacin PSI-040901: Eliminacin de Informacin en Medios de Almacenamiento de Informacin a Desincorporar: La eliminacin de informacin contenida en medios de almacenamiento a desincorporar, deber ser autorizada por el Gerente Propietario, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y realizada por personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin, la normativa interna y del Ordenamiento Jurdico. PSI-040902: Uso de Dispositivos de Copiado: El uso de los Dispositivos de Copiado en la Corporacin deber estar restringido por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y slo ser autorizado para asuntos

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
16/39
relacionados con el Negocio, por el personal debida y formalmente autorizado por el Gerente Propietario de la informacin, de conformidad con las Polticas de Clasificacin de Activos de informacin. PSI-040903: Suministro de Informacin a los Medios de Comunicacin Social: Slo personal autorizado debida y formalmente por la Gerencia Responsable de la Imagen Corporativa podr suministrar informacin en nombre de la Corporacin, en cualquiera de sus formas, a los Medios de Comunicacin Social. PSI-040904: Necesidad de Control Dual y/o Segregacin de Tareas: El Gerente Propietario deber asegurar la correcta segregacin de tareas en el uso y proceso de la informacin que accede, mediante los sistemas instalados en la Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-040905: Escritorio Despejado: Todo el personal que labore en la Corporacin es responsable de mantener sus escritorios despejados, no dejando expuesta informacin clasificada perteneciente a la Corporacin. PSI-040906: Movilizacin de Informacin Fuera de las Instalaciones de la Corporacin: Todo personal que requiera movilizar informacin fuera de las instalaciones de la Corporacin deber ser autorizado debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y tiene la estricta responsabilidad de custodiarla y resguardarla, de conformidad con las Polticas de Clasificacin de Activos de Informacin.
CAPTULO 05
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
17/39
COMPRA Y MANTENIMIENTO DE SOFTWARE COMERCIAL SECCIN 01 Compra e Instalacin de Software PSI-050101: Requerimientos de Nuevo Software: Toda solicitud de nuevo Software deber ser presentada por la Gerencia solicitante a la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin, para su aprobacin, con las correspondientes justificaciones y los requerimientos del Negocio, de conformidad con las Polticas establecidas para tal fin. PSI-050102: Evaluacin, Seleccin y Adquisicin de Software Comercial: Slo la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin estar autorizada para evaluar, seleccionar y adquirir Software comercial, de conformidad con los requerimientos de la Gerencia solicitante, de la arquitectura de la Plataforma Tecnolgica, de los aspectos de seguridad y de las Polticas de Control de Cambio. PSI-050103: Uso de Software propiedad de Terceros: Todo Software propiedad de terceros instalado en la Plataforma Tecnolgica de la Corporacin deber estar autorizado debida y formalmente para su uso, mediante las licencias o convenios necesarios, de manera de preservar los respectivos derechos de autor y el servicio tcnico. PSI-050104: Implementacin de Software: La implementacin de todo Software en la Corporacin deber ser realizada slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con el aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas de Control de Cambio.
SECCIN 02 Actualizacin y Mantenimiento de Software PSI-050201: Implantacin de Actualizaciones de Seguridad al Software: La Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que permitan la implantacin controlada y oportuna de las actualizaciones de seguridad, sugeridas por el fabricante, al Software de la Plataforma Tecnolgica de la Corporacin y realizada slo por personal debidamente calificado, de conformidad con las Polticas de Control de Cambio.

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
18/39
PSI-050202: Respuesta a las Mejoras recomendadas para el Software por el Fabricante: La decisin de mejorar el Software, recomendado por el fabricante, en la Plataforma Tecnolgica de la Corporacin, deber basarse en un anlisis tcnico realizado por personal debidamente calificado y autorizado formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio. PSI-050203: Implantacin de Mejoras del Software: La Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que permitan la implantacin de mejoras, sugeridas por el fabricante del Software, en la Plataforma Tecnolgica de la Corporacin. Dichas mejoras debern ser evaluadas y probadas en un ambiente apropiado de prueba y realizadas slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio. PSI-050204: Interfaz de Sistemas y/o Software de Aplicacin: El desarrollo de Software para interfaces deber ser realizado por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica y por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio. PSI-050205: Soporte al Software Comercial: Toda aplicacin comercial instalada en la Plataforma Tecnolgica de la Corporacin deber establecer en un Acuerdo de Servicio que permita proveer soporte tcnico y deber ser administrada por la Gerencia Responsable de la Plataforma Tecnolgica, con la aprobacin del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio. PSI-050206: Implantacin de Mejoras al Software del Sistema Operativo: La Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que permitan la implantacin de mejoras, sugeridas por el fabricante del Software del Sistema Operativo, en la Plataforma Tecnolgica de la Corporacin. Dichas mejoras sern evaluadas, realizadas como proyectos formales y probadas en un ambiente apropiado de prueba, solo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
19/39
PSI-050207: Soporte para Sistemas Operativos: Todo Software de Sistema Operativo instalado en la Plataforma Tecnolgica de la Corporacin deber contar con un Acuerdo de Servicio que permita proveer un nivel apropiado de soporte tcnico y deber ser administrado por la Gerencia Responsable de la Plataforma Tecnolgica, con la aprobacin del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidas para tal fin. PSI-050208: Registro y Reporte de Fallas en el Software: Todo Software instalado en la Plataforma Tecnolgica de la Corporacin requiere de un registro y reporte de fallas, los cuales debern ser revisados por el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. Dicho personal tiene la responsabilidad de reportar las posibles desviaciones detectadas para su verificacin y acordar las acciones correspondientes. PSI-050209: Seguridad en el Ciclo de Vida del Desarrollo de los Sistemas: Para todos los sistemas de aplicaciones de la Corporacin, los diseadores y desarrolladores de sistemas debern establecer con la autorizacin formal de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, la seguridad apropiada desde el principio del proceso de diseo de los sistemas, hasta su conversin en sistemas de produccin. SECCIN 03 Otros Asuntos del Software PSI-050301: Desincorporacin de Software: La Gerencia Responsable de la Plataforma Tecnolgica deber crear mecanismos que permitan, previa solicitud de la Gerencia Propietaria del proceso, la desincorporacin de Software de la Plataforma Tecnolgica de la Corporacin. Dicha desincorporacin ser realizada como proyecto especfico y slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
20/39
CAPTULO 06 SEGURIDAD DE HARDWARE, PERIFRICOS Y OTROS EQUIPOS SECCIN 01 Compra e Instalacin de Hardware PSI-060101: Requerimientos de Nuevo Hardware: Toda solicitud de nuevo Hardware deber ser presentada por la Gerencia solicitante a la Gerencia Responsable de la Plataforma Tecnolgica, con las justificaciones respectivas y los requerimientos del Negocio, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de conformidad con la Arquitectura de la Plataforma Tecnolgica de la Corporacin y de las Polticas establecidas para tal fin. PSI-060102: Evaluacin, Seleccin y Adquisicin de Hardware: Slo la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin ser autorizada para evaluar, seleccionar y adquirir Hardware, de conformidad con los requerimientos de la Gerencia solicitante, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, de la Arquitectura de la Plataforma Tecnolgica y de las Polticas de Control de Cambio. PSI-060103: Instalacin de Nuevo Hardware: La instalacin de todo Hardware deber ser realizada slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, previa autorizacin del Gerente propietario del proceso, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de Control de Cambio.
SECCIN 02 Documentacin de Hardware PSI-060201: Manejo y Uso de la Documentacin del Hardware: La documentacin del Hardware de la Plataforma Tecnolgica de la Corporacin deber realizarse por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, especificando y detallando los
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
21/39
aspectos tcnicos, la vigencia y la disponibilidad para la operacin adecuada de la gerencia que ejerza la respectiva custodia, en el ambiente apropiado de produccin. SECCIN 03 Uso de Almacenamiento Seguro PSI-060301: Administracin de Activos de Reposicin: Se debern crear mecanismos adecuados y eficientes que permitan la administracin de los Activos de Reposicin de la Plataforma Tecnolgica de la Corporacin, por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin. SECCIN 04 Otros Aspectos del Hardware PSI-060401: Desincorporacin de Equipos: La desincorporacin de equipos de la Plataforma Tecnolgica de la Corporacin deber ser autorizada formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y realizada por personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas de Clasificacin de Activos de Informacin, de la normativa interna y del Ordenamiento Jurdico. PSI-060402: Bitcora de Hardware: Deber crearse una bitcora detallada e individual de cada Hardware instalado en la Plataforma Tecnolgica de la Corporacin, bajo la responsabilidad de personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas establecidas para tal fin. PSI-060403: Mantenimiento del Hardware: Todos los equipos instalados en la Plataforma Tecnolgica de la Corporacin debern contar con programas de mantenimiento predictivos, preventivos y correctivos, los cuales sern realizados y ejecutados por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, avalado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidas para tal fin. PSI-060404: Soporte de Entrenamiento para Hardware: Todo Hardware instalado en la Plataforma Tecnolgica de la Corporacin deber contar con un Convenio de Entrenamiento con el proveedor del Hardware, que permitir mantener vigente el

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
22/39
conocimiento del personal de la Corporacin, atendiendo al rol que desempea en el uso y/o administracin del Hardware, de conformidad con las Polticas establecidas para tal fin. PSI-060405: Instalacin, activacin y uso de Dispositivos de Transmisin de Informacin: La instalacin, activacin y uso de dispositivos de transmisin de informacin desde y hacia la Plataforma Tecnolgica de la Corporacin debern ser justificados por el Gerente solicitante, evaluados por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y autorizados formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas para tal fin establecidas. PSI-060406: Instalacin, Activacin y Uso de Mdems: La instalacin, activacin y uso de Mdems deber ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica. PSI-060407: Instalacin, Activacin y Uso de Dispositivos de Copiado: La instalacin, activacin y uso de Dispositivos de Copiado en la Corporacin deber ser justificado por el Gerente solicitante, evaluado por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica. PSI-060408: Instalacin, Certificacin, Mantenimiento y/o Mejoras del Cableado de Red: La Gerencia Responsable de la Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin deber crear mecanismos de seguridad para la instalacin, certificacin, mantenimiento, y/o mejoras del cableado de la Red de la Corporacin, de conformidad con las Polticas diseadas para tal fin. PSI-060409: Contratacin o Uso de Servicios de Cmputo Externo: Slo el personal autorizado debida y formalmente por la Gerencia Responsable de los Servicios de Plataforma Tecnolgica, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, podr contratar servicios de cmputo externo, amparados bajo Contratos de Servicio que contengan clusulas de confidencialidad, garantas, criterios de calidad y control de la informacin, extensivo al personal vinculado con el servicio. PSI-060410: Asignacin y Uso de Dispositivos Mviles de Computacin: La Gerencia Responsable de la Plataforma Tecnolgica deber asignar los dispositivos mviles de computacin de conformidad con las Polticas diseadas para tal fin y con el rol que desempea en la Corporacin el personal solicitante, quien asumir la responsabilidad por la informacin all contenida.

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
23/39
PSI-060411: Traslado de Equipos: El traslado de equipos de la Plataforma Tecnolgica de la Corporacin, dentro o fuera de sus instalaciones, deber ser autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, previo requerimiento del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidos para tal fin. PSI-060412: Control de Equipos No Pertenecientes a la Corporacin: El ingreso y uso de equipos, no pertenecientes a la Corporacin, en sus instalaciones, deber ser justificado previamente por el solicitante y autorizado, debida y formalmente por la Gerencia encargada de la Proteccin de los Activos y la Gerencia de Adquisicin de Tecnologa de Informacin, de conformidad con las Polticas establecidas para tal fin.
CAPTULO 07 CONTROL DE LA SEGURIDAD DE INFORMACIN DEL COMERCIO ELECTRNICO SECCIN 01 Control de la Seguridad de Informacin del Comercio Electrnico PSI-070101: Sistemas de Comercio Electrnico: Los Sistemas, incluyendo los servidores Web, aplicaciones, bases de datos y cualquier otro elemento para el Comercio Electrnico de la Corporacin, debern ser diseados, implantados y colocados en ambiente de produccin slo por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, dando prioridad a mecanismos de seguridad en la transmisin de informacin, autorizados formalmente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidas para tal fin. PSI-070102: Uso de Proveedores de Servicios Externos para el Comercio Electrnico: Slo el personal autorizado debida y formalmente por la Gerencia Responsable de la Plataforma Tecnolgica podr contratar proveedores de servicios externos para Comercio Electrnico, amparados por Contratos de Servicio que contengan clusulas de confidencialidad y garantas. Dichos contratos debern ser revisados y aprobados por la organizacin responsable de los aspectos jurdicos de la Corporacin, en concordancia con la Gerencia Responsable de la Seguridad de la
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
24/39
Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidas para tal fin.
CAPTULO 08 DESARROLLO Y MANTENIMIENTO DE APLICACIONES PROPIETARIAS SECCIN 01 Desarrollo de Aplicaciones PSI-080101: Administracin de Aplicaciones en Ambiente de Produccin: Slo el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin ser el responsable de la administracin del ambiente donde residen las aplicaciones en produccin, con funciones excluyentes al personal que realiza la administracin de aplicaciones en el ambiente de desarrollo, de conformidad con las Polticas establecidas para tal fin. PSI-080102: Administracin de los Cdigos Fuentes de las Aplicaciones: Slo el personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin ser el responsable de la administracin de los cdigos fuentes de las aplicaciones que residen en el ambiente de desarrollo, con funciones excluyentes al personal que realiza la administracin de las aplicaciones en el ambiente de produccin, de conformidad con las Polticas establecidos para tal fin. PSI-080103: Desarrollo y Mantenimiento de Software de Aplicaciones: Todo desarrollo y mantenimiento de aplicaciones deber ser autorizado por el Gerente Propietario del proceso, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, realizado por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal que realiza la administracin de las aplicaciones en el ambiente de produccin, implementndose para ello procedimientos formales para el control de las versiones y registros de auditorias, de conformidad con las Polticas de Control de Cambio.

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
25/39
PSI-080104: Documentacin de Aplicaciones: Todo desarrollo o cambio de aplicaciones de la Plataforma Tecnolgica de la Corporacin deber constar en una documentacin detallada, vigente y contentiva de todas las fases de desarrollo o cambio y, deber ser realizada y ejecutada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal que realiza la administracin de las aplicaciones en el ambiente de produccin, de conformidad con las Polticas Control de Cambio. PSI-080105: Inventario de las Versiones Obsoletas de las Aplicaciones: Deber constituirse un inventario que permita controlar y mantener el registro vigente de todas las aplicaciones obsoletas de la Corporacin. Dicho inventario ser realizado por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal que realiza la administracin de las aplicaciones en el ambiente de produccin, de conformidad con las Polticas establecidas para tal fin. PSI-080106: Inventario de Aplicaciones en Produccin: Deber constituirse un inventario que permita controlar y mantener el registro vigente de todas las aplicaciones en produccin de la Corporacin. Dicho inventario ser realizado por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes al personal que realiza la administracin de las aplicaciones en el ambiente de produccin, de conformidad con las Polticas establecidas para tal fin. PSI-080107: Solicitud de Mejoras a las Aplicaciones: Todas las solicitudes de mejoras a las aplicaciones operativas en la Plataforma Tecnolgica de la Corporacin debern ser justificadas, realizadas y presentadas por el Gerente Propietario del proceso, ante la Gerencia Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas de Control de Cambio. PSI-080108: Evaluacin de Desarrollo de Nuevas Aplicaciones: La evaluacin para el desarrollo de nuevas aplicaciones de la Corporacin deber ser realizada por personal debidamente calificado y autorizado formalmente por la Gerencia Responsable de la Plataforma Tecnolgica, de conformidad con las Polticas de Control de Cambio. PSI-080109: Segregacin de Funciones: La Gerencia Responsable de la Plataforma Tecnolgica de la Corporacin, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber implementar una segregacin de funciones, responsabilidades u otras medidas compensatorias de control que garanticen que ninguna persona individual tendr el control exclusivo de los activos de informacin bajo su responsabilidad.

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
26/39
SECCIN 02 Evaluacin y Entrenamiento PSI-080201: Control de Calidad de la Aplicacin en Produccin: Todos los cambios y desarrollo de aplicaciones de la Corporacin debern ser evaluados en un ambiente apropiado de prueba por personal debidamente calificado y formalmente autorizado por la Gerencia Responsable de la Plataforma Tecnolgica, con funciones excluyentes del personal de desarrollo y produccin. Dichas evaluaciones debern contar con la participacin y aprobacin del Gerente Propietario solicitante de la aplicacin, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas establecidas para tal fin. PSI-080202: Uso de Data para Pruebas: El uso de data de produccin para realizar pruebas de nuevas aplicaciones solo ser permitido, previa autorizacin formal del Gerente Propietario y aval de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, si dicha data son transferidos al ambiente apropiado de prueba, con los controles adecuados para la seguridad de la informacin, de conformidad con las Polticas establecidas para tal fin. PSI-080203: Entrenamiento en Nuevas Aplicaciones: Debern establecerse y asegurarse mecanismos que permitan suministrar los conocimientos suficientes y necesarios al personal formalmente autorizado por la Gerencia Responsable de la Plataforma Tecnolgica, acerca de la funcionalidad y operatividad de las nuevas aplicaciones. SECCIN 3 Otros Desarrollos de Software PSI-080301: Desarrollo de Aplicaciones por Externos: Toda aplicacin que requiera ser desarrollada por proveedores externos para la Plataforma Tecnolgica de la Corporacin, deber establecerse en un Convenio de Servicio que permita proveer un nivel apropiado de soporte tcnico, el cual deber ser administrado por la Gerencia Responsable de la Plataforma Tecnolgica, con la aprobacin del Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin y de conformidad con las Polticas de seguridad establecidas para tal fin.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
27/39
CAPTULO 09 CONSIDERACIONES RELACIONADAS CON LAS INSTALACIONES SECCIN 01 Consideraciones Relacionadas con las Instalaciones PSI-090101: Clasificacin de reas Fsicas con Activos de Informacin: Todas las reas fsicas con Activos de Informacin de la Corporacin debern ser clasificadas de acuerdo al valor y confidencialidad de los activos a proteger y a la criticidad de los servicios que prestan, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-090102: Proteccin Fsica de las reas para Instalacin de Activos de Informacin: Las reas donde se encuentran Activos de Informacin de la Corporacin debern ser protegidas, contra amenazas y riesgos naturales y/o ambientales, de conformidad con su clasificacin y con las Polticas establecidas para tal fin. PSI-090103: Acceso Fsico de personal a las reas de Instalacin de Activos de Informacin: El acceso fsico del personal a las reas donde se encuentran Activos de Informacin de la Corporacin deber ser estrictamente controlado con rigurosas tcnicas de identificacin por la Gerencia Responsable de la Proteccin de los Activos de la Corporacin, de conformidad con las Polticas de Clasificacin de reas Fsicas con Activos de Informacin. PSI-090104: Acceso de Terceros a las reas de Instalacin de Activos de Informacin: Todo acceso de terceros a las reas donde se encuentran Activos de Informacin de la Corporacin deber ser estrictamente controlado por el personal responsable de las reas a visitar.
CAPTULO 10 ASPECTOS DE SEGURIDAD RELACIONADOS CON EL PERSONAL SECCIN 01


Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
28/39
Aspectos de Seguridad Relacionados con el Personal PSI-100101: Trminos y Condiciones de Confidencialidad y Cumplimiento: Los Trminos y Condiciones para el proceso de ingreso y/o permanencia del personal de la Corporacin debern incluir, segn su rol en la misma, los acuerdos vigentes de confidencialidad y el cumplimiento de las polticas, estndares, normas y procedimientos de Seguridad de Informacin de la Corporacin. PSI-100102: Resguardo de los Mecanismos de Acceso: El personal deber responsabilizarse por el resguardo, custodia e intransferencia del mecanismo de acceso a las reas donde se encuentran instalados los Activos de Informacin de la Plataforma Tecnolgica de la Corporacin, de conformidad con las Polticas diseadas para tal fin. PSI-100103: Reportes de Eventualidades en la Plataforma Tecnolgica: Todo el personal de la Corporacin deber reportar inmediatamente a la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, cuando tengan conocimiento o sospecha de cualquier eventualidad que pudiera poner en riesgo la confidencialidad, integridad y disponibilidad de la informacin. PSI-100104: Propiedad de los Derechos de Autora Intelectual: Todo el personal perteneciente a, o relacionado con, la Corporacin debern firmar un compromiso formal de respeto a los derechos de propiedad intelectual sobre el trabajo acometido en la Corporacin durante el lapso del respectivo contrato y conforme al Ordenamiento Jurdico. PSI-100105: Confidencialidad de las Contraseas y Claves de Seguridad: Todo el personal perteneciente a, o relacionado con, la Corporacin con derecho a uso de la Plataforma Tecnolgica, deber comprometerse formalmente a manejar las contraseas y claves de seguridad, como elementos con el ms alto grado de clasificacin en tanto que Activos de Informacin de la Corporacin, de conformidad con las Polticas de Clasificacin de Activos de Informacin. PSI-100106: Eliminacin de Privilegios y Accesos: La Gerencia Responsable de la Administracin del Personal, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica de la Corporacin, deber establecer mecanismos que permitan eliminar inmediatamente los privilegios y accesos a la Plataforma Tecnolgica de la Corporacin, al momento de notificarse el egreso del empleado o la terminacin de contratos. PSI-100107: Concienciacin sobre Aspectos de Seguridad: La Gerencia Responsable de la Proteccin de los Activos de la Corporacin, deber crear mecanismos que permitan dar a conocer y mantener actualizados a todo el personal

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
29/39
perteneciente a, o relacionado con, la Corporacin, sobre las polticas, estndares, normas y procedimientos referidas a Seguridad en Tecnologas de Informacin y a las normas jurdicas sobre la materia. PSI-100108: Planes de Induccin al Personal: La Gerencia Responsable de la Administracin del Personal deber establecer mecanismos que permitan incluir en los Planes de Induccin a todo el personal perteneciente a, o relacionado con, la Corporacin, la informacin relacionada con las polticas, estndares, normativa interna y procedimientos referidas a Seguridad en Tecnologas de Informacin y al marco legal que los sustentan. PSI-100109: Entrenamiento en Seguridad de Informacin: La Gerencia Responsable de la Seguridad de Plataforma Tecnolgica de la Corporacin deber mantener actualizados los conocimientos en materia de Seguridad, al personal tcnico y especializado, responsable de dicha rea. PSI-110101: Declaracin de Principio de Monitoreo de la Plataforma Tecnolgica: La Corporacin se reserva el derecho de ejercer constantemente la funcin de Monitoreo en toda la Plataforma Tecnolgica.
CAPITULO 11 MONITOREO, INCIDENTES Y AUDITORIA SECCIN 01 Monitoreo PSI-110102: Monitoreo en la Plataforma Tecnolgica: La Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica deber coordinar las estrategias de Monitoreo de la Plataforma Tecnolgica de la Corporacin. SECCIN 02 Tratamiento de Incidentes PSI-110201: Recoleccin, Proteccin y Preservacin de Evidencias: La Corporacin, a travs de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, deber coordinar mecanismos relacionados con la recoleccin,

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
30/39
proteccin y preservacin de la evidencia de un posible incidente de seguridad detectado en la Plataforma Tecnolgica. PSI-110202: Tratamiento de Incidentes de Seguridad: La Corporacin deber atender en forma inmediata los incidentes de seguridad de la Plataforma Tecnolgica, a travs de la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica. SECCIN 03 Auditoria PSI-110301: Auditoria de Registros: Todos los registros de operacin de los diferentes componentes de la Infraestructura de la Plataforma Tecnolgica de la Corporacin, debern ser auditados constantemente por la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, con funciones excluyentes del personal que realiza la operacin. SECCIN 04 Otros Aspectos PSI-110401: Manejo de Informacin de Monitoreo, Incidentes y Auditoria: Toda informacin vinculada al Monitoreo, Incidentes y Auditoria deber tener el ms alto grado de clasificacin de los Activos de Informacin de la Corporacin.
CAPTULO 12 CONTINUIDAD DE LAS OPERACIONES DEL NEGOCIO SECCIN 01 Continuidad de las Operaciones del Negocio PSI-120101: Planes de Contingencia del Negocio: La Corporacin deber disponer de mecanismos y estrategias que permitan el desarrollo, evaluacin
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
31/39
continua y activacin de los Planes de Contingencia que logren restablecer inmediatamente los procesos medulares del Negocio.
CAPTULO 13 CONTROL DE CAMBIOS SECCIN 01 Control de Cambios PSI-130101: Control de Cambios: Todo cambio al Software, Hardware, redes de comunicacin y procedimientos relacionados realizados en la Plataforma Tecnolgica de la Corporacin, deber seguir un proceso formal de Control de Cambios, previa solicitud del Gerente Propietario y con la autorizacin formal de un Comit Multidisciplinario que incluya a la Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica, de conformidad con las Polticas establecidas para tal fin.
Las normas que integran las Polticas de Seguridad de Informacin entrarn en vigencia a partir de la fecha de su publicacin en la Corporacin. Dada, firmada y sellada en Caracas a los veinte das del mes de Septiembre del dos mil seis.
El MINISTRO DE ENERGA Y PETRLEO Y PRESIDENTE DE PDVSA, Ing. Rafael Ramrez
GLOSARIO
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
32/39
Acceso Remoto: Es una tecnologa de redes que permite a los usuarios distantes/externos tener acceso a redes empresariales a travs de Internet o servidores de acceso remoto. Activo de Informacin: Es la informacin misma en cualesquiera de sus formas y modalidades; es decir, impresa, manuscrita, oral, electrnica y visual a la cual la Corporacin, segn sus intereses, le ha atribuido un valor determinado en funcin a la trascendencia de dicha informacin. Esta definicin incluye la Plataforma Tecnolgica de la Corporacin. Acuerdo de Servicio: Documento en el que de antemano se le informa al usuario del alcance, responsabilidades y procedimientos relacionados con el servicio a recibir. Adecuado (a): Es el grado de mxima diligencia que el responsable de un proceso deber demostrar en el manejo de los activos de Informacin. Administrador del Sistema: Persona natural o jurdica que configura y mantiene en correcto funcionamiento un sistema. Autenticacin: Proceso que verifica la identidad y el perfil del usuario. Clasificacin: Son diferentes niveles de confidencialidad o criticidad que se asignan a los Activos de Informacin de acuerdo a su contenido estratgico, valor comercial, valor de reposicin, repercusiones legales y su importancia para la continuidad operacional y/o reanudacin de las operaciones y que tiene la finalidad de determinar el grado de proteccin requerida. Comercio Electrnico: Uso de tecnologas de comunicacin para transmitir informacin del Negocio (Ej. Intercambio Electrnico de Datos (EDI)). El comercio en Internet es un sub-conjunto del comercio electrnico. Computacin Mvil: Es el uso combinado de mecanismos de comunicacin remota y servidores de datos con dispositivos mviles, para cubrir las necesidades de informacin de los usuarios, en caso de ausencia de stos. Confidencialidad: Es el compromiso de discrecin, que la Corporacin exige a sus empleados, contratados, terceros y/o relacionados, sobre los conocimientos, procedimientos y documentos que comprenden los activos de informacin de su propiedad o bajo su custodia. La confidencialidad es una consecuencia de la seguridad de la informacin. Continuidad del Negocio: Es el proceso mediante el cual se asegura la continuidad

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
33/39
de las funciones medulares del Negocio, en el caso de ocurrir un desastre, mediante la proteccin de su informacin contra eventualidades como actos terroristas, desastres naturales o incluso errores de calculo humano, ataques de virus, entre otros. Los factores a tenerse en cuenta son, qu tanto tiempo puede sobrevivir la Corporacin sin acceso a su informacin y qu cantidad de informacin debe ser recuperada en caso de darse una interrupcin del servicio. Contrasea (Password): Secuencia alfabtica, numrica o combinacin de ambas, protegida por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorizacin, expedida a un usuario, para acceder a la data o a la informacin contenida en un sistema. Control: Mecanismo de seguridad que verifica lo que un usuario puede hacer, una vez que tenga acceso a los datos o recursos del sistema, en base a un determinado perfil. Control de Acceso: Proceso que autoriza y controla quin y cmo se tiene acceso a los datos y a los recursos de un sistema. Corporacin: PDVSA y sus empresas filiales. Cuenta de Usuario: Representa toda la informacin que el sistema guarda acerca de cada usuario. Est conformada por un nombre nico de identificacin de usuario y una contrasea secreta. Custodio: Es la persona designada por el propietario de la informacin para proteger y almacenar la informacin de los sistemas y redes de la Corporacin, segn las especificaciones dadas. Data (datos): Hechos, conceptos, instrucciones o caracteres representados de una manera apropiada para que sean comunicados, transmitidos o procesados por personas o por medios automticos y a los cuales se les asigna o se les puede asignar un significado. Derecho de Autor: Son las normas jurdicas de proteccin para toda obra de ingenio de carcter creador, ya sea de ndole literaria, cientfica, tcnica o artstica, cualesquiera sea su gnero, forma de expresin, mrito o destino, que sea susceptible de ser comercializada por terceras personas. Desastre: Incidente que compromete parcial o totalmente la disponibilidad de los sistemas informticos y los activos de informacin y que podra afectar las operaciones de la Corporacin.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
34/39
Disponibilidad: Valor que mide el nivel de operatividad de los sistemas informticos para los usuarios, en un periodo especfico. Dispositivos de Copiado: Son todos aquellos equipos que permiten la reproduccin de documentos, imgenes, entre otros; tales como fax, fotocopiadora, scanner e impresoras. Dispositivos Mviles: Son todos aquellos equipos de computacin de uso individual de una persona, tanto en posesin como en operacin, suficientemente pequeos para ser transportados y utilizados durante su transporte, tales como Pocket PCs, Tablet PCs, Porttiles, SmartPhone, entre otros. Dispositivos de Transmisin de Informacin: Son todos aquellos equipos de comunicacin que permiten el intercambio de informacin, tales como Telfono Fijo, Telfono Celular, Fax, Telefax, Radios, Beeper, Vdeo Conferencia, etc. Documento: Registro incorporado en un sistema en forma de escrito, vdeo, audio o cualquier otro medio, que contiene data o informacin acerca de un hecho o acto capaz de causar efectos jurdicos. Estado de Excepcin: Son circunstancias de orden social, econmico, poltico, natural o ecolgico, que afecten gravemente la seguridad de la Nacin, de sus ciudadanos o de sus instituciones. Art. 2 de la Ley Orgnica sobre Estados de Excepcin. Estndar: Comprende la descripcin de los mecanismos y productos requeridos para el desempeo de las Polticas de seguridad. Evento de Seguridad: Comportamiento anmalo que podra afectar la integridad, confidencialidad y/o disponibilidad de los activos de informacin de la Corporacin. Extranet: Es la red que permite a la Corporacin compartir informaciones con otras empresas y clientes. La extranet transmite informacin por Internet y requiere que el usuario tenga una contrasea para poder acceder a la data de los servidores internos de la Corporacin. Firewall: Dispositivo que acta como una barrera de proteccin, defendiendo una red interna de ataques desde otras redes externas no confiables. Un Firewall, adems, previene que personas no autorizadas tengan acceso a la red interna, pero al mismo tiempo permite que los usuarios autorizados tengan libre acceso. Firmware: Programa o segmento de programa incorporado de manera permanente en algn componente de Hardware, con la finalidad de permitir su operatividad.

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
35/39
Gerencia Responsable de la Plataforma Automatizacin, Informtica y Telecomunicaciones.
Tecnolgica:
Gerencia
de
Gerencia Responsable de la Proteccin de los Activos de la Corporacin: Gerencia Corporativa de Prevencin y Control de Prdidas (PCP). Gerencia Responsable de la Seguridad de la Plataforma Tecnolgica: Gerencia de Seguridad Lgica de la Gerencia Corporativa de Prevencin y Control de Prdidas. Gerencia Responsable de la Imagen Corporativa: Gerencia Corporativa de Asuntos Pblicos. Gerencia Responsable de Adquisicin de Tecnologa de Informacin: Bariven, Filial de Petrleos de Venezuela. Gerencia Responsable del Manejo de Personal: Gerencia Corporativa de Captacin, Educacin y Desarrollo. Gerente Propietario: Es el cargo de mayor nivel en una organizacin, a quien la Corporacin ha delegado la autoridad y responsabilidad de implementar y mantener la proteccin de los Activos de Informacin, de acuerdo a las normas y procedimientos de la Corporacin. Hardware: Equipos o dispositivos fsicos, considerados en forma independiente de su capacidad o funcin, que forman un computador o sus componentes perifricos, de manera que pueden incluir herramientas, implementos, instrumentos, conexiones, ensamblajes, componentes y partes. Identificacin: Proceso en el cual el usuario se da a conocer en el sistema para ingresar fsica o lgicamente. Informacin: significado que el ser humano le asigna a la data utilizando las convenciones conocidas y generalmente aceptadas. Informacin Confidencial: Informacin clasificada que pueda influir en la toma de decisiones estratgicas para el Negocio de la Corporacin. Informacin de Uso Interno: Informacin de uso exclusivo de la Corporacin que describe cmo opera la organizacin y cuya divulgacin a entes externos puede afectar de manera negativa el funcionamiento de sta. Ejemplo: Informacin sobre los clientes de la Corporacin, Informacin sobre polticas, normas y procedimientos.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
36/39
Informacin Pblica: Informacin que puede ser divulgada libremente tanto al personal de la Corporacin como a entes externos. Ejemplo: Tarifas y precios de productos, publicidad de los productos ya existentes en el mercado. Integridad: Atributo que garantiza que la informacin recibida sea exactamente igual a la informacin transmitida. Tambin garantiza que la informacin recuperada de un medio de almacenamiento o archivo sea exactamente igual a la informacin almacenada, es decir que no ha sido daada o alterada durante su almacenamiento, en forma accidental o intencional. Internet: Red de alcance mundial que une gran cantidad de redes y por la cual circula alto trfico de informacin. Intranet: Es una infraestructura bien definida y limitada, basada en los estndares y tecnologas de Internet, que soporta el intercambio de informacin dentro de una organizacin. Medio de Transmisin: Todo medio a travs del cual puede ser transmitida una informacin. Se incluye en este concepto el cableado, fibra ptica, lneas telefnicas y el espacio a travs del cual son transmitidas las ondas. Modem: Se trata de las siglas: MOdulador-DEModulador. Es un acoplador que une el computador con una red telefnica u otra red de transmisin de data. En el proceso de emisin modula, de forma binaria, una seal y, en la recepcin, demodula la seal transmitida y reconstruye la original. Monitoreo: Es la accin de vigilar que tiene por objeto detectar anomalas o usos indebidos en la Plataforma Tecnolgica. Negocio: Son las actividades interrelacionadas que dan soporte a la operacin comercial, tcnica y jurdica de la Corporacin, y que se vinculan a los procesos medulares de la Corporacin, a saber: Exploracin y Produccin, Refinacin, Comercializacin, y Gas. Normas: Son disposiciones caracterizadas por su obligatoriedad. imperatividad, coercividad y
Plan de Contingencia: Es el proceso mediante el cual se determinan las acciones que aseguren la continuidad del Negocio y la recuperacin ante desastres. Plataforma Tecnolgica: Son todos los medios utilizados para procesar, almacenar y transmitir la informacin.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
37/39
Polticas de Seguridad: Es una declaracin de intenciones emanadas de la alta direccin de la Corporacin, que cubre la seguridad de los activos de informacin y que proporciona las bases para definir y delimitar las responsabilidades que se requieran en las diversas actuaciones tcnicas y organizativas. Prcticas: Describe en forma detallada la manera de implementar las actividades y acciones de seguridad. Procedimientos: Son el conjunto de actividades, que en forma cronolgica y en orden lgico, se debern seguir para ejecutar determinadas acciones. Programa: Plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo en particular o resolver un problema dado a travs de un computador. Procesamiento de datos o de informacin: realizacin sistemtica de operaciones sobre datos o sobre informacin, tales como manejo, fusin, organizacin o cmputo. Pruebas de Penetracin: Es un conjunto de actividades sistemticas cuyo objetivo es detectar y alertar sobre posibles fallas de seguridad, que podran ser utilizadas, por personal interno o externo, para atacar y/o penetrar en un sistema. Recuperacin: Es el plan que asegura el restablecimiento de los recursos informticos a un estado operativo despus de una falla, incidente o desastre. Respaldo (Backup): Copia de un recurso o data para permitir la recuperacin en el caso de una prdida o dao del mismo. Relacionado: Personas naturales o jurdicas que tienen relaciones contractuales o no con la Corporacin. Riesgo: Es la probabilidad de que ocurra un evento o posible incidente que pudiera ocasionar prdida o dao al patrimonio de la Corporacin. Seguridad: Condicin que resulta del establecimiento y mantenimiento de medidas de proteccin que garanticen un estado de inviolabilidad, que no permitan influencias o actos hostiles especficos, que pudieran propiciar el acceso a la data, de personas no autorizadas, o que afecten la operatividad de las funciones de un sistema. Sistema: Cualquier conjunto estructurado de recursos y procedimientos diseados para el uso de tecnologas de informacin, unidos y regulados por interaccin o interdependencia que cumplen una serie de funciones especficas, y combinan dos o ms componentes interrelacionados, organizados en un paquete funcional, de manera que estn en capacidad de realizar una funcin operacional o satisfacer un

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
38/39
requerimiento dentro de unas especificaciones previstas. Sistema de Informacin: Conjunto de aplicaciones que proporcionan informacin para las decisiones y aplicaciones de carcter estratgico en la Corporacin. Sistema Operativo: Conjunto de programas que se integran con el Hardware para facilitar al usuario, el aprovechamiento de los recursos disponibles. Software: Informacin organizada, en forma de programas de computacin, procedimientos y documentacin asociados, concebida para realizar la operacin de un sistema que provee instrucciones a los sistemas de cmputo, con el objeto que dichos sistemas realicen funciones especficas. Tecnologa de Informacin: Rama de la tecnologa que se dedica al estudio, aplicacin y procesamiento de datos, lo cual involucra la obtencin, creacin, almacenamiento, administracin, modificacin, manejo, movimiento, control, visualizacin, distribucin, intercambio, transmisin o recepcin de informacin en forma automtica, trata, as mismo, el desarrollo y uso del Hardware, Firmware, Software, cualesquiera de sus componentes y todos los procedimientos asociados con el procesamiento de datos. Tcnicas de Cifrado: Mtodos de encriptar mensajes de forma que no pueda ser descifrados por terceros. Terceros: Es la relacin comercial y/o tcnica establecida por la Corporacin con personas naturales o jurdicas bajo la modalidad de empresas mixtas, exploracin a riesgo, ganancias compartidas, contratos de servicio, entre otros. Usuario: Toda persona autorizada para utilizar los activos y servicios de informacin en base al conocimiento requerido, atendiendo el cargo ejercido dentro de la Corporacin.
Revisado por:
Aprobado por:
Versin:

Ing. Rafael Ramrez

v-1.0
Pgina N:
26/11/07
27/07/06
39/39

Politicas Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicas Seguridad

Cargado por

Copyright:

Formatos disponibles

Nom bre del

Polticas de Seguridad de Informacin de PDVSA Normativa

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Gerencia Corporativa de Prevencin y Control de Prdidas Trabajo, Honestidad, Excelencia

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

POLTICAS DE SEGURIDAD DE INFORMACIN

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,

Preparado por: Arquitectura y Gestin de Seguridad Lgica Fecha de vigencia:

G/B (Ej.) Wilmer Barrientos

Ing. Rafael Ramrez

Polticas de Seguridad de Informacin de Petrleos de Venezuela C.A,