Norma de Seguridad de Sistemas

NORMA DE SEGURIDAD DE
SISTEMAS
ABRIL 2012
FORTALEZA FFP S.A. N-ASI-03
NORMA Aprobado por: Directorio – GG
Documento: Acta No. 95
Seguridad de Sistemas
ÍNDICE
1. Introducción ...................................................................................................... 4
2. Objeto.. ............................................................................................................. 4
3. Alcance .............................................................................................................. 4
4. Definiciones ....................................................................................................... 4
5. Normas Específicas ............................................................................................ 5
5.1 Generación de Claves y Accesos a las Zonas de Sistemas ......................................... 5
O.C. 1º: Generación y Custodio de Claves ....................................................................... 5
O.C. 2° Custodio de Llaves Físicas ................................................................................... 5
O.C. 3°: Acceso a Zonas de Sistemas .............................................................................. 5
O.C. 4°: Baja de Accesos a Zonas Restringidas ............................................................... 5
O.C. 5°: Custodio de Activos en Zonas Restringidas ........................................................ 6
O.C. 6°: Registro de Accesos ........................................................................................... 6
5.2 Mantenimiento .......................................................................................................... 6
O.C. 7°: Mantenimiento y Limpieza del CPD .................................................................... 6
O.C. 8°: Extinguidores y Alarmas Contra Incendio .......................................................... 6
5.3 Telkey………. ............................................................................................................. 6
O.C. 9°: Control de Inventarios ....................................................................................... 6
5.4 Cuentas de Usuarios Técnicos ................................................................................... 7
O.C. 10°: Administración de Usuarios Técnicos ............................................................... 7
O.C. 11°: Revisión de Cuentas de Usuarios Técnicos ....................................................... 7
5.5 Seguridad Lógica ...................................................................................................... 7
O.C. 12°: Accesos Remotos ............................................................................................. 7
O.C. 13°: Utilitarios y Software de Administración .......................................................... 7
5.6 Información .............................................................................................................. 8
O.C. 14°: Custodia de la Información .............................................................................. 8
O.C. 15°: Tratamiento de Información ............................................................................ 8
5.7 Control…….. .............................................................................................................. 8
O.C. 16°: Control de Seguridad ....................................................................................... 8
O.C. 17°: Auditoria .......................................................................................................... 8
5.8 Reportes Gerenciales ................................................................................................ 8
O.C. 18°: Generación de Reportes ................................................................................... 8
5.9 Áreas Involucradas ................................................................................................... 9
Versión 2.0 24 de Abril de 2012 Página 2 de 9
Documento propiedad de FORTALEZA FFP – Prohibida su reproducción total o parcial.

O.C. 19°: Responsabilidades ........................................................................................... 9

5.10 Incumplimiento y Sanciones ................................................................................... 9
O.C. 20°: Incumplimiento y Sanciones ............................................................................ 9

NORMA DE SEGURIDAD DE SISTEMAS
1. Introducción
Se deben definir los controles necesarios que los usuarios finales deban ejercer, para mantener
un adecuado nivel de seguridad durante la explotación de los recursos tecnológicos asignados
para el cumplimiento de sus funciones.
2. Objeto
El objetivo principal de la presente Norma es reglamentar la seguridad física y lógica para

Tecnología.
3. Alcance
La norma se aplicará a nivel nacional, a todo el personal de Tecnología del Fondo.
4. Definiciones
Centro de Procesamiento de Datos (CPD) o Data Center: Es el ambiente donde se

encuentran los equipos de sistemas centrales como ser servidores, equipos de computación,
equipos de telecomunicaciones, Central Telefónica, UPSs y otros.
Cuenta de usuario técnico: Se refiere a las cuentas de administración existentes en

dispositivos o aplicaciones informáticas, por ejemplo root, Administrador, ADM, DBA, y otras
cuentas necesarias para la administración de servicios informáticos.
Herramienta Informática: Solución informática, aplicativo u ofimática definida por Fortaleza

FFP para formalizar y documentar los requerimientos relacionados con el Área de Sistemas.
Deberá considerar la generación de evidencia sobre los registros existentes.
O.C.: Abreviatura de Objetivo de Control. Un Objetivo de Control es una declaración del

resultado deseado o propósito a lograr al implementar procedimientos específicos de control
dentro de una actividad de Tecnología Informática.
Jefe Nacional de Seguridad de la Información: Responsabilidad de revisiones y

evaluaciones de calidad y seguridad como parte de sus funciones habituales.
Sala de Comunicaciones (SDC): Es el ambiente donde se encuentran los equipos de

comunicaciones. La sala de comunicaciones en la Oficina matriz se encuentra en el CPD.
TelKey: Es la bóveda exclusiva para sistemas donde se almacena claves y llaves, tanto físicas
como lógicas.
Su ubicación dependerá de la:
• Independencia de Administración (segregación de funciones)
• Disponibilidad de Acceso
• Seguridad Física del ambiente
Zonas de Sistemas: Son los diferentes ambientes donde Tecnología tiene recursos tecnológicos
utilizados para el procesamiento de la información del Negocio, estos pueden contener

servidores de archivos, aplicaciones, dispositivos de comunicaciones, generadores de energía

auxiliar y otros, tanto en la oficina matriz como en las sucursales.
5. Normas Específicas
5.1 Generación de Claves y Accesos a las Zonas de Sistemas
O.C. 1º: Generación y Custodio de Claves
El responsable designado debe generar y mantener bajo su custodia, en el TelKey, todas las
claves correspondientes a dispositivos que poseen la característica de ser administrables por
clave y se encuentren en las Zonas de Sistemas en Oficina Central.
Se debe definir un periodo equilibrado entre la seguridad y la operatividad para el cambio de

claves:
• Las claves de servidores deberán ser modificadas al menos cada 120 días.
• Las nuevas claves generadas deberán ser registradas el mismo día del cambio.
O.C. 2° Custodio de Llaves Físicas
El responsable designado debe recolectar y mantener bajo su custodia, en el TelKey, copias u

originales de todas las llaves correspondientes a Zonas de Sistemas en Oficina Central, que
tengan puertas o muebles, como racks, con este tipo de seguro.
Considerando que las llaves pueden ser copiadas, estas deberán ser cambiadas cuando se
considere el riesgo de acceso físico y no se cuente con una medida de control adicional, por
ejemplo control de acceso ejercido por personal de seguridad o chapa adicional con clave.
Máximo cada 12 meses el responsable deberá validar si las llaves físicas originales se
encuentran con los custodios designados y si la llave del TelKey funciona.
O.C. 3°: Acceso a Zonas de Sistemas
El Gerente Nacional de Tecnología es el único funcionario con acceso permanente a las zonas de
sistemas en cualquier horario.
El resto de los funcionarios de Tecnología que por sus funciones debe tener un acceso
permanente a estas zonas, deberá estar autorizado formalmente por el Gerente Nacional de
Tecnología, bajo el principio de “la necesidad de hacer otorga la necesidad de acceder”. Estas
autorizaciones deben ser revisadas y emitidas por lo menos una vez cada 12 meses.
Cualquier otro acceso adicional a los mencionados deberá estar autorizado o en su defecto
deberán estar acompañados por funcionarios que cuentan con esta potestad, además de
registrar el hecho.
O.C. 4°: Baja de Accesos a Zonas Restringidas
En caso de bajas de personal autorizado para el acceso a las Zonas Restringidas de Sistemas, el
Gerente Nacional de Tecnología realizará el respectivo cambio de claves. La ejecución de este
cambio deberá realizarse hasta 24 horas después de la baja del personal.

O.C. 5°: Custodio de Activos en Zonas Restringidas
El acceso a cualquiera de las Zonas restringidas de Sistemas por personal no autorizado, ya sea
interno a Fortaleza FFP o externo, deberá realizarse bajo la compañía del personal autorizado,
definido en el O.C. 2°. En caso de pérdida de algún material, serán responsables el personal a
cargo del resguardo de este activo y el acompañante de la visita.
O.C. 6°: Registro de Accesos
Todas las zonas restringidas de Tecnología deben contar con un sistema de registro que permita
validar la identidad de las personas que acceden o accedieron, el motivo, el funcionario
autorizador o acompañante, la fecha, hora y otros datos que hagan de este registro más exacto.
En el CPD será un responsable asignado por el Gerente Nacional de Tecnología el responsable de

administrar el sistema de registro vigente.
5.2 Mantenimiento
O.C. 7°: Mantenimiento y Limpieza del CPD
Las tareas de mantenimiento y limpieza del CPD, deben contar con la autorización del Gerente
Nacional de Tecnología quien a su vez debe designar un responsable que valide la correcta y
segura ejecución de la tarea.
O.C. 8°: Extinguidores y Alarmas Contra Incendio
Todas las zonas restringidas deberán contar con extinguidores y alarmas contra incendio en
lugares visibles y accesibles. El Gerente Nacional de Tecnología deberá coordinar el
mantenimiento de este equipo y Administración velar por la respectiva vigencia de estos
insumos.
5.3 Telkey
O.C. 9°: Control de Inventarios
El TelKey es considerado como zona restringida de Sistemas, consecuentemente debe estar bajo
la responsabilidad de la Jefatura Nacional de Seguridad de la Información y controlado por el
Gerente Nacional de Tecnología.
Se debe registrar todo ingreso, cambio o retiro de sobres lacrados en el TelKey. El TelKey debe
ser auditado por el Auditor de Sistemas, quien deberá realizar arqueos programados o
sorpresivos sobre las existencias, el movimiento, la caducidad y otros que considere necesarios.
Esta revisión deberá comprender como mínimo los siguientes aspectos:
• Revisión del registro de ingreso y retiro de sobres.

• Apertura de sobre por muestreo aleatorio y validación de contraseñas registradas en
presencia del titular.

Todo sobre que ingrese deberá contener la fecha de caducidad y ser retirado a su cumplimiento.
Cada titular de clave o llave física es responsable del contenido del sobre entregado, durante el
arqueo el Jefe Nacional de Seguridad de la Información podrá validar el funcionamiento de las
llaves.
5.4 Cuentas de Usuarios Técnicos
O.C. 10°: Administración de Usuarios Técnicos
Tecnología administrará las cuentas de los usuarios técnicos necesarias para la administración
de servidores, aplicaciones, dispositivos de telecomunicación y otros dispositivos.
El alta de cuentas de usuarios técnicos será solicitado y autorizado por la Gerencia, Unidad o
Sucursal correspondiente mediante la Herramienta informática.
Cada funcionario autorizado recibirá una cuenta de usuario técnico como parte de sus
responsabilidades. Una vez recibida la contraseña deberá cambiarla inmediatamente y enviar un
registro de esta al TelKey durante el día.
Cada funcionario es responsable de cambiar su contraseña cada 60 días como mínimo o cuando
juzgue necesario. El cambio de contraseña supone la actualización del sobre en el Telkey. El
cambio de contraseña también se hará cuando el Gerente Nacional de Tecnología o el Jefe
Nacional de Seguridad de la Información realicen el arqueo de TelKey.
Para la baja o traspaso de una cuenta de usuario técnico se deberá contar con la autorización
del Gerente Nacional de Tecnología y si corresponde, por ejemplo ante el retiro del funcionario
titular de la cuenta, la supervisión del Jefe Nacional de Seguridad de la Información.
Cuando se considere necesario se podrá dividir la contraseña de alguna cuenta en 2 partes y

asignar cada parte a un funcionario distinto, privilegiando la segregación de funciones y
oposición de intereses, esta medida podrá ser aplicada principalmente a cuentas muy sensibles
o de alto riesgo. Por ejemplo usuario root.
O.C. 11°: Revisión de Cuentas de Usuarios Técnicos
El Gerente Nacional de Tecnología deberá semestralmente o a requerimiento validar la

administración de cuentas de usuarios técnicos comparando las cuentas asignadas, los
responsables y los sobres del Telkey existentes.
5.5 Seguridad Lógica
O.C. 12°: Accesos Remotos
Ningún funcionario de Tecnología podrá tener habilitado un acceso remoto con facilidades de
administración a ningún recurso o aplicación informática sin la debida autorización del Gerente
Nacional de Tecnología y el Jefe Nacional de Seguridad de la Información.
O.C. 13°: Utilitarios y Software de Administración

Ningún funcionario de Tecnología podrá tener instalado o hacer uso de utilitarios o software de
administración por ejemplo: sniffers o rastreadores lógicos, que no estén debidamente
licenciados y autorizados por el Gerente Nacional de Tecnología y el Jefe Nacional de Seguridad
de la Información.
5.6 Información
O.C. 14°: Custodia de la Información
Todo el personal de Tecnología, debe mantener en estricta custodia la información sensible

asociada directa e indirectamente a la presente norma.
Toda información es confidencial salvo se exprese lo contrario.
O.C. 15°: Tratamiento de Información
La información impresa relacionada con la presente normativa, deberá ser conservada durante
12 meses (1 año), al cabo de los cuales podrá ser entregada al área de Administración bajo
inventario.
La información en medios digitales quedará bajo resguardo de Tecnología y será custodiada en

medio digital por el lapso de 5 años.
5.7 Control
O.C. 16°: Control de Seguridad
Todos los funcionarios deberán velar por el estricto cumplimiento de la presente normativa,
siendo su responsabilidad denunciar cualquier sospecha o incumplimiento de violación a lo
establecido ante el Jefe Nacional de Seguridad de la Información y procurar su aclaración.
O.C. 17°: Auditoria
Auditoria Interna, a través del Auditor de Sistemas, tendrá como responsabilidad la Auditoria a
la explotación de los recursos tecnológicos y procesos relacionados efectuando revisiones y
evaluaciones de calidad, seguridad y rendimiento de los recursos mencionados, como parte de
sus funciones habituales. Está también encargado de generar información requerida por
Fortaleza FFP relacionada con la presente Norma.
5.8 Reportes Gerenciales
O.C. 18°: Generación de Reportes
La frecuencia de Reportes Gerenciales es semestral y/o a requerimiento específico.
Según el tiempo especificado el responsable asignado presentará al Gerente Nacional de

Tecnología, los informes relacionados con la presente normativa. Por ejemplo:
• Relación de supercuentas vigentes con sobres en TelKey.

• Actualización de accesos.
• Estadísticas sobre el sistema de registro de accesos.

• Necesidad de uso y apertura de TelKey.

• Otros que se considere útil.
Este reporte no solo deberá ser estadístico, sino contener un informe y análisis crítico y
proponer un enfoque proactivo.
5.9 Áreas Involucradas
O.C. 19°: Responsabilidades
Las áreas involucradas en la presente norma, son:
Tecnología
• En la revisión y aprobación de los derechos de acceso físico y lógico del personal de
Sistemas.
• En la responsabilidad por el cumplimiento de la presente normativa.
• En la revisión y aprobación de los derechos de acceso físico y lógico del personal de
Sistemas.
• En la revisión y validación de los accesos registrados a las zonas de Sistemas.
• En el control de inventario sobre las llaves físicas otorgadas y en custodio de Telkey.
• En la actualización de contraseñas en el Telkey.
Jefe Nacional de Seguridad de la Información

• Autorización de accesos físicos y lógicos en coordinación con el Gerente Nacional de
Tecnología.
• En la revisión de los derechos de acceso físico y lógico del personal de Sistemas.
• En la revisión del TelKey.
5.10 Incumplimiento y Sanciones
O.C. 20°: Incumplimiento y Sanciones
El incumplimiento a la presente norma será sancionado de acuerdo al Reglamento Interno de

Fortaleza FFP y evaluado según la matriz de cumplimiento.

Norma de Seguridad de Sistemas

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma de Seguridad de Sistemas

Cargado por

Copyright:

Formatos disponibles

NORMA DE SEGURIDAD DE

Versión 2.0 24 de Abril de 2012 Página 2 de 9

Documento propiedad de FORTALEZA FFP – Prohibida su reproducción total o parcial.

O.C. 19°: Responsabilidades ........................................................................................... 9

Versión 2.0 24 de Abril de 2012 Página 3 de 9

Documento propiedad de FORTALEZA FFP – Prohibida su reproducción total o parcial.