Políticas de seguridad

Ejemplo:

Mantenimiento del Software.

El área de desarrollo de sistemas no hará ningún cambio al sistema en

producción sin las debidas autorizaciones por escrito y sin cumplir con
los procedimientos establecidos.
Se deberá contar con un procedimiento de control de cambios que
garantice que sólo se realicen las modificaciones autorizadas.
La documentación de todos los cambios hechos al software se
preparará simultáneamente con el proceso de cambio.
Se deberá considerar, que cuando un tercero efectúe ajuste al software,
éste deberá firmar un acuerdo de no divulgación y utilización no
autorizada del mismo.

1. Alcance.
- Área de usuarios para solicitar cambios
- Área de desarrollo para las modificaciones necesarias en el
software
- Área de calidad para las pruebas posteriores a las modificaciones.

2. Objetivo.

- Establecer, documentar e implementar un proceso formal para el

control de los cambios en sistemas en producción y el pasaje de
desarrollo al ambiente de producción:
- Mantener la trazabilidad de las actualizaciones realizados en los
programas informáticos de la entidad.

3. Responsabilidades.

- El responsable del área de usuarios deberá solicitar por escrito

modificaciones a los sistemas a su cargo y autorizar su pase a
producción.
- El responsable de desarrollo deberá solicitar o autorizar las
modificaciones a cualquier software.
 - El personal designado para realizar el cambio será responsable del
desarrollo y el tester de corroborar su calidad.
- Establecer un procedimiento de emergencia para dejar sin efecto
en forma rápida los cambios efectuados y poder recuperar las
versiones autorizadas anteriormente en el caso de generarse
problemas no solucionables durante la instalación y período de
control que afecten a la continuidad operativa.

4. Requerimientos mínimos.

- Todo pedido de cambio deberá contar con autorización por escrito

por la gerencia de usuarios afectados, de la modificación, con su
especificación de requerimientos de cambios.
- Contar con autorización por escrito de parte del jefe de sistemas
para acceder al código fuente a la versión existente del software.
- Documentar los cambios realizados al código fuente. En la misma
se debe indicar, mínimamente, fecha, hora, ambiente de
procesamiento y responsable interviniente.
- No utilizar datos en producción para realizar las pruebas.
- Los ambientes deben estár segregados en entornos de desarrollo,
testing y producción.

5. Definición de sanciones.
- La sanción será aplicada según lo establece el procedimiento
interno.

Sanciones
Puede ocurrir el caso en que personal interno, externo o proveedor
incurra en alguna desviación o incumplimiento de esta política, lo cual
puede ser motivo de sanciones administrativas e incluso legales que debe
quedar explícitas en los contratos celebrados.
Tipificación de faltas

Tipo de falta Descripción

Leve Error que no compromete recursos, servicios o

información crítica del negocio.

Media Falta ocasionada por incumplimiento de la normativa en

forma consciente y que puede provocar un incidente de
seguridad en cuanto a pérdida, divulgación de
información o compromiso de los recursos.

Grave Falta que implica comprometer los recursos de la

organización, divulgación o pérdida de información
debido a acciones deliberadas que se realizan
contradiciendo las normas de seguridad con el fin de
ocasionar daño o para beneficio propio.

6. Responsabilidad del usuario.

Área usuario:
- Documentar los requerimientos, justificar las necesidades,
Área Desarrollo:
- Desarrollar cambios al sistema, cumpliendo con los requerimientos
establecidos
- Configurar adecuadamente los ambientes de desarrollo y pruebas.
- Realizar un versionado de cambios realizados al sistema.