Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CD Siboif 500 1 Sep19 2007 PDF
CD Siboif 500 1 Sep19 2007 PDF
Resolucin N CD-SIBOIF-500-1-SEP19-2007
De fecha 19 de septiembre de 2007
CAPTULO III
PLANEACIN, ORGANIZACIN Y GESTIN
Arto. 5. Responsabilidad de la Junta Directiva y Alta Gerencia.- La Junta
Directiva ser responsable, como mnimo, de lo siguiente:
a) Velar por la existencia de un Gobierno de Tecnologa de Informacin.
personal
tcnicamente
calificado
contratarlo
CAPTULO IV
ADQUISICIN, DESARROLLO E IMPLEMENTACIN
DE TECNOLOGAS DE INFORMACIN
Arto. 9. Aprobacin de nuevos proyectos.- Las instituciones debern definir
sus propias polticas de aprobacin de proyectos de TI donde se definan las
instancias y niveles de aprobacin de los mismos de acuerdo a la naturaleza y
alcance del proyecto.
Arto. 10. Administracin de nuevos proyectos.- Todo proyecto relacionado
con tecnologa de la informacin deber contar con la documentacin debida
sobre todas sus etapas bsicas; inicio, planificacin, ejecucin,
control/monitoreo, y entrega final y/o recepcin final. La gestin del proyecto
deber considerar al menos los siguientes aspectos:
a) Un estudio de viabilidad de proyecto escrito y aprobado tanto por el
rea de tecnologa como por las reas usuarias afectadas cuando
aplique.
b) El establecimiento de un equipo de trabajo con representacin del rea
de tecnologa y reas usuarias afectadas, con responsabilidades
asignadas.
c) El establecimiento de un plan formal para la ejecucin del proyecto.
d) La determinacin de todas las fases requeridas en el proyecto
incluyendo las fases de prueba, entrenamiento a usuarios, conversin e
implementacin.
e) Procedimientos para verificar la ejecucin del plan en el plazo y
presupuesto estimado y que garantice que cualquier desviacin del plan
inicial sea debidamente aprobado y documentado.
f) Los procedimientos para la gestin de calidad y la gestin de riesgos
asociados al proyecto.
g) La participacin de la unidad de auditoria de forma pro-activa,
realizando la evaluacin de los resultados durante la ejecucin y postimplementacin del proyecto.
h) Criterios de aceptacin de resultados y de las revisiones postimplementacin.
i) Elaboracin de actas de entrega o recepcin del proyecto.
Arto. 11. Ciclo de vida del desarrollo de sistemas.- Toda institucin cuyo
desarrollo de sistemas se efecte internamente debe contar con la
documentacin formal de una metodologa de desarrollo que rija los procesos,
anlisis, diseo, desarrollo, implementacin y mantenimiento de sistemas
computarizados y tecnologa.
10
disponibilidad,
11
13
14
B) Polticas de seguridad:
1) Polticas sobre la clasificacin y proteccin de activos de
informacin: que considere los niveles de clasificacin y la proteccin
requerida de acuerdo a cada nivel, los controles de etiquetado de la
informacin, controles sobre el almacenamiento y transmisin de
informacin confidencial y controles sobre la destruccin segura de la
informacin confidencial.
2) Polticas sobre la seguridad del acceso a los sistemas de
informacin: que defina cmo sern identificados y autenticados todos
los usuarios, los requerimientos estndares de control de acceso, y los
eventos a auditarse en los sistemas.
3) Polticas sobre el uso adecuado de los equipos de computo: que
defina quien puede hacer uso de los mismos y cmo pueden ser
utilizados.
4) Polticas sobre el uso de Internet: que defina quienes pueden tener
acceso y cmo debe ser el uso apropiado a este recurso.
5) Polticas sobre el uso de correo electrnico: que defina quienes
pueden tener acceso y cmo debe ser el uso apropiado a este recurso.
Arto. 26. Educacin y creacin de conciencia en temas de seguridad.Todos los empleados de la institucin, y cuando sea relevante los usuarios de
terceras partes, deben recibir un entrenamiento apropiado y actualizaciones
peridicas sobre la importancia de la seguridad en las polticas y
procedimientos de la organizacin. Esto incluye requerimientos de seguridad,
responsabilidades legales y controles del negocio, as como tambin
entrenamiento en el uso correcto de las facilidades de procesamiento de
informacin.
Los diferentes mecanismos disponibles para elevar la conciencia de la
seguridad incluyen, pero no se limitan a los siguientes:
a) Las polticas y
actualizaciones.
procedimientos
escritos
de
seguridad
sus
15
personal,
16
17
Anlisis de redes.
Fisgoneo (Eavesdropping)
Anlisis de Trfico de red
CAPTULO VIII
ADMINISTRACIN DE PROBLEMAS, PLANEACIN DE
CONTINGENCIA Y ESTRATEGIAS DE RECUPERACIN
Arto. 34. Administracin de problemas.- Debido al carcter complejo de la
tecnologa, deben existir mecanismos para administrar incidentes, problemas,
errores o cualquier condicin anormal en las operaciones de TI, estos
mecanismos deben permitir la identificacin, anlisis, solucin y documentacin
de errores, segn se detalla a continuacin:
a) Los errores que deben ser ingresados en el registro incluyen, entre otros:
Errores de programa,
Errores de sistema,
Errores de operacin,
Errores de red,
18
Errores de telecomunicacin,
Errores de hardware.
19
20
CAPTULO IX
ADMINISTRACIN INTEGRAL DE RIESGO TECNOLGICO
Arto. 38. Evaluacin del Riesgo Tecnolgico.- Las instituciones deben
implementar procedimientos internos que permitan autoevaluarse de acuerdo
con esta norma, los resultados de dicha evaluacin y la evaluacin del nivel de
exposicin de riesgo tecnolgico debe presentarse al menos una vez al ao a
la junta directiva de la institucin.
Arto. 39. Metodologa de administracin integral de riesgo tecnolgico.Sin perjuicio de lo establecido en la normativa que regula la materia sobre
administracin integral de riesgos, con relacin al riesgo operativo y riesgo
tecnolgico, las instituciones a quienes corresponda el cumplimiento de dicha
normativa, debern aprobar formalmente y documentar una metodologa de
administracin de riesgo tecnolgico que considere los anlisis de riesgo de
forma cuantitativa y cualitativa.
Arto. 40. Anlisis cuantitativo de riesgo.- El anlisis cuantitativo debe
considerar la realizacin de las siguientes actividades:
a) La conformacin de una base de datos histrica de eventos de prdida o
frustracin de ganancia producto la materializacin de riesgos
tecnolgicos.
b) La determinacin de la frecuencia de ocurrencia de dichos eventos.
21
22
Plazo hasta
Diciembre 2007
Diciembre 2008
Diciembre 2008
Diciembre 2007
Administracin de la seguridad
Diciembre 2008
Diciembre 2009
Diciembre 2009
23