Está en la página 1de 6

SEGURIDAD INTEGRAL DE LA OFICINA DE SISTEMAS Y

TECNOLIGIAS DE LA SUDEASEG.
PLANEACIN ESTRATGICA
INFORMACIN.

ORGANIZACIN

DE

LOS

RECURSOS

DE

DEPENDENCIA FUNCIONAL E INFRAESTRUCTURA DE LA OFICINA


DE SISTEMAS Y TECNOLOGIAS DE LA ACTIVIDAD ASEGURADORA.

La Superintendencia de la Actividad Aseguradora debe garantizar que la


oficina Sistemas y Tecnologa de la Informacin posea independencia
funcional de las reas usuarias.

La infraestructura de la Oficina de Sistemas y Tecnologa de la Informacin


debe ser consistente con la naturaleza y complejidad de las operaciones
que realiza para la supervisin adecuada del Sujeto obligado.

POLTICAS, NORMAS Y PROCEDIMIENTOS.

Las polticas, normas y procedimientos del rea de Tecnologa de la

Informacin deben documentarse, formalizarse y circularzarse, asegurando


que estas se mantengan adecuadamente actualizadas.
Se debera conformar un Comit de Direccin y Planificacin de los
Servicios de Tecnologa de la Informacin, que coordine todo lo
concerniente a la planeacin y ejecucin de las actividades relacionadas
con el rea tecnolgica.

DOCUMENTACIN, PLANIFICACIN DE LAS OPERACIONES Y PROCESAMIENTO


DE LA INFORMACIN

La oficina de Tecnologas y Sistemas de Superintendencia de la Actividad


Aseguradora, deber elaborar y mantener actualizada la documentacin que
sustente las actividades que se realizan en el centro de procesamiento de datos.
As como los procedimientos que aseguren la continuidad de los procesos durante
los cambios que se realicen en la institucin en las plataformas tecnolgicas
nuevas y existentes.

La Osti deber asegurar que la programacin de tareas y procesos mantengan


una secuencia eficiente, maximizando el uso de los recursos y su utilizacin, con
el fin de alcanzar los objetivos establecidos en los convenios de acuerdos de
servicio con las dems unidades dentro de la estructura organizacional.
La planificacin de los procesos y actividades que se desarrollan dentro del centro
de procesamiento de datos, deben estar adecuadamente documentadas,
contemplando como mnimo, los siguientes aspectos:

a. Procedimientos que contemplen los comandos o instrucciones que


ejecutan
los operadores en el ambiente productivo de cada uno de los
computadores
y equipos perifricos existentes.
b. Registros automticos de la ejecucin de los cronogramas de trabajos,
eventos de excepcin y la generacin de trazas de auditora.
c. Procesos de mantenimiento y monitoreo sobre los registros automatizados
de las operaciones.
d. Funcionalidad de los programas o procesos que componen los
cronogramas de trabajo automatizados (en lnea o en lotes).
e. Controles que se aplican para asegurar la correcta ejecucin de los
cronogramas de trabajo previamente agendados.
f. Mecanismos definidos para la adecuada comprobacin del cierre contable y
la distribucin de la informacin a los usuarios.
g. Procedimientos que aseguren la continuidad del procesamiento en lnea o
en lotes.
h. Niveles de escalamiento, en caso de presentarse eventos de excepcin,
fallas o incidencias.
Las estrategias de procesamiento de informacin debern revisarse mensual,
trimestralmente o cada vez que surjan cambios en las plataformas tecnolgicas,
para asegurar que los nuevos servicios o modificaciones a los existentes, no han
invalidado los procesos ya definidos.
PLANIFICACIN ESTRATGICA DE TECNOLOGA DE LA INFORMACIN

Establecer un proceso de planificacin de Tecnologa de la Informacin acorde


con los objetivos planteados, destacando que su elaboracin ser a travs del uso
de una metodologa formal y consistente con la realidad de la Institucin.
En este sentido, se debe efectuar un seguimiento continuo de las tendencias
tecnolgicas, para estar a la par del sector asegurador de modo que estas sean
consideradas al momento de elaborar y actualizar la planificacin estratgica de
tecnologa.
La Oficina debe establecer el Plan Estratgico de Tecnologa, este debe ser
documentado, aprobado y permitir una supervisin contina que asegure el logro
de las metas y actividades del rea tecnolgica, clasificando los proyectos
principales en planes a corto y largo plazo. Para ello, deber incorporar los
respectivos cronogramas de implementacin.

RESPALDOS Y RESGUARDO DE LA INFORMACIN


La Oficina de Sistemas de Informacin y Tecnologa deber realizar respaldos de
archivos, bases de datos, y dems software necesario para el adecuado
funcionamiento de los equipos y aplicaciones de misin crtica con una frecuencia
diaria, semanal y mensual.

Se deben documentar las polticas, normas y procedimientos que aseguren la


ejecucin peridica de los respaldos de la informacin y de los sistemas de misin
crtica, con la finalidad de garantizar la continuidad del negocio

Los medios de almacenamiento masivo contentivo de las aplicaciones e


informacin de misin crtica deben ser probados peridicamente para garantizar
que cumplen con los requerimientos establecidos en los planes de continuidad del
negocio. Adicionalmente, para el resguardo de los respaldos se debern
considerar los siguientes controles:
La informacin resguardada deber poseer un nivel adecuado de proteccin
fsica y ambiental, consistente con los estndares aplicados en el centro de
procesamiento de datos principal.
Disear, formalizar y actualizar peridicamente los procedimientos de
restauracin de los dispositivos de almacenamiento con la finalidad de
garantizar su buen estado y funcionamiento, as como, la eficacia de los
procesos respaldados.
Los medios de respaldo deben probarse peridicamente, a fin de garantizar
la confiabilidad de los mismos con relacin a su eventual uso en casos de
emergencia.
Los procedimientos de restauracin deben probarse al menos dos (2)
veces al ao para garantizar su eficacia e idoneidad.
Los
medios
de
almacenamiento
masivo
debern
encontrarse
adecuadamente identificados, a travs de una codificacin que maneje
como mnimo la fecha de generacin del respaldo, nombre de la aplicacin,
tipo de informacin y periodo que se est respaldando. El proceso de
etiquetado deber ser consistente con los procedimientos establecidos para
tal fin, razn por la cual, debern mantenerse actualizados.

a.

b.

c.

d.
e.

POLTICAS DE SEGURIDAD DE LOS ACTIVOS INFORMTICOS


Se debe administrar adecuadamente la seguridad lgica de los recursos de
Tecnologa de la Informacin, incluso aquellos que sean administrados o
custodiados por terceros. En consecuencia deber establecer, formalizar e
informar las polticas y procedimientos que permitan identificar, autenticar y
autorizar el acceso a los sistemas de informacin, operativos y de base de datos.

De igual forma, debern incluir entre sus polticas y procedimientos aquellos que
permitan hacer un seguimiento a las transacciones operaciones que sean
ejecutadas sobre los activos informticos.

CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIN


Los empleados de la superintendencia de la Actividad Aseguradora deben firmar
un acuerdo de confidencialidad y la no divulgacin de la informacin, como parte
de sus trminos y condiciones inciales de empleo.
El personal temporal o contratado, as como los usuarios externos deben firmar el
acuerdo de confidencialidad y la no divulgacin de la informacin, antes de que se
les otorgue el acceso a las instalaciones de procesamiento de la informacin. Por
otra parte, no debern tener acceso a las bases de datos, dependiendo de las
actividades especificas a realizar.
GENERACIN DE REGISTROS DE AUDITORIAS
Se deben mantener activos los registros o pistas de auditora generadas por las
aplicaciones y sistemas de misin crtica, particularmente en aquellos casos en los
cuales exista modificacin o alteracin de la informacin almacenada en las bases
de datos productivas. De igual forma, debern asegurar el almacenamiento de los
mencionados registros por un periodo de un (1) ao, o el periodo que la
administracin lo disponga.

Por otra parte, las pistas de auditora debern ser revisadas por el rea de
seguridad de la informacin y auditora de sistemas, para lo cual ser necesario
generar informes que reflejen posibles brechas o vulnerabilidades identificadas.

SEGURIDAD FSICA
La OSTI debe contar con una cobertura o una provisin de seguros para los
principales equipos de cmputo y telecomunicaciones que permita mitigar los
posibles riesgos existentes, variaciones de voltaje, robo, asalto y fenmenos
naturales

Las paredes del centro de procesamiento de datos deben extenderse desde la


estructura del piso a la del techo del edificio y no desde pisos elevados o techos
falsos, con el fin de impedir una entrada subrepticia a las reas sensibles de la
citada instalacin.

Instalar como mnimo un sistema de supresin de fuego de contacto seco en el


cuarto en el que se encuentra el computador central y especialmente dentro de la
OSTI.

Garantizar el mantenimiento adecuado de los detectores y sistema de alarma


contra incendio, as como de las salidas de emergencia, paneles de distribucin
elctrica y de potencia, aire acondicionado, suministros de potencia
ininterrumpibles (UPS), plantas elctricas, entre otros aspectos.

Se debe contar con un sistema de seguridad elctrica que proteja de las


variaciones de voltaje al computador central, sus perifricos y a los equipos de
comunicacin de datos. Por otra parte, el cuarto de comunicaciones debe
mantener instalado supresores de corrientes, protectores de las lneas de datos,
barras de tierras, entre otros aspectos. De igual forma, debe estar libre de
contactos e instalaciones elctricas en mal estado.

Se debe ubicar el panel de distribucin del sistema elctrico en un rea segura e


inaccesible a personas no autorizadas

Los centros de procesamiento de datos y telecomunicaciones tanto principales


como alternos, deben contar con mecanismos adecuados para la deteccin y
extincin de incendios que aseguren la integridad del personal que reside dentro o
cerca de estas instalaciones, as como, la de los activos de informacin. De igual
forma, las mencionadas reas deben contar con dispositivos de control de la
humedad y del clima, mantenerse libres de material inflamable. En este sentido, se
debern realizar simulacros sobre los posibles eventos de contingencia que
podran presentarse en estas instalaciones.

Los centros de procesamiento de datos y telecomunicaciones, deben mantenerse


separados y claramente definidos por permetros fsicos. De igual forma, deben
mantenerse continuamente monitoreados cubriendo para ello, todo el permetro de
sus instalaciones.

El cableado de comunicaciones debe estar debidamente protegido por canaletas,


as como identificado o etiquetado. Por otra parte debe estar separado de los
cables de electricidad.

Los centros de procesamiento de datos y telecomunicaciones, tanto principales


como alternos, deben ser resguardados por adecuados controles de acceso, para
lo cual se deben considerar los siguientes aspectos:
a.
Utilizar controles de autenticacin para el acceso de personal autorizado
(tarjeta, nmero de identificacin personal -PIN-, carnet, biometra, entre
otros).
b.
Restringir el acceso a personal no autorizado a las mencionadas
instalaciones. Por otra parte, las actividades ejecutadas por los visitantes
deben ser supervisadas o inspeccionadas, as como encontrarse registradas
en las bitcoras definidas para tal fin.
c.
Revisar y actualizar peridicamente los derechos de acceso a las
reas protegidas o restringidas.

Las instalaciones internas o externas en las cuales se guardan, almacenan y


custodian los respaldos de informacin, deben mantener niveles de seguridad
similares a los definidos para los centros de datos.

Los listados y documentacin de datos, programas y sistemas deben estar


resguardados con adecuadas medidas de seguridad. Se debe definir un
procedimiento para determinar la destruccin o desecho de los reportes
generados, una vez cumplido su periodo de retencin, vigencia o uso.

POLITICAS DE SEGURIDAD DE LA RED-SUDEASEG

Segn informacin suministrada por el Ing .Jess Irausqun administrador


de la red de la SUDEASEG se cuenta con la siguiente normativa:

Utilizacin de un servidor proxy-firewall para el control de acceso de la navegacin


de Internet por usuarios de la red SUDEASEG.
Utilizacin de un firewall para el control del acceso desde y hacia la red
SUDEASEG:
Acceso externo permitido nicamente a los destinos explcitamente declarados.
Acceso externo permitido nicamente a los puertos explcitamente declarados.
Implementacin de un IPS (Sistema de Prevencin de Intrusos) para inhabilitar los
intentos de accesos no permitidos a la red.
Acceso externo de los sujetos regulados permitido en los horarios explcitamente
declarados, con la utilizacin de las credenciales suministradas.
Acceso con privilegios de administracin a los recursos de la RED-SUDEASEG
nicamente a los orgenes explcitamente declarados.
Navegacin desde la red SUDEASEG hacia pginas de Internet permitidas
nicamente al puerto 80.
En caso de requerirse navegacin hacia un puerto especfico se debe realizar la
solicitud al rea de infraestructura para su apertura.
Acceso externo a los sitios internos de la SUDEASEG a travs de
enmascaramiento de IPs y nateo de IPs pblicas a IPs privadas.
Obligatoriedad de credenciales de administracin para acceder remotamente a los
recursos de la RED-SUDEASEG.
Para labores administrativas en los recursos de la RED-SUDEASEG es necesario
conocer las credenciales (usuario, contrasea), solo conocida por el rea de
infraestructura.