Está en la página 1de 50

Comit de Seguridad de la Informacion

Coordinacin General

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN


- ABRIL DE 2009 POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 1 DE 128

Comit de Seguridad de la Informacion


Coordinacin General

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 2 DE 128

Comit de Seguridad de la Informacion


Coordinacin General

Universidad Tecnolgica Nacional Rectorado

NDICE
1. INTRODUCCIN 2. TRMINOS Y DEFINICIONES 2.1. Seguridad de la Informacin 2.2. Informacin 2.3. Sistema de Informacin 2.4. Tecnologa de la Informacin 2.5. Comit de Seguridad de la Informacin 2.6. Responsable de Seguridad Informtica 3. POLTICAS DE SEGURIDAD DE LA INFORMACIN 3.1. Objetivos 3.2. Sanciones Previstas por Incumplimiento 4. ORGANIZACIN DE LA SEGURIDAD 4.1. Infraestructura de la Seguridad de la Informacin

4.2. Seguridad Frente al Acceso por Parte de Terceros

4.1.1. Comit de Seguridad de la Informacin 4.1.2. Asignacin de Responsabilidades en Materia de Seguridad de la Informacin 4.1.3. Proceso de Autorizacin para Instalaciones de Procesamiento de Informacin 4.1.4. Asesoramiento Especializado en Materia de Seguridad de la Informacin 4.1.5. Cooperacin entre Organismos 4.1.6. Revisin Independiente de la Seguridad de la Informacin 4.2.1. Identificacin de Riesgos del Acceso de Terceras Partes 4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros 4.3. Tercerizacin 4.3.1. Requerimientos de Seguridad en Contratos de Tercerizacin

5. CLASIFICACIN Y CONTROL DE ACTIVOS 5.1. Inventario de activos 5.2. Clasificacin de la informacin 5.3. Rotulado de la Informacin
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 3 DE 128

Comit de Seguridad de la Informacion


Coordinacin General

Universidad Tecnolgica Nacional Rectorado

6. SEGURIDAD DEL PERSONAL 6.1. Seguridad en la Definicin de Puestos de Trabajo y la Asignacin de Recursos
6.1.1. Incorporacin de la Seguridad en los Puestos de Trabajo 6.1.2. Control y Poltica del Personal 6.1.3. Compromiso de Confidencialidad 6.1.4. Trminos y Condiciones de Empleo

6.2. Capacitacin del Usuario

6.2.1. Formacin y Capacitacin en Materia de Seguridad de la Informacin 6.3. Respuesta a Incidentes y Anomalas en Materia de Seguridad 6.3.1. Comunicacin de Incidentes Relativos a la Seguridad 6.3.2. Comunicacin de Debilidades en Materia de Seguridad 6.3.3. Comunicacin de Anomalas del Software 6.3.4. Aprendiendo de los Incidentes

7. SEGURIDAD FSICA Y AMBIENTAL 7.1. Permetro de Seguridad Fsica 7.2. Controles de Acceso Fsico 7.3. Proteccin de Oficinas, Recintos e Instalaciones 7.4. Desarrollo de Tareas en reas Protegidas 7.5. Aislamiento de las reas de Recepcin y Distribucin 7.6. Ubicacin y Proteccin del Equipamiento y Copias de Seguridad 7.7. Suministros de Energa 7.8. Seguridad del Cableado 7.9. Mantenimiento de Equipos 7.10. Seguridad de los Equipos Fuera de las Instalaciones 7.11. Desafectacin o Reutilizacin Segura de los Equipos. 7.12. Polticas de Escritorios y Pantallas Limpias 7.13. Retiro de los Bienes 8. GESTIN DE COMUNICACIONES Y OPERACIONES 8.1. Procedimientos y Responsabilidades Operativas 8.1.1. Documentacin de los Procedimientos Operativos

8.2. Planificacin y Aprobacin de Sistemas


8.2.1. Planificacin de la Capacidad

8.1.2. Control de Cambios en las Operaciones 8.1.3. Procedimientos de Manejo de Incidentes 8.1.4. Separacin de Funciones 8.1.5. Separacin entre Instalaciones de Desarrollo e Instalaciones Operativas 8.1.6. Gestin de Instalaciones Externas

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 4 DE 128

Comit de Seguridad de la Informacion


Coordinacin General

Universidad Tecnolgica Nacional Rectorado

8.3. Proteccin Contra Software Malicioso 8.4. Mantenimiento

8.2.2. Aprobacin del Sistema

8.3.1. Controles Contra Software Malicioso 8.4.1. Resguardo de la Informacin 8.4.2. Registro de Actividades del Personal Operativo 8.4.3. Registro de Fallas 8.5.1. Controles de Redes

8.5. Administracin de la Red

8.6. Administracin y Seguridad de los Medios de Almacenamiento


8.6.1. Administracin de Medios Informticos Removibles 8.6.2. Eliminacin de Medios de Informacin 8.6.3. Procedimientos de Manejo de la Informacin 8.6.4. Seguridad de la Documentacin del Sistema

8.7. Intercambios de Informacin y Software

8.7.1. Acuerdos de Intercambio de Informacin y Software 8.7.2. Seguridad de los Medios en Trnsito 8.7.3. Seguridad del Gobierno Electrnico 8.7.4. Seguridad del Correo Electrnico 8.7.4.1. Riesgos de Seguridad 8.7.4.2. Poltica de Correo Electrnico 8.7.5. Seguridad de los Sistemas Electrnicos de Oficina 8.7.6. Sistemas de Acceso Pblico 8.7.7. Otras Formas de Intercambio de Informacin

9. CONTROL DE ACCESOS 9.1. Requerimientos para el Control de Acceso 9.2. Administracin de Accesos de Usuarios
9.1.1. Poltica de Control de Accesos 9.1.2. Reglas de Control de Acceso

9.3. Responsabilidades del Usuario 9.4. Control de Acceso a la Red

9.2.1. Registracin de Usuarios 9.2.2. Administracin de Privilegios 9.2.3. Administracin de Contraseas de Usuario 9.2.4. Administracin de Contraseas Crticas 9.2.5. Revisin de Derechos de Acceso de Usuarios 9.3.1. Uso de Contraseas 9.3.2. Equipos Desatendidos en reas de Usuarios 9.4.1. Poltica de Utilizacin de los Servicios de Red 9.4.2. Camino Forzado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 5 DE 128

Comit de Seguridad de la Informacion


Coordinacin General
9.4.3. Autenticacin de Usuarios para Conexiones Externas 9.4.4. Autenticacin de Nodos 9.4.5. Proteccin de los Puertos (Ports) de Diagnstico Remoto 9.4.6. Subdivisin de Redes 9.4.7. Acceso a Internet 9.4.8. Control de Conexin a la Red 9.4.9. Control de Ruteo de Red 9.4.10. Seguridad de los Servicios de Red 9.5.1. Identificacin Automtica de Terminales 9.5.2. Procedimientos de Conexin de Terminales 9.5.3. Identificacin y Autenticacin de los Usuarios 9.5.4. Sistema de Administracin de Contraseas 9.5.5. Uso de Utilitarios de Sistema 9.5.6. Alarmas Silenciosas para la Proteccin de los Usuarios 9.5.7. Desconexin de Terminales por Tiempo Muerto 9.5.8. Limitacin del Horario de Conexin 9.6.1. Restriccin del Acceso a la Informacin 9.6.2. Aislamiento de los Sistemas Sensibles

Universidad Tecnolgica Nacional Rectorado

9.5. Control de Acceso al Sistema Operativo

9.6. Control de Acceso a las Aplicaciones

9.7. Monitoreo del Acceso y Uso de los Sistemas

9.8. Computacin Mvil y Trabajo Remoto


9.8.1. Computacin Mvil 9.8.2. Trabajo Remoto

9.7.1. Registro de Eventos 9.7.2. Monitoreo del Uso de los Sistemas 9.7.2.1. Procedimientos y reas de Riesgo 9.7.2.2. Factores de Riesgo 9.7.2.3. Registro y Revisin de Eventos 9.7.3. Sincronizacin de Relojes

10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS 10.1. Requerimientos de Seguridad de los Sistemas 10.2. Seguridad en los Sistemas de Aplicacin
10.2.1. Validacin de Datos de Entrada 10.2.2. Controles de Procesamiento Interno 10.2.3. Autenticacin de Mensajes 10.2.4. Validacin de Datos de Salidas

10.1.1. Anlisis y Especificaciones de los Requerimientos de Seguridad

10.3. Controles Criptogrficos

10.3.1. Poltica de Utilizacin de Controles Criptogrficos 10.3.2. Cifrado 10.3.3. Firma Digital 10.3.4. Servicios de No Repudio
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 6 DE 128

Comit de Seguridad de la Informacion


Coordinacin General
10.3.5. Administracin de Claves 10.3.5.1. Proteccin de Claves Criptogrficas 10.4.1. Control del Software Operativo 10.4.2. Proteccin de los Datos de Prueba del Sistema 10.4.3. Control de Cambios a Datos Operativos 10.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes 10.5.1. Procedimiento de Control de Cambios 10.5.2. Revisin Tcnica de los Cambios en el Sistema Operativo 10.5.3. Restriccin del Cambio de Paquetes de Software 10.5.4. Canales Ocultos y Cdigo Malicioso 10.5.5. Desarrollo Externo de Software

Universidad Tecnolgica Nacional Rectorado

10.4. Seguridad de los Archivos del Sistema

10.5. Seguridad de los Procesos de Desarrollo y Soporte

11. ADMINISTRACIN DE LA CONTINUIDAD DE LAS ACTIVIDADES DEL ORGANISMO 11.1. Proceso de la Administracin de la Continuidad del Organismo 11.2. Continuidad de las Actividades y Anlisis de los Impactos 11.3. Elaboracin e Implementacin de los Planes de Continuidad de las Actividades del Organismo 11.4. Marco para la Planificacin de la Continuidad de las Actividades del Organismo 11.5. Ensayo, Mantenimiento y Reevaluacin de los Planes de Continuidad del Organismo 12. CUMPLIMIENTO 12.1. Cumplimiento de Requisitos Legales

12.2. Revisiones de la Poltica de Seguridad y la Compatibilidad Tcnica 12.3. Consideraciones de Auditoras de Sistemas 12.4. Sanciones Previstas por Incumplimiento
12.2.1. Cumplimiento de la Poltica de Seguridad 12.2.2. Verificacin de la Compatibilidad Tcnica

12.1.1. Identificacin de la Legislacin Aplicable 12.1.2. Derechos de Propiedad Intelectual 12.1.2.1. Derecho de Propiedad Intelectual del Software 12.1.3. Proteccin de los Registros de la Universidad. 12.1.4. Proteccin de Datos y Privacidad de la Informacin Personal 12.1.5. Prevencin del Uso Inadecuado de los Recursos de Procesamiento de Informacin 12.1.6. Regulacin de Controles para el Uso de Criptografa 12.1.7. Recoleccin de Evidencia

12.3.1. Controles de Auditora de Sistemas 12.3.2. Proteccin de los Elementos Utilizados por la Auditora de Sistemas

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 7 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 1. INTRODUCCIN La informacin es un recurso que, como el resto de los activos, tiene valor parala comunidad universitaria y por consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de informacin, minimizando los riesgos de dao y contribuyendo de esta manera, a una mejor gestin de la Universidad. Para que estos principios de la Poltica de Seguridad de la Informacin sean efectivos, resulta necesaria la implementacin de una Poltica de Seguridad de la Informacin que forme parte de la cultura organizacional de la Universidad, lo que implica que debe contarse con el manifiesto compromiso de todos los funcionarios de una manera u otra vinculados a la gestin, para contribuir a la difusin, consolidacin y cumplimiento. Como consecuencia de lo expuesto, la Universidad Tecnolgica Nacional se ha abocado a la tarea de implementar sus propias polticas de seguridad de la informacin, basndose en las caractersticas establecidas en el Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional publicado por la Oficina Nacional de Tecnologa de Informacin ONTI. As mismo, con el propsito de que dicha implementacin pueda realizarse en forma ordenada y gradual, la Universidad ha encomendado a su Comit de Seguridad de la Informacin, la tarea de elaborar y coordinar la ejecucin de un Plan de Accin para el ao 2009 que fije objetivos vinculados a los temas del Instructivo de Trabajo N 02/07 GNyPE y detertmine plazos de realizacin de los mismos. 2. TRMINOS Y DEFINICIONES Con el objeto de precisar el alcance de los principales conceptos utilizados en este documento, se transcriben las definiciones que sobre los mismos se han includo en el Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional publicado por la Oficina Nacional de Tecnologa de Informacin ONTI. 2.1. Seguridad de la Informacin: La seguridad de la informacin se entiende como la preservacin de las siguientes caractersticas: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 8 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General Adicionalmente, debern considerarse los conceptos de: Autenticidad: busca asegurar la validez de la informacin en tiempo, forma y distribucin. Asimismo, se garantiza el origen de la informacin, validando el emisor para evitar suplantacin de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. Proteccin a la duplicacin: consiste en asegurar que una transaccin slo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transaccin para luego reproducirla, con el objeto de simular mltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido informacin alegue ante terceros que no la envi o recibi. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: es decir, que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. 2.2. Informacin: Se refiere a toda comunicacin o representacin de conocimiento como datos, en cualquier forma, con inclusin de formas textuales, numricas, grficas, cartogrficas, narrativas o audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras, audiovisual u otro. 2.3. Sistema de Informacin: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos, tanto automatizados como manuales. 2.4. Tecnologa de la Informacin: Se refiere al hardware y software operados por el Organismo o por un tercero que procese informacin en su nombre, para llevar a cabo una funcin propia de la Universidad, sin tener en cuenta la tecnologa utilizada, ya se trate de computacin de datos, telecomunicaciones u otro tipo. 2.5. Comit de Seguridad de la Informacin: El Comit de Seguridad de la Informacin, es un cuerpo integrado por representantes de todas las reas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad. 2.6. Responsable de Seguridad Informtica: Es la persona que cumple la funcin de supervisar el cumplimiento de la presente Poltica y de asesorar en materia de seguridad de la informacin a los integrantes del Organismo que as lo requieran.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 9 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General

Universidad Tecnolgica Nacional Rectorado

3. POLTICAS DE SEGURIDAD DE LA INFORMACIN 3.1. Objetivos: a) Proteger los recursos de informacin de la Universidad y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin. b) Asegurar la implementacin de las medidas de seguridad comprendidas en esta Poltica, identificando los recursos y las partidas presupuestarias correspondientes, sin que ello implique necesariamente la asignacin de partidas adicionales. c) Mantener la Poltica de Seguridad del Organismo actualizada, a efectos de asegurar su vigencia y nivel de eficacia. 3.2. Sanciones Previstas por Incumplimiento: El incumplimiento de la disposiciones establecidas por las Polticas de Seguridad de la Informacin tendr como resultado la aplicacin de diversas sanciones, conforme a la magnitud y caracterstica del aspecto no cumplido. 4. ORGANIZACIN DE LA SEGURIDAD Son sus objetivos: a) Administrar la seguridad de la informacin dentro del Organismo y establecer un marco gerencial para iniciar y controlar su implementacin, as como para la distribucin de funciones y responsabilidades. b) Fomentar la consulta y cooperacin con Organismos especializados para la obtencin de asesora en materia de seguridad de la informacin. c) Garantizar la aplicacin de medidas de seguridad adecuadas en los accesos de terceros a la informacin de la Universidad. 4.1. Infraestructura de la Seguridad de la Informacin 4.1.1. Comit de Seguridad de la Informacin: El ONTI lo define como un cuerpo integrado por representantes de todas las reas sustantivas del Organismo, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad. El Rectorado de la Universidad cre el Comit de Seguridad de la Informacin CSI mediante la Resolucin N 1353/06 el 9 de octubre de 2006, con los siguientes objetivos: 1) Revisar y proponer al Rector de esta Universidad para su consideracin y
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 10 DE 128

Comit de Seguridad de la Informacion


Coordinacin General posterior aprobacin, las polticas de seguridad de la informacin y las funciones generales en materia de seguridad de la informacin que fuera convenientes y apropiadas para esta Universidad. 2) Monitorear cambios significativos en los riesgos que afectan a los recursos de la informacin de esta Universidad frente a posibles amenazas, sean internas o externas. 3) Tomar conocimiento y supervisar la investigacin y monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el mbito de esta Universidad. 4) Aprobar las principales iniciativa para incrementar la seguridad de la informacin, de acuerdo a las competencias y responsabilidades asignadas a cada sector, as como acordar y aprobar metodologas y procesos especficos relativos a la seguridad de la informacin 5) Evaluar y coordinar la implementacin de controles especficos de seguridad se la informacin para los sistemas o servicios de esta Universidad, sean preexistente o nuevos. 6) Promover la difusin y apoyo a la seguridad de la informacin dentro de la Universidad, como as, coordinar el proceso de administracin de la continuidad de las actividades. La creacin del Comit de Seguridad de la Informacin se corresponde en un todo con el espritu y la letra expresados en el Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional publicado por el ONTI y el Instructivo de Trabajo N 02/07 GNyPE. 4.1.2. Asignacin de Responsabilidades en Materia de Seguridad de la Informacin El Rector de la Universidad Tecnolgica Nacional deber asigna las funciones relativas a la Seguridad Informtica de la Universidad a ..............................................................., en adelante el Responsable de Seguridad Informtica, quien tendr a cargo las funciones relativas a la seguridad de los sistemas de informacin del Organismo, lo cual incluye la supervisin de todos los aspectos inherentes a seguridad informtica tratados en la presente Poltica. El Comit de Seguridad de la Informacin propondr a la autoridad que corresponda para su aprobacin, la definicin y asignacin de las responsabilidades que surjan de los procesos de seguridad que se detallan a continuacin, indicndo en cada caso el/los responsable/s del cumplimiento de los aspectos de esta Poltica aplicables a cada caso: a) Seguridad del Personal b) Seguridad Fsica y Ambiental c) Seguridad en las Comunicaciones y las Operaciones
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 11 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General d) Control de Accesos e) Seguridad en el Desarrollo y Mantenimiento de Sistemas f) Planificacin de la Continuidad Operativa As mismo, el Comit de Seguridad de la Informacin propondr a la autoridad que corresponda para su aprobacin, la definicin y asignacin de las responsabilidades de los propietarios de la informacin que se definan, quienes sern los responsables de las unidades organizativas a cargo del manejo de la misma. Cabe aclarar que, si bien los propietarios pueden delegar la administracin de sus funciones a personal idneo a su cargo, conservarn la responsabilidad del cumplimiento de las mismas. La delegacin de la administracin por parte de los propietarios de la informacin ser documentada por los mismos y proporcionada al Responsable de Seguridad Informtica. 4.1.3. Proceso de Autorizacin para Instalaciones de Procesamiento de Informacin Los nuevos recursos de procesamiento de informacin sern autorizados por los Responsables de las Unidades Organizativas involucradas, considerando su propsito y uso, conjuntamente con el Responsable de Seguridad Informtica, a fin de garantizar que se cumplan todas las Polticas y requerimientos de seguridad pertinentes. Cuando corresponda, se verificar el hardware y software para garantizar su compatibilidad con los componentes de otros sistemas del Organismo. 4.1.4. Asesoramiento Especializado en Materia de Seguridad de la Informacin El Responsable de Seguridad Informtica ser el encargado de coordinar los conocimientos y las experiencias disponibles en la Universidad, a fin de brindar ayuda en la toma de decisiones en materia de seguridad. ste podr obtener asesoramiento de otros Organismos. 4.1.5. Cooperacin entre Organismos A efectos de intercambiar experiencias y obtener asesoramiento para el mejoramiento de las prcticas y controles de seguridad, se mantendrn contactos con los siguientes Organismos especializados en temas relativos a la seguridad informtica: Oficina Nacional de Tecnologas de Informacin (ONTI), y particularmente con: - ArCERT Coordinacin de Emergencias en Redes Teleinformticas. - Infraestructura de Firma Digital.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 12 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General Direccin Nacional de Proteccin de Datos Personales. 4.1.6. Revisin Independiente de la Seguridad de la Informacin La Unidad de Auditora Interna o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin realizar revisiones independientes sobre la vigencia e implementacin de las Polticas de Seguridad de la Informacin, a efectos de garantizar que las prcticas de la Universidad reflejan adecuadamente sus disposiciones. 4.2. Seguridad Frente al Acceso por Parte de Terceros 4.2.1. Identificacin de Riesgos del Acceso de Terceras Partes Cuando exista la necesidad de otorgar acceso a terceras partes a informacin de la Universidad, el Responsable de Seguridad Informtica y el Propietario de la Informacin de que se trate, llevarn a cabo y documentarn una evaluacin de riesgos para identificar los requerimientos de controles especficos, teniendo en cuenta, entre otros aspectos: El tipo de acceso requerido (fsico/lgico y a qu recurso). Los motivos para los cuales se solicita el acceso. El valor de la informacin. Los controles empleados por la tercera parte. La incidencia de este acceso en la seguridad de la informacin del Organismo. En todos los contratos cuyo objeto sea la prestacin de servicios a ttulo personal bajo cualquier modalidad jurdica que deban desarrollarse dentro de la Universidad, se establecern los controles, requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mnimo necesario, los permisos a otorgar. En ningn caso se otorgar acceso a terceros a la informacin, a las instalaciones de procesamiento u otras reas de servicios crticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexin o el acceso. 4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros Se revisarn los contratos o acuerdos existentes o que se efecten con terceros, teniendo en cuenta la necesidad de aplicar los siguientes controles: a) Cumplimiento de la Poltica de seguridad de la informacin de la Universidad.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 13 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General b) Proteccin de los activos de la Universidad, incluyendo: Procedimientos para proteger los bienes de la Universidad, abarcando los activos fsicos, la informacin y el software. Procedimientos para determinar si ha ocurrido algn evento que comprometa los bienes, por ejemplo, debido a prdida o modificacin de datos. Controles para garantizar la recuperacin o destruccin de la informacin y los activos al finalizar el contrato o acuerdo, o en un momento convenido durante la vigencia del mismo. Restricciones a la copia y divulgacin de informacin. c) Descripcin de los servicios disponibles. d) Nivel de servicio esperado y niveles de servicio aceptables. e) Permiso para la transferencia de personal cuando sea necesario. f) Obligaciones de las partes emanadas del acuerdo y responsabilidades legales. g) Existencia de Derechos de Propiedad Intelectual. h) Definiciones relacionadas con la proteccin de datos. i) Acuerdos de control de accesos que contemplen: Mtodos de acceso permitidos, y el control y uso de identificadores nicos como identificadores de usuario y contraseas de usuarios. Proceso de autorizacin de accesos y privilegios de usuarios. Requerimiento para mantener actualizada una lista de individuos autorizados a utilizar los servicios que han de implementarse y sus derechos y privilegios con respecto a dicho uso. j) Definicin de criterios de desempeo comprobables, de monitoreo y de presentacin de informes. k) Adquisicin de derecho a auditar responsabilidades contractuales o surgidas del acuerdo. l) Establecimiento de un proceso para la resolucin de problemas y en caso de corresponder disposiciones con relacin a situaciones de contingencia. m) Responsabilidades relativas a la instalacin y al mantenimiento de hardware y software. n) Estructura de dependencia y del proceso de elaboracin y presentacin de informes que contemple un acuerdo con respecto a los formatos de los mismos. o) Proceso claro y detallado de administracin de cambios.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 14 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General p) Controles de proteccin fsica requeridos y los mecanismos que aseguren la implementacin de los mismos. q) Mtodos y procedimientos de entrenamiento de usuarios y administradores en materia de seguridad. r) Controles que garanticen la proteccin contra software malicioso. s) Elaboracin y presentacin de informes, notificacin e investigacin de incidentes y violaciones relativos a la seguridad. t) Relacin entre proveedores y subcontratistas. 4.3. Tercerizacin 4.3.1. Requerimientos de Seguridad en Contratos de Tercerizacin Los contratos o acuerdos de tercerizacin total o parcial para la administracin y control de sistemas de informacin, redes y/o ambientes de PC de la Universidad, contemplarn adems de los puntos especificados en (Requerimientos de Seguridad en Contratos o Acuerdos con Terceros, los siguientes aspectos: a) Forma en que se cumplirn los requisitos legales aplicables. b) Medios para garantizar que todas las partes involucradas en la tercerizacin, incluyendo los subcontratistas, estn al corriente de sus responsabilidades en materia de seguridad. c) Forma en que se mantendr y comprobar la integridad y confidencialidad de los activos del Organismo. d) Controles fsicos y lgicos que se utilizarn para restringir y delimitar el acceso a la informacin sensible del Organismo. e) Forma en que se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres. f) Niveles de seguridad fsica que se asignarn al equipamiento tercerizado. g) Derecho a la auditora por parte del Organismo sobre los aspectos tercerizados en forma directa o a travs de la contratacin de servicios ad hoc. Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 15 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 5. CLASIFICACIN Y CONTROL DE ACTIVOS Son sus objetivos: a) Garantizar que los activos de informacin reciban un apropiado nivel de proteccin. b) Clasificar la informacin para sealar su sensibilidad y criticidad. c) Definir niveles de proteccin y medidas de tratamiento especial acordes a su clasificacin. Esta Poltica se aplica a toda la informacin administrada en la Universidad, cualquiera sea el soporte en que se encuentre. Los propietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificacin efectuada, y de definir las funciones que debern tener permisos de acceso a la informacin. El Responsable de Seguridad Informtica es el encargado de asegurar que los lineamientos para la utilizacin de los recursos de la tecnologa de informacin contemplen los requerimientos de seguridad establecidos segn la criticidad de la informacin que procesan. Cada Propietario de la Informacin supervisar que el proceso de clasificacin y rtulo de informacin de su rea de competencia sea cumplimentado de acuerdo a lo establecido en la presente Poltica. 5.1. Inventario de activos Se identificarn los activos importantes asociados a cada sistema de informacin, sus respectivos propietarios y su ubicacin, para luego elaborar un inventario con dicha informacin. El mismo ser actualizado ante cualquier modificacin de la informacin registrada y revisado con una periodicidad no mayor a 6 meses. El encargado de elaborar el inventario y mantenerlo actualizado es cada Responsable de Unidad Organizativa. 5.2. Clasificacin de la informacin Para clasificar un Activo de Informacin, se evaluarn las tres caractersticas de la informacin en las cuales se basa la seguridad: a) confidencialidad, b) integridad, c) disponibilidad.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 16 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 5.3. Rotulado de la Informacin Se definirn procedimientos para el rotulado y manejo de informacin, de acuerdo al esquema de clasificacin definido. Los mismos contemplarn los recursos de informacin tanto en formatos fsicos como electrnicos e incorporarn las siguientes actividades de procesamiento de la informacin: - Copia; - Almacenamiento; - Transmisin por correo, fax, correo electrnico; - Transmisin oral (telefona fija y mvil, correo de voz, contestadores automticos, etc.).

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 17 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 6. SEGURIDAD DEL PERSONAL Son sus objetivos: a) Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la informacin. b) Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeo del individuo como empleado. c) Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y se encuentren capacitados para respaldar la Poltica de Seguridad de la Universidad en el transcurso de sus tareas normales. d) Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de informacin. e) Establecer las herramientas y mecanismos necesarios para promover la comunicacin de debilidades existentes en materia de seguridad, as como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia. Esta Poltica se aplica a todo el personal del Organismo, cualquiera sea su situacin de revista, y al personal externo que efecte tareas dentro del mbito de la Universidad El Responsable del rea de Recursos Humanos incluir las funciones relativas a la seguridad de la informacin en las descripciones de puestos de los empleados, informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Poltica de Seguridad de la Informacin, gestionar los Compromisos de Confidencialidad con el personal y coordinar las tareas de capacitacin de usuarios respecto de la presente Poltica.. El Responsable de Seguridad Informtica tiene a cargo el seguimiento, documentacin y anlisis de los incidentes de seguridad reportados as como su comunicacin al Comit de Seguridad de la Informacin, a los propietarios de la informacin y a la Coordinacin de Emergencias en Redes Teleinformticas (ArCERT). El Comit de Seguridad de la Informacin ser responsable de implementar los medios y canales necesarios para que el Responsable de Seguridad Informtica maneje los reportes de incidentes y anomalas de los sistemas. Asimismo, dicho Comit, tomar conocimiento, efectuar el seguimiento de la investigacin, controlar la evolucin e impulsar la resolucin de los incidentes relativos a la seguridad. El Responsable del rea Legal participar en la confeccin del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo,
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 18 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de la presente Poltica y en el tratamiento de incidentes de seguridad que requieran de su intervencin. Todo el personal del Organismo es responsable del reporte de debilidades e incidentes de seguridad que oportunamente se detecten. 6.1. Seguridad en la Definicin de Puestos de Trabajo y la Asignacin de Recursos 6.1.1. Incorporacin de la Seguridad en los Puestos de Trabajo Las funciones y responsabilidades en materia de seguridad sern incorporadas en la descripcin de las responsabilidades de los puestos de trabajo. Estas incluirn las responsabilidades generales relacionadas con la implementacin y el mantenimiento de las Polticas de Seguridad, y las responsabilidades especficas vinculadas a la proteccin de cada uno de los activos, o la ejecucin de procesos o actividades de seguridad determinadas. 6.1.2. Control y Poltica del Personal Se llevarn a cabo controles de verificacin del personal en el momento en que se solicita el puesto. Estos controles incluirn todos los aspectos que indiquen las normas que a tal efecto, alcanzan a la Universidad. 6.1.3. Compromiso de Confidencialidad Como parte de sus trminos y condiciones iniciales de empleo, los empleados, cualquiera sea su situacin de revista, firmarn un Compromiso de Confidencialidad o no divulgacin, en lo que respecta al tratamiento de la informacin de la Universidad. La copia firmada del Compromiso deber ser retenida en forma segura por el rea de Recursos Humanos u otra competente. Asimismo, mediante el Compromiso de Confidencialidad el empleado declarar conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad del empleado. 6.1.4. Trminos y Condiciones de Empleo Los trminos y condiciones de empleo establecern la responsabilidad del empleado en materia de seguridad de la informacin. Cuando corresponda, los trminos y condiciones de empleo establecern que estas responsabilidades se extienden ms all de los lmites de la sede del Organismo y del horario normal de trabajo. Los derechos y obligaciones del empleado relativos a la seguridad de la informacin, por ejemplo en relacin con las leyes de Propiedad Intelectual o la legislacin de proteccin de datos, se encontrarn aclarados e incluidos en los trminos y condiciones de empleo.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 19 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 6.2. Capacitacin del Usuario 6.2.1. Formacin y Capacitacin en Materia de Seguridad de la Informacin Todos los empleados del Organismo y, cuando sea pertinente, los usuarios externos y los terceros que desempeen funciones en el organismo, recibirn una adecuada capacitacin y actualizacin peridica en materia de la poltica, normas y procedimientos de la Universidad. Esto comprende los requerimientos de seguridad y las responsabilidades legales, as como la capacitacin referida al uso correcto de las instalaciones de procesamiento de informacin y el uso correcto de los recursos en general, como por ejemplo su estacin de trabajo. 6.3. Respuesta a Incidentes y Anomalas en Materia de Seguridad 6.3.1. Comunicacin de Incidentes Relativos a la Seguridad Los incidentes relativos a la seguridad sern comunicados a travs de canales apropiados tan pronto como sea posible. Se establecer un procedimiento formal de comunicacin y de respuesta a incidentes, indicando la accin que ha de emprenderse al recibir un informe sobre incidentes. Dicho procedimiento deber contemplar que ante la deteccin de un supuesto incidente o violacin de la seguridad, el Responsable de Seguridad Informtica sea informado tan pronto como se haya tomado conocimiento. Este indicar los recursos necesarios para la investigacin y resolucin del incidente, y se encargar de su monitoreo. Asimismo, mantendr al Comit de Seguridad al tanto de la ocurrencia de incidentes de seguridad. 6.3.2. Comunicacin de Debilidades en Materia de Seguridad Los usuarios de servicios de informacin, al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Responsable de Seguridad Informtica. 6.3.3. Comunicacin de Anomalas del Software Se establecern procedimientos para la comunicacin de anomalas de software, los cuales debern contemplar: a) Registrar los sntomas del problema y los mensajes que aparecen en pantalla. b) Establecer las medidas de aplicacin inmediata ante la presencia de una anomala. c) Alertar inmediatamente al Responsable de Seguridad Informtica o del Activo de que se trate. La recuperacin ser realizada por personal experimentado, adecuadamente habilitado.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 20 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 6.3.4. Aprendiendo de los Incidentes Se definir un proceso que permita documentar, cuantificar y monitorear los tipos, volmenes y costos de los incidentes y anomalas. Esta informacin se utilizar para identificar aquellos que sean recurrentes o de alto impacto. Esto ser evaluado a efectos de establecer la necesidad de mejorar o agregar controles para limitar la frecuencia, dao y costo de casos futuros.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 21 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 7. SEGURIDAD FSICA Y AMBIENTAL Son sus objetivos: a) Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin de la Universidad. b) Proteger el equipamiento de procesamiento de informacin crtica de la Universidad, ubicndolo en reas protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la proteccin del mismo en su traslado y permanencia fuera de las reas protegidas, por motivos de mantenimiento u otros. c) Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico que alberga la informacin del Organismo. d) Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales. e) Proporcionar proteccin proporcional a los riesgos identificados. Esta Poltica se aplica a todos los recursos fsicos relativos a los sistemas de informacin de la Universidad: instalaciones, equipamiento, cableado, expedientes, medios de almacenamiento, etc. El Responsable de Seguridad Informtica definir junto con el Responsable del rea Informtica y los Propietarios de Informacin, segn corresponda, las medidas de seguridad fsica y ambiental para el resguardo de los activos crticos, en funcin a un anlisis de riesgos, y controlar su implementacin. Asimismo, verificar el cumplimiento de las disposiciones sobre seguridad fsica y ambiental indicadas en el presente Captulo. El Responsable del rea Informtica asistir al Responsable de Seguridad Informtica en la definicin de las medidas de seguridad a implementar en reas protegidas, y coordinar su implementacin. Asimismo, controlar el mantenimiento del equipamiento informtico de acuerdo a las indicaciones de proveedores tanto dentro como fuera de las instalaciones de la Universidad. Los Responsables de Unidades Organizativas definirn los niveles de acceso fsico del personal del organismo a las a las reas restringidas bajo su responsabilidad. Los Propietarios de la Informacin autorizarn formalmente el trabajo fuera de las instalaciones con informacin de su incumbencia a los empleados de la Universidad cuando lo crean conveniente. Todo el personal de la Universidad es responsable del cumplimiento de la poltica de pantallas y escritorios limpios, para la proteccin de la informacin relativa al trabajo diario en las oficinas.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 22 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 7.1. Permetro de Seguridad Fsica La proteccin fsica se llevar a cabo mediante la creacin de diversas barreras o medidas de control fsicas alrededor de las sedes del Organismo y de las instalaciones de procesamiento de informacin. El Organismo utilizar permetros de seguridad para proteger las reas que contienen instalaciones de procesamiento de informacin, de suministro de energa elctrica, de aire acondicionado, y cualquier otra rea considerada crtica para el correcto funcionamiento de los sistemas de informacin. Un permetro de seguridad est delimitado por una barrera, por ejemplo una pared, una puerta de acceso controlado por dispositivo de autenticacin o un escritorio u oficina de recepcin atendidos por personas. El emplazamiento y la fortaleza de cada barrera estarn definidas por el Responsable del rea Informtica con el asesoramiento del Responsable de Seguridad Informtica, de acuerdo a la evaluacin de riesgos efectuada. 7.2. Controles de Acceso Fsico Las reas protegidas se resguardarn mediante el empleo de controles de acceso fsico, los que sern determinados por el Responsable de Seguridad Informtica junto con el Responsable del rea Informtica, a fin de permitir el acceso slo al personal autorizado. 7.3. Proteccin de Oficinas, Recintos e Instalaciones Para la seleccin y el diseo de un rea protegida se tendr en cuenta la posibilidad de dao producido por incendio, inundacin, explosin, agitacin civil, y otras formas de desastres naturales o provocados por el hombre. Tambin se tomarn en cuenta las disposiciones y normas (estndares) en materia de sanidad y seguridad. Asimismo, se considerarn las amenazas a la seguridad que representan los edificios y zonas aledaas. 7.4. Desarrollo de Tareas en reas Protegidas Para incrementar la seguridad de las reas protegidas, se establecern controles y lineamientos adicionales, que incluyan controles para el personal que trabaja en el rea protegida, as como para las actividades de terceros que tengan lugar all. 7.5. Aislamiento de las reas de Recepcin y Distribucin Se controlarn las reas de Recepcin y Distribucin, las cuales estarn aisladas de las instalaciones de procesamiento de informacin, a fin de impedir accesos no autorizados.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 23 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 7.6. Ubicacin y Proteccin del Equipamiento y Copias de Seguridad El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, 7.7. Suministros de Energa El equipamiento estar protegido con respecto a las posibles fallas en el suministro de energa otras anomalas elctricas. El suministro de energa estar de acuerdo con las especificaciones del fabricante o proveedor de cada equipo. 7.8. Seguridad del Cableado El cableado de energa elctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de informacin estar protegido contra intercepcin o dao. 7.9. Mantenimiento de Equipos Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes, teniendo en cuenta a tal efecto: a) la realizacin de tareas de mantenimiento preventivo al equipamiento, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorizacin formal del Responsables del rea Informtica. b) el establecimiento de la prctica de que slo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento. c) la registracin de todas las fallas -supuestas y/o reales- y de todo el mantenimiento preventivo y correctivo realizado. d) la registracin del retiro de equipamiento para su mantenimiento de la sede de la Universidad. e) la eliminacin de toda informacin confidencial que contenga cualquier equipamiento que sea necesario retirar, realizndose previamente las respectivas copias de resguardo.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 24 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 7.10. Seguridad de los Equipos Fuera de las Instalaciones El uso de equipamiento destinado al procesamiento de informacin, fuera del mbito de la Universidad ser autorizado por el responsable patrimonial. En el caso de que en el mismo se almacene informacin clasificada, deber ser aprobado adems por el Propietario de la misma. La seguridad provista debe ser equivalente a la suministrada dentro del mbito de la Universidad para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. 7.11. Desafectacin o Reutilizacin Segura de los Equipos La informacin puede verse comprometida por una desafectacin o una reutilizacin descuidada del equipamiento. Los medios de almacenamiento conteniendo material sensible, por ejemplo discos rgidos no removibles, sern fsicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estndar, segn corresponda. 7.12. Polticas de Escritorios y Pantallas Limpias Se adopta una poltica de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una poltica de pantallas limpias en las instalaciones de procesamiento de informacin, a fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como fuera del mismo. 7.13. Retiro de los Bienes El equipamiento, la informacin y el software no sern retirados de la sede del Organismo sin autorizacin formal. Peridicamente, se llevarn a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos del Organismo.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 25 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 8. GESTIN DE COMUNICACIONES Y OPERACIONES Son sus objetivos: a) Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. b) Establecer responsabilidades y procedimientos para su gestin y operacin, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separacin de funciones. Cada Propietario de la Informacin, junto con el Responsable de Seguridad Informtica y el Responsable del rea Informtica, determinar los requerimientos para resguardar la informacin por la cual es responsable. Asimismo, aprobar los servicios de mensajera autorizados para transportar la informacin cuando sea requerido, de acuerdo a su nivel de criticidad. 8.1. Procedimientos y Responsabilidades Operativas 8.1.1. Documentacin de los Procedimientos Operativos Se documentarn y mantendrn actualizados los procedimientos operativos identificados en esta Poltica y sus cambios sern autorizados por el Responsable de Seguridad Informtica. 8.1.2. Control de Cambios en las Operaciones Se definirn procedimientos para el control de los cambios en el ambiente operativo y de comunicaciones. Todo cambio deber ser evaluado previamente en aspectos tcnicos y de seguridad. El Responsable de Seguridad Informtica controlar que los cambios en los componentes operativos y de comunicaciones no afecten la seguridad de los mismos ni de la informacin que soportan. El Responsable del rea Informtica evaluar el posible impacto operativo de los cambios previstos y verificar su correcta implementacin. 8.1.3. Procedimientos de Manejo de Incidentes Se establecern funciones y procedimientos de manejo de incidentes garantizando una respuesta rpida, eficaz y sistemtica a los incidentes relativos a seguridad. 8.1.4. Separacin de Funciones Se contemplar la separacin de la gestin o ejecucin de tareas o reas de responsabilidad, en la medida de que la misma reduzca el riesgo de modificaciones no autorizadas o mal uso de la informacin o los servicios por falta de independencia en la ejecucin de funciones crticas.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 26 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General En los casos en los que este mtodo de control no se pudiera cumplirse, se implementarn controles tales como el monitoreo de las actividades y/o la elaboracin de registros de auditora y control peridico de los mismos. 8.1.5. Separacin entre Instalaciones de Desarrollo e Instalaciones Operativas Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, estarn separados preferentemente en forma fsica, y se definirn y documentarn las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. 8.1.6. Gestin de Instalaciones Externas En el caso de tercerizar la administracin de las instalaciones de procesamiento, se acordarn controles con el proveedor del servicio que se incluirn en el contrato de tercerizacin. 8.2. Planificacin y Aprobacin de Sistemas 8.2.1. Planificacin de la Capacidad El Responsable del rea Informtica, o el personal que ste designe, efectuar el monitoreo de las necesidades de capacidad de los sistemas en operacin y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento adecuados. Para ello tomar en cuenta adems los nuevos requerimientos de los sistemas as como las tendencias actuales y proyectadas en el procesamiento de la informacin de la Universidad para el perodo estipulado de vida til de cada componente. Asimismo, informar las necesidades detectadas a las autoridades competentes para que puedan identificar y evitar potenciales cuellos de botella, que podran plantear una amenaza a la seguridad o a la continuidad del procesamiento, y puedan planificar una adecuada accin correctiva. 8.2.2. Aprobacin del Sistema El Responsable del rea Informtica y el Responsable de Seguridad Informtica sugerirn criterios de aprobacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones, solicitando la realizacin de las pruebas necesarias antes de su aprobacin definitiva. 8.3. Proteccin Contra Software Malicioso 8.3.1. Controles Contra Software Malicioso El Responsable de Seguridad Informtica definir controles de deteccin y prevencin para la proteccin contra software malicioso. El Responsable del rea Informtica, o el personal designado por ste, implementar dichos controles.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 27 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General El Responsable de Seguridad Informtica desarrollar procedimientos adecuados de concientizacin de usuarios en materia de seguridad, controles de acceso al sistema y administracin de cambios. 8.4. Mantenimiento 8.4.1. Resguardo de la Informacin El Responsable del rea Informtica y el de Seguridad Informtica junto al Responsable del rea Informtica y los Propietarios de Informacin determinarn los requerimientos para resguardar cada software o dato en funcin de su criticidad. En base a ello, se definir y documentar un esquema de resguardo de la informacin. 8.4.2. Registro de Actividades del Personal Operativo El Responsable del rea Informtica asegurar el registro de las actividades realizadas en los sistemas, incluyendo segn corresponda: a) Tiempos de inicio y cierre del sistema. b) Errores del sistema y medidas correctivas tomadas. c) Intentos de acceso a sistemas, recursos o informacin crtica o acciones restringidas d) Ejecucin de operaciones crticas e) Cambios a informacin crtica 8.4.3. Registro de Fallas El Responsable del rea Informtica desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la informacin o los sistemas de comunicaciones, que permita tomar medidas correctivas. 8.5. Administracin de la Red 8.5.1. Controles de Redes El Responsable de Seguridad Informtica definir controles para garantizar la seguridad de los datos y los servicios conectados en las redes del Organismo, contra el acceso no autorizado. El Responsable del rea Informtica implementar dichos controles. 8.6. Administracin y Seguridad de los Medios de Almacenamiento 8.6.1. Administracin de Medios Informticos Removibles El Responsable del rea Informtica, con la asistencia del Responsable de SeguPOLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 28 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General ridad Informtica, implementar procedimientos para la administracin de medios informticos removibles, como cintas, discos, casetes e informes impresos. 8.6.2. Eliminacin de Medios de Informacin El Responsable del rea Informtica, junto con el Responsable de Seguridad Informtica definirn procedimientos para la eliminacin segura de los medios de informacin respetando la normativa vigente. 8.6.3. Procedimientos de Manejo de la Informacin Se definirn procedimientos para el manejo y almacenamiento de la informacin de acuerdo a lo establecido en el captulo 5 Clasificacin y Control de Activos. 8.6.4. Seguridad de la Documentacin del Sistema La documentacin del sistema puede contener informacin sensible, por lo que se considerarn los recaudos para su proteccin, de almacenar la documentacin del sistema en forma segura y restringir el acceso a la documentacin del sistema al personal estrictamente necesario. Dicho acceso ser autorizado por el Propietario de la Informacin relativa al sistema. 8.7. Intercambios de Informacin y Software 8.7.1. Acuerdos de Intercambio de Informacin y Software Cuando se realicen acuerdos entre organizaciones para el intercambio de informacin y software, se especificarn el grado de sensibilidad de la informacin de la Universidad y las consideraciones de seguridad sobre la misma. 8.7.2. Seguridad de los Medios en Trnsito Los procedimientos de transporte de medios informticos entre diferentes puntos (envos postales y mensajera) debern contemplar la utilizacin de medios de transporte o servicios de mensajera confiables, suficiente embalaje para el envo y la adopcin de controles especiales, cuando resulte necesario, a fin de proteger la informacin sensible contra divulgacin o modificacin no autorizadas. 8.7.3. Seguridad del Gobierno Electrnico El Responsable de Seguridad Informtica verificar que los procedimientos de aprobacin de Software del punto Aprobacin del Sistema incluyan, para las aplicaciones de Gobierno Electrnico, los siguientes aspectos: a) Autenticacin: Nivel de confianza recproca suficiente sobre la identidad del usuario y la Universidad.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 29 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General b) Autorizacin: Niveles de Autorizacin adecuados para establecer disposiciones, emitir o firmar documentos clave, etc.. Forma de comunicarlo al otro participante de la transaccin electrnica. c) Procesos de oferta y contratacin pblica: Requerimientos de confidencialidad, integridad y prueba de envo y recepcin de documentos clave y de no repudio de contratos. d) Trmites en lnea: Confidencialidad, integridad y no repudio de los datos suministrados con respecto a trmites y presentaciones ante el Estado y confirmacin de recepcin. e) Verificacin: Grado de verificacin apropiado para constatar la informacin suministrada por los usuarios. f) Cierre de la transaccin: Forma de interaccin ms adecuada para evitar fraudes. g) Proteccin a la duplicacin: Asegurar que una transaccin slo se realiza una vez, a menos que se especifique lo contrario. h) No repudio: Manera de evitar que una entidad que haya enviado o recibido informacin alegue que no la envi o recibi. i) Responsabilidad: Asignacin de responsabilidades ante el riesgo de eventuales presentaciones, tramitaciones o transacciones fraudulentas. 8.7.4. Seguridad del Correo Electrnico 8.7.4.1. Riesgos de Seguridad Se implementarn controles para reducir los riesgos de incidentes de seguridad en el correo electrnico, contemplando: a) La vulnerabilidad de los mensajes al acceso o modificacin no autorizados o a la negacin de servicio. b) La posible intercepcin y el consecuente acceso a los mensajes en los medios de transferencia que intervienen en la distribucin de los mismos. c) Las posibles vulnerabilidades a errores, por ejemplo, consignacin incorrecta de la direccin o direccin errnea, y la confiabilidad y disponibilidad general del servicio. d) La posible recepcin de cdigo malicioso en un mensaje de correo, el cual afecte la seguridad de la terminal receptora o de la red a la que se encuentra conectada. e) El impacto de un cambio en el medio de comunicacin en los procesos del Organismo.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 30 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General f) Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, envo, entrega y aceptacin. g) Las implicancias de la publicacin externa de listados de personal, accesibles al pblico. h) El acceso de usuarios remotos a las cuentas de correo electrnico. i) El uso inadecuado por parte del personal. 8.7.4.2. Poltica de Correo Electrnico El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica definirn y documentarn normas y procedimientos claros con respecto al uso del correo electrnico, que incluya al menos los siguientes aspectos: a) Proteccin contra ataques al correo electrnico, por ejemplo virus, intercepcin, etc. b) Proteccin de archivos adjuntos de correo electrnico. c) Uso de tcnicas criptogrficas para proteger la confidencialidad e integridad de los mensajes electrnicos (Ver 10.3. Controles Criptogrficos). d) Retencin de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio. e) Controles adicionales para examinar mensajes electrnicos que no pueden ser autenticados. f) Aspectos operativos para garantizar el correcto funcionamiento del servicio (ej.: tamao mximo de informacin transmitida y recibida, cantidad de destinatarios, tamao mximo del buzn del usuario, etc.). g) Definicin de los alcances del uso del correo electrnico por parte del personal de la Universidad. 8.7.5. Seguridad de los Sistemas Electrnicos de Oficina Se controlarn los mecanismos de distribucin y difusin tales como documentos, computadoras, computacin mvil, comunicaciones mviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios o instalaciones postales, equipos de fax, etc. 8.7.6. Sistemas de Acceso Pblico Se tomarn recaudos para la proteccin de la integridad de la informacin publicada electrnicamente, a fin de prevenir la modificacin no autorizada.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 31 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 8.7.7. Otras Formas de Intercambio de Informacin Se implementarn normas, procedimientos y controles para proteger el intercambio de informacin a travs de medios de comunicaciones de voz, fax y vdeo.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 32 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 9. CONTROL DE ACCESOS Son sus objetivos: a) Impedir el acceso no autorizado a los sistemas de informacin, bases de datos y servicios de informacin. b) Implementar seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. c) Controlar la seguridad en la conexin entre la red del Organismo y otras redes pblicas o privadas. d) Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. e) Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos. f) Garantizar la seguridad de la informacin cuando se utiliza computacin mvil e instalaciones de trabajo remoto. 9.1. Requerimientos para el Control de Acceso 9.1.1. Poltica de Control de Accesos 9.1.2. Reglas de Control de Acceso 9.2. Administracin de Accesos de Usuarios Con el objetivo de impedir el acceso no autorizado a la informacin se implementarn procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas, datos y servicios de informacin. 9.2.1. Registracin de Usuarios El Responsable de Seguridad Informtica definir un procedimiento formal de registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de informacin multiusuario, 9.2.2. Administracin de Privilegios Se limitar y controlar la asignacin y uso de privilegios, debido a que el uso inadecuado de los privilegios del sistema resulta frecuentemente en el factor ms importante que contribuye a la falla de los sistemas a los que se ha accedido ilegalmente. Los sistemas multiusuario que requieren proteccin contra accesos no autorizados, deben prever una asignacin de privilegios controlada mediante un proceso de autorizacin formal.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 33 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 9.2.3. Administracin de Contraseas de Usuario La asignacin de contraseas se controlar a travs de un proceso de administracin formal. 9.2.4. Administracin de Contraseas Crticas Existen cuentas de usuarios con las cuales es posible efectuar actividades crticas como ser instalacin de plataformas o sistemas, habilitacin de servicios, actualizacin de software, configuracin de componentes informticos, etc.. Dichas cuentas no sern de uso habitual (diario), sino que slo sern utilizadas ante una necesidad especfica de realizar alguna tarea que lo requiera y se encontrarn protegidas por contraseas con un mayor nivel de complejidad que el habitual. El Responsable de Seguridad Informtica definir procedimientos para la administracin de dichas contraseas crticas. 9.2.5. Revisin de Derechos de Acceso de Usuarios A fin de mantener un control eficaz del acceso a los datos y servicios de informacin, el Propietario de la Informacin de que se trate, llevar a cabo un proceso formal, a intervalos regulares de no ms a 6 meses, a fin de revisar los derechos de acceso de los usuarios. 9.3. Responsabilidades del Usuario 9.3.1. Uso de Contraseas Los usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de contraseas. Las contraseas constituyen un medio de validacin y autenticacin de la identidad de un usuario, y consecuentemente un medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de informacin. Los usuarios deben cumplir las directivas que se impartan a tal efecto. 9.3.2. Equipos Desatendidos en reas de Usuarios Los usuarios debern garantizar que los equipos desatendidos sean protegidos adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo estaciones de trabajo o servidores de archivos, requieren una proteccin especfica contra accesos no autorizados cuando se encuentran desatendidos. El Responsable de Seguridad Informtica debe coordinar con el rea de Recursos Humanos las tareas de concientizacin a todos los usuarios y contratistas, acerca de los requerimientos y procedimientos de seguridad, para la proteccin de equipos desatendidos, as como de sus funciones en relacin a la implementacin de dicha proteccin.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 34 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 9.4. Control de Acceso a la Red 9.4.1. Poltica de Utilizacin de los Servicios de Red Se controlar el acceso a los servicios de red tanto internos como externos. El Responsable del rea Informtica tendr a cargo el otorgamiento del acceso a los servicios y recursos de red, nicamente de acuerdo al pedido formal del titular de una Unidad Organizativa que lo solicite para personal de su incumbencia. 9.4.2. Camino Forzado El camino de las comunicaciones ser controlado. Se limitarn las opciones de eleccin de la ruta entre la terminal de usuario y los servicios a los cuales el mismo se encuentra autorizado a acceder, mediante la implementacin de controles en diferentes puntos de la misma. 9.4.3. Autenticacin de Usuarios para Conexiones Externas El Responsable de Seguridad Informtica, conjuntamente con el Propietario de la Informacin de que se trate, realizarn una evaluacin de riesgos a fin de determinar el mecanismo de autenticacin que corresponda en cada caso. 9.4.4. Autenticacin de Nodos Una herramienta de conexin automtica a una computadora remota podra brindar un medio para obtener acceso no autorizado a una aplicacin de la Universidad. Por consiguiente, las conexiones a sistemas informticos remotos sern autenticadas. 9.4.5. Proteccin de los Puertos (Ports) de Diagnstico Remoto Los puertos de diagnstico proporcionan un medio de acceso no autorizado. Por consiguiente, sern protegidos por un mecanismo de seguridad apropiado 9.4.6. Subdivisin de Redes Se definirn y documentarn los permetros de seguridad que sean convenientes, que se implementarn mediante la instalacin de gateways con funcionalidades de firewall o redes privadas virtuales, para filtrar el trfico entre los dominios y para bloquear el acceso no autorizado. 9.4.7. Acceso a Internet El acceso a Internet ser utilizado con propsitos autorizados o con el destino por el cual fue provisto. El Responsable de Seguridad Informtica definir procedimientos para solicitar y aprobar accesos a Internet. Los accesos sern autorizados formalmente por el Responsable de la Unidad Organizativa a cargo del personal que lo solicite. Asimismo, se definirn las pautas de utilizacin de Internet para todos los usuarios.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 35 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 9.4.8. Control de Conexin a la Red Se podrn implementar controles para limitar la capacidad de conexin de los usuarios, de acuerdo a las polticas que se establecen a tal efecto. Dichos controles se podrn implementar en los gateways que separan los diferentes dominios de la red. 9.4.9. Control de Ruteo de Red Se incorporarn controles de ruteo, para asegurar que las conexiones informticas y los flujos de informacin no violen la Poltica de Control de Accesos. Estos controles contemplarn mnimamente la verificacin positiva de direcciones de origen y destino. 9.4.10. Seguridad de los Servicios de Red El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica definirn las pautas para garantizar la seguridad de los servicios de red de la Universidad, tanto de los pblicos como los privados. 9.5. Control de Acceso al Sistema Operativo 9.5.1. Identificacin Automtica de Terminales El Responsable de Seguridad Informtica junto con el Responsable del rea Informtica realizarn una evaluacin de riesgos a fin de determinar el mtodo de proteccin adecuado para el acceso al Sistema Operativo. 9.5.2. Procedimientos de Conexin de Terminales El acceso a los servicios de informacin slo ser posible a travs de un proceso de conexin seguro. El procedimiento de conexin en un sistema informtico ser diseado para minimizar la oportunidad de acceso no autorizado. 9.5.3. Identificacin y Autenticacin de los Usuarios Todos los usuarios (incluido el personal de soporte tcnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendrn un identificador nico (ID de usuario) solamente para su uso personal exclusivo. Los identificadores de usuario no darn ningn indicio del nivel de privilegio otorgado. 9.5.4. Sistema de Administracin de Contraseas El sistema de administracin de contraseas debe: a) Imponer el uso de contraseas individuales para determinar responsabilidades.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 36 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General b) Permitir que los usuarios seleccionen y cambien sus propias contraseas (luego de cumplido el plazo mnimo de mantenimiento de las mismas) e incluir un procedimiento de confirmacin para contemplar los errores de ingreso. c) Imponer una seleccin de contraseas de calidad segn lo sealado en el punto Uso de Contraseas. d) Imponer cambios en las contraseas en aquellos casos en que los usuarios mantengan sus propias contraseas, segn lo sealado en el punto Uso de Contraseas. e) Obligar a los usuarios a cambiar las contraseas provisorias en su primer procedimiento de identificacin, en los casos en que ellos seleccionen sus contraseas. f) Mantener un registro de las ltimas contraseas utilizadas por el usuario, y evitar la reutilizacin de las mismas. g) Evitar mostrar las contraseas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseas y los datos de sistemas de aplicacin. i) Almacenar las contraseas en forma cifrada utilizando un algoritmo de cifrado unidireccional. j) Modificar todas las contraseas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseas, asegure que no se tenga acceso a informacin temporal o en trnsito de forma no protegida. 9.5.5. Uso de Utilitarios de Sistema Existen programas utilitarios que podran tener la capacidad de pasar por alto los controles de sistemas y aplicaciones. Su uso ser limitado y minuciosamente controlado. 9.5.6. Alarmas Silenciosas para la Proteccin de los Usuarios Se considerar la provisin de alarmas silenciosas para los usuarios que podran ser objetos de coercin. La decisin de suministrar una alarma de esta ndole se basar en una evaluacin de riesgos que realizar el Responsable de Seguridad Informtica junto con el Responsable del rea Informtica. 9.5.7. Desconexin de Terminales por Tiempo Muerto El Responsable de Seguridad Informtica, junto con los Propietarios de la InforPOLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 37 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General macin de que se trate definirn cules se consideran terminales de alto riesgo. o que sirven a sistemas de alto riesgo. Las mismas se apagarn despus de un periodo definido de inactividad, por un lapso que responder a los riesgos de seguridad del rea y de la informacin que maneje la terminal.. Para las PCs, se implementar la desconexin por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicacin o de red. Por otro lado, si un usuario debe abandonar su puesto de trabajo momentneamente, activar protectores de pantalla con contraseas. 9.5.8. Limitacin del Horario de Conexin Se implementar un control de esta ndole para aplicaciones informticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo. 9.6. Control de Acceso a las Aplicaciones 9.6.1. Restriccin del Acceso a la Informacin Los usuarios de sistemas de aplicacin, con inclusin del personal de soporte, tendrn acceso a la informacin y a las funciones de los sistemas de aplicacin de conformidad con la Poltica de Control de Acceso definida, sobre la base de los requerimientos de cada aplicacin, y conforme a la Poltica de la Universidad para el acceso a la informacin 9.6.2. Aislamiento de los Sistemas Sensibles Los sistemas sensibles podran requerir de un ambiente informtico dedicado (aislado). La sensibilidad puede sealar que el sistema de aplicacin debe ejecutarse en una computadora dedicada, que slo debe compartir recursos con los sistemas de aplicacin confiables, o no tener limitaciones. 9.7. Monitoreo del Acceso y Uso de los Sistemas 9.7.1. Registro de Eventos Se generarn registros de auditora que contengan excepciones y otros eventos relativos a la seguridad. Los registros de auditora debern incluir la identificacin del usuario, la fecha y hora de inicio y terminacin, la identidad o ubicacin de la terminal, un registro de intentos exitosos y fallidos de acceso al sistema y un registro de intentos exitosos y fallidos de acceso a datos y otros recursos. 9.7.2. Monitoreo del Uso de los Sistemas 9.7.2.1. Procedimientos y reas de Riesgo Se desarrollarn procedimientos para monitorear el uso de las instalaciones
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 38 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General de procesamiento de la informacin, a fin de garantizar que los usuarios slo estn desempeando actividades que hayan sido autorizadas explcitamente. 9.7.2.2. Factores de Riesgo Los Propietarios de la Informacin manifestarn la necesidad de registrar aquellos eventos que consideren crticos para la operatoria que se encuentra bajo su responsabilidad. 9.7.2.3. Registro y Revisin de Eventos Se implementar un procedimiento de registro y revisin de los registros de auditora, orientado a producir un informe de las amenazas detectadas contra los sistemas y los mtodos utilizados. La periodicidad de dichas revisiones ser definida por los Propietarios de la Informacin y el Responsable de Seguridad Informtica, de acuerdo a la evaluacin de riesgos efectuada. 9.7.3. Sincronizacin de Relojes A fin de garantizar la exactitud de los registros de auditora, al menos los equipos que realicen estos registros, debern tener una correcta configuracin de sus relojes. Para ello, se dispondr de un procedimiento de ajuste de relojes, el cual indicar tambin la verificacin de los relojes contra una fuente externa del dato y la modalidad de correccin ante cualquier variacin significativa.

Universidad Tecnolgica Nacional Rectorado

9.8. Computacin Mvil y Trabajo Remoto 9.8.1. Computacin Mvil Se desarrollarn procedimientos adecuados para estos dispositivos, que abarquen la proteccin fsica necesaria, el acceso seguro a los dispositivos, la utilizacin de los dispositivos en lugares pblicos. el acceso a los sistemas de informacin y servicios del Organismo a travs de dichos dispositivos, las tcnicas criptogrficas a utilizar para la transmisin de informacin clasificada, los mecanismos de resguardo de la informacin contenida en los dispositivos y la proteccin contra software malicioso. 9.8.2. Trabajo Remoto El trabajo remoto slo ser autorizado por el Responsable de la Unidad Organizativa, o superior jerrquico correspondiente, a la cual pertenezca el usuario solicitante, conjuntamente con el Responsable de Seguridad Informtica, cuando se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la informacin, de modo de cumplir con la poltica, normas y procedimientos existentes.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 39 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Son sus objetivos: a) Asegurar la inclusin de controles de seguridad y validacin de datos en el desarrollo de los sistemas de informacin. b) Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. c) Definir los mtodos de proteccin de la informacin crtica o sensible. Esta Poltica se aplica a todos los sistemas informticos, tanto desarrollos propios o de terceros, y a todos los Sistemas Operativos y/o Software de Base que integren cualquiera de los ambientes administrados por la Universidad en donde residan los desarrollos mencionados. El Responsable de Seguridad Informtica junto con el Propietario de la Informacin y la Unidad de Auditora Interna, definirn los controles a ser implementados en los sistemas desarrollados internamente o por terceros, en funcin de una evaluacin previa de riesgos. El Responsable de Seguridad Informtica, junto con el Propietario de la Informacin, definirn en funcin a la criticidad de la informacin, los requerimientos de proteccin mediante mtodos criptogrficos. Luego, el Responsable de Seguridad Informtica definir junto con el Responsable del rea de Sistemas, los mtodos de encripcin a ser utilizados. 10.1. Requerimientos de Seguridad de los Sistemas 10.1.1. Anlisis y Especificaciones de los Requerimientos de Seguridad Esta Poltica se implementa para incorporar seguridad a los sistemas de informacin (propios o de terceros) y a las mejoras o actualizaciones que se les incorporen. Los requerimientos para nuevos sistemas o mejoras a los existentes especificarn la necesidad de controles. Estas especificaciones deben considerar los controles automticos a incorporar al sistema, como as tambin controles manuales de apoyo. 10.2. Seguridad en los Sistemas de Aplicacin 10.2.1. Validacin de Datos de Entrada Se definir un procedimiento que durante la etapa de diseo, especifique controles que aseguren la validez de los datos ingresados, tan cerca del punto de origen como sea posible, controlando tambin datos permanentes y tablas de parmetros. 10.2.2. Controles de Procesamiento Interno Se definir un procedimiento para que durante la etapa de diseo, se incorporen controles de validacin a fin de eliminar o minimizar los riesgos de fallas de proPOLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 40 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General cesamiento y/o vicios por procesos de errores. 10.2.3. Autenticacin de Mensajes Cuando una aplicacin tenga previsto el envo de mensajes que contengan informacin clasificada, se implementarn controles criptogrficos. 10.2.4. Validacin de Datos de Salidas Se establecern procedimientos para validar la salida de los datos de las aplicaciones, incluyendo: a) Comprobaciones de la razonabilidad para probar si los datos de salida son plausibles. b) Control de conciliacin de cuentas para asegurar el procesamiento de todos los datos. c) Provisin de informacin suficiente, para que el lector o sistema de procesamiento subsiguiente determine la exactitud, totalidad, precisin y clasificacin de la informacin. d) Procedimientos para responder a las pruebas de validacin de salidas. e) Definicin de las responsabilidades de todo el personal involucrado en el proceso de salida de datos. 10.3. Controles Criptogrficos Se utilizarn sistemas y tcnicas criptogrficas para la proteccin de la informacin en base a un anlisis de riesgo efectuado, con el fin de asegurar una adecuada proteccin de su confidencialidad e integridad. 10.3.1. Poltica de Utilizacin de Controles Criptogrficos Se utilizarn controles criptogrficos en los siguientes casos: 1. Para la proteccin de claves de acceso a sistemas, datos y servicios. 2. Para la transmisin de informacin clasificada, fuera del mbito del Organismo. 3. Para el resguardo de informacin, cuando as surja de la evaluacin de riesgos realizada por el Propietario de la Informacin y el Responsable de Seguridad Informtica. 10.3.2. Cifrado Mediante la evaluacin de riesgos que llevar a cabo el Propietario de la Informacin y el Responsable de Seguridad Informtica, se identificar el nivel requerido de proteccin, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptogrficas a utilizar.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 41 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 10.3.3. Firma Digital Se tomarn recaudos para proteger la confidencialidad de las claves privadas. Asimismo, es importante proteger la integridad de la clave pblica. Esta proteccin se provee mediante el uso de un certificado de clave pblica. 10.3.4. Servicios de No Repudio Estos servicios se utilizarn cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o accin. Su objetivo es proporcionar herramientas para evitar que aqul que haya originado una transaccin electrnica niegue haberla efectuado. 10.3.5. Administracin de Claves 10.3.5.1. Proteccin de Claves Criptogrficas Se implementar un sistema de administracin de claves criptogrficas para respaldar su utilizacin por parte de la Universidad. Todas las claves sern protegidas contra modificacin y destruccin, y las claves secretas y privadas sern protegidas contra copia o divulgacin no autorizada. Se proporcionar una proteccin adecuada al equipamiento utilizado para generar, almacenar y archivar claves, considerndolo crtico o de alto riesgo. 10.4. Seguridad de los Archivos del Sistema Se garantizar que los desarrollos y actividades de soporte a los sistemas se lleven a cabo de manera segura, controlando el acceso a los archivos del mismo. 10.4.1. Control del Software Operativo Toda aplicacin, desarrollada por el Organismo o por un tercero tendr un nico Responsable designado formalmente por el Responsable del rea Informtica. Ningn programador o analista de desarrollo y mantenimiento de aplicaciones podr acceder a los ambientes de produccin. El Responsable del rea Informtica, propondr para su aprobacin por parte del superior jerrquico que corresponda, la asignacin de la funcin de implementador al personal de su rea que considere adecuado. 10.4.2. Proteccin de los Datos de Prueba del Sistema Las pruebas de los sistemas se efectuarn sobre datos extrados del ambiente operativo. Para proteger los datos de prueba se establecern normas y procedimientos a tal efecto.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 42 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 10.4.3. Control de Cambios a Datos Operativos La modificacin, actualizacin o eliminacin de los datos operativos sern realizados a travs de los sistemas que procesan dichos datos y de acuerdo al esquema de control de accesos implementado en los mismos. 10.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes El Responsable del rea Informtica, propondr para su aprobacin por parte del superior jerrquico que corresponda la funcin de administrador de programas fuentes al personal de su rea que considere adecuado, quien tendr en custodia los programas fuentes 10.5. Seguridad de los Procesos de Desarrollo y Soporte 10.5.1. Procedimiento de Control de Cambios Se implementarn controles estrictos durante la implementacin de cambios imponiendo el cumplimiento de procedimientos formales. stos garantizarn que se cumplan los procedimientos de seguridad y control, respetando la divisin de funciones. 10.5.2. Revisin Tcnica de los Cambios en el Sistema Operativo Toda vez que sea necesario realizar un cambio en el Sistema Operativo, los sistemas sern revisados para asegurar que no se produzca un impacto en su funcionamiento o seguridad. 10.5.3. Restriccin del Cambio de Paquetes de Software La modificacin de paquetes de software suministrados por proveedores, previa autorizacin del Responsable del rea Informtica, deber: a) Analizar los trminos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas. b) Determinar la conveniencia de que la modificacin sea efectuada por el Organismo, por el proveedor o por un tercero. c) Evaluar el impacto que se produce si el Organismo se hace cargo del mantenimiento. d) Retener el software original realizando los cambios sobre una copia perfectamente identificada, documentando exhaustivamente por si fuera necesario aplicarlo a nuevas versiones.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 43 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 10.5.4. Canales Ocultos y Cdigo Malicioso Se redactarn normas y procedimientos que incluyan: a) Adquirir programas a proveedores acreditados o productos ya evaluados. b) Examinar los cdigos fuentes (cuando sea posible) antes de utilizar los programas. c) Controlar el acceso y las modificaciones al cdigo instalado. d) Utilizar herramientas para la proteccin contra la infeccin del software con cdigo malicioso. 10.5.5. Desarrollo Externo de Software Para el caso que se considere la tercerizacin del desarrollo de software, se establecern normas y procedimientos que contemplen los siguientes puntos: a) Acuerdos de licencias, propiedad de cdigo y derechos conferidos. b) Requerimientos contractuales con respecto a la calidad del cdigo y la existencia de garantas. c) Procedimientos de certificacin de la calidad y precisin del trabajo llevado a cabo por el proveedor, que incluyan auditoras, revisin de cdigo para detectar cdigo malicioso, verificacin del cumplimiento de los requerimientos de seguridad del software establecidos, etc. d) Verificacin del cumplimiento de las condiciones de seguridad contempladas en el punto 4.3.1. Requerimientos de Seguridad en Contratos de Tercerizacin. e) Acuerdos de custodia de los fuentes del software (y cualquier otra informacin requerida) en caso de quiebra de la tercera parte.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 44 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 11. ADMINISTRACIN DE LA CONTINUIDAD DE LAS ACTIVIDADES DEL ORGANISMO Son sus objetivos: a) Minimizar los efectos de las posibles interrupciones de las actividades normales de la Universidad (sean stas resultado de desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos) y proteger los procesos crticos mediante una combinacin de controles preventivos y acciones de recuperacin. b) Analizar las consecuencias de la interrupcin del servicio y tomar las medidas correspondientes para la prevencin de hechos similares en el futuro. c) Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas: 1) Notificacin / Activacin: Consistente en la deteccin y determinacin del dao y la activacin del plan. 2) Reanudacin: Consistente en la restauracin temporal de las operaciones y recuperacin del dao producido al sistema original. 3) Recuperacin: Consistente en la restauracin de las capacidades de proceso del sistema a las condiciones de operacin normales. d) Asegurar la coordinacin con el personal del Organismo y los contactos externos que participarn en las estrategias de planificacin de contingencias. Asignar funciones para cada actividad definida. El Responsable de Seguridad Informtica participar activamente en la definicin, documentacin, prueba y actualizacin de los planes de contingencia. Los Propietarios de la Informacin y el Responsable de Seguridad Informtica cumplirn las siguientes funciones: - Identificar las amenazas que puedan ocasionar interrupciones de los procesos y/o las actividades del Organismo. - Evaluar los riesgos para determinar el impacto de dichas interrupciones. - Identificar los controles preventivos. - Desarrollar un plan estratgico para determinar el enfoque global con el que se abordar la continuidad de las actividades del Organismo. - Elaborar los planes de contingencia necesarios para garantizar la continuidad de las actividades del Organismo. 11.1. Proceso de la Administracin de la Continuidad del Organismo El Comit de Seguridad de la Informacin, ser el responsable de la coordinacin del desarrollo de los procesos que garanticen la continuidad de las actividades del Organismo.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 45 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 11.2. Continuidad de las Actividades y Anlisis de los Impactos Se establece la necesidad de contar con un Plan de Continuidad de las Actividades de la Universidad que contemple los siguientes puntos: Identificar los eventos (amenazas) que puedan ocasionar interrupciones en los procesos de las actividades. Evaluar los riesgos para determinar el impacto de dichas interrupciones, tanto en trminos de magnitud de dao como del perodo de recuperacin. Identificar los controles preventivos. Esta actividad ser llevada a cabo con la activa participacin de los propietarios de los procesos y recursos de informacin de que se trate y el Responsable de Seguridad Informtica, considerando todos los procesos de las actividades de la Universidad y no limitndose a las instalaciones de procesamiento de la informacin. 11.3. Elaboracin e Implementacin de los Planes de Continuidad de las Actividades del Organismo Los propietarios de procesos y recursos de informacin, con la asistencia del Responsable de Seguridad Informtica, elaborarn los planes de contingencia necesarios para garantizar la continuidad de las actividades de la Universidad. Estos procesos debern ser propuestos por el Comit de Seguridad de la Informacin 11.4. Marco para la Planificacin de la Continuidad de las Actividades del Organismo Se mantendr un solo marco para los planes de continuidad de las actividades del Organismo, a fin de garantizar que los mismos sean uniformes e identificar prioridades de prueba y mantenimiento. Cada plan de continuidad especificar claramente las condiciones para su puesta en marcha, as como las personas a cargo de ejecutar cada componente del mismo. Cuando se identifiquen nuevos requerimientos, se modificarn los procedimientos de emergencia establecidos, por ejemplo, los planes de evacuacin o los recursos de emergencia existentes. 11.5. Ensayo, Mantenimiento y Reevaluacin de los Planes de Continuidad del Organismo El Comit de Seguridad de la Informacin establecer un cronograma de pruebas peridicas de cada uno de los planes de contingencia.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 46 DE 128

Comit de Seguridad de la Informacion


Coordinacin General 12. CUMPLIMIENTO Son sus objetivos: a) Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la Universidad y/o al empleado o que incurran en responsabilidad civil o penal como resultado de su incumplimiento. b) Garantizar que los sistemas cumplan con la poltica, normas y procedimientos de seguridad de la Universidad. c) Revisar la seguridad de los sistemas de informacin peridicamente a efectos de garantizar la adecuada aplicacin de la poltica, normas y procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de informacin. d) Optimizar la eficacia del proceso de auditora de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. e) Garantizar la existencia de controles que protejan los sistemas en produccin y las herramientas de auditora en el transcurso de las auditoras de sistemas. f) Determinar los plazos para el mantenimiento de informacin y para la recoleccin de evidencia de la Universidad. 12.1. Cumplimiento de Requisitos Legales 12.1.1. Identificacin de la Legislacin Aplicable Se definirn y documentarn claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de informacin. Del mismo modo se definirn y documentarn los controles especficos y las responsabilidades y funciones individuales para cumplir con dichos requisitos. 12.1.2. Derechos de Propiedad Intelectual Se implementarn procedimientos adecuados para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual. 12.1.2.1. Derecho de Propiedad Intelectual del Software El Responsable de Seguridad Informtica, con la asistencia del rea Legal, analizar los trminos y condiciones de la licencia, e implementar los siguientes controles: a) Definir normas y procedimientos para el cumplimiento del derecho de propiedad intelectual de software que defina el uso legal de productos de informacin y de software.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 47 DE 128

Comit de Seguridad de la Informacion


Coordinacin General b) Divulgar las polticas de adquisicin de software y las disposiciones de la Ley de Propiedad Intelectual, y notificar la determinacin de tomar acciones disciplinarias contra el personal que las infrinja. c) Mantener un adecuado registro de activos. d) Conservar pruebas y evidencias de propiedad de licencias, discos maestros, manuales, etc. e) Implementar controles para evitar el exceso del nmero mximo permitido de usuarios. f) Verificar que slo se instalen productos con licencia y software autorizado. g) Elaborar y divulgar un procedimiento para el mantenimiento de condiciones adecuadas con respecto a las licencias. h) Elaborar y divulgar un procedimiento relativo a la eliminacin o transferencia de software a terceros. i) Utilizar herramientas de auditora adecuadas. j) Cumplir con los trminos y condiciones establecidos para obtener software e informacin en redes pblicas. 12.1.3. Proteccin de los Registros de la Universidad Los registros crticos del Organismo se protegern contra prdida, destruccin y falsificacin. Algunos registros pueden requerir una retencin segura para cumplir requisitos legales o normativos, as como para respaldar actividades esenciales de la Universidad. 12.1.4. Proteccin de Datos y Privacidad de la Informacin Personal Todos los empleados debern conocer las restricciones al tratamiento de los datos y de la informacin respecto a la cual tengan conocimiento con motivo del ejercicio de sus funciones. La Universidad redactar un Compromiso de Confidencialidad, el cual deber ser suscrito por todos los empleados. La copia firmada del compromiso ser retenida en forma segura por la Universidad. 12.1.5. Prevencin del Uso Inadecuado de los Recursos de Procesamiento de Informacin Los recursos de procesamiento de informacin del Organismo se suministran con un propsito determinado. Toda utilizacin de estos recursos con propsitos no autorizados o ajenos al destino por el cual fueron provistos debe ser considerada como uso indebido. Todos los empleados deben conocer el alcance preciso del uso adecuado de los recursos informticos y deben respetarlo. 12.1.6. Regulacin de Controles para el Uso de Criptografa Al utilizar firmas digitales o electrnicas, se deber considerar lo dispuesto por la

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 48 DE 128

Comit de Seguridad de la Informacion


Coordinacin General Ley 25.506 y su decreto reglamentario Decreto 2628/02, que establecen las condiciones bajo las cuales una firma digital es legalmente vlida. 12.1.7. Recoleccin de Evidencia Es necesario contar con adecuada evidencia para respaldar una accin contra una persona u organizacin. Siempre que esta accin responda a una medida disciplinaria interna, la evidencia necesaria estar descrita en los procedimientos internos. 12.2. Revisiones de la Poltica de Seguridad y la Compatibilidad Tcnica 12.2.1. Cumplimiento de las Polticas de Seguridad Cada Responsable de Unidad Organizativa, velar por la correcta implementacin y cumplimiento de las normas y procedimientos de seguridad establecidos, dentro de su rea de responsabilidad. El Responsable de Seguridad Informtica, realizar revisiones peridicas de todas las reas del Organismo a efectos de garantizar el cumplimiento de la poltica, normas y procedimientos de seguridad. Entre las reas a revisar se incluyen las siguientes: a) Sistemas de informacin. b) Proveedores de sistemas. c) Propietarios de informacin. d) Usuarios. Los Propietarios de la Informacin brindarn apoyo a la revisin peridica del cumplimiento de la poltica, normas, procedimientos y otros requisitos de seguridad aplicables. 12.2.2. Verificacin de la Compatibilidad Tcnica El Responsable de Seguridad Informtica verificar peridicamente que los sistemas de informacin cumplan con la poltica, normas y procedimientos de seguridad, las que incluirn la revisin de los sistemas en produccin a fin de garantizar que los controles de hardware y software hayan sido correctamente implementados. 12.3. Consideraciones de Auditoras de Sistemas 12.3.1. Controles de Auditora de Sistemas Cuando se realicen actividades de auditora que involucren verificaciones de los sistemas en produccin, se tomarn recaudos en la planificacin de los requerimientos y tareas, y se acordar con las reas involucradas a efectos de minimizar el riesgo de interrupciones en las operaciones.
POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 49 DE 128

Universidad Tecnolgica Nacional Rectorado

Comit de Seguridad de la Informacion


Coordinacin General 12.3.2. Proteccin de los Elementos Utilizados por la Auditora de Sistemas Se proteger el acceso a los elementos utilizados en las auditoras de sistemas, o sea archivos de datos o software, a fin de evitar el mal uso o el compromiso de los mismos. Dichas herramientas estarn separadas de los sistemas en produccin y de desarrollo, y se les otorgar el nivel de proteccin requerido. Se tomarn los recaudos necesarios a efectos de cumplimentar las normas de auditora dispuestas por la Sindicatura General de la Nacin. 12.4. Sanciones Previstas por Incumplimiento Se sancionar administrativamente a todo aquel que viole lo dispuesto en las presente Polticas de Seguridad conforme a lo dispuesto por las normas estatutarias, escalafonarias y convencionales que rigen al personal de la Administracin Pblica Nacional, y en caso de corresponder, se realizarn las acciones correspondientes ante el o los Organismos pertinentes.

Universidad Tecnolgica Nacional Rectorado

POLTICAS DE SEGURIDAD DE LA INFORMACIN - PLAN DE ACCIN 2009 - HOJA 50 DE 128