Manual de Seguridad de La Información
August 10, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Manual de Seguridad de La Información...
Description
MANUAL DE SEGURIDAD DE LA INFORMACION
COOPERATIVA DE AHORRO Y CREDITO
Fecha Aprobación:
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Código: MAN-SGSI-V01
Gestón de Tecnología de la Información Apoyo
Versión: 1
GESTION DE LA CALIDAD CONTROL DE CAMBIOS Fecha
Detalle del Cambio
Funcionario Responsable
Area Responsable
Uso Reservado Cooperatva
Página 2 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Contenido 1.
Introducción.............. ............................. .............................. ............................. ............................. .............................. ............................. ................................ .................. 6
2.
Alcance............. ............................ ............................. ............................. .............................. ............................. ............................. ....................................... ............................ .... 7
3.
Objetivos............. ............................ .............................. ............................. ............................. .............................. ............................. ..................................... ......................... ..8 8 3.1.
Objetiv ivo o Ge Gen neral.............. ............................. ............................. ............................. .............................. ............................. ............................... ..................8 .8
3. 3.2. 2.
Ob Objjet etiv ivos os E Esspe pecí cífi fico coss............... ............................. ............................. ............................. ............................. .............................. .........................8 ..........8
4.
Definiciones............. ............................ .............................. ............................. ............................. .............................. ............................. ..................................8 ....................8
5.
Co Cont nteexto xto No Norm rmat ativ ivo o............. ........................... ............................. .............................. ............................. ............................. .................................. ................... 11
6.
Polí Polític ticas as pa para ra la A Admi dmini nist stra ració ción n de Ri Ries esgos gos............. ............................ ............................. ............................. ......................11 .......11 6. 6.1. 1.
Po Polí lític ticaa d dee SSeg eguri urida dad d de la in ino orma rmació ción. n............... ............................ ............................. ..................................12 ...................12
6. 6.2. 2.
Po Polí líti tica ca de Ge Gest stió ión n de Ri Ries esgo goss............. ............................ ............................. ............................. ......................................13 .......................13
6.3.. 6.3
Pol Polític íticaa de Seg Segurid uridad ad en Con Contrat tratos os y A Acuer cuerdos dos ccon on T Terce erceros ros..........................14
6. 6.4. 4.
Clas Clasif ific icac ació ión n de llaa In Ino orm rmac ació ión n............... ............................. ............................. .............................. .................................. ................... 14
6. 6.4. 4.1. 1.
Ino Inorm rmac ació ión n In Inve vent ntar aria iada da................ ............................ ............................. ............................. ....................................... .........................15 15
6. 6.4. 4.2. 2.
De Dest stru rucc cció ión n de In Ino orm rmac ació ión. n...............................................................................15
6. 6.4. 4.3. 3.
Con Config figura uració ción n de Equip Equipos os de có cómp mput uto. o.............................................................15
6.5.. 6.5
Pol Polític íticaa d dee llaa Segu Segurida ridad dF Físic ísicaa een n las las Ins Instal talacio aciones nes.. ...........................................16
6.5.1.
Con onttrol de de A Acccesos.............. ............................ .............................. ............................. ............................. ............................. ....................... ......... 16
6. 6.5. 5.2. 2.
Ma Mant nten enim imie ient ntos os P Pla lani nifi fica cado dos. s.............. ............................ ............................. ............................. .................................. ................... 17
6.5.3.
Equip uipos de C Cóm ómpu putto................ ............................. ............................. .............................. ............................. ............................. ................... ....17 17
6. 6.6. 6.
Po Polí líti tica ca de Co Cont ntro roll A Acc cces esos os................ ............................. ............................. ............................. ......................................... .......................... 18
6. 6.6. 6.1. 1.
Cre Creació ación n de Usua Usuari rios os............... ............................ ............................. ............................. .............................. ............................. ...................18 .....18
6. 6.6. 6.2. 2.
De Desh shab abil ilit itar ar Us Usua uari rios os...........................................................................................18
6. 6.6. 6.3. 3.
Co Cont ntro role less d dee Acce Acceso so Ló Lógi gico cos. s...............................................................................19
6. 6.6. 6.4. 4.
Regis egisttro de Usuar suario ios. s.............. ............................ ............................. ............................. ................................................. .................................. 19
6. 6.6. 6.5. 5.
Ge Gest stió ión n de Perf Perfil iles es................. ............................. ............................. ............................. ............................. .....................................19 ......................19
6. 6.6. 6.6. 6.
Equ quip ipos os De Desa sate tend ndid idos os................. ............................. ............................. ............................. ............................. ...............................20 ................20
6. 6.6. 6.7. 7.
Uso Uso de Co Corr rreo eo El Elec ectr trón ónic ico. o............... ............................. ............................. ............................. .......................................20 ........................20
6. 6.6. 6.8. 8.
Segui eguimi mien ento to y A Aud udit itor oría ía................. .............................. ............................. ............................. .........................................20 ..........................20
Uso Reservado Cooperatva
Página 3 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
6. 6.6. 6.9. 9.
Versión: 1
Ad Admi minis nistr trac ación ión y Us Uso o de Con Contr tras aseñ eñas. as............... ............................ ............................. ............................. ...................20 .....20
6. 6.6. 6.10 10.. 6.7. 6.7. 6. 6.8. 8.
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Po Polí líti tica cass d dee B Bue uen n Uso Uso de Con Contr tras aseñ eñas as de Us Usuar uario. io......................................21
Pol Polític íticaa pa para ra L Lice icenci nciamie amiento nto de SSotw otware are Ins Instit titucio ucional nal.....................................21 Po Polí lític ticaa de Segu Segurid ridad ad een n las las O Oper peraci acion ones es................. ............................. ............................. ...............................23 ................23
6. 6.8. 8.1. 1.
Pr Proc oced edim imie ient ntos os de op oper erac ació ión. n................ .............................. ............................. ............................. ................................23 .................23
6. 6.8. 8.2. 2.
Con Contr trol ol de Cam Cambi bio o en la lass Ope Operac racion iones es..............................................................23
6.8.3. 6.8 .3.
Sep Separac aración ión de llos os R Recu ecurso rsoss de des desarro arrollo llo,, Pr Prueb uebas as y Pro Producc ducción ión................24
6. 6.8. 8.4. 4.
Plan Planifi ificac cación ión y A Ace cept ptaci ación ón del Sist Sistem ema. a.............. ............................ ............................. ................................25 ..................25
6. 6.8. 8.5. 5.
Pr Prot otec ecció ción nC Con ontr traa SSot otwa ware re An Anti tima malw lware are................. ............................. ............................. ..........................25 ...........25
6. 6.8. 8.6. 6.
Res espa pald ldos os d dee In Ino orm rmac ació ión n.............. ............................ ............................. ............................. .............................. .........................26 ..........26
6. 6.8. 8.7. 7.
Ad Admi mini nist stra raci ción ón de Se Serv rvid idor ores es................ ............................. .............................. ............................. ............................... .................27 27
6. 6.8. 8.8. 8. Ge Gest stió ión nd dee SSeg egur urid idad ad en la Re Red. d..........................................................................28 6.8.9. Acceso Remoto.............. ............................ .............................. ............................. ............................. ........................................... .................................. ......29 29 6.8.10. Redes Wi-Fi.............. ........................... ............................. .............................. ............................. ............................. ....................................... ........................29 29 6.8.11. Monitoreo................ ............................. ............................. ............................. ............................. .............................. ............................. .........................29 ...........29 6. 6.9. 9.
Po Polí lític ticaa d dee G Ges esti tión ón de In Incid ciden ente tes. s............... ............................ ............................. ............................. ............................... .................29 29
6. 6.10 10..
Pol olít ític icas as de Se Segu guri rida dad d Fí Físsica. ica..............................................................................31
6. 6.11 11..
Ma Mani nipu pula laci ción ón y Se Segu guri rida dad d de dell Med Medio io................................................................32
a.
Medios Remo movvibles............. ........................... ............................. .............................. ............................. .......................................... ...............................32 ...32
b.
Comu Comunic nicac acio ione ness eescr scrit itas as y por vo vozz............... ............................. ............................. ............................. ................................32 ..................32
............................. ............................. ............................. ........................................... ............................. 32 c. Dest Destru rucc cció ión n de ino inorm rmac ació ión n............... 6. 6.12 12.. Inte Interc rcam ambi bio od dee In Inor orma maci ción ón y SSo otw twar aree...........................................................32 -
Correo Electrónico Uso para Negocios............... ............................. ............................. .............................. ..........................32 ...........32
-
Transmisión por correo electrónico............. ........................... ............................. .............................. ............................... ................ 33
6. 6.13 13..
Mon onit itor oreeo de llas as C Com omun unic icac acio ione ness.....................................................................33
6.14.
Internet............. ............................ .............................. ............................. ............................. ............................. ............................. .............................33 ..............33
6. 6.15 15..
Tra rans nse ere renc ncia ia de Ar Arch chiv ivos os.............. ............................. ............................. ............................. ....................................... ........................ 33
6.16.
Opera raccion onees d dee SSis isttemas.............. ............................. ............................. ............................. .............................. ........................... ............34 34
6.17.
Desarr rro ollo de Sot tw ware.............. ............................. ............................. ............................. .............................................34 ..............................34
6.18.
............................ ............................. .............................. ..........................................34 ...........................34 Con oneectivida dade dess d dee R Reede dess..............
Uso Reservado Cooperatva
Página 4 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
6. 6.19 19.. 7.
Versión: 1
Res espu pues estta an ante te inci incide den nte tess..................................................................................35
Est Estruct ructura, ura, Ro Roles les y Res Respon ponsab sabilid ilidade adess para la Seg Segurid uridad ad de la Ino Inormac rmación ión.......35 7.1. 7. 7.2. 2.
8.
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
............................ ............................. ............................. .............................. ............................. ........................................ ............................ ..35 35 Estructura............. Re Resp spon onsa sabi bili lida dade dess de llaa ge gest stió ión n.............. ............................ ............................. ............................. ................................. ...................35 35
7.2.1.
Alta Gerencia............... ............................. ............................. .............................. ............................. .............................................. ................................ 35
7. 7.2. 2.2. 2.
Comit Comitéé d dee Se Segur gurida idad dd dee la in inor ormac mación ión.............................................................36
7. 7.2. 2.3. 3.
Re Respo spons nsab able le d dee la Segur Segurida idad d de la IIn norm ormac ación ión.............................................36
7.2.4.
Aud udit ito oría ría IIn nterna rna............... ............................. ............................. .............................. ............................. .......................................37 .........................37
7. 7.2. 2.5. 5.
Pe Pers rson onal al de la Co Coop oper erat ativ ivaa.................................................................................37
7.3.. 7.3
Seg Segurid uridades ades en el uso de tran transe seren rencias cias ele electr ctróni ónicas cas.......................................38
7. 7.4. 4.
Ac Acue uerdo rdoss a ni nive vell d dee sser ervi vicio cioss (AN (ANS) S)......................................................................39
............................ ............................. .............................. ...................................................... ....................................... 39 Di Disp spos osic icio ione ness Ge Gene nera rale less..............
Uso Reservado Cooperatva
Página 5 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
EL CONSEJO DE ADMINISTRACION DE LA COOPERATIVA DE AHORRO Y CRÉDITO xxxx CONSIDERANDO Que, la Ley Organica de la Economí a Popular y Solidaria y del Sector Financiero Popular y Solidario, en su Art. 38.- del Consejo de Administracion dice, “Es el organo directivo y de fijacio n de polí tticas fijacio icas de la Cooperativa…”; Que, para viabilizar las disposiciones de la Ley Organica de la Economí a Popular y Solidaria y del Sector Financiero Popular y Solidario y su respectivo Reglamento, es necesario expedir las normas de control de acuerdo a las necesidades operativas y estructura organizativa, para el buen desarrollo de la Cooperativa; Que es necesario reglamentar el MANUAL DE SEGURIDAD DE LA INFORMACION, en una orma transparente y eficaz en beneficio de los socios de la entidad, bajo la normatividad vigente, estructura y operatividad de la Cooperativa; RESUELVE: EXPEDIR EL MANUAL DE SEGURIDAD DE LA INFORMACION 1. Intr Introd oduc ucci ción ón La inormacion se ha convertido en un activo substancial de organizaciones, toda vez cuando es completa, precisa y actualizada es undamental en la toma de decisiones de las mismas. La importancia de la inormacio n sepor undamenta en la teorí a de la organizacio n, nla cual se define como un sistema conormado personas, recursos materiales e inormacio inormacio Sin embargo, dichos sistemas a medida que se consultan, almacenan y generan inormacion, ponen en riesgo la integridad de la misma; riesgos, que no solo provienen del exterior sino tambien del interior de la Cooperativa. Estas amenazas constantes que atentan contra la inormacion de cualquier organizacion pueden causar perdidas considerables mismas que deben ser prevenidas y mitigadas. Como consecuencia, la seguridad de la inormacion no es solo cuestion de tener nombres de usuario y contrasenas, sino que requiere de reglamentos y diversas políticas ticas de privacidad y proteccion de datos que imponen unas obligaciones para organizaciones. Para todas unidades de negocios de lasea Cooperativa, inormacio inormacio n es un activosea esencial. crucial quelas toda la inormacio n sensible mantenidalade manera confidencial, precisaEs y Uso Reservado Cooperatva
Página 6 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
este dispo este disponibl nible, e, de la man manera era apropiada para cubr cubrir ir las necesida necesidades des de los nego negocios. cios. Sera Sera responsab respo nsabilida ilidad d de cada indi individuo viduo proteger adecuada adecuadament mentee la ino inormacio rmacio n que mane maneje je durante el desempen desempen o de sus actividades. El Sistema de Gestion de la Seguridad (SGSI) de la inormacion consiste basicamente en un conjunto de polítticas icas para definir, construir, desarrollar y mantener la seguridad del equipo basa basado do en hard hardwa ware re,, re recu curs rsos os de so sot twa ware re y gest gestio io n docu docume ment ntal al.. Lo Loss SG SGSI SI bajo bajo lo loss requerimientos que exige la norma ISO 27001 y sus derivaciones, constituyen la base para la gestion de la seguridad de la inormacion; dicha norma, define un SGSI que garantiza el co cono noci cimi mien ento to,, apro apropi piac acio io n, ge gest stio io n y dism dismin inuc ucio io n de ries riesgo goss de segu seguri rida dad d de la inormacio n para la organizacio inormacio organizacio n, de orma documentada, sistema sistema ttica, ica, estructurada, repetible, eficiente y adaptada a cambios que se produzcan en los riesgos, entorno y tecnologíaas. s. Cada empleado de la Cooperativa sera, consecuentemente, consciente de la responsabilidad de asegurar la inormacio inormacio n bajo su cargo y actuara actuara para preservar la misma. Esta Política tica regulara el comportamiento que debera ser observado y cumplido por todos los unciona unc ionarios rios (reg (regulare ulares, s, terc tercializ ializados, ados, temp temporal orales, es, pasan pasantes, tes, etc) de la Coope Cooperati rativa, va, para lograr la seguridad de la inormacion. Los terceros involucrados (proveedores, clientes, etc) sera n incluidos en los requerimien sera requerimientos tos de esta Políttica ica de manera voluntaria o contractual. 2. Alcance Para la Cooperativa de Ahorro y Credito xxxx el SGSI contempla la gestion de la inormacion tanto en medios digitales como tambien la inormacio inormacio n íssica ica que se genera en cada uno de los proces pro cesos os ins instit tituci uciona onales les,, la res respon ponsab sabili ilidad dad de la ges gestio tio n de la inorm inormaci acioon no rec recae ae planamente el Responsable Seguridad precautelar de la Inormacio n de la el Cooperativa, que le correspondeen a cada uno de los de uncionarios y velar por cuidado de sino los activos de inormacio inormacio n institucional y bajo su proteccio proteccio n y custodia. Esta Pol Esta Polííttica ica prov provee ee un ma marc rcoo de tr trab abaj ajoo para para to todo doss lo loss pr proc oces esos os esta esta n dar dares es y sus sus mecani mec anismo smoss de seg seguri uridad dad.. Def Define ine los obj objeti etivos vos de seg seguri uridad dad,, cla clasif sifica ica la inorm inormacio acio n, responsabilidades y principios undamentales para asegurarla de acuerdo con los objetivos del negocio. Cuando la política tica se vea aectada por leyes y/o regulaciones nacionales y/o internacionales internacion ales debera debera ser actualizada a fin de cumplir con las exigencias de la Cooperativa.
Uso Reservado Cooperatva
Página 7 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
3. Objetivos 3.1.
Objetivo General
Establece Establ ecerr las nor normas mas y lin lineam eamien ientos tos par paraa el Siste Sistema ma de Ges Gestio tio n de Seg Seguri uridad dad de la Inorm In ormaci acioon, de man manera era qu quee per permit mitaa sat satis isace acerr las neces necesida idades des de la Coo Cooper perati ativa va y salvag sal vaguar uardar dar la inor inormac macio io n, a tr trave aves de la det determ ermina inacio cio n de pro proces cesos os en enoca ocados dos a la seguridad de la inormacion que conlleven a mantener la confidencialidad, disponibilidad e integridad de sus activos de inormacion, asegurando así la continuidad de las operaciones y minimizando el riesgo de perdidas que precisen destinar recursos inormaticos, humanos y econo micos para la recuperacio econo recuperacio n de la inormacio inormacio n. 3.2. -
-
-
-
Objetiv ivo os E Esspecíf ífic ico os Definir un lenguaje comu comu n sobre la seguridad de la inormacio inormacio n dentro de la Cooperativa. Especificar los requisitos dentro del marco legal nacional e internacional para establecer, implementar, mantener y mejorar continuamente un sistema de gestion de la seguridad de la inormacio inormacio n. Definir las polítticas icas de seguridad de la inormacion, abordando cada punto dentro de este enoque, que ayude a mantener la integridad, precisio precisio n, disponibilidad y proteccio proteccio n de los datos. Establecer y determinar la estructura, los roles y las responsabilidades que debera cumplir cada actor dentro de la administracio administracio n de la seguridad de la inormacio inormacio n. Aplicar una metodología de ana ana llisis isis de los riesgos a los que esta esta expuesta la inormacio inormacio n. Determinar los requisitos requisitos para la valoracio valoracio n y el tratamiento de riesgos de seguridad de la inormacion. Asegurar que el sotware (sistemas de inormacion) sea adecuado y seguro ya que ahí se generara y manejara generara manejara la mayoría de los activos de llaa inormacio inormacio n de la Cooperativa. Disponer de un plan de contingencia de tecnología de inormacion relacionado con la administracio administrac io n de seguridades para mantener la operatividad en caso de algu algu n incidente. Definir los procedimientos que permitan visualizar acilmente como aplicar las polí tticas icas de seguridad de la inormacio inormacio n. Crea Crearr un unaa cu cult ltur uraa de Segu Seguri rida dad d de la ino inorm rmac acio io n dent dentro ro de la inst instit ituc ucio io n que que comprometa a los uncionarios de la Cooperativa y así asegurar un adecuado uso de inormacion.
4. De Defi fin nic icio ion nes -
Actividad: Es Actividad: Es el conjunto de tareas que ejecutan las entidades controladas;
Uso Reservado Cooperatva
Página 8 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
-
-
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Administración de la continuidad del negocio: negocio: Es un pro proces cesoo per perman manent entee que garantiza la continuidad de las operaciones de la Cooperativa, a traves del mantenimiento eectivo del plan de continuidad del negocio; Administración de la inormación: Es el proceso mediante el cual se captura, procesa, almacena y transmite inormacio inormacio n por cualquier medio. Aplicación inormática: inor mática: Se Se refiere a los procedimientos programados a traves de alguna herramienta tecnologica, que permiten la administracion de la inormacion y la oportuna toma de decisiones; Base Ba se de da dato tos: s: Sistema ormado por un conjunto de datos almacenados en discos o cualquier otro medio magnetico que permite el acceso directo a ellos, estructurados de manera fiable y homogenea, organizados independient independientemente, emente, accesibles en tiempo real. Cajeros automáticos (ATM): Son (ATM): Son maquinas conectadas inormaticamente a una entidad controlada que permite eectuar al cliente ciertas transacciones; Canales elect electrónicos rónicos:: Se refiere a todas las víaass o ormas a traves de las cuales los clie clientes ntes y/o usuar usuarios puede pueden no eec eectuar tuar tran transacci sacciones ones las enti entidades dades cont controlad roladas, mediante el uso de ios elementos dispositivos electro nicoscon o tecnolo gicos, utilizando o as, no tarjet tar jetas. as. Princ Principa ipalme lment ntee son can canale aless ele electr ctroonic nicos: os: los caj cajer eros os aut automa oma ticos ticos (AT (ATM), M), dispositivos de puntos de venta (POS y PIN Pad), sistemas de audio respuesta (IVR), banca electro nica, banca mo electro mo vil, u otros mecanismos electro electro nicos similares; Centro de procesamiento de datos: Es datos: Es la inraestruct inraestructura ura que permite alojar los recursos relaci rel acion onado adoss con la tec tecno nologí logía que que ad admi mite te el proc proces esam amie ient nto, o, alma almace cena nami mien ento to y transmisio n de la inormacio transmisio inormacio n; Computación en la nube: Es nube: Es la provision de servicios inormaticos accesibles a traves de la internet, estos pueden ser de inraestruct inraestructura, ura, plataorma y/o sotware; Confiabilidad: Es Confiabilidad: Es el atributo de que la inormacio inormacio n es la apropiada para la administracio administracio n de la entidad, la ejecucio ejecucio n de transacciones y el cumplimiento de sus obligaciones; Confidencialidad: Es el at Confidencialidad: atri ribu buto to de que que so so lo el pers person onal al au auto tori riza zado do acce accede de a la inormacio n preestablecida; inormacio Cumplimiento: Se refi Cumplimiento: refier eree a la ob obse serv rvan anci ciaa de las las leye leyes, s, regu regula laci cion ones es y acue acuerd rdos os contractuales a los que los procesos de las entidades controladas esta esta n sujetos; Datos: Es cualquier orma de registro electronico, optico, magnetico, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido. Disponibilidad: Es el at Disponibilidad: atri ribu buto to de que que lo loss usua usuari rios os au auto tori riza zado doss ti tien enen en acce acceso so a la inorm inormaci acioon cad cadaa vez que que lo req requie uieran ran a tra trave ves de los med medios ios qu quee sat satis isaga agan n sus necesidades; Inormación: Es Inormación: Es cualquier orma de registro electronico, optico, magnetico o en otros medios, previamente procesado a partir de datos, que puede ser almacenado, distribuido y sirve para analisis, estudios, toma de decisiones, ejecucio ejecucio n de una transaccio transaccio n o entrega
Uso Reservado Cooperatva
Página 9 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
-
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Inormación crítica: Es crítica: Es la considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones. Incidente Incide nte de seguridad de la inormac inormación: ión: Es Es el evento asociado a posibles allas en la seguridad de la inormacion, o una situacion con probabilidad de comprometer las operaciones del negocio y amenazar la seguridad de la inormacio inormacio n; Instalaciones: Es Instalaciones: Es la inraestructura que permite alojar los recursos ísicos relacionados con la tecnología de la inormacio inormacio n. Insumo: Es Insumo: Es el conjunto de materiales, datos o inormacion que sirven como entrada a un proceso; Integridad: Es Integridad: Es el atributo de mantener la totalidad y exactitud de la inormacion y de los me ttodos me odos de procesamient procesamiento; o; Medios electr electrónicos: ónicos: Son los elementos de la tecnología que ti tiene enen n car caract acterí eríssticas ticas digitales, magne magne tticas, icas, inala inala m mbricas, bricas, oo pticas, electromagne electromagne tticas icas u otras similares; Pista de auditoría: Es auditoría: Es el registro de datos logicos de las acciones o sucesos ocurridos en los sistem sistemas as con apl aplica icativ os, sbases ba de dat datos, os, inormacio sis sistem temas as nope operat rativo ivos y dema dema ele elemen mentos tos tecnolo gicos, el tivos, propo itoses de mantener histo ricas para fines s de control, supervisio n y auditoríaa;; supervisio Plan Plan de co cont ntin inge genc ncia: ia: Es el co conj njun unto to de proc proced edim imie ient ntos os alte altern rnat ativ ivos os para para el uncionamiento uncionamien to normal de los procesos crí tticos icos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado específfico. ico. El plan de contingencia se ejecuta en el momento que se produce dicho evento. Plan Pla n de con contin tinuida uidad d del neg negocio ocio:: Es el con conjun junto to de pro proces cesos os y pro proced cedimi imien entos tos orientados a mantener la operatividad de la entidad ante eventos inesperados. Plan de recuperación de desastres de tecnología de inormación: Es un proceso de recuperacion que cubre los datos, el hardware y el sotware críttico, ico, para que una entidad pueda comenzar de nuevo sus operaciones ante eventos de caso ortuito o uerza mayor. Plataorma tecnológica: tecnológica: Conjunto de equipos, aplicaciones y sistemas interconectados destinados a orecer productos y servicios a traves del uso de los recursos tecnologicos disponibles, a socios, clientes y/o usuarios. Propiet Pro pietario ario de la ino inormac rmación: ión: Es la per person sonaa encar encargad gadaa de cui cuidar dar la int integr egrida idad, d, confidencialidad confidenciali dad y disponibilidad de la inormacio inormacio n; debe tener autoridad para especificar y exigir las medidas de seguridad necesarias para cumplir con sus responsabilidade responsabilidades; s; Punto de recuperación objetivo (RPO): Es (RPO): Es la cantidad maxima aceptable de perdida de los datos medidos en el tiempo; Riesgo operativo: Es operativo: Es la posibilidad de que se produzcan perdidas para la entidad, debido a allas o insuficiencias originadas en procesos, personas, tecnologí a de inormacion y eventos externos. El riesgo operativo no incluye los originados por el entorno políttico, ico, econo mico y social, el riesgo siste econo siste m mico, ico, estrate estrate ggico ico y de reputacio reputacio n.
Uso Reservado Cooperatva
Página 10 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Seguridad de la inormación: Son inormación: Son los mecanismos que garantizan la confidencialidad, integridad y disponibilidad de la inormacio inormacio n y los recursos relacionados con ella. Seguridades Seguri dades lógicas lógicas:: Son los mecanismos de proteccion en el uso del sotware, de los datos, procesos y programas, que permiten el acceso autorizado de los usuarios a la inormacion; Tecnología de la inormación: Es inormación: Es el conjunto de herramientas y metodos empleados para llevar a cabo la administracion de la inormacion. Incluye el hardware, sotware, si sist stem emas as op oper erat ativ ivos os,, si sist stem emas as de ad admi mini nist stra raci cioon de base basess de dato datos, s, rede redess y comunicaciones, comunicacion es, entre otros; Transerencia electrónica de inormación: Es inormación: Es la orma de enviar, recibir o transerir en orma electro electro nica datos, inormacio inormacio n, archivos, mensajes, entre otros; Tiempo de recuperación objetivo (RTO): Es (RTO): Es el períoodo do de tiempo transcurrido despue despue s de un incidente, para reanudar una actividad o recuperar los recursos antes de que la entidad controlada genere pe p errdidas didas significativas.
5. Co Cont ntex exto to N Nor orma mati tivo vo Todas las disposiciones establecidas para el sistema de gestio gestio n de seguridad de la inormacio inormacio n se han elaborado considerando los siguientes aspectos legales: -
Reerencia en los esta esta n ndares dares internacionales: ISO/ ISO/IE IEC C 2700 27000 0 y sus sus deri deriva vaci cion ones es.. El Sist Sistem emaa de Ge Gest stio io n de Se Segu guri rida dad d de la Inormacion (SGSI) basado en la norma ISO 27001. Aspectos claves y relacion con las normas ISO 22301 e ISO/IEC 20000. PCI. DSS 3.2. Norma de seguridad de datos, Requisitos y procedimientos de evaluacio evaluacio n de seguridad OWASP 2017. Esta Esta ndar de Verificacio Verificacio n de Seguridad en Aplicaciones 3.0.1 NIST 800-53r4. Security and Privacy Controls or Federal Inormation Systems and Organizations Superint Supe rintende endencia ncia de Econ Economí omía Popul Popular ar y Soli Solidaria daria:: RESO RESOLUCIO LUCION No. SEPS SEPS-IGT-IGT-IR-I IR-IGJGJ2018-0279, Norma de Control para la Administr Administracio acio n del Riesgo Operativo y Riesgo Legal -
-
6. Pol Polític íticas as par paraa la Ad Admini ministr straci ación ón de R Ries iesgos gos La Cooperativa de Ahorro y Credito valora la inormacion y acorde a este punto de vista, dispone las polítticas icas que regiran el sistema de seguridad de la inormacion, mismo que apoya a una adecuada gestio gestio n de riesgos.
Uso Reservado Cooperatva
Página 11 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Las Las po polí lítica t icass cubr cubren en to todo doss lo loss as aspe pect ctos os co con n el ob obje jeto to de gara garant ntiz izar ar una una adec adecua uada da administracion de la inormacion que se genera en la Cooperativa ya que esta y todos los recursos inorma inorma ticos reclaman una atencio atencio n prioritaria y muy particular que ayude a mitigar los riegos a los que esta expuesta por su naturaleza. Con la definicion de las polítticas icas y esta esta ndares de seguridad inorma inorma tica se busca establecer en el interior de la institucio institucio n una cultura de calidad operando en orma confiable. 6. 6.1. 1.
Po Polí líti tica ca d dee Se Segu guri rida dad d de llaa in ino orm rmac ació ión. n.
Contempla los lineamientos necesarios para resguardar la inormacion institucional y los recursos tecnolo tecnolo gicos relacionados a su gestio gestio n y consumo. -
Definir un marco gerencial para iniciar y controlar la implementa implementacio cio n de la seguridad de la inormacio n, así como inormacio como la distribucio distribucio n de unciones y responsabilida responsabilidades. des.
-
-
-
La ges gestio tionn. de act activo ivoss inorm inormaaticos par paraa que est estos os rec reciba iban n un apr apropi opiado ado niv nivel el de proteccio Asegurar a un nivel razonable que todos los medios de procesamiento y/o conservacion de inormacio inormacio n cuenten con medidas de proteccio proteccio n íssica ica y logica que eviten el acceso y/o utilizacion indebida por personal no autorizado, así como permitan la continuidad de las operaciones. El un uncio cionam namien iento to cor correc recto to y seg seguro uro de las ins instal talaci acione oness de pro proces cesam amien iento to de la inormacio n y comunicacione inormacio comunicaciones. s. Asegurar a un nivel razonable que la inormacio inormacio n y la capacidad de procesamiento manual y aut automa oma ti tico, co, est estee dis dispon ponibl iblee en el mom moment entoo nec necesa esari rioo par paraa usu usuari arios os aut autori orizad zados. os. Consid Con sidera erando ndo la con contin tinuid uidad ad de la ope operac racio io n tec tecnol noloogic gicaa que sop soport ortaa los pro proces cesos os institucionales. Asegurar Asegur ar que los dat datos os y/o tr trans ansacc accion iones es cum cumpla plan n con los niv nivele eless de aut autori orizac zacio io n correspondiente correspondien te para su utilizacio utilizacio n y divulgacio divulgacio n. El registro e identificacio identificacio n inequívvoca oca de los usuarios de los sistemas. Evitar casos de suplantacio suplantacio n de identidad por medio de los recursos tecnolo tecnolo gicos. Mantener registros de auditoría de los eventos ocurridos, así como el responsable de su ejecucion. Mantener niveles de operacio operacio n razonables en los sistemas e inraestructura estrate estrate ggica. ica. La ide ident ntifi ificac cacio io n de rie riesgo sgoss rel relaci aciona onados dos al amb ambien iente te tec tecno nolo lo gic gicoo que no per permit mitan an soportar la Cooperativa en su cumplimiento de objetivos. La Cooperativa definira definira un procedimiento de respaldos de inormacio inormacio n perio perio dicos, acorde a los requerimientos de continuidad del negocio que incluya la recuencia de verificacion, las condiciones de preservacion, eliminacion y el transporte seguro hacia un sitio alterno, que no debe estar expuesta a los mismos riesgos del sitio principal y mantenga las
Uso Reservado Cooperatva
Página 12 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
-
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
condicion condic iones es íssica icass y am ambi bien enta tale less nece necesa sari rias as para para su pres preser erva vacio cio n y post poster erio iorr recuperacion. Los respaldos de inormacion entre los centros de resguardo que deban eectuarse con adecua ade cuados dos con contr trole oless de seg seguri uridad dad (se (sello llos, s, bita bitacoras de sal salida ida y ent entrad rada, a, per person sonal al autorizado, entre otros aspectos) que minimicen ubicacion remota, que no debe estar expuesto a los riesgos del sitio principal. La inormacion debe estar resguardada por el lapso no menor a lo que indica la normativa vigente, en condiciones y en ormatos que se establezcan para el caso por parte de los entes de control
Existen unciones altamente privilegiadas o sensibles al interior de la Organizacion, las que seran separadas de otras similares, para minimizar el riesgo de abuso de privilegio y para maximizar la habilidad de quienes tienen la responsabilidad de controlar las unciones de los demas. Respetando Respetan do el prin principi cipioo de segr segregacio egacio n de unc uncione iones, s, algun algunos os roles sera sera n ejer ejercidos cidos por distintos uncionarios o perfiles, como por ejemplo: administracion del control de acceso a sistemas operativos, aplicaciones de negocio, uso normal de los sistemas y aplicaciones, auditoría y administracio administracio n de la seguridad. 6. 6.2 2. -
-
-
-
-
Polít olític icaa d dee G Ges esttió ión nd dee R Rie iesg sgos os Todos los miembros de la Cooperativa, uncionarios y empleados esta esta n en la obligacio obligacio n de inormar al Responsable de Seguridad de la Inormacion la existencia de debilidades o amenazas que puedan aectar a los intereses de la entidad reerente a la gestion de la inormacion. El Responsable de Seguridad de la Inormacion de la Inormacion con el apoyo de la Unidad Riesgos tiene la de pla detectar y sugerir controles para riesgo rie sgoss de ide identi ntific ficado ados s bas basa anobligacio dose en nun plan n de acc accio io n apr aproba obado do por el mitigar Com Comite ite los de Tecnología de la Inormacio Inormacio n. En caso de existir riesgos crítticos icos o que aecten significativamente a los procesos de la Cooperativa, el plan de accion de mitigacion del evento crítico debe aprobarlo el Comite de Tecnología de la Inormacio Inormacio n. Los riesgos crítticos icos que seran inormados a la Unidad de Riesgos y Comite de Tecnologí a de la Inormacion deben presentar indicadores como costo, valor y retorno de inversion, con la finalidad de acilitar a los niveles directivos la toma de decisiones. No se definira cuantitativamente el apetito de riesgo en terminos economicos. Los lím mites ites de apetito de riesgo dependeran de cada actividad, uncion o proyecto y deberan ser miti mitiga gado doss to todo doss aque aquell llos os ries riesgo goss que que aec aecte ten n a la op oper erac acio io n Inst Instit ituc ucio iona nall o al cumplimiento de los objetivos principales de la Institucio Institucio n o un proyecto.
Uso Reservado Cooperatva
Página 13 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Código: MAN-SGSI-V01
Gestón de Tecnología de la Información Apoyo
Versión: 1
Cualquier lineamiento general o cambio en la priorizacion de mitigacion de riesgo debe ser aprobada por el Comite Comite de Tecnología de la Inormacio Inormacio n y la Unidad de Riesgos. En el po port rta aol olio io de se serv rvic icio ioss se debe debera ra pres presen enta tarr un ino inorm rmee de lo loss ries riesgo goss ma ma s importantes identificados identificados al Comite o responsables directos, impulsores de los proyectos.
6. 6.3. 3.
Po Polí lític ticaa de SSeg eguri urida dad d en C Con ontr trat atos os y A Acue cuerd rdos os co con n Te Terce rceros ros
Los contratos o acuerdos con terceros que se eectu eectu en deben tomar en cuenta: -
-
-
Cumplimiento de la Políttica ica de Seguridad de la Inormacio Inormacio n de la Cooperativa. Revisio n y monitoreo de la eectividad y cumplimiento de los acuerdos. Revisio Monitoreo y medicio medicio n del desempen desempen o del proveedor. Identificacio Identificacio y mitigacio mitigacio n de riesgossdel proveedor. con los servicios de terceros. Definicio Definicio n de nroles, responsabilidade responsabilidades y expectativas Proteccio n de los activos de la Institucio Proteccio Institucio n, incluyendo: Procedimientos para proteger los bienes de la Institucion, abarcando los activos ísicos, sicos, la inormacio inormacio n y el sotware. Controles para garantizar la recuperacion o destruccion de inormacion y los activos al finalizar el contrato o acuerdo, o durante la vigencia del mismo. Cumplan con el requerimiento del negocio en niveles de servicios esperado y del nivel de servicio aceptable. Acuerdos de control de acceso que contemplen: Me ttodos Me odos de acceso permitido, y el control uso de identificador identificadores es u nicos Procesos de autorizacio autorizacio n y perfiles de acceso de usuarios. Requerimiento para mantener actualizada una lista de individuos autorizados a utilizar utili zar los serv servicios icios que han de imple implement mentarse arse y sus derechos y priv privilegi ilegios os con respecto a dicho uso. Procesos claros y detallados para la administracio administracio n de cambios Controles que garanticen la proteccio proteccio n contra sotware malicioso Acuerdos de confidencialidad en los contratos.
6. 6.4. 4.
Clas Cl asif ific icac ació ión n de la In Ino orm rmac ació ión n
La Cooperativa define la confidencialidad de su inormacion apoyada en los conceptos de la norma ISO 27001 misma que indica que la determinacion del nivel de confidencialidad debe estar a cargo del dueno de la inormacion, ya que es la persona indicada para definir quienes de debe ben n tene tenerr li libr bree ac acce ceso so a el ella la.. Es Esta ta ta tare reaa se la debe debe real realiz izar ar conj conjun unta tame ment ntee con con el Uso Reservado Cooperatva
Página 14 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
responsable de la seguridad de la inormacion. La inormacion se clasificara de acuerdo a los siguientes terminos: -
-
-
PUBLICA: Inormacion que puede ser conocida y utilizada sin autorizacion por cualquier persona, incluso si no es empleado de la Cooperativa. SE SECR CRET ETA: A: Ino Inorm rmac acio io n que que so so lo pued puedee se serr cono conoci cida da y ut util iliz izad adaa por por un gr grup upoo de emplea emp leados dos,, que la nec necesi esite ten n par paraa rea realiz lizar ar su tra trabaj bajo, o, y cuy cuyaa div divulg ulgacio acio n o uso no autorizados podría ocasionar perdidas significativas a la Cooperativa. CONFIDENCIAL: Inormacion que solo puede ser conocida y utilizada por un grupo muy reducido de empleados, habitualmente de la alta direccion de la Cooperativa, y cuya divulgacio n o uso no autorizados podría ocasionar perdidas graves. divulgacio CRITICA: Inormacio Inormacio n indispensable para la operacio operacio n de la Cooperativa. SENSIBLE: Inormacion que solo debe ser conocida por las personas autorizadas en la Cooperativa.
6.4.1. 6.4 .1. In Inorma ormación ción Inv Invent entaria ariada. da. -
-
-
El Asistente Administrativo debe llevar un inventario de los activos tecnologicos con los que cuenta la Cooperativa. Todos los equipos activos de tecnologí a inormatica y comunicaciones deberan estar etiquetados para su identificacion y control de inventario. Este etiquetado sera realizado por el responsable de Activos Fijos. El Asistente Administrativo debera debera controlar perio perio dicamente y actualizar el inventario de sus respectivos equipos cada que exista una movilizacio movilizacio n y/o nueva adquisicio adquisicio n. El AA rea de Sistemas debera debera identificar la inormacio inormacio n que son procesados por los sistemas inorma ino rma tico ticoss y clasi clasifica ficarlos rlos,, para luego reali realizar zar un inve inventar ntario io de esta inorm inormacio acio n y mantenerlo actualizado. Así mismo cada uncionario debe proporcionar a la unidad de Seguridad un inventario de la inormacio inormacio n que maneja y su nivel de confidencial confidencialidad, idad, sea í ssica ica o digital. El Responsable de Seguridad de la Inormacion se encargara de inormar el ormato a ser utilizado por los uncionarios para el llenado del inventario de inormacio inormacio n que manejan.
6.4.2. 6.4 .2. Des Destru trucci cción ón de In Inorma ormación ción.. El AA rea de Sistemas debera debera establecer procedimien procedimientos tos para la movilizacio movilizacio n y dar de baja (de manera te te ccnica) nica) los equipos a su cargo
Uso Reservado Cooperatva
Página 15 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
La des destr trucc uccio io n de doc docume ument ntacio acio n est estara ara a car cargo go del Res Respon ponsab sable le de Seg Seguri uridad dad de la Inormac Ino rmacio io n de la Ino Inormac rmacio io n y sera sera real realizada izada a trave trave s de una ma ma quin quinaa trit triturado uradora ra de documentos, la destruccio destruccio n sera sera realizada con respaldo de un acta de destruccio destruccio n. 6.4.3. 6.4 .3. Con Configu figuraci ración ón de E Equip quipos os de ccómpu ómputo. to. La configuracio configuracio n ba ba sica de un computador debera debera contemplar:
-
Instalacio n el sistema operativo. Instalacio Instalacio n de drives de audio, video y red Instalacio Instalacio n de Antivirus y su actualizacio Instalacio actualizacio n. Instalaci Inst alacioon de sot sotware ware ba ba sico: Micr Microsot osot Ofi Ofice, ce, Adob Adobee Pro Proesion esional, al, Winz Winzip, ip, Winr Winrar, ar, Activacio n de TCP/IP, Configuracio Activacio Configuracio n de nombre del equipo y nombre del dominio. Configuracio n e zona horario (Bogota Configuracio (Bogota -Lima-Quito GT+5)
-
Configuracio n del proxy en caso de ser necesario Configuracio Configuracio n del nombre de equipo. Configuracio
-
6. 6.5. 5.
Po Polí lític ticaa de llaa Se Segu gurid ridad ad F Físi ísica ca een n la lass In Inst stal alaci acion ones es..
Los siguientes lineamientos tienen la finalidad de mantener una adecuada proteccio proteccio n íssica ica de los equipos, soportes de procesamient procesamiento, o, transmisio transmisio n y conservacio conservacio n de la inormacio inormacio n. -
El a rea de inr inraest aestruct ructura ura de sist sistemas emas debera debera cont contar ar con un esta esta ndar para el Area de servidores, tomando en cuenta: Un sistema de climatizacio climatizacio n adecuada para el buen uncionamien uncionamiento to de los equipos. Sistemas de deteccio deteccio n de humo La proteccio proteccio n contra accesos no autorizados Sistema de acceso mediante el uso de claves de seguridad. Cableado de red y ele ele cctrico trico (Ejemplo: organizacio organizacio n y etiquetado). Sistema electrico (Ejemplo: energía redundante, UPS’s (Interrumpible, Power Supply, generadores, etc.) Extinguidor de polvo quím mico ico (Que no permita el dan dan o de los equipos) Todos Tod os los ser servid vidore oress de la Ins Instit titucio ucio n deb debera eran ubi ubicar carse se en el area rea de ser servid vidore oress y colocarlo coloc arloss en la ubic ubicacio acio n dest destinada inada para el eect eecto. o. Si el admi administ nistrador rador no coloc colocara ara el servidor en dicho lugar, este debe presentar por escrito los motivos y justificacion de esto al Responsable de Seguridad de la Inormacio Inormacio n de la Inormacio Inormacio n. Se debera debera real realizar izar revisi revisiones ones perio perio dicas dicas,, al meno menoss una vez al aan no, sobre el esta estado do del -
-
-
cableado de red y sobre su organizacio organizacio n. Uso Reservado Cooperatva
Página 16 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
6. 6.5. 5.1. 1. Co Cont ntro roll de Ac Acce ceso sos. s. -
-
-
-
-
-
-
El Jee Jee del Dep Depart artame amento nto de Siste Sistema mass deb debera era est establ ablece ecerr el equip equipoo de tra traba bajo jo que se encargara de velar por el buen estado, uncionamiento y la buena presentacion de la sala de servidores. El Jee de Sistemas y el Responsable de Seguridad de la Inormacion deberan elaborar un listado del personal autorizado para ingresar a la sala de servidores (Area Restringida de Tecnologíaass de In Inorm ormaci acioon) y al Dep Depart artame ament ntoo de Sis Siste temas mas.. Est Estric rictam tamen ente te se deb debee apuntar a las personas que por el rol de sus unciones tienen que ingresar cotidianamente. cotidianamente. Estee listad Est listadoo deb debera era est estar ar a car cargo go de los res respon ponsab sables les del Area de Sis Sistem temas, as, Area de Servidores y el Responsable de Seguridad de la Inormacio Inormacio n. Las nuevas solicitudes de acceso al Departamento de Sistemas y al area de servidores, de debe bera ra n se serr eval evalua uada dass por por el Re Resp spon onsa sabl blee de Se Segu guri rida dad d de la Ino Inorm rmac acio io n de la Inormacion. El del Aa rea deesar Sistemas debera debera entregar personal una nica, la que le Jee perm permitir itira ingr ingresar u u nica nicament mente e al A rea dealSist Sistemas emas yautorizado ser registr registrada adaclave en lauubita bita ccora ora de control de accesos; esta esta estrictamen estrictamente te prohibido para todo el personal el ingreso al arrea ea de servidores a excepcio excepcio n de los administrado administradores. res. El Jee del Area de Sistemas y el Responsable de Seguridad de la Inormacion deberan implementar controles para vigilar que el acceso al Area de Sistemas y al area de servidores sea eectivamente por el personal autorizado, por ejemplo con el uso de la Bita cora de Registro de Accesos. Bita El personal del Departamento de Sistemas debera portar siempre su carne identificativo para realizar el mantenimiento de sotware o equipo en las dierentes instalaciones y oficinas de la Institucio Institucio n. Los tours de visitas al Departamento de Sistemas y al area de servidores, deben ser realizadas con la presencia de al menos una persona del AA rea de Sistemas.
6.5.2. 6.5 .2. Man Manten tenimie imiento ntoss P Plan lanific ificados ados.. Los Admin Administr istradore adoress del A rea de Ser Servidor vidores es debe debera ra gesti gestionar onar el mant manteni enimien miento to perio perio dico para: -
UPS’s Aire acondicionado de la sala de servidores Generador ele ele cctrico trico de las instalaciones Servidores Ca Ca maras de vigilancia Instalacioness ele Instalacione ele cctricas tricas
Uso Reservado Cooperatva
Página 17 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
-
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Las estaciones de trabajo y a los equipos que son considerados vitales en la Institucion debera n estar conectadas a un UPS y al generador. debera
6. 6.5. 5.3. 3. Eq Equip uipos os d dee C Cóm ómput puto. o. -
-
-
6. 6.6 6.
Se deb debee seg seguir uir los lin lineam eamien ientos tos y pro proced cedimi imient entos os or ormal males es par paraa la mov movili iliza zacio cio n de equipos. Para la adqu adquisicio isicio n de equi equipos pos compu computaci tacionale onaless se debera debera segui seguirr los proce procedimi dimiento entoss establecidos tal eecto. Las movilizaciones de los equipos computacionales deberan ser inormados al Area de sistemas, Responsable Responsable de Seguridad de la Inormacio Inormacio n, adema adema s de estar autorizados por el jee inmediato. El per person sonal al de vig vigila ilanc ncia ia deb debera era reg regist istra rarr la ord orden en de sal salida ida de los equ equipo iposs par paraa su movilizacio n uera de las instalaciones de las oficinas de la Cooperativa. movilizacio Los equipos porta porta por el personal de la Cooperativa deben serdel deempleado. propiedad de la Cooperativa, es tiles decir,usados no se puede utilizar equipos que sean propiedad El personal no puede portar inormacion sensible de la Cooperativa en medios extraíb bles les uera de la institucio institucio n, salvo una autorizacio autorizacio n explíccita ita de gerencia. Polít olític icaa d dee C Con ontr trol ol Ac Acce ceso sos. s.
A traves de estas polítticas icas se protege la inormacion institucional, regulando el acceso a los sistemas inormaticos, y con la asignacion de perfiles, cuentas, contrasenas y protectores de pantalla. -
-
El Responsable de Seguridad de la Inormacio Inormacio n, Procesos, Talento Humano conjuntamente con el jee inmediato de cada puesto de trabajo tienen la responsabilidad de crear procesos ormales para la gestion de usuarios de los sistemas inormaticos, en los cuales se debe considerar: El rol esta esta definido por la uncio uncio n que cumple un usuario dentro de un sistema. El perfil esta esta definido por el cargo que desempen desempen a el uncionario uncionario.. El perfil es la descripcio descripcio n detallada de las transaccione transaccioness que un usuario puede realizar en un sistema. Los sistemas inormaticos deben estar configurados de tal manera que la sesion de los usuarios caduque cuando exista un tiempo de inactividad de 10 minutos, excepto en el area de cajas en donde el tiempo lím mite ite es de 5 minutos. Esto obligatoriamente para los sistemas definidos como crítticos icos y para los usuarios de administracio administracio n de los sistemas.
Uso Reservado Cooperatva
Página 18 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
El manejo de cuentas de usuarios y contrasenas, es de caracter personal e intranserible, por lo tanto, las operaciones que pongan en riesgo los intereses de la institucion, seran de entera responsabilidad del usuario o uncionario.
6. 6.6. 6.1. 1. Cre Creac ación ión de U Usu suari arios. os. Cada usuario y uncionario son responsables de los mecanismos de control de acceso que le sean proporcionados; esto es, su “ID” login de usuario y contrasena necesarios para acceder a los die dierent rentes es sist sistemas emas ino inorma rma ticos e inr inraestr aestructur ucturaa tecn tecnolo olo gica, por lo que se debe debera ra mantener de orma confidencial confidencial.. 6. 6.6. 6.2. 2. De Desh shab abil ilita itarr Us Usuar uarios ios.. El Responsable de Seguridad de la Inormacion es el encargado, en coordinacion con Talento Human Hum ano, o, enlos cas caso o de: Salid Salida a de los Emp Emplea leados dos de la sinsti in stituc tucio io n, para vacac vacacion iones es y per permis misos, os,sea el deshabilitar usuarios y realizar procedimiento procedimientos necesarios que dicha ausencia controlada. 6.6.3. 6.6 .3. Con Contro troles les de Acc Acceso eso Lóg Lógicos icos.. -
-
-
-
Todos los usuarios de servicios de inormacion son responsables por el de usuario y contrasen a que recibe para el uso y acceso de los recursos. contrasen Todos Tod os los usu usuari arios os deb debera era n aut autent entica icarse rse por los mec mecani anismo smoss de con contr trol ol de acc acceso eso provistos por el Departamento de Tecnologí aass de la Inormacion antes de poder usar la inraestructura inraestruct ura tecnolo tecnolo gica de la Cooperativa. Los usuarios no deben proporcionar inormacion a personal externo, de los mecanismos de control de acceso a las instalaciones e inraestructura tecnologica, a menos que se tenga el visto bueno del dueno de la inormacion, del Departamento de Tecnologíaass de la Inormacio n y la autorizacio Inormacio autorizacio n de su Jee inmediato. Cada usuario que acceda a la inraestructura tecnologica debe contar con un identificador de usuario (ID) uu nico y personalizado. Por lo cual no esta esta permitido el uso de un mismo ID por varios usuarios. Los usuarios y uncionarios son responsables de todas las actividades realizadas con su identificador de usuario (ID). Los usuarios no deben divulgar ni permitir que otros utilicen sus identificadores de usuario, al igual que tiene prohibido utilizar el ID de otros usuarios.
6. 6.6. 6.4. 4. Re Regis gistr tro o de U Usua suario rios. s.
Uso Reservado Cooperatva
Página 19 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
El Responsable de Seguridad de la Inormacion conjuntamente con el dueno del servicio deben definir el flujo de autorizacion para el acceso y el nivel de privilegios en los sistemas. El otorgamiento de roles y perfiles de usuario debera ser definido de acuerdo al principio del mín nimo imo privilegio. Todo el personal tendra asignado un nombre unico de usuario y contrasena para acceder a los sistemas inormaticos permitidos segun su perfil. Si existe alguna excepcion, esta debe ser autorizada por la Jeatura correspondiente y el Responsable de Seguridad de la Inormacion. Los administradores de cada servicio deberan mantener actualizado sus registros de usuario. Así como una bitacora relacionada a accesos logicos de los mismos. Se deberí a mantener opciones y reportes automaticos para obtener los listados necesarios de las cuentas y privilegios de los usuarios en los sistemas.
6. 6.6. 6.5. 5. Gest Gestión ión de P Per erfil files es.. -
-
Todo el personal debe estar asociado a un rol/perfil en los sistemas inormaticos de acuerdo a las actividades que realiza. Es res respon ponsab sabili ilidad dad de los adm admini inistr strado adores res de ser servid vidore oress y ser servic vicios ios,, la cor correc recta ta administracion de las cuentas de acceso, el otorgamiento de perfiles de acuerdo a las autorizaciones que se especifiquen especifiquen.. Cualquier cambio en los roles y responsabilidades de los usuarios deberan ser notificados al Responsable de Seguridad de la Inormacio Inormacio n.
6. 6.6. 6.6. 6. Eq Equip uipos os Des Desat aten endid didos os.. -
-
Los usuarios deberan mantener sus equipos de computo con controles de acceso como contrasen as y protectores de pantalla (screensaver) previamente instalados y autorizados contrasen por el Departamento de Tecnologíaass de Inormacion cuando no se encuentren en su lugar de trabajo, así mismo mismo esta esta n en la obligacio obligacio n de Bloquear su equipo desatendido. Los usuarios cuando se vayan a ausentar de su espacio de trabajo deberan bloquear su sesion en el Sistema Operativo de tal orma que al regresar autentifiquen su usuario y clave para poder continuar con sus labores, de esta manera se precautela la inormacio inormacio n.
6.6.7. 6.6 .7. Uso de Cor Correo reo Ele Electr ctróni ónico. co. -
Los usuarios deben utilizar el correo electronico institucional, unicamente para mantener comunicacio n laboral. comunicacio
Uso Reservado Cooperatva
Página 20 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Los usuarios tampoco estan autorizados a suscribirse a boletines de tipo comercial o de entretenimiento utilizando el correo institucional, las unicas suscripciones seran las que son netamente competentes a su trabajo.
6.6.8. 6.6 .8. Seg Seguimi uimient ento o y Aud Audito itoría. ría. -
Los servicios de TI sera sera n auditados por el area de Auditoríaa,, Riesgos y Seguridad. Los registros de auditoría que se almacenan con fines de revisio revisio n, debera debera n ser eliminados trimestralmente, trimestralm ente, para que no aecten el rendimiento de los servicios.
6.6.9. 6.6 .9. Adm Adminis inistra tración ción y U Uso so de Co Contr ntrase aseñas ñas.. -
La asignacion de contrasenas debe ser realizadas de orma individual por lo que el uso de contrasen as compartidas esta contrasen esta prohibido.
-
Cu Cuan ando do un us usua uari rioo ol olvi vide de,, bloq bloque ueee o ex extr trav avie ie su cont contra rase sen na debe debera ra soli solici cita tarr al Responsable de Seguridad de la Inormacion le proporcione una nueva contrasena si es el caso o desbloquee su contrasen contrasen a existente. Se debe aplicar un esta esta ndar de creacio creacio n de contrasen contrasen as seguras para el acceso de usuarios a los dierentes sistemas. Las Las clav claves es de ac acce ceso so a lo loss si sist stem emas as debe deben n ser ser prot proteg egid idas as me medi dian ante te cont contro role less criptograficos. Los sistemas deben estar configurados de acuerdo a las nuevas normativas, de tal manera que permitan al usuario cambie su clave obligatoriament obligatoriamentee cuando ingresa por primera vez al sistema. Se debe utilizar un sistema de gestio gestio n de usuarios que permita: Bloquear al usuario en la aplicacio aplicacio n por luego de 3 intentos allidos.
-
-
Cambiar la contrasena al menos cada 30 dí aass para los usuarios con excepcion del sistema de banca virtual que debe ser cambiado cada 3 meses. Verificar la robustez de las contrasen contrasen as segu segu n esta esta ndar que establezca el Responsable de Seguridad de la Inormacio Inormacio n. Se debe cambiar inmediatamente la contrasena al sospechar o detectar que ha sido vista por terceras personas. Todo el personal del area de sistemas debe mantener sus equipos de trabajo diario con contrasen a de acceso segura cuando no esten trabajando en ellas. contrasen Todo el personal debe mantener sus equipos de trabajo diario con contrasena de acceso segura cuando no esten trabajando en ellas. -
-
6.6.10. Políticas de Buen Uso de Contraseñas de Usuario. Uso Reservado Cooperatva
Página 21 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
-
-
-
-
-
Versión: 1
Recibir de la Unidad de Seguridad de la Inormacio Inormacio n la clave generada por el Sistema. Modificar la clave generada por el sistema, por una personal el momento de ingresar por primera vez al sistema. Resguardar cuidadosamente cuidadosamente la clave de acceso tanto al sistema o cualquier otro sistema al que se le haya asignado privilegios de ingreso. Es deber de cada usuario no entregar y/o inormar de su clave personal de acceso a los sistemas inormaticos. Esta prohi Esta prohibido bido que las cont contrasen rasen as se encu encuentr entren en de orm ormaa legib legible le en cualq cualquier uier medio impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos. Sin importar las circunstancias, las contrasen contrasen as nunca se deben compartir o revelar. Hacer esto responsabil responsabiliza iza al usuar usuario io que presto presto su contrase contrasen na de toda todass las acciones que se realicen con el mismo. Todo usuario que tenga la sospecha de que su contrasena es conocido por otra persona, debera cambiarlo inmediatamente. debera Los usuarios no deben almacenar las contrasenas en ningun programa o sistema que proporcione esta acilidad.
6. 6.7. 7. -
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Po Polí lític ticaa par paraa Lic Licen encia ciami mien ento to de So Sot twa ware re In Inst stit ituci ucion onal al..
Las Oficinas, departamentos, unidades y puestos con ayuda del area de sistemas, deberan identificar los perfiles de sotware necesarios para soportar la operacio operacio n de la Institucio Institucio n. El area de sistemas implementara un estandar de sotware base para el usuario, el mismo que se considera la plataorma (sistema operativo) y programas basicos para desarrollar labores generales de cada usuario. En caso de existir la necesidad de instalar sotware en los equipos de la Institucion, el usuario usua rio final o cust custodio odio debera debera solic solicitar itar al a rrea ea de sist sistemas emas la inst instalac alacio io n del mismo previa autorizacio autorizacio n de un superior. La Adquisicio Adquisicio n de sotware estara estara sujeta a las polí tticas icas internas de compras. El solicitante de la adquisicio adquisicio n, renovacio renovacio n o cambio de sotware sera responsable de la gestio n de compra que esto implique. gestio En caso caso de ex exis isti tirr prog progra rama mass de so sot twa ware re no li lice cenc ncia iado dos, s, no regu regula lari riza zado doss o no pertenecientes al perfil aprobado por la Unidad de Sistemas en un computador de la Institucio n, la responsabilidad final recaera Institucio recaera sobre el custodio del equipo. El area de sistemas proveera unicamente sotware que ha sido adquirido legalmente, con el fin de satisacer todas las necesidades. El uso de los programas que se obtienen a partir de otras uentes, puede implicar amenazas en la seguridad de la inormacion de la Institucio n, por lo que dicho uso esta estrictament Institucio estrictamentee prohibido. El aa rea de sistemas realizara realizara revisiones permanente permanentess a cada uno de los equipos asignados a los uncionarios de la Cooperativa y verificara verificara que no exista sotware y/o aplicaciones
Uso Reservado Cooperatva
Página 22 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
ajenas a las labores de la Institucion, de encontrarse esta inormacion en algun equipo se procedera a borrar dicha inormacio procedera inormacio n del computador y se reportara reportara al Responsable de Seguridad de la Inormacion para su registro y seguimiento correspondiente; así como tambie n a Talento Humano para la aplicacio tambie aplicacio n de las sanciones establecidas. El a rea rea de sistem sistemas as no est estara ara aut autor oriza izada da par paraa rea realiz lizar ar ins instal talaci acione oness de so sotwa tware re adquiridos por la Cooperativa en equipos no pertenecientes al inventario de Activos Fijos de la institucio institucio n. El area de sistemas ejecutara procesos de revision del sotware instalado en los equipos instit ins tituci ucion onale aless y en cas casoo de det detect ectar ar so sotwa tware re no reg regula ulariz rizado ado,, se in inorm ormara ara a las autoridades sobre este incumplimien incumplimiento. to. El area de sistemas, se encargara de comunicar con la debida anticipacion la caducidad de las licencias inventariadas a los lí d deres eres de cada area. El aa rea de sistemas, se encargara encargara de configurar a los usuarios el acceso a Internet siendo los uu nicos perfiles con acceso total: Gerencia General Jee de Agencia Administradores Administr adores de Servidores Jees de AA rea. Los demas uncionarios deberan tener acceso unicamente a paginas que por sus labores necesiten acceder. El aa rea de sistemas, se encargara encargara de verificar que ningu ningu n uncionario ingrese a paginas no autorizadas ni a las distintas redes sociales existentes por considerar mecanismos de alto riesgo para la uga de inormacion de existir el acceso no permitido se debera inormar al Respon Res ponsab sable le de Seg Seguri uridad dad de la In Inor ormac macio io n par paraa pro proced ceder er con el pro proced cedimi imien ento to respectivo de sancio sancio n al uncionari uncionario. o. El departamento de sistemas no es responsable del soporte o capacitacion de sotware -
-
-
-
especializado y/o sotware no basico. Los equipos computacionales de la Institucion deben mantener instalado unicamente sotwa so tware re regul regulari arizad zadoo por su Ofi Oficin cina, a, dep depart artame ament nto, o, uni unidad dad o pue puesto sto y el area de sistemas, en base a su perfil. Todo equipo computacional asignado a los empleados de la Cooperativa debe ser utilizado por el usuario final o custodio cumpliendo las normas y polí pol ítticas icas de licenciamien licenciamiento. to. La Cooperativa no se hace responsable bajo ningun concepto del sotware no licenciado o regularizado que se encuentre instalado en los equipos institucionales, considerando que la existencia de este tipo de sotware en un equipo institucional represen representa ta una violacio violacio n a la presente políttica. ica.
6. 6.8. 8.
Po Polí lític ticaa de Segu Segurid ridad ad en la lass Ope Operac racio ione nes. s.
Uso Reservado Cooperatva
Página 23 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
6.8.1. 6.8 .1. Pro Procedi cedimie miento ntoss de ope operaci ración. ón. -
Los procedimientos especificaran instrucciones para la ejecucion detallada de cada tarea, incluyendo: Monitoreo de red y servidores. Administracio Administr acio n de equipo de seguridad (Firewall etc.). Administracio Administr acio n de servidores. Administracio Administr acio n de servicios inorma inorma ticos. Alta y baja de cuenta de usuario en todos los sistemas. Verificacio n de accesos. Verificacio Respaldos. Mantenimiento Mantenim iento de equipos computacionales y equipos de red Manejo de incidentes de seguridad. Recuperacio n de inormacio Recuperacio inormacio n.
-
Se debera establecer los estandares de configuracion segura para dierentes plataormas bases como son: servidores (Windows y/o Linux), equipos de comunicacion de red y bases de datos.
6.8.2. 6.8 .2. Con Contro troll de Cam Cambio bio een n las O Opera peracion ciones. es. -
-
Para el control de los cambios en los ambientes operativos y de comunicacion. Todo cambio debera debera ser evaluado en aspectos tecnicos y de seguridad. El Responsable de Seguridad de la Inormacio Inormacio n de Inormacio Inormacio n controlara controlara que los cambios en los componentes operativos y de comunicacion no aecten la inormacion y seguridad de los mismos. Cada líder der tiene la responsabilidad de evaluar el impacto operat operativo ivo de su arrea ea debido a los cambios previstos y verificara verificara su correcta implementacio implementacio n. Los procedimientos de control de cambios deberan contemplar lo siguiente: Identificacio Identifica cio n y registro de cambios significativ significativos. os. Evaluacio n del posible impacto. Evaluacio Evaluacio n de riesgos. Evaluacio Aprobacio n ormal de los cambios propuestos. Aprobacio Planificacio n del proceso de cambios. Planificacio Pruebas del nuevo escenario. Comunicacio n de cambios a todos los involucrados. Comunicacio
6.8.3.. Separa 6.8.3 Separación ción de los Re Recursos cursos d dee desa desarrollo, rrollo, Prueba Pruebass y Pr Producción oducción..
Uso Reservado Cooperatva
Página 24 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Los ambientes de desarrollo, prueba y produccion, siempre que sea posible, estaran separados preerentemente preerentemente en orma íísica, sica, y se definiran y documentaran las reglas para la transerencia de sotware desde el estado de desarrollo hacia el estado de produccion. Para ello, se tendra tendra en cuenta los siguientes controles: Ejecut Eje cutar ar el so sotwa tware re de des desarr arroll olloo y de pro produc duccio cio n, en diere dierent ntes es amb ambien ientes tes de produccio n, equipos o directorios. produccio Separar las actividades de desarrollo y prueba, en entornos dierentes. Impedir el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente de produccion, cuando no sean indispensables para el uncionamiento del mismo. Utilizar sistemas de autenticacion y autorizacion independientes para los dierentes ambientes, así como como perfiles de acceso a los sistemas. Prohibir a los usuarios compartir contrasenas en estos sistemas. Las interaces de los sistemas identificara identificara n claramente a que que instancia se esta esta realizando la conexio conexio n. De Defi fini nirr prop propie ieta tari rios os de la ino inorm rmac acio io n para para cada cada uno uno de lo loss am ambi bien ente tess de procesamiento existentes. procesamiento El personal de desarrollo no tendra acceso al ambiente de produccion. De ser extrema dicha necesidad, se establecera un procedimiento de emergencia para la autorizacion, documentacio n y registro de dichos accesos. documentacio Todo servicio debera debera ser probado y veri verificad ficadoo su unc uncionam ionamient ientoo en un ambi ambient entee de pruebas Los servicios que se esten probando para su operacio operacio n tambie tambie n debera debera n pasar pruebas de seguridad. -
-
6.8.4. 6.8 .4. Pla Planifi nificac cación ión y Ace Aceptac ptación ión de dell Sist Sistema. ema. -
-
El Departamento de Sistemas, eectuara el monitoreo de las necesidades de capacidad de los ser servic vicios ios en pro produc duccio cio n (sist (sistema emas) s) y pro proyec yectar taraa nue nuevas vas neces necesida idades des,, a fin de garantizar un procesamiento procesamiento y almacenamiento adecuados. Para ello tomara en cuenta los nu nuev evos os re requ quer erim imie ient ntos os de lo loss se serv rvic icio ios, s, as asíí como como las las tend tenden enci cias as actu actual ales es en el procesamiento de la inormacion de la Cooperativa para el perí oodo do estipulado de vida util de cada componente. Los líderes deres inormaran las necesidades detectadas a los superiores competentes para que puedan identificar y evitar potenciales cuellos de botella, que podrían an plantear una amenaza a la seguridad o a la continuidad del procesamiento, y puedan planificar una adecuada accio accio n correctiva.
Uso Reservado Cooperatva
Página 25 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
El Departamento de Sistemas debera debera especificar los criterios de aceptacio aceptacio n para un nuevo sistema o servicio tecnologico a implementar en la Cooperativa. Debe considerar los siguientes puntos basados en el COBIT: Verificar el impacto en el desempeno y requerimientos de capacidad en los equipos inormaticos. Garantizar la recuperacio recuperacio n ante errores. Garantizar la implementacio implementacio n acorde a las normas de seguridad establecidas. Asegurar Aseg uraraa que la nuev nuevaa imple implement mentacio acio n no aec aectara tara nega negativa tivament mentee a los sist sistemas emas existentes. Considerar el eecto en la seguridad con la nueva implementacio implementacio n. Pruebas de regresio regresio n y pruebas de integracio integracio n. Pruebas de validacio validacio n contra requerimien requerimientos. tos. Escalabilidad Aprobacion de puntos clave en base a criterios de aprobacion acordados entre las partes.
6.8.5. 6.8 .5. Pro Protec tección ción Con Contra tra Sot Sotwar waree Antim Antimalw alware are.. -
-
Las areas de Sistemas, Auditoría, a, Riesgos y Seguridad deberan definir e implementar controles que permitan contar en todos los l os canales electro electro nicos con sotware antimalware que este este permanente permanentemente mente actualizado, el cual permita proteger el sotware instalado, detectar oportunamente cualquier intento o alteracion en su codigo, configuracion y/o uncionalidad, y emitir las alarmas correspondientes correspondientes para el bloqueo del canal electro electro nico, su inactivacio inactivacio n y revisio revisio n oportuna por parte del personal del area de sistemas. El equipo de Auditoríaa,, Riesgos y Seguridad desarrollara procedimientos adecuados para concientizar a los usuarios en materia de seguridad y control de accesos a los sistemas. Estos controles debera debera n considerar las siguientes acciones: Prohibir el uso de sotware no autorizado por la Institucio Institucio n. Instalar y actualizar periodicamente sotware de deteccion y reparacion de virus, examin exa minand andoo com comput putado adoras ras y med medios ios inorma inorma ticos ticos,, com comoo med medida ida pre precau cautor toria ia y rutinaria. Mantener los sistemas al día con las u ltimas actualizacion actualizaciones es de seguridad disponibles. Re Revi visa sarr peri perioodica dicame ment ntee el co cont nten enid idoo de sot sotwa ware re y dato datoss de lo loss equi equipo poss de proces pro cesami amient entoo que sus susten tentan tan pro proces cesos os crí crítticos icos de la Ins Instit tituci ucioon, inv invest estiga igando ndo ormalmentee la presencia de archivos no aprobados o modificacione ormalment modificacioness no autorizadas. Verificar antes de su uso, la presencia de virus en archivos de medios electronicos de origen incierto, o en archivos recibidos a traves de redes no confiables.
6.8.6. 6.8 .6. Res Respald paldos os de In Inorma ormació ción. n. Uso Reservado Cooperatva
Página 26 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
-
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Los Adm Admini inistr strado adores res de los ser servic vicios ios y sus bac backu kup p deb debera era n man manten tener er doc docume ument ntos os actualizados de polítticas icas y manuales de administracion de respaldos, configuracion y manejo del sotware instalado en los servidores y usuarios finales para la adecuada administracio administrac io n de los mismos. Estos documentos debera debera n especificar: Fecha de creacion. Versio n del documento. Versio Cambios eectuados. Datos inormativos de la persona que los elaboro elaboro . Aprobacion. La inraestructura de TI debe proveer a los administradores de servicios un sistema de respaldos en medios magne magne tticos icos confiables. Los administradores de los servicios deberan respaldar el codigo, datos, base de datos, configuraciones configuracion es antes de aplicar cualquier cambio. Se debera tener un lugar alterno para guardar los respaldos í ssicamente, icamente, este lugar debe estar uera de las instalacion instalaciones es de la Cooperativa. El lugar alterno de respaldos debera contar con la inraestructura, medidas de seguridad y ambientales necesarias para mantener una adecuada organizacion y clasificacion de las copias de respaldo. El admi administ nistrador rador debera debera prior priorizar izar la ino inormac rmacio io n segu segu n su nive nivell de impo importan rtancia, cia, y su comportamientoo para determinar la recuencia de respaldos. comportamient Si la copia de resp respaldos aldos tuviere un uso exces excesivo ivo debe debera ra reem reemplaza plazarse rse perio perio dicam dicamente ente,, antes de que el mismo medio magnetico de almacenamiento que la contiene llegue a deteriorarse. Al mom moment entoo en qu quee los med medios ios de res respal paldo do deb deban an des desech echars arse, e, est estos os deb debera era n ser destr des truid uidos os de or orma ma seg segura ura par paraa evi evitar tar cop copias ias o rec recupe upera racio cio n de la in inorm ormaci acioon almacenada. Los administradores de los servicios y sus backup deberan verificar el uncionamiento de los medios de almacenamiento antes de realizar el respaldo. Las copias de respaldo debera debera n conservarse en armarios de acceso restringido. El administrador principal y su backup debera debera n realizar pruebas perio perio dicas para verificar la validez y uncionalidad de las mismas. To Toda da la in ino orm rmac acio io n re resp spal alda dada da se sera ra cl clas asif ific icad adaa y etiq etique ueta tada da.. En su me medi dioo de almacenamiento debe incluir: nombre del archivo, version, aplicacion o sistema al que pertenece la inormacio inormacio n, echa de respaldo, persona que hizo el respaldo, ubicacio ubicacio n íssica ica para su almacenamien almacenamiento. to. Los adm admini inistr strado adores res de los ser servic vicios ios deb debera era n llevar llevar un reg regist istro ro de la in inorm ormaci acioon respaldada para su acil localizacio localizacio n.
Uso Reservado Cooperatva
Página 27 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Se deber deberaa mane manejar jar políticas ticas y procedimientos para la administracion, generacion de respaldos de inormacio inormacio n. Debera almacenar en un lugar seguro todos los backups o copia de seguridad ejecutados. Debera Establ Est ablece ecera ra con config figura uracio ciones nes aut automa omatiz tizada adass par paraa que los us usuar uarios ios gua guarde rden n tod todaa su inormacio n en los discos de red y se puedan acilitar las copias de seguridad (backup). inormacio
6.8.7. 6.8 .7. Adm Adminis inistra tración ción de SServ ervidor idores. es. -
-
-
-
-
-
El res respon ponsab sable le del a rea de sis sistem temas as deb debee asi asign gnar ar un adm admini inistr strado adorr pri princ ncipa ipall de servidores y de backup para los equipos. Los administradores son los responsables de establecer el manual de administracion y configuracion de sus servicios, solicitar y documentar los permisos que son necesarios para el uncionamien uncionamiento to del servicio. Cuando Cua ndo se imp implem lement entee un nue nuevo vo ser servic vicio io en pro produc duccio cio n, el adm admini inistr strado adorr tiene tiene la responsabilidad de solicitar al area de Auditoríaa,, Riesgos y Seguridad un reporte de vulnerabilidadess de equipo. vulnerabilidade El area de Auditoríaa,, Riesgos y Seguridad debe realizar un escaneo de vulnerabilidades a los servidores y este debe entregar el reporte respectivo a cada uncionario. El uncionario y su backup debe dar respuesta a este reporte con un inorme de los huecos de seguridad arreglados. Se debe establecer una lín nea ea base del comportamiento de los servidores y equipos de comunicacio n para su monitorizacio comunicacio monitorizacio n. Todos los equipos de comunicacion deben estar monitoreados por el administrador de la red con el fin de verificar si el sistema se encuentra Up o Down. Todos los equipos y servidores deben estar monitoreados por el administrador de la red. Como mín nimo imo debe monitorearse: Disco, Procesador, Memoria. Los inormes de monitoreo deben ser enviados al administrador del servicio cada mes o cuando se presente una situacio situacio n anormal en el mismo. El administrador de redes conjuntamente con el administrador de cada servidor debe planificar cada 6 meses una depuracion de permisos de red tanto de intranet como de internet para los servidores que administran administran.. El administrador de servidores debe inormar la presencia de codigo malicioso que no es detectado por el antivirus de la Cooperativa. Esto se debe reportar lo antes mencionado al proveedor de antivirus y dar un plan de accio accio n. Los servidores internos no podra podra n ser accedidos desde una red externa como Internet. En caso de ser estrictamente necesario este acceso se lo realizara a traves de un mecanismo seguro como una red privada virtual o un canal dedicado. El administrador debe revisar perio perio dicamente los log de auditoría de su servidor.
Uso Reservado Cooperatva
Página 28 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Cuando exista un cambio de administrado administradores, res, se debe realizar la capacitacio capacitacio n respectiva al nuevo administrador y se debe realizar la entrega de manuales de administracion y configuracion. Ademas, el nuevo administrador debe proceder a realizar el cambio de clavess de los usuar clave usuarios ios de admi administ nistracio racio n, elim eliminar inar usuarios persona personales les del ante anterior rior administradorr y depuracio administrado depuracio n de permisos. En los servidores de pruebas se debe implementar todos los puntos anteriores de esta seccion.
6.8.8. 6.8 .8. Ges Gestió tión n de Seg Segurid uridad ad en la R Red. ed. -
-
-
-
El a rea rea de inrae inraestr struct uctura ura de TI deb debera era es estab tablec lecer er est estaanda ndares res par paraa el etique etiquetad tadoo y cableado estructurado de voz y datos. El a rea de inra inraest estruc ructur turaa deb debera era est establ ablece ecerr est estaanda ndares res de con config figura uracio cio n par paraa los dispositivos de red (firewall, router, switch) con los niveles de seguridad definidos para cada servicio. El a rea de sistem sistemas as deb debera era con config figura urarr los nue nuevos vos equ equipo iposs compu computac tacion ionale aless baj bajoo el esta ndar establecido. esta No esta permitido el uso de modems en computadores que tengan tambien conexion a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben eectuarse a traves de la LAN de la Institucion y las autorizaciones por parte del administrador, con el fin de prevenir la intrusio intrusio n de hackers. Todaa est Tod estaci acioon de tra trabaj bajoo deb debera era est estar ar aso asocia ciado do a una red lan dep depend endien iendo do de sus unciones. Si un usuario final necesita acceder a servicios externos que se encuentran restringidas (como tp, vpn´s, escritorio remoto, etc.), este debe realizar la solicitud por medio del correo electronico al Responsable de Seguridad de la Inormacion con copia al Jee de Sistemas. El Responsable de Seguridad de la Inormacio Inormacio n analizara analizara la solicitud y junto con el pers personal onal de sist sistemas emas sera sera encar encargado gado de: prim primerame eramente, nte, validar la neces necesidad idad de lo solicitado y realizar la asignacio asignacio n del permiso. El Res Respon ponsab sable le de Seg Seguri uridad dad de la In Inor ormac macio io n deb debera era rev revisa isarr cad cadaa tr tres es mes meses es la documentacio n de IP’s Pu documentacio Pu blicas asignadas y sus permisos asociados.
Uso Reservado Cooperatva
Página 29 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
6.8.9. Acceso Remoto. -
-
Los accesos remotos a sistemas inormaticos de uso interno deben estar debidamente autori aut orizad zados os por el adm admini inistr strado adorr del sis sistem temaa y el Res Respon ponsab sable le de Seg Seguri uridad dad de la Inormacion. Se debe permitir acceso remoto (desde la red externa) a los servidores, solamente a personal autorizado e identificados por algu algu n suceso de uerza mayor Para el acceso remoto a los servidores se debe utilizar protocolos seguros. Las conexiones externas remotas deben ser autorizadas por el Responsable de Seguridad de la Inormacion.
6.8.10. Redes Wi-Fi. -
Las claves de las redes inalambricas protegidas seran cambiadas por peticion de un representante representan te del departamento al que pertenece la red. El administrador de la red inala inala mbrica debera debera cambiar las claves de acceso a la red cada 3 meses e inormarle a cada departamento. Realizar inspecciones íssicas icas periodicas y emplear herramientas de gestion de red para revisar la red rutinariamente y detectar la presencia de puntos de acceso no autorizados.
6.8.11. Monitoreo. -
El administrador de la red debera monitorear los equipos activos de red y los enlaces de Internet y canal de datos. El monitoreo debera debera ser habilitado las 24 horas del dí d ía y todos los díaass por los enlaces, equipos activos y servidores. El administrador de la red debera evaluar la capacidad de los enlaces semestralmente, con los administradores de las aplicaciones involucradas. El admi administ nistrado radorr de la red debera debera cont contactar actarse se inme inmediat diatamen amente te con el prov proveedor eedor del servicio cuando haya perdida de enlace.
6. 6.9. 9. -
Po Polí líti tica ca de Ge Gest stió ión nd dee IInc ncid iden ente tes. s.
Se ha cata catalogad logadoo como inciden incidente te a cualquier cualquier evento que este este dire directam ctamente ente relacio relacionado nado con los sistemas y servicios de la Cooperativa de acuerdo a las siguientes categoríaas: s: Virus de todo tipo Ataques Acoso Ingenierí a social
Uso Reservado Cooperatva
Página 30 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
-
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Suplantacio n de Identidad Suplantacio Deteccio n de vulnerabilidades Deteccio
Explotacio Explotacio vulnerabilidades conocidas Intentos de nacceso a un sistema. Violacio n de polí tticas Violacio icas Accesos no Autorizados Robo de Inormacio Inormacio n Borrado de Inormacio Inormacio n Alteracio n de la Inormacio Alteracio Inormacio n Todo el personal debe conocer los procedimientos para realizar el reporte de incidentes, eventos y vulnerabilidades de seguridad de la inormacio inormacio n que puedan tener impacto en la seguridad de los sistemas que administra administra.. Todo el personal debe inormar de cualquier incidente o evento de seguridad inorma inorma tica. Los administradores de servidores deben realizar el reporte de incidentes y eventos de
-
-
-
-
-
-
-
seguridad inorma inorma tica directamente al area de Auditoríaa,, Riesgos, Seguridad y Sistemas. El area de Riesgos, Seguridad de la Inormacion y Sistemas, deben hacer conocer al personal los contactos a los que puede comunicarse para el reporte de incidentes de seguridad inorma inorma tica. Es responsabilidad del area de Riesgos y Seguridad de la Inormacion, hacer conocer al personal de la Institucion, sobre la existencia del equipo de respuesta a incidentes de seguridad inorma inorma tica que constituye el area de sistemas. Los incidentes de seguridad inorma inorma tica pueden ser reportados por los siguientes medios: Correo electro electro nico, personalmente o utilizando el HelpDesk. Una vez que se ha recibido el reporte de incidente en el area de seguridad y sistemas, se envía al usuar usuario io un acuse de recibo de que el ino inorme rme se reci recibio bio y sera sera aten atendido dido en el menor tiempo posible. Los reportes de incidentes y vulnerabilidades y los inormes ejecutivos son de caracter confidencial. Se deb debera era env enviar iar men mensua sualme lment ntee al Res Respon ponsab sable le de Segur Segurida idad d de la In Inorm ormacio acio n las estadísticas de los incidentes y vulnerabilidades atendidas por el arrea ea de Sistemas. El area de Riesgos debe elaborar y publicar los datos estadí ssticos ticos de los incidentes de seguridad que se producen de orma trimestral. Por ningu ningu n motivo se debe utilizar me me ttodos odos ilegales para la resolucio resolucio n de un incidente. Es importante tomar en cuenta la asesorí a legal para las acciones a realizar en incidentes relacionados a: suplantacion de identidad, acceso a inormacion confidencial e incidentes relacionados con ingeniería social. Toda la inormacion relativa a los incidentes reportados, debe ser manejada con total confidencialidad, la clasificacion de la inormacion se realiza de acuerdo a la Polí tica de Gestio n de Activos de inormacio Gestio inormacio n.
Uso Reservado Cooperatva
Página 31 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Se debe tomar en cuenta mecanismos para la recoleccion de evidencia durante el proceso de respuesta respuesta a inci incident dentes, es, lo que servira servira de recurso necesar necesario, io, en el caso de instanci instancias as legales.
6. 6.10 10.. Po Polí lític ticas as d dee Se Segur gurida idad d Fís Física ica.. Todas las areas íssicas icas del negocio deberan contar con el nivel de seguridad acorde con el valor de la inormacion que se procesa y administra en ellas. La inormacion confidencial y restringida debera debera mantenerse en lugares con acceso restringido cuando no es utilizada. -
Seguridad Física sica de areas de Acceso Restringido: Deberan existir estrictos controles para el ingreso al Archivo Central, al Call Center, centros de datos, centros de cableado y otras areas que contienen activos crítticos icos de ino inormac rmacio io n. Se debera debera tene tenerr un registro del personal que ingresa.
-
Respaldo para el de suministro aa:: Las arde easinormacio de atencio cliente, centro las de co mputo, centros cableado,de de energí procesamiento n ncríalttica ica y en general indispensabless para la operacio indispensable operacio n del giro de la Cooperativa debera debera n contar con suministro de energía de respaldo con autonomía mín nima ima de 8 horas. Acceso de visitantes a a reas de acceso restringido: Para las areas restringidas, uu nicamente el personal de la entidad entidad ormalm ormalmente ente autori autorizado zado podra podra acced accederla erlass en uncio uncio n de las actividades que realiza. En el caso de que colaboradores de otras areas y/o de entes externos a la entidad requieran ingresar, debera debera n obtener la autorizacio autorizacio n correspondiente y estar siempre acompan acompan ado de un uncionario autorizado autorizado.. Obras Civiles en areas de acceso restringido: Todos los cambios estructurales dentro de los lugares de acceso restringido como almacenamiento de recursos de Tecnología Tecnologí a de la Inormacion deberan estar soportados por un analisis de riesgo con el fin de evaluar,
-
-
-
antes de la ejecucio ejecucio n de los trabajos, las posibles consecuencias sobre la seguridad í ssica ica y de la inormacio inormacio n. Estaa pro Est prohib hibido ido um umar ar y con consum sumir ir ali alimen mentos tos en las areas de acc acceso eso res restr tring ingido ido que contienen recursos de Tecnología de la Inormacio Inormacio n crítticos icos de la entidad. Cualquier sistema de inormacio inormacio n o equipo de ccoomputo que sea dado de baja o reutilizado, debera contar con un proceso de borrado seguro. El proceso de borrado seguro consistira debera en la destruccion de la inormacion que reside en el equipo; la validacion del proceso y de la prueba del proceso, procurando que ningu ningu n dato se deja en el equipo.
Uso Reservado Cooperatva
Página 32 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
6.11. 6.1 1. Man Manipul ipulació ación n y Seg Segurid uridad ad del Med Medio io
-
-
-
-
-
a. Me Medi dios Re Remo movi vibl bles es removibles (disco, cinta, CD, etc) para almacenar o transportar Cuando seosutilicen medios inorm inormaci acioon, se rot rotula ulara ra n deb debida idamen mente te par paraa ind indica icarr el nivel nivel de sen sensib sibili ilidad dad de su contenido (Confidencial, Estrictamente confidencial, etc). La inormacion con un nivel de clasificacion confidencial o mayor se almacenara en orma encriptada. Los medios removibles se mantendran, íssicamente, icamente, respetando el nivel de proteccion acorde con la clasificacio clasificacio n de seguridad de la inormacio inormacio n que tengan almacenada. b. Com Comunic unicaci acione oness escri escritas tas y por vo vozz Toda la inormacion en ormato íssico, ico, escrita o impresa sera clasificada de acuerdo a sus re requ quer erim imie ient ntos os de se segu guri rida dad. d. Es Esta ta ino inorm rmac acio io n incl incluy uyee regi regist stro ross de pape papell y comunicaciones (e-mail, documentos). comunicaciones Cuando la inormacion escrita es transerida y almacenada, la clasificacion de seguridad de inormacio inormacio n sera sera claramente indicada. Todas las comunicaciones por ax seran realizadas tomando las medidas necesarias para garantizar que la transmisio transmisio n así realizada realizada llegue u nicament nicamentee al destinatar destinatario io correcto. La inormacio inormacio n de clasificacio clasificacio n estrictamente confidenci confidencial al no se transmitira transmitira a trave trave s de tele ono tele ono o ax convencional. c. Des Destru trucci cción ón d dee in inor ormaci mación ón La eliminacion de los medios íssicos icos que contienen inormacion requiere un tratamiento acorde con el nivel de clasificacio clasificacio n de seguridad de la misma. Para el caso de la inormacion confidencial y estrictamente confidencial el medio sera ísicamente sicamente destruido o debidamente borrado en el caso que se pretenda reutilizarlo.
6.12. 6.1 2. Int Interc ercambi ambio od dee In Inorma ormación ción y SSot otware ware -
Correo Electrónico Uso para Negocios
Los sistemas de correo electro electro nico de la Cooperativa sera sera n principalmente utilizados para fines de negocios. El uso personal sera sera permitido en la medida que: No consuma recursos significativos, No entorpezca cualquier actividad de negocios.
Uso Reservado Cooperatva
Página 33 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Esta prohibido a los empleados el uso de cualquier sistema de correo electronico que no sea de la Cooperativa, para enviar o recibir inormacio inormacio n relacionada con los negocios de la Cooperativa. El uso de sistemas de mensajería instanta instanta n nea ea no aprobados, no esta esta permitido. Todos los mensajes enviados Desde La Cooperativa cumplira cumplira n con la normativa legal vigente y los estandares de la Institucio n en cuanto a su contenido. Institucio Los mensajes de correo electronicoc7_6_0p2- , incluyendo los archivos adjuntos seraan cla ser clasif sifica icados dos de acu acuerd erdoo a est estaa Pol Políítica, tica, bas basado adoss en la sen sensib sibili ilida dad d de la inormaci ino rmacioon cont contenid enida. a. Cons Consecuen ecuenteme temente, nte, sera sera n asegu asegurados rados de acue acuerdo rdo a esta clasificacion. - Transmisión por correo electrónico La ino inormac rmacio io n conf confidenc idencial ial o estr estrictam ictamente ente confiden confidencial cial no sera sera envi enviada ada por corr correo eo electro nico, a menos que sea encriptada de acuerdo a los esta electro esta ndares de la Cooperativa.
6. 6.13 13.. Mo Moni nito tore reo o de la lass Com Comun unic icac acion iones es La Cooperativa se reserva el derecho de monitorear cualquier trafico electronico como parte par te de sus act activi ividad dades es ope operac racion ionale aless nor normal males, es, den dentr troo del mar marco co de la leg legisl islacio acio n vigente. 6.14. Internet Los uncionarios de la Cooperativa podran acceder a Internet si su uncionalidad de Negocio así lo amerita. El uso personal de Internet sera permitido dentro de lím mites ites razonables y siempre que los web sites accedidos no sean ilegales o inapropiados para un ambiente de trabajo bien controlado. Internet no sera sera utilizada para violar derechos de propiedad intelectual de ninguna clase. El acceso a otros recur recursos sos que no sean pa pa ginas de Inte Internet rnet,, esta esta rese reservad rvadoo a usuar usuarios ios autorizados. La Coop Cooper erat ativ ivaa se re rese serv rvaa el dere derech choo de bloq bloque uear ar el acce acceso so a siti sitios os de Inte Intern rnet et considerados inapropiados. La descarga de archivos electronicos desde Internet – por parte de los usuarios finales – no esta esta permitida. Esta estrictamen Esta estrictamente te prohibido intentar vulnerar o violar cualquier sistema inorma inorma tico o redes en Internet. 6. 6.15 15.. Tran Trans ser eren encia cia de Ar Arch chivo ivoss Uso Reservado Cooperatva
Página 34 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
La in inorm ormaci acioon cla clasif sifica icada da com comoo con confid fiden encia ciall no sera sera envia enviada da a tra trave ves de nin ningu gu n mecanismo de transerencia de archivos, a menos que sea encriptada de acuerdo a los
esta ndares de la Cooperativa. esta 6. 6.16 16.. Op Oper erac acion iones es de Sist Sistem emas as El sotware sera puesto en produccion de manera controlada. Para todos los sistemas en produccio n se llevara produccio llevara una versio versio n completa y un control de cambios. Las tareas y responsabilidades claves en el entorno de produccion, seran segregadas para gara garant ntiz izar ar la de debi bida da op opos osic icio io n de inte intere rese sess y mini minimi miza zarr el abus abusoo de u unc ncio ione ness privilegiadas. La continuidad de la operacio operacio n de sistemas sera sera asegurada, mediante un adecuado Plan de Contingencias. La eectividad de los mecanismos de seguridad disen disen ados en los sistemas, sera sera controlada a trave trave s de un testeo de seguridad ormal, antes de ser puestos en produccio produccio n y verificada -
-
regularmente. Toda vez que ocurran incidentes de seguridad relevantes, estos seran investigados y solucionados. El Responsable de Seguridad de la Inormacio Inormacio n documentara documentara lo ocurrido y tomara medidas para evitar situaciones similares. tomara Todoo so Tod sotwa tware re de ter tercer ceras as par partes tes ser seraa obt obteni enido do de ue uent ntes es con confia fiable bless y uti utiliz lizado ado estrictamente estrictamen te de acuerdo a los te te rrminos minos de la licencia. El derecho de propiedad intelectual del Sotware sera sera respetado y observado en todos los casos.
6. 6.17 17.. De Desa sarr rrol ollo lo d dee So Sot twa ware re El desarrollo y el mantenimiento del sotware que se utilice en La Cooperativa, seguiran las políticas, ticas, normas, procedimientos y estandares vigentes. Los requerimientos y el diseno de seguridad seran compatibles y estaran integrados con el disen disen o de seguridad existente para las redes y sistemas. Los entornos de desarrollo, QA y produccion seran segregados. Los desarrolladores de Sotware no tendran acceso a los sistemas e inormacion de produccion en circunstancias normales. La excepcio excepcio n a este punto debera debera ser solicitada exclusivamente por el Duen Duen o del Proce Proceso so en cir circun cunsta stanci ncias as exc excepc epcion ionale aless y con una vig vigenc encia ia det determ ermina inada da.. Sera Sera obligatorio mantener una bitacora de este tipo de requerimientos al menos por un períoodo do igual a un an an o. Los empleados involucrados en el desarrollo de sotware deberan ser entrenados en los aspectos de seguridad reerentes a la evaluacion, instalacion y mantenimiento de los sistemas. 6. 6.18 18.. Co Cone nect ctiv ivida idade dess de Re Rede dess Las redes de la Cooperativa sera sera n protegidas contra accesos no autorizados. Uso Reservado Cooperatva
Página 35 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
-
Todas las red Todas redes es de la Coope Cooperat rativa ivac10 c10_3p _3p22- sera sera n clas clasifi ificad cadas as en con confia fiable bless y no confiables de acuerdo al nivel de seguridad que posean.
-
Todas comunicaciones entre redes internas (p.e. Internet) entre areas de red conlas clasificacio n de seguridad variable, serayn externas salvaguardadas a travesode dispositivos de seguridad. Los dis distin tintos tos seg segme mento ntoss de red red uti utiliz lizado adoss en La Coo Cooper perati ativa, va, est estara ara n baj bajoo con contro troll y podran operar con una variedad de mecanismos de seguridad. Por su naturaleza, cuando estas redes se conecten, la seguridad de la red completa resultante desciende al nivel del segmento de red ma ma s inseguro. Seran aplicados mecanismos de seguridad adecuados, en el punto de conexion cuando se conecte con una red de terceras partes, una red publica o un segmento de red interna no confiable.
-
-
6. 6.19 19.. Re Respu spues esta ta ante ante inci incide dent ntes es -
-
Se contara con un “Equipo Especializado de Respuesta Ante Incidentes” que actuara ante situaciones o eventos donde se comprometa o pueda comprometerse la seguridad de la inormacion. El equipo debera debera tener tener la capacidad de dete detectar ctar intru intrusos, sos, realiza realizarr tare tareas as de rast rastreo reo e identificacion y analisis orense sobre los sistemas inormaticos en los cuales se han producido incidentes de seguridad.
7. Estruc Estructura, tura, R Roles oles y R Respons esponsabilidade abilidadess para la Segurid Seguridad ad de la IInormac normación ión 7.1.
Estructura
La Cooperativa tiene definida su estructura organizacional y dentro de ella identificaremos a las aa rreas eas involucradas en el sistema de seguridad de la inormacio inormacio n. 7. 7.2. 2.
Re Resp spon onsa sabi bili lida dade dess de la ge gest stió ión n
7. 7.2. 2.1. 1. Alta Alta G Ger eren enci ciaa La alta alta di dire recc ccio io n de la Co Coop oper erat ativ ivaa de debe be co comp mpro rome mete ters rsee con con la im impl plem emen enta tacio cio n, establecimiento, operacion, monitorizacion, mantenimiento, revision y mejora del Sistema de Gestion de Seguridad de la Inormacion. Con este concepto el directorio y la gerencia general deben brindar apertura y apoyo a la gestion de la seguridad de la inormacion y entre sus responsabilidades esta esta n las siguientes: -
Aprobar una políttica ica de seguridad de la inormacio inormacio n.
Uso Reservado Cooperatva
Página 36 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
-
Garantizar el cumplimiento cumplimiento de planes y objetivos de Sistema de Gestio Gestio n de Seguridad de la Inormacion.
-
Inormar a todos empleados Cooperativa de alcanzar los objetivos de seguridad de lalos inormacio inormacio n yde delacumplir con la la polí polimportancia íttica ica de seguridad. Designar los recursos necesarios para llevar a cabo el SGSI. Determinar los criterios de aceptacio aceptacio n de riesgos y sus correspondientes niveles. Establecer el SGSI dentro de la planificacio pl anificacio n estrate estrate ggica ica anual. Garantizar que se realizan todas las auditoríaass internas. Llevar a cabo revisiones perio perio dicas del SGSI.
-
7.2.2. 7.2 .2. Com Comité ité de Seg Segurid uridad ad de la iino normac rmación. ión. Las un uncio ciones nes y res respon ponsab sabili ilidad dades es del Co Comite mite den dentr troo del del con contex texto to de seg seguri uridad dad de la inormacio n son: inormacio -
Implantar las directrices de la Direccio Direccio n. Asignar los distintos roles y unciones en materia de seguridad. Presenta Pres entarr las políticas ticas,, norma normass y res respon ponsab sabili ilidad dades es en mat materi eriaa de seg seguri uridad dad de la inormacio n a la Direccio inormacio Direccio n para que sean aprobadas. Validar el mapa de riesgos y las acciones de mitigacio mitigacio n propuestas. Validar el Plan de Seguridad y presentarlo a la Alta Direccio Direccio n para que sea aprobado. Supervisar el desarrollo y mantenimiento del Plan de Continuidad de negocio. Velar por el cumplimient cumplimientoo de la legislacio legislacio n y regulacio regulacio n vigente. Promover la concienciacion y ormacion de los empleados en materia de seguridad de la inormacion. Aprobar y revisar perio perio dicamente el cuadro de mando de la seguridad de la inormacio inormacio n y de la evolucio evolucio n del SGSI
7.2.3. 7.2 .3. Res Respons ponsable able de la Se Seguri guridad dad de la In Inorma ormación ción El Responsable de Seguridad de la inormacion es la figura personal mas importante en el desarrollo de la seguridad de la inormacion ya que brinda los servicios de seguridad de la inormacion en la institucion, a traves de la planeacion, coordinacion y administracion de los dierentes procesos que garantizan la seguridad de la inormacion, así tambien crea una cultura de seguridad de la inormacio inormacio n. Las responsabilidades que lleva a su cargo son:
Uso Reservado Cooperatva
Página 37 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Planificar, desarrollar, desarrollar, controlar y gestionar las políticas, ticas, procedimientos y acciones con el fin de mejorar la seguridad de la inormacion dentro de sus pilares undamentales de confidenciali confidencialidad, dad, integridad y disponibilidad Proveer mecanismos que garanticen seguridad de la inormacio inormacio n lo lo gica y í ssica ica Asesorar en orma permanente y cercana a las distintas areas de la organizacio organizacio n en temas reere re erent ntes es a seg seguri uridad dad y con conduc ducir ir al cor corre recto cto cum cumpli plimie mient ntoo de los esta esta nda ndares res de seguridad definidos. Proteccio n de la propiedad intelectual Proteccio Asignar perfiles por usuarios de acuerdo al cargo Elaborar Elab orar polítticas icas nece necesari sarias as para proteger la ino inormacio rmacio n gene generada rada en el ambi ambiente ente tecnolo gico de aplicaciones y servicios tecnolo Cumplir y hacer cumplir a todos los usuarios las polítticas, icas, procedimientos y acciones que se determinen. Verificacio n de perfiles de seguridad Verificacio Garantizar la continuidad del negocio Participar en Auditoríaass relacionadas con seguridad inorma inorma tica Investigacion, en cuanto a los temas concernientes a la seguridad de la inormacion (ISO, COBIT) Identi Ide ntific ficaci acioon, ges gestio tio n y adm admini inistr straci acioon del Map Mapaa de riesg riesgos os de Tec Tecno nologí logía de la Inormacion Elaboracion de planes de accion para mitigacion de riesgos identificados que contengan identificadores identificador es como costo, tiempo, retorno de la inversio inversio n.
7. 7.2. 2.4. 4. Au Audit ditorí oríaa IInt ntern ernaa El per person sonal al de Aud Audito itorí ría int intern ernaa es res respon ponsab sable le de mon monito itorea rearr el cum cumpli plimie miento nto de los esta ndares y guíaass definidas internament esta internamente. e. Dentro del plan anual de auditoríaass se debe incluir la eva evalua luacio cio n per perio io dic dicaa de los con contro troles les de seg seguri uridad dad de in inorm ormacio acio n def defini inidos dos por la Cooperativa. Auditoría interna debe colaborar con el area de seguridad inormatica en la identificacion de amenazas y vulnerabilidades reerentes a la seguridad de inormacion de la Cooperativa. 7.2.5. 7.2 .5. Per Person sonal al de la Coo Coopera perativ tivaa Todos los empleados de la Cooperativa quienes manejan inormacion de cualquier tipo y que usan los sistemas de la inormacion de la empresa para realizar su actividad proesional. Este personal tiene las siguientes normas y responsabilidades: Uso Reservado Cooperatva
Página 38 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
-
Respetar y seguir las normas y procedimientos definidos en la políttica ica de seguridad de la Cooperativa.
-
Mantener la confidencialidad de la inormacio n que Hacer un buen uso de los activos deinormacio la organizacio organizacio n. manejan. Respetar la legislacio legislacio n y regulacio regulacio n vigentes. Notificar al responsable de seguridad de las anomalíaass o incidentes de seguridad, así como como las situaciones sospechosas. No acceder a datos aprovechando su privilegio sin autorizacion del jee de Departamento de TI o el responsable de seguridad. No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas sin previa autorizacio autorizacio n del jee del Departament Departamentoo de TI o del responsable de seguridad.
-
7. 7.3. 3. -
-
-
-
Segu Segurid ridade adess en eell us uso o de ttran ranse seren rencia ciass el elec ectr trón ónica icass
Contar con una plataorma tecnolo tecnolo gica que permita una encriptacio encriptacio n so so lida Contar con privilegios de autorizacion y medidas de autenticacion, controles de acceso logicos que contemplen por lo menos dos de tres actores: "algo que se sabe, algo que se tiene, o algo que es", considerando que uno de ellos debe ser dina dina mico por cada vez que se eectua una transaccion y otro debe ser una clave de una sola vez (OTP, One Time Password). Las entidades podran implementar entre otros, controles biometricos para el acceso al ambiente de internet Precautelar la integridad y privacidad de los registros e inormacio inormacio n de los socios, clientes o usuarios; Reconocer la validez de las transerencias realizadas; Establecer lím mites ites para cada transeren transerencia cia autorizada; Imposibilitar que el valor de la transerencia supere el saldo disponible o el lí m mite ite establecido para un periodo de tiempo; Permitir que el saldo de la cuenta del cliente, socio o usuario se consulte, valide, acredite o debite en tiempo real; Permitir al socio o cliente obtener reportes para la conciliacion de sus movimientos realizados a trave trave s de cualquier terminal electro electro nico, inormando la temporalidad maxima a la que puede acceder la consulta; y, Generar el comprobante de la transaccio transaccio n con el detalle necesario para la conciliacio conciliacio n. Los sistemas utilizados para las transeren transerencias cias electro electro nicas, debera debera n generar archivos que permitan respaldar el detalle de los antecedentes de cada operacio operacio n, de tal orma que sean usados en procesos de certificacio certificacio n o auditoria. Los sist sistemas emas para tran transere serencias ncias elect electro ro nicas que imple implemen menten ten las enti entidades dades debe deben n contar con perfiles de seguridad quedegaranticen la persona autorizada tenga los privilegios de uso; así como, como, no repudioque parasea realizar una transaccio transaccio n. la que
Uso Reservado Cooperatva
Página 39 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN
-
-
Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
Los sistemas de transerencias electronicas deberan permitir en cualquier momento y en tiempo real, el bloqueo al uso del sistema cuando se detecten eventos inusuales o cuando se adviertan situaciones raudulentas o procedimientos despues de un nu mero ma ximo de tres intentos allidos de acceso. Se debera n establecer seguros para levantar el bloqueo, para lo cual se debe proporcionar las notificaciones correspondientes al socio, cliente o usuario. La con contin tinuid uidad ad de ope operac racion iones es de los sis siste temas mas uti utiliz lizado adoss par paraa las tr trans anser eren encia ciass electronicas, deben cubrir los eventos ortuitos o uerza mayor considerando el uso de equipo de respaldo a traves de procedimientos de contingencia, de tal orma que no interrumpa el normal uncionamiento de los sistemas.
7. 7.4. 4.
Ac Acue uerd rdos os a n niv ivel el de serv servic icio ioss (AN (ANS) S)
La Cooperativa debera debera contar con: -
-
Tecnologíaass de la inormacio inormacio n es el responsable de negociar Acuerdos de Nivel de Servicio y velar por que se cumplan. Actuar como interaz principal entre el cliente y los servicios de TI suministrados a la Cooperativa, para la definicion, negociacion, acuerdo, monitoreo, inormes y revision de los niveles de servicio. Es responsable de mantener el Catalogo de Servicios, lo que garantiza que toda la inormacio n en el Cata inormacio Cata logo de Servicios es precisa, correcta y actualizada. Eectuar el Monitoreo de la eectividad del Cata Cata logo de Servicios y hacer recomendacion recomendaciones es de mejora. Producir inormes de gestio gestio n con base en los resultados de los ritmos obtenidas dentro dentro de los servicios tecnolo tecnolo gicos obtenidos.
8. Di Dispo sposi sicio cione ness Ge Gene neral rales es -
Todas las dudas o lo no prev previsto isto en este regla reglament mento, o, conocera conocera y reso resolvera lvera en u u nic nicaa y ultima instancia el Gerente General y el Consejo de Administracio Administracio n. Se deroga los manuales y resoluciones intern internas as que se opongan al presente manual
El El presente manual entrara entrara en vigencia una vez que el Consejo de Administracio Administracio n lo apruebe. Dado en… Presidenta del Consejo de Secretaria del Consejo de Administracion
Uso Reservado Cooperatva
Página 40 de 41
MANUAL DE SEGURIDADES DE LA TECNOLOGIA DE LA INFORMACIÓN Fecha aprobación:
MACOPROCESO:
Responsable:
TIPO DE PROCESO:
Gestón de Tecnología de la Información Apoyo
Código: MAN-SGSI-V01
Versión: 1
El presente manual de la Cooperativa de Ahorro y Credito xxxx, ue debatida y aprobada por el Consejo de Administracio Administracio n, el de
Secretaria del Consejo de Administra Administracio cio n
Uso Reservado Cooperatva
Página 41 de 41
View more...
Comments
