Comite ISO 17799-Version 1

COMITÉ DE GESTION INFORMACION

DE

LA

SEGURIDAD

DE

LA

ROLES E INTEGRANTES

SPONSOREO Y SEGUIMIENTO Dirección de la Compañía Integrado por: Gerente General y Presidente Ejecutivo del SENCICO. •

Responsable de:  Asignar los roles y responsabilidades relacionadas con la Seguridad a cada una de las funciones dentro de la Compañía. Definir la Política General con las pautas de Seguridad básicas. Monitorear periódicamente que se cumplan los objetivos previstos. •

• •

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 1/7

Foro / Comité de Seguridad Integrado por:  Asesor Técnico, Gerente de Administración y Finanzas, Gerente de la Oficina de Auditoria Interna, Asesor en Sistemas de Informática, Especialista en Relaciones Públicas, Asesor Legal, Gerente de Planificación y Presupuesto •

Responsable de:  Actuar en la toma de decisiones en situaciones no previstas o de criticidad máxima.  Aprobar el Plan Anual de Seguridad Informática. Efectuar reuniones periódicas para el seguimiento del cumplimiento del plan. •

• •

AUTORIZACIÓN Dueño de datos Integrado por: Los Jefes/Gerentes de todas las áreas usuarias de la Sede San Borja del SENCICO y la Gerencia Zonal Lima Callao. •

Responsable de: Identificar toda la información que corresponde a su área de responsabilidad cualquiera sea su forma y medio de conservación. Identificar toda la información que corresponde a su área de responsabilidad cualquiera sea su forma y medio de conservación. Clasificar todos los datos de su propiedad de acuerdo con el grado de criticidad de los mismos y mantener un registro actualizado de la información más sensible.  Autorizar el acceso a sus datos al personal de la compañía y/o terceros de acuerdo con sus respectivas funciones.  Autorizar cualquier transmisión, envío, impresión y/o destrucción de información sensible. Definir los eventos de seguridad que considere necesario para la protección de su información. Conservar la información relacionada con la encriptación de los datos sensibles. Identificar la información que es crítica para su área y para la compañía.  Asignar los permisos para el uso de la información en situaciones rutinarias y excepcionales. •

•

•

•

•

•

•

• •

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 2/7

DEFINICIÓN Área de Seguridad Informática Integrada por:  A la fecha no existe la persona encargada de dicha función en el SENCICO por lo que el Comité Ejecutivo Informático debe designar a dicho (s) responsable (s). •

Responsable de: Implementar un programa de concientización permanente de usuarios sobre la seguridad de la información y su mantenimiento a futuro. Mantener actualizada la normativa de seguridad y la lista de todos los Dueños de Datos / Delegados. Dar soporte a los usuarios en los procesos de: definición de los Dueños de Datos / Delegado Identificación de la información sensible Identificación de las medidas de seguridad necesarias en cada sistema para cumplir con la normativa Implementación de dichas medidas  Asistir al Administrador de Seguridad en la implementación de la normativa de seguridad informática Efectuar el control de los principales eventos que afecten la seguridad de la información y la posterior comunicación y asistencia a los Dueños de Datos / Delegados y demás responsables en: o Identificación del problema o  Análisis del impacto o  Acciones a llevar a cabo Efectuar el control de los principales eventos Participar en la investigación y recomendación de productos de seguridad en conjunto con el área de Sistemas, para la implementación de las medidas de seguridad en los sistemas. Participar en el proceso de evaluación de los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de sistemas, definición de las distintas estrategias de recupero, y en la prueba e implementación de los planes de recuperación ante desastres definidos. Participar en el desarrollo, mantenimiento o adquisición de sistemas de aplicación en cuanto a: Identificación y evaluación de los controles automatizados del o sistema, menús de usuarios y controles manuales adicionales a incluir en los procedimientos que acompañen a su operatoria Participación en la definición y evaluación de los lotes de prueba y o durante los procesos de conversión e implementación de los sistemas de aplicación, o Determinación de los perfiles de usuarios que accedan a cada uno de los puntos de menú en relación al puesto de trabajo. •

•

•

• •

• •

•

• •

•

•

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 3/7

Área de legales Integrada por: Todo el personal que realiza funciones dentro del área de la Oficina de  Asesoría Legal, ya sea dentro de la nómina o terceros contratados. •

Responsable de: Revisar permanentemente las definiciones de seguridad del marco normativo para verificar que estén dentro del marco jurídico correspondiente.  Analizar y definir las pautas a cumplir en la Compañía para cada una de las leyes y reglamentaciones relacionadas con la Seguridad Informática. Participar en actividades de control y seguimiento de incidentes de seguridad. •

•

•

Área de Recursos Humanos Integrada por: Todo el personal que realiza funciones dentro del Departamento de RRHH. •

Responsable de: Revisar permanentemente las definiciones de seguridad del marco normativo para verificar que estén dentro de las políticas de RRHH internas y del marco jurídico correspondiente.  Analizar y definir el sistema disciplinario relacionado con la Seguridad Informática. Cumplir las medidas de seguridad que le corresponden. Participar en actividades de control y seguimiento de incidentes de seguridad. •

•

• •

ADMINISTRACIÓN Administrador de Seguridad Integrado por: El responsable asignado a la función de administración de accesos a los sistemas de la Compañía. . A la fecha no existe la persona encargada de dicha función en el SENCICO por lo que el Comité Ejecutivo Informático debe designar a dicho responsable. •

Responsable de: Implementar las medidas de seguridad en los sistemas informáticos.  Administrar los procesos de asignación de cuentas de usuarios y permisos en los sistemas.  Asistir a los usuarios finales diariamente en las tareas de protección de los datos. Monitorear permanentemente en los sistemas cualquier evento que atente contra la Seguridad implementada. • •

•

•

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 4/7

•

Mantener soportes documentales de las actividades relacionadas con la seguridad a fines de control posterior.

CUMPLIMIENTO DIRECTO Usuarios finales Integrado por: Todo el personal que interactúa directa o indirectamente con las operaciones del SENCICO, ya sea personal de planilla o SNP. •

Responsable de: Cumplir en sus tareas diarias con las medidas de seguridad definidas en el marco normativo. Identificar y notificar ante incidentes de seguridad con la información bajo su responsabilidad. Custodiar los recursos informáticos asignados a su función (por ejemplo: computadoras portátiles, discos compactos, servidores de datos). Cumplir con la normativa de seguridad para la información crítica que tiene conocimiento y que eventualmente pudiera conservar en su domicilio. Firmar un documento de aceptación y conformidad con las medidas de seguridad definidas e implementadas por la Compañía. •

•

•

•

•

Terceros y personal contratado Integrado por: Todo el personal que acceda a información crítica del SENCICO, tenga o no un vínculo contractual permanente. •

Responsable de: Cumplir con las medidas de seguridad definidas en el marco normativo como usuario final. Firmar contratos / acuerdos de confidencialidad con la empresa contratada para definir las responsabilidades tanto corporativas como del personal que utilice información de la Compañía. •

•

Área de sistemas Integrado por: Todo el personal que realiza funciones dentro del Departamento de Informática. •

Responsable de: Implementar medidas de seguridad en los procesos diarios de trabajo. Dar participación al resto de las funciones en los proyectos de desarrollo, adquisición y/o implementación de nuevas tecnologías y sistemas. • •

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 5/7

•

•

Configurar los sistemas implementados y/o nuevos de acuerdo con las pautas técnicas de seguridad definidas. Identificar los nuevos riesgos que surgen de la utilización de las nuevas tecnologías analizadas y/o implementadas en la Compañía.

CONTROL Auditoria Interna Integrada por: . Gerente de la Oficina de Auditoria Interna. •

Responsable de: Integrar dentro de sus procesos de revisiones permanentes la auditoria de sistemas relacionada con el cumplimiento del marco normativo de Seguridad. Efectuar el control del efectivo cumplimiento de las responsabilidades de cada una de las funciones relacionadas con la Seguridad. Hacer el seguimiento permanente de las observaciones y sugerencias identificadas. •

•

•

Auditoria Externa Integrada por: Todo el personal del Estudio Contable que realiza las tareas de Auditoria de los Estados Financieros. •

Responsable de: Incluir dentro de sus procesos de revisiones la auditoria de los sistemas relacionados con el cumplimiento del marco normativo de Seguridad. Efectuar el seguimiento de la ejecución de las sugerencias de los reportes de la Auditoria Interna y Externa. Cumplir con las medidas de seguridad definidas por la Compañía para todos los casos en que se acceda a información crítica, incluyendo los recursos informáticos que se utilicen. Firmar un acuerdo de Confidencialidad para definir las responsabilidades tanto del Estudio como del personal que utilice información de la Compañía. •

•

•

•

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 6/7

COMITÉ EJECUTIVO INFORMATICO FUNCIONES RELACIONADAS A LA SEGURIDAD DE LA INFORMACION QUE HAY QUE ADICIONAR A SUS FUNCIONES ACTUALES a) b) c) d)

Revisar y aprobar la política y las responsabilidades generales en materia de seguridad de la información Monitorear cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes; Revisar y monitorear los incidentes relativos a la seguridad; Aprobar las principales iniciativas para incrementar la seguridad de la información.

Comité de Gestión de la Seguridad de la Información – SENCICO Departamento de Informática

Pág. 7/7