POLITICAS DE SEGURIDAD

DE SISTEMAS DE
INFORMACION

Aprobado por el Consejo de Administración en Sesión Ordinaria de fecha 25 de Setiembre de 2012

y registrada en Acta Nº 019-2012
COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

INDICE

Pág.

INDICE

I. Introducción…………………………………………………………………………………………. 3
II. Objetivo ……………………………………………………………………………………………… 3
III. Alcance ……………………………………………………………………………………………… 3
IV. Definiciones …………………………………………………………………………………………. 3
V. Políticas generales …………………………………………………………………………………. 4
VI. Políticas y Lineamientos Específicos…………………………………………………………….. 4
6.1 Sobre los derechos de autor, adquisición de software y licencias de uso……………… 5
6.2 Sobre las Medidas de Seguridad Física …………………………………………………… 5
6.3 Sobre los bienes informáticos………………………………………………………………. 6
6.4 Sobre la seguridad lógica y confidencialidad de la información………………………… 7
6.5 Sobre el acceso a la base de datos en producción……………………………………… 7
6.6 Sobre el uso de los servicios de la red de datos institucional y
las cuentas de los usuarios ………………………………………………………………… 7
6.7 Sobre conexión a otras redes …………………………………………………….……….. 8
6.8 Sobre el desarrollo de sistemas y otros servicios informáticos ………………………… 9
6.9 Sobre la seguridad a considerar en el desarrollo de sistemas…………………………. 9
6.10 Sobre las sanciones aplicables…………………………………………………….…….… 10
6.11 Sobre el personal del área de TI……………………………………………………………. 10
6.12 Sobre los contratos con proveedores de bienes o servicios informáticos………….…. 10
6.13 Sobre el proceso de adquisición e implementación………………………………….…… 10
6.14 Políticas de Backups………………………………………………………………….……… 11
VII. Consideraciones………………………………….……………………………………….………. 11

Políticas de Seguridad de Sistemas de Información Página2

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

I. INTRODUCCIÓN
La información es un activo que, como otros importantes del negocio, tiene mucho valor
para la organización y requiere en consecuencia una protección adecuada. La Información
adopta diversas formas, pueden estar impresas o escritas en papel, almacenada
electrónicamente, transmitida por correo, mostrada en video o hablada en conversación.

Por tal motivo, el Área de Tecnología de Información (en adelante TI) propone adoptar
como políticas internas para la seguridad de la información, tomando en cuenta el
estándar de seguridad de información ISO 17799, los requerimientos de la Circular Nº G-
105-2002 publicada por la Superintendencia de Banca y Seguros (SBS) sobre riesgos de
Tecnologías de Información.

Las recomendaciones planteadas en el presente documento tienen como finalidad de

asegurar la continuidad del negocio, minimizar los daños a la institución y maximizar el
retorno de las inversiones.

Toda persona que labore en esta institución y que utilice los servicios que ofrece la red,
deberá conocer y aceptar el reglamento vigente sobre su uso, el desconocimiento del
mismo, no exonera de responsabilidad al usuario, ante cualquier eventualidad que
involucre la seguridad de la información de la institución.

II. OBJETIVO
El objetivo de realizar este documento con Políticas de Seguridad de la Información para
la Cooperativa de Ahorro y Crédito San José Cartavio, es de proteger la información y los
activos de la organización, tratando de conseguir confidencialidad, integridad y
disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los
empleados mientras permanezcan en la organización.

III. ALCANCE
Este documento se aplica para todos los trabajadores de la Cooperativa de Ahorro y
Crédito San José Cartavio, así como a los proveedores y personal externo que
desempeñen labores o le proporcionen algún tipo de servicio o producto.

IV. DEFINICIONES
Para efectos del presente documento, serán de aplicación las siguientes definiciones:

a. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros

medios similares, susceptibles de ser procesada, distribuida y almacenada.

b. Proceso Crítico: Proceso considerado indispensable para la continuidad de las

operaciones y servicios de la Cooperativa.

c. Riesgo de operación: Entiéndase por riesgo de operación a la posibilidad de

ocurrencia de fallas en los procesos internos, en la tecnología de información, en las
personas o por ocurrencia de eventos externos adversos, que afecten la continuidad
de nuestras operaciones ocasionando pérdidas financieras y deterioro en la imagen
de la Cooperativa.

Políticas de Seguridad de Sistemas de Información Página3

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

d. Riesgos de Tecnología de Información: Son los riesgos de operación asociados a

los sistemas informáticos y a la tecnología relacionada a dichos sistemas, que
pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al
atentar contra la confidencialidad, integridad y disponibilidad de la información, entre
otros criterios.

e. Seguridad de la información:Característica de la información quese logra mediante

la adecuada combinación de políticas, procedimientos, estructura organizacional y
herramientas informáticas especializadas a efectos que dicha información cumpla los
criterios de confidencialidad, integridad y disponibilidad.

f. Confidencialidad:La información debe ser accesible sólo paraquienes se

encuentren debidamente autorizados.

g. Integridad:La información debe ser completa, exacta y válida.

h. Disponibilidad:La información debe estar disponible en formaorganizada para los

usuarios autorizados cuando sea requerida.

i. Objetivo de Control:Una declaración del propósito o resultadodeseado mediante la

implementación de controles apropiados en una actividad de tecnología de
información particular.

V. POLITICAS GENERALES:
Toda persona que para el desempeño de sus funciones utilice o tenga acceso a los bienes
o servicios informáticos que ofrece la Cooperativa deberá observar el contenido del
presente documento. El desconocimiento del mismo, no lo exonera de las
responsabilidades asociadas con su cumplimiento.
La Gerencia General, Administradores de Agencia, Jefaturas de área y Auditoría Interna
en coordinación con el área de TI vigilarán que se acaten las políticas establecidas en el
presente documento.

VI. POLITICAS Y LINEAMIENTOS ESPECIFICOS

6.1 Sobre los derechos de autor, adquisición de software y licencias de uso
De aplicación general:
 En todos los equipos informáticos de la Cooperativa de Ahorro y Crédito San
José Cartavio, queda prohibido el uso de software o programas que no estén
autorizados. La instalación de programas debe ser realizado únicamente por el
personal del área de TI.
 No debe instalarse o utilizarse software o programas de
entretenimiento (juegos).
 Solamente se permite la reproducción de software o programas como copias de
respaldo, que estará bajo la responsabilidad del jefe del área de TI.
 La inobservancia de estas políticas también puede dar lugar a la aplicación de
las sanciones legales y administrativas establecidas en la Ley de Derecho de
Autor y derechos conexos.

De aplicación por parte del jefe del área de TI:

 Llevará el inventario y control de las licencias de software y el medio magnético
en el que se encuentran adquiridas por la Cooperativa, así como se
responsabilizará de su custodia.

Políticas de Seguridad de Sistemas de Información Página4

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

 Mediante acta de entrega de equipos y/o software, deberá informar al usuario

de los programas instalados en el bien informático a su cargo, cuya adición de
nuevos programas en el bien informático deberá ser registrado en el documento
entregado previamente.
 Establecerá los estándares para la adquisición, uso, normalización y
licenciamiento de los paquetes informáticos a nivel institucional, considerando
las necesidades y compatibilidad tecnológica existente.
 Autorizará y controlará el uso de software o programas comerciales que no
requieren de licencias de uso (freeware), o que son de prueba (shareware),
estableciendo la finalidad de su uso, periodo de utilización y autorizaciones de
fabricante.
 Revisará y de ser necesario autorizará las solicitudes sobre el uso de software
o programas diferentes a los establecidos como estándares.
 La instalación del software aprobado lo realizará solamente el personal del área
de TI.

De aplicación por parte del usuario:

 Quien disponga de bienes informáticos provistos por la Cooperativa, es
responsable de controlar que el software y programas instalados en su equipo,
cuenten con la debida autorización.

6.2 Sobre las Medidas de Seguridad Física

De aplicación por parte del jefe del área de TI:
 Verificará que las instalaciones físicas donde se ubiquen los bienes informáticos
cumplan con las condiciones mínimas de ambientación sugeridas por el
fabricante (temperatura, electricidad, humedad, mobiliario, etc.), requeridas
para su adecuada conservación y funcionamiento.
 Mantendrá los servidores y equipos de comunicaciones principales en cuartos
cerrados, en gabinetes, o empotrados con restricciones de acceso, debiendo
acceder solo el personal autorizado.
 Procurará que los accesos de entrada física (puertas, ventanas, techos,
paredes, ventilación, etc.) existentes en áreas informáticas principales no estén
expuestos a violación accidental o intencional, igualmente los controles físicos
limitarán el acceso solo al personal autorizado.
 Incorporará controles ambientales que reduzcan el riesgo de interrupción de la
actividad informática, debido a la afectación adversa del medio ambiente
(temperatura, humedad, humo o fuego, energía eléctrica y otras condiciones
atmosféricas).
 Procurará la mejor ubicación del Centro de Procesamiento y del resguardo de la
información procesada, en lugares donde el riesgo de daños sea mínimo o esté
controlado. El resguardo de la información procesada debe ubicarse en un
ambiente físicamente distinto al local donde se encuentra el Centro de
Procesamiento. El acceso a los respaldos de la información procesada estará a
cargo del personal de TI y el administrador de la oficina principal.
 Los equipos de contingencia como UPS, deben estar ubicados fuera del
alcance de materiales inflamables.
 Dispondrá de un plan de contingencias o al menos de un plan de recuperación
de desastres que haya sido revisado y este documentado.

Políticas de Seguridad de Sistemas de Información Página5

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

De aplicación por parte del usuario:

 Cada usuario se responsabilizará de brindar un espacio adecuado, libre de
documentos y ventilado, para salvaguardar la integridad de la información y del
bien informático a su cargo.

6.3 Sobre los bienes informáticos

De aplicación general:
 Toda instalación adicional de bienes informáticos (hardware o software),
configuración de los mismos, o de accesorios (Lector/Grabador CD/DVD,
scanner, drivers, módems, etc.) que no forman parte de la configuración original
de los equipos, debe ser autorizado por el jefe del área de TI, quien a su vez
llevará el control de dichas modificaciones. La instalación se realizará
únicamente por personaldel área de TI.
 Cuando se requiera instalar accesorios o bienes informáticos (hardware o
software) que no forma parte de los activos de la institución, y que además hará
uso de la red de la cooperativa, se deberá realizar previa autorización de la
Gerencia General y la jefatura del área deTI.

De aplicación por parte del jefe del área de TI:

 Planificará la renovación o actualización de la infraestructura tecnológica
institucional considerando tanto los requerimientos actuales y futuros de la
cooperativa, como la tecnología disponible en el mercado. El reemplazo o
actualización de los bienes informáticos será evaluado en función del análisis
de costo / beneficio, rendimiento y seguridad, que asegure la mayor relación en
economía, eficiencia y productividad.
 Evaluará las solicitudes y recomendará la provisión de bienes y servicios
informáticos necesarios para suplir los requerimientos de las distintas unidades
operativas.
 Se deberá cumplir el plan de mantenimiento preventivo de equipos informáticos,
el cual incluye todas las oficinas y bienes informáticos de la cooperativa.
 El soporte y mantenimiento de los recursos informáticos de la cooperativa será
responsabilidad de la jefatura del área de TI, quien deberá definir la mejor
manera de realizarlo, ya sea utilizando recursos propios o por medio de la
contratación de terceros, supervisados por esta.
 Área de TIconjuntamente con el área de contabilidad, llevará el inventario de los
bienes informáticos institucionales.
 Verificará que los equipos tengan instalado la última versión del software
antivirus que la Cooperativa adquirió, amparada con la licencia correspondiente.

De aplicación por parte del usuario:

 El usuario a quien se le ha asignado bienes informáticos, será responsable por
estos y deberá informar inmediatamente a la jefatura del área de TI sobre
cualquier inconveniente que se presente, en especial si algún bien ha sido
sustraído o reporta fallas de funcionamiento.
 Bajo ningún motivo intentará movilizar los bienes informáticos sin autorización
de la Gerencia General y/o jefatura de TI.
 Se asegurará de la adecuada alimentación eléctrica al bien informático.
 Cuando abandone el área de trabajo, previamente deberá finalizar todos los
procesos de sistemas de información, cerrar los documento abiertos y bloquear
el computador.

Políticas de Seguridad de Sistemas de Información Página6

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

 Al finalizar su jornada laboral diaria, deberá apagar debidamente los equipos

que estuvo utilizando, apagar los supresores de pico, estabilizadores y al final
desconectarlos de los tomacorrientes.
 Bajo ninguna circunstancia intentará por sí mismo, la reparación de cualquier
equipo o componente de este.

6.4 Sobre la seguridad lógica y confidencialidad de la información

De aplicación general:
 Todos los usuarios deberán sujetarse a las políticas de seguridad establecidas.

De aplicación por parte del jefe del área de TI:

 Establecerá las medidas de seguridad y confidencialidad que se aplicará en la
producción, generación, emisión, publicación, intercambio, distribución y
transmisión de datos e información automatizada de la cooperativa.
 Mantendrá el derecho de los usuarios a la confidencialidad de su correo
electrónico y eliminación de los usuarios que dejen de laborar en la institución.
 En los casos que se detecten acciones que puedan poner en riesgo la
seguridad o la confidencialidad de la información de la cooperativa, el jefe de TI
en coordinación con la Gerencia General podrá realizar una auditoría al usuario,
entrando a los documentos almacenados en el computador y a su correo
electrónico corporativo.
 En coordinación con los administradores de agencia y el área de riesgos
establecerán los periféricos o puertos a deshabilitar con la finalidad de
minimizar los riesgos de infección con virus en la red de datos y también para
preservar la confidencialidad e integridad de la información

De aplicación por parte del usuario

 Deberá mantener el respaldo de la información requerida para su trabajo con
sus atributos y claves necesarias, incluyendo en ello, el respaldo de los
mensajes de correo electrónico que requiere conservar.
 Los usuarios tendrán derecho a la confidencialidad de su información, con la
salvedad de aquellos casos en que se detecten acciones que se ponga en
riesgo la seguridad de la red de datos y/o fuga de información.

6.5 Sobre el acceso a la base de datos en producción.

De aplicación por parte del área de TI:
 Ningún colaborador del área de TI podrá acceder a la base de datos en
producción sin la autorización de su jefe inmediato superior, sustentando
previamente el motivo del mismo.

6.6 Sobre el uso de los servicios de la red de datos institucional y las cuentas de
los usuarios
De Aplicación general
 La infraestructura o servicios de la red de datos institucional debe responder a
los objetivos y fines que establezca la Cooperativa de Ahorro y Crédito San
José Cartavio.
 Todo trabajador que para el desempeño de sus funciones requiera utilizar la red
de datos institucional, deberá poseer una cuenta de usuario.
 Todo trabajador para solicitar una cuenta de usuario, deberá estar autorizado
por elGerente General y/o Jefe inmediato.

Políticas de Seguridad de Sistemas de Información Página7

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

 La cuenta es individual e intransferible y su dueño será responsable de

mantener la confidencialidad de la contraseña de la cuenta, de hacer uso
adecuado de la misma y de responder sobre las actividades que ocurran bajo su
cuenta o contraseña.
 Las contraseñas de las cuentas tendrán una duración limitada y se regularan
por un procedimiento específico, establecido por la jefatura de TI.
 No se permitirá el ingreso de contraseñas en blanco por razones de seguridad,
esta tendrá que tener como mínimo 6 caracteres, y para mayor seguridad, la
contraseña deberá tener caracteres en minúsculas y/o mayúsculas (a-z, A-Z),
números (0-9) o especiales.

De aplicación por parte del jefe del área de TI:

 Administrará los servicios de la red de datos institucional de manera exclusiva,
con el personal especializado en esta función y en los casos necesarios, con la
participación de los proveedores.
 Administrará las cuentas de usuarios y mantendrá registros del uso de las
mismas, que permitan realizar auditorías o revisiones, en caso de existir
situaciones que así lo ameriten. Toda cuenta de usuario será configurada
tomando la primera letra del primer nombre más el apellido paterno del usuario,
en caso de coincidir dos cuentas de usuario bajo esta estructura entonces se
añadirá al final la primera letra de su apellido materno.
 Mantendrá control sobre el acceso de usuarios a los elementos (físicos y
lógicos) de la red de datos institucional.
 Vigilará que la infraestructura de la red sea utilizada únicamente en actividades
relacionadas con los objetivos institucionales.
 Se asegurará del buen estado de la infraestructura de la red, así como del
cumplimiento de las normas recomendadas para este tipo de instalaciones.
 Ofrecerá los medios y mecanismos para que los usuarios obtengan productos y
servicios informáticos de calidad, con los niveles de seguridad adecuados y
favoreciendo el máximo aprovechamiento de los recursos informáticos y de
comunicaciones disponibles.
 Otorgará cuentas de usuarios a personas ajenas a la cooperativa (personal
externo, asesores, auditores) siempre y cuando haya sido aprobado por la
Gerencia General.

De aplicación por parte del usuario:

 Hará buen uso y tendrá acceso a los recursos y servicios informáticos de
acuerdo a las disposiciones y reglamentos que para estos fines existan.
 Solo podrá utilizar la infraestructura de la red de datos institucional para
aquellos servicios que se le haya concedido acceso y únicamente para el
desarrollo de actividades relacionadas con su función. Esta cuenta es de uso
exclusivo y no debe ser compartida.
 No utilizará los recursos de la red de datos institucional, para contenidos
ilegales y no autorizados, así como mensajes que contengan virus que pongan
en riesgo los bienes informáticos y datos institucionales.
 Comprenderá que cualquier material y/o datos bajados o descargados, u
obtenidos de otra manera, sin contar con las protecciones adecuadas, es riesgo
para él y para la cooperativa, y que será único responsable de cualquier daño al
sistema o perdida de datos que pueda resultar de recibir tal material y/o datos.

Políticas de Seguridad de Sistemas de Información Página8

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

6.7 Sobre conexión a otras redes

De aplicación por parte del jefe del área de TI:
 Velará porque las conexiones que se requieran entre la red de datos
institucional con redes de otras instituciones, se realicen verificando que se
garanticen los niveles de seguridad exigidos por la entidades involucradas e
igualmente que los niveles de riesgo y accesos indebidos se minimicen,
estableciendo mecanismos de control de acceso que se consideren necesarios.

De aplicación por parte del usuario:

 Los usuarios que accedan a servicios de otras redes a través de una conexión
habilitada por la cooperativa, estarán sujetos a las normas que la institución
receptora tenga estipuladas y las violaciones a las mismas, serán penalizadas
de acuerdo a los reglamentos correspondientes.

6.8 Sobre el desarrollo de sistemas y otros servicios informáticos

De aplicación general:
 Todo desarrollo, invención o aplicación informática efectuada por el Área de TI
o por personal externo contratado, durante el desempeño de sus funciones,
utilizando recursos institucionales, será propiedad intelectual de la cooperativa y
deberá ser registrada de acuerdo a la reglamentación establecida para ello.

De aplicación por parte del jefe del área de TI:

 Todo desarrollo e implementación de sistemas informáticos deberá estar
considerado en los planes y cronogramas de trabajo del Área de TI y se
ejecutará de acuerdo a un orden de prioridades.
 Definirá los recursos requeridos para los planes de automatización de la
cooperativa, considerando los componentes tecnológicos y recursos humanos y
financieros necesarios.
 Brindará los servicios informáticos a la cooperativa procurando el máximo nivel
de calidad, eficacia y productividad.
 Evaluará periódicamente el comportamiento de los sistemas y el nivel de
conformidad de los usuarios.
 El código fuente de los programas deberán estar bajo la custodia del Jefe del
Área de TI, para ello se debe contar con un registro de actualizaciones.

De aplicación por parte del usuario:

 Participará activamente en todas y cada una de las etapas del proceso de
desarrollo de sistemas informáticos.
 Se responsabilizará de los datos ingresados en los sistemas o servicios
informáticos que le sean provistos.
 Será responsable de la validación de los procesos, reportes y anexos
automatizados.

6.9 Sobre la seguridad a considerar en el desarrollo de sistemas

Aspectos generales de seguridad:
 Todo acceso a los sistemas, tanto para consulta como para actualización de la
información contenida en estos, debe hacerse mediante el uso de un código de
usuario y una contraseña.

Políticas de Seguridad de Sistemas de Información Página9

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

 Todo sistema debe ser capaz de definir códigos de usuarios en forma individual
para todo trabajador a quien se le quiera dar acceso y se deberá llevar un
registro de los correspondientes códigos de usuario otorgados a cada
trabajador.
 El acceso a los subsistemas, módulos, submódulos, transacciones, menús,
opciones, y cualquier otro componente de un sistema deberá definirse mediante
el uso de los perfiles de usuario, de acuerdo con el rol o función que los
usuarios tienen asignados para el cumplimiento adecuado de sus funciones y
que serán definidos por el área de TI en coordinación con las jefaturas de
áreas.

Aspectos que debe incluir el módulo de administración de la seguridad en los

sistemas:
 Todo sistema deberá contar con un modulo de seguridad que integre las
siguientes funcionalidades:
o Permitir el acceso a las funcionalidades del modulo de seguridad,
solamente al personal registrado con el perfil de administrador de sistemas.
o Proveer una contraseña inicial, asociada al código de usuario, que no se
pueda identificar o predecir con facilidad.
o Deberá obligar al usuario a cambiar su contraseña, la primera vez que
ingresa al sistema, de manera que no pueda acceder a ninguna funcionalidad
sin haber completado este paso.
o Deberá permitir a los usuarios el cambio de contraseña o provocar que
el usuario tenga que realizar este cambio, cuando considere necesario o
conveniente.
o No deberá permitir el acceso simultáneo de un usuario a más de dos
estaciones de trabajo.

6.10 Sobre las sanciones aplicables

 La Gerencia General determinará la aplicación o suspensión del acceso a los
servicios, en atención al tipo de contravención a las presentes políticas de
seguridad. Asimismo, se establece que la acción de suspensión no impide que
se establezcan procedimientos administrativos para aplicar sanciones
disciplinarias por el uso indebido de equipos informáticos y/o de comunicaciones
en la cooperativa.

6.11 Sobre el personal del área de TI

De aplicación general
 El personal del área de TI de la cooperativa, deberá mantenerse
permanentemente actualizado y capacitado en materia de Tecnologías de la
Información y Seguridad Informática, ya sea por la participación en actividades
fomentadas por la cooperativa o por iniciativa propia.
 Periódicamente se revisarán y ajustarán las descripciones de cargos
informáticos institucionales, sus funciones y procedimientos, para mantenerlas
acordes con los cambios tecnológicos.

6.12 Sobre los contratos con proveedores de bienes o servicios informáticos

De aplicación por parte del jefe de TI
 Coordinará con la Gerencia General la revisión y ejecución de los contratos de
mantenimiento y soporte técnico dentro del calendario establecido y en los
casos que sean necesarios, autorizará cambios en las fechas.

Políticas de Seguridad de Sistemas de Información Página10

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

6.13 Sobre el proceso de adquisición e implementación

La Cooperativa de Ahorro y Crédito San José Cartavio, debe mantenerse al día con
los avances tecnológicos para lograr una mayor eficiencia en sus operaciones y en
los servicios que presta a sus socios. El costo de mantenerse al día con los
adelantos tecnológicos constituye una inversión de recursos considerable dentro de
toda institución, ya sea en la adquisición de equipos, programas o en la contratación
de servicios profesionales de asesoría técnica en sistemas de información. La
inversión de fondos para la automatización de procesos debe planificarse de
manera que se obtengan los beneficios esperados en un periodo de tiempo
razonable.

En el análisis y en la planificación de los proyectos de informática se deberán

considerar las distintas fases del ciclo de vida útil de los sistemas de información.

Aunque cada caso se debe examinar en su contexto, la jefatura de TI recomienda

utilizar una metodología de desarrollo evolutiva e incremental, de manera que se
obtengan resultados de forma rápida, se pueden ir identificando los requerimientos
específicos de los usuarios a lo largo de todo el ciclo de vida y se reduzca el riesgo
de la inversión. Se empleará o contratará los recursos profesionales altamente
capacitados y con la experiencia necesaria en este campo. Esto, de forma
ponderada al monto de inversión y magnitud de cada proyecto.

Sobre el proceso de adquisición

El proceso de adquisición consiste en varios pasos dirigido a obtener los equipos y
programas de tecnología de información que puedan satisfacer las necesidades de
la Cooperativa de Ahorro y Crédito San José Cartavio, a un costo razonable.
Mediante este proceso se analizará y se identificará las necesidades a ser atendidas
y la forma de atender las mismas.

6.14 Políticas de Backups

Se debe establecer los procedimientos, normas, y determinación de
responsabilidades en la obtención de los Backups, debiéndose incluir:
 Periodicidad de cada tipo de backup.
 Uso obligatorio de un formulario estándar para el registro y control de los
Backups.
 Almacenamiento de los Backups en condiciones ambientales óptimas,
dependiendo del medio magnético empleado.
 Reemplazo de los Backups, en forma periódica, antes que el medio magnético
de soporte se pueda deteriorar (reciclaje o refresco).
 Almacenamiento de los Backups en locales diferentes donde reside la
información primaria (evitando la pérdida si el desastre alcanzó todo el edificio);
o en un lugar seguro dentro de la institución, en este caso la bóveda de la
cooperativa.
 Pruebas periódicas de los Backups, verificando su funcionalidad, a través de los
sistemas, comparando contra resultados anteriores confiables.

VII. Consideraciones
 La información sensible debe ser protegida, sin importar la forma que esté
almacenada.
 El personal que realice un manejo irregular y manipulación de información será
sometido a sanciones administrativas.

Políticas de Seguridad de Sistemas de Información Página11

COOPERATIVA DE AHORRO Y CREDITO
SAN JOSÉ CARTAVIO POLÍTICAS DE SEEGURIDAD DE SISTEMAS DE INFORMACIÓN

 La concientización y entrenamiento de los empleados es indispensable.

 Los responsables de la administración de la seguridad de la información y control de
riesgos deben mantenerse actualizados en temas relacionados a seguridad y riesgos
de información de tal forma que cumplan con sus funciones de manera más eficiente.
 La existencia de una Política de Seguridad de Información formalmente establecida es
fundamental.
 La seguridad de la información no es un problema exclusivo del área de riesgos ni del
área de TI, involucra a todos los colaboradores de la cooperativa.
 Sin el apoyo de la Gerencia General y jefaturas ningún plan de seguridad de
información tendrá éxito.
 Todos los colaboradores deben conocer las Políticas de Seguridad de la Información.
 Al incorporarse nuevos colaboradores, el personal del área de TI, deberá entregarles
las políticas de seguridad de información. Asimismo deberá tomar conocimiento sobre
las personas que cesan o salen de vacaciones para la desactivación de sus cuentas
de acceso a los sistemas.

Políticas de Seguridad de Sistemas de Información Página12