Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SISTEMAS
ABRIL 2012
FORTALEZA FFP S.A. N-ASI-03
NORMA Aprobado por: Directorio – GG
Documento: Acta No. 95
Seguridad de Sistemas
ÍNDICE
1. Introducción ...................................................................................................... 4
2. Objeto.. ............................................................................................................. 4
3. Alcance .............................................................................................................. 4
4. Definiciones ....................................................................................................... 4
5. Normas Específicas ............................................................................................ 5
5.1 Generación de Claves y Accesos a las Zonas de Sistemas ......................................... 5
O.C. 1º: Generación y Custodio de Claves ....................................................................... 5
O.C. 2° Custodio de Llaves Físicas ................................................................................... 5
O.C. 3°: Acceso a Zonas de Sistemas .............................................................................. 5
O.C. 4°: Baja de Accesos a Zonas Restringidas ............................................................... 5
O.C. 5°: Custodio de Activos en Zonas Restringidas ........................................................ 6
O.C. 6°: Registro de Accesos ........................................................................................... 6
5.2 Mantenimiento .......................................................................................................... 6
O.C. 7°: Mantenimiento y Limpieza del CPD .................................................................... 6
O.C. 8°: Extinguidores y Alarmas Contra Incendio .......................................................... 6
5.3 Telkey………. ............................................................................................................. 6
O.C. 9°: Control de Inventarios ....................................................................................... 6
5.4 Cuentas de Usuarios Técnicos ................................................................................... 7
O.C. 10°: Administración de Usuarios Técnicos ............................................................... 7
O.C. 11°: Revisión de Cuentas de Usuarios Técnicos ....................................................... 7
5.5 Seguridad Lógica ...................................................................................................... 7
O.C. 12°: Accesos Remotos ............................................................................................. 7
O.C. 13°: Utilitarios y Software de Administración .......................................................... 7
5.6 Información .............................................................................................................. 8
O.C. 14°: Custodia de la Información .............................................................................. 8
O.C. 15°: Tratamiento de Información ............................................................................ 8
5.7 Control…….. .............................................................................................................. 8
O.C. 16°: Control de Seguridad ....................................................................................... 8
O.C. 17°: Auditoria .......................................................................................................... 8
5.8 Reportes Gerenciales ................................................................................................ 8
O.C. 18°: Generación de Reportes ................................................................................... 8
5.9 Áreas Involucradas ................................................................................................... 9
1. Introducción
Se deben definir los controles necesarios que los usuarios finales deban ejercer, para mantener
un adecuado nivel de seguridad durante la explotación de los recursos tecnológicos asignados
para el cumplimiento de sus funciones.
2. Objeto
3. Alcance
4. Definiciones
TelKey: Es la bóveda exclusiva para sistemas donde se almacena claves y llaves, tanto físicas
como lógicas.
Su ubicación dependerá de la:
• Independencia de Administración (segregación de funciones)
• Disponibilidad de Acceso
• Seguridad Física del ambiente
Zonas de Sistemas: Son los diferentes ambientes donde Tecnología tiene recursos tecnológicos
utilizados para el procesamiento de la información del Negocio, estos pueden contener
5. Normas Específicas
El responsable designado debe generar y mantener bajo su custodia, en el TelKey, todas las
claves correspondientes a dispositivos que poseen la característica de ser administrables por
clave y se encuentren en las Zonas de Sistemas en Oficina Central.
• Las claves de servidores deberán ser modificadas al menos cada 120 días.
• Las nuevas claves generadas deberán ser registradas el mismo día del cambio.
Considerando que las llaves pueden ser copiadas, estas deberán ser cambiadas cuando se
considere el riesgo de acceso físico y no se cuente con una medida de control adicional, por
ejemplo control de acceso ejercido por personal de seguridad o chapa adicional con clave.
Máximo cada 12 meses el responsable deberá validar si las llaves físicas originales se
encuentran con los custodios designados y si la llave del TelKey funciona.
El Gerente Nacional de Tecnología es el único funcionario con acceso permanente a las zonas de
sistemas en cualquier horario.
El resto de los funcionarios de Tecnología que por sus funciones debe tener un acceso
permanente a estas zonas, deberá estar autorizado formalmente por el Gerente Nacional de
Tecnología, bajo el principio de “la necesidad de hacer otorga la necesidad de acceder”. Estas
autorizaciones deben ser revisadas y emitidas por lo menos una vez cada 12 meses.
Cualquier otro acceso adicional a los mencionados deberá estar autorizado o en su defecto
deberán estar acompañados por funcionarios que cuentan con esta potestad, además de
registrar el hecho.
En caso de bajas de personal autorizado para el acceso a las Zonas Restringidas de Sistemas, el
Gerente Nacional de Tecnología realizará el respectivo cambio de claves. La ejecución de este
cambio deberá realizarse hasta 24 horas después de la baja del personal.
El acceso a cualquiera de las Zonas restringidas de Sistemas por personal no autorizado, ya sea
interno a Fortaleza FFP o externo, deberá realizarse bajo la compañía del personal autorizado,
definido en el O.C. 2°. En caso de pérdida de algún material, serán responsables el personal a
cargo del resguardo de este activo y el acompañante de la visita.
Todas las zonas restringidas de Tecnología deben contar con un sistema de registro que permita
validar la identidad de las personas que acceden o accedieron, el motivo, el funcionario
autorizador o acompañante, la fecha, hora y otros datos que hagan de este registro más exacto.
5.2 Mantenimiento
Las tareas de mantenimiento y limpieza del CPD, deben contar con la autorización del Gerente
Nacional de Tecnología quien a su vez debe designar un responsable que valide la correcta y
segura ejecución de la tarea.
Todas las zonas restringidas deberán contar con extinguidores y alarmas contra incendio en
lugares visibles y accesibles. El Gerente Nacional de Tecnología deberá coordinar el
mantenimiento de este equipo y Administración velar por la respectiva vigencia de estos
insumos.
5.3 Telkey
El TelKey es considerado como zona restringida de Sistemas, consecuentemente debe estar bajo
la responsabilidad de la Jefatura Nacional de Seguridad de la Información y controlado por el
Gerente Nacional de Tecnología.
Se debe registrar todo ingreso, cambio o retiro de sobres lacrados en el TelKey. El TelKey debe
ser auditado por el Auditor de Sistemas, quien deberá realizar arqueos programados o
sorpresivos sobre las existencias, el movimiento, la caducidad y otros que considere necesarios.
Todo sobre que ingrese deberá contener la fecha de caducidad y ser retirado a su cumplimiento.
Cada titular de clave o llave física es responsable del contenido del sobre entregado, durante el
arqueo el Jefe Nacional de Seguridad de la Información podrá validar el funcionamiento de las
llaves.
Tecnología administrará las cuentas de los usuarios técnicos necesarias para la administración
de servidores, aplicaciones, dispositivos de telecomunicación y otros dispositivos.
El alta de cuentas de usuarios técnicos será solicitado y autorizado por la Gerencia, Unidad o
Sucursal correspondiente mediante la Herramienta informática.
Cada funcionario autorizado recibirá una cuenta de usuario técnico como parte de sus
responsabilidades. Una vez recibida la contraseña deberá cambiarla inmediatamente y enviar un
registro de esta al TelKey durante el día.
Cada funcionario es responsable de cambiar su contraseña cada 60 días como mínimo o cuando
juzgue necesario. El cambio de contraseña supone la actualización del sobre en el Telkey. El
cambio de contraseña también se hará cuando el Gerente Nacional de Tecnología o el Jefe
Nacional de Seguridad de la Información realicen el arqueo de TelKey.
Para la baja o traspaso de una cuenta de usuario técnico se deberá contar con la autorización
del Gerente Nacional de Tecnología y si corresponde, por ejemplo ante el retiro del funcionario
titular de la cuenta, la supervisión del Jefe Nacional de Seguridad de la Información.
Ningún funcionario de Tecnología podrá tener habilitado un acceso remoto con facilidades de
administración a ningún recurso o aplicación informática sin la debida autorización del Gerente
Nacional de Tecnología y el Jefe Nacional de Seguridad de la Información.
Ningún funcionario de Tecnología podrá tener instalado o hacer uso de utilitarios o software de
administración por ejemplo: sniffers o rastreadores lógicos, que no estén debidamente
licenciados y autorizados por el Gerente Nacional de Tecnología y el Jefe Nacional de Seguridad
de la Información.
5.6 Información
La información impresa relacionada con la presente normativa, deberá ser conservada durante
12 meses (1 año), al cabo de los cuales podrá ser entregada al área de Administración bajo
inventario.
5.7 Control
Todos los funcionarios deberán velar por el estricto cumplimiento de la presente normativa,
siendo su responsabilidad denunciar cualquier sospecha o incumplimiento de violación a lo
establecido ante el Jefe Nacional de Seguridad de la Información y procurar su aclaración.
Auditoria Interna, a través del Auditor de Sistemas, tendrá como responsabilidad la Auditoria a
la explotación de los recursos tecnológicos y procesos relacionados efectuando revisiones y
evaluaciones de calidad, seguridad y rendimiento de los recursos mencionados, como parte de
sus funciones habituales. Está también encargado de generar información requerida por
Fortaleza FFP relacionada con la presente Norma.
Este reporte no solo deberá ser estadístico, sino contener un informe y análisis crítico y
proponer un enfoque proactivo.
Tecnología
• En la revisión y aprobación de los derechos de acceso físico y lógico del personal de
Sistemas.
• En la responsabilidad por el cumplimiento de la presente normativa.
• En la revisión y aprobación de los derechos de acceso físico y lógico del personal de
Sistemas.
• En la revisión y validación de los accesos registrados a las zonas de Sistemas.
• En el control de inventario sobre las llaves físicas otorgadas y en custodio de Telkey.
• En la actualización de contraseñas en el Telkey.