Normas y Procedimientos

Departamento [Seguridad de la Informacion]

LOGO

Organismo: <ORGANIZACION>

Poltica de Seguridad de la Informacin Declaracin General de Principios

Empresa propietaria: Unidad / Divisin propietaria: Unidad / Divisin responsable de la elaboracin: Estado: Fecha de Vigencia:

<ORGANIZACION>

Todas las reas de la organizacin Seguridad de la Informacion

Relevado __/__/____ X Propuesto Aprobado

Seguridad de la Informacin Poltica organizacional

Pgina 1 de 6

Normas y Procedimientos

Departamento [Seguridad de la Informacion]

LOGO

Poltica de Seguridad de la Informacin Declaracin General de Principios

Id.Doc.: [Pol.Seg.0001] Versin: [1] Vigencia: [__/__/____]

INDICE

1.- Introduccin 2.- Declaracin de la Poltica 3.- Objetivos 4.- Alcance 5.- Contenido / Disposiciones 6.- Supervisin y Evaluacin 7.- Documentacin de Referencia 8.- Anexos 9.- Glosario de Trminos y Definiciones 10.- Revisin y Aprobacin

1.- Introduccin Toda organizacin experimenta los efectos de la creciente globalizacin de la economa en el mundo. Una de sus consecuencias es la necesidad de apertura hacia el entorno que la rodea y el disponer de informacin ntegra y confiable en el momento adecuado. La informacin toma un papel preponderante en el inventario de activos de la empresa. Su disponibilidad, como recurso real, se materializa a travs de sistemas de informacin confiables que le permitan a la organizacin estar en la vanguardia tecnolgica y responder oportunamente a las exigencias de un mercado cada vez ms competitivo. Dichas exigencias generan grandes demandas para que se integren los sistemas de informacin de <ORGANIZACION> con los de nuestros socios comerciales. Esta gran interconectividad tiene sus recompensas, pero tambin incrementa sus riesgos de seguridad. Nuestra organizacin debe acompaar estos desarrollos en forma estable y segura. Esto significa mantener actitudes y conductas adecuadas para asegurar que nuestros sistemas estn disponibles para cuando se los necesite, que se pueden garantizar la integridad y la confiabilidad de la informacin y que su confidencialidad no se encuentra comprometida. Por ende, para garantizar la integridad, confidencialidad, confiabilidad y disponibilidad de la informacin se deben habilitar los mecanismos adecuados de seguridad en la organizacin. Establecer polticas y procedimientos de seguridad efectivas que disminuyan los riesgos de que se produzca un escape, alteracin o destruccin de datos que sean de vital importancia para la organizacin. Hay un permanente incremento del almacenaje y la comunicacin electrnica de la informacin. Consecuentemente, la Tecnologa de la Informacin (IT) es una parte fundamental de la seguridad de la informacin y los administradores de IT tienen algunas responsabilidades especficas al respecto. A las polticas les concierne garantizar la seguridad de toda la informacin, independientemente de su forma de almacenamiento (diskettes, discos compactos o redes de computadoras), o tipo de comunicacin (verbal, impresa o electrnica), y todos los usuarios tienen la responsabilidad de garantizar que la informacin que utilizan se encuentre bajo los controles de seguridad apropiados. Entonces, la gestin efectiva de la seguridad de la informacin es una responsabilidad compartida por todos los miembros de la organizacin: los directivos, los administradores de los sistemas de informacin y los usuarios. Dicha responsabilidad se debe asumir en una actitud proactiva y colaborativa tendiente a la proteccin de los activos comerciales de la empresa, entre los cuales se encuentra la informacin. Los directivos son los encargados de definir las polticas de seguridad (y por ende los requerimientos de seguridad), aprobar y publicar su documentacin con objeto de difundirla en toda la organizacin, y de cumplir y hacer cumplir las normas que surjan para su implementacin. Los administradores de los sistemas implementan las tcnicas y mtodos necesarios sobre los ambientes tecnolgicos y administrativos para dar cumplimiento a las polticas y normas establecidas por la organizacin.

Seguridad de la Informacin Poltica organizacional

Pgina 2 de 6

Normas y Procedimientos

Departamento [Seguridad de la Informacion]

Los usuarios tienen la responsabilidad de hacer uso adecuado de los recursos que la organizacin pone a su disposicin y respaldar las polticas de seguridad, empleando como gua las normas y procedimientos establecidos para cada puesto de trabajo.

La Seguridad de la Informacin consiste en la adecuada combinacin de tecnologa y poltica empresarial, tendiente a la proteccin de los recursos de informacin de un conjunto de amenazas entre las que se encuentran el dao, la alteracin, el robo y la prdida. No significa solo tratar con recursos y procesos informticos, sino de la adecuada integracin de personas, procesos y tecnologa. Del mismo modo en que la tecnologa se encuentra en permanente evolucin, tambin lo hacen los tipos de riesgos o amenazas a las que queda expuesta la informacin. Esto hace que el problema de la seguridad no pueda ser resuelto de una sola vez, y tome la caracterstica de un proceso continuo de gestin de riesgos. Es decir que constituye un viaje permanente y no un destino. La presente Poltica de Seguridad de la Informacin se ha elaborado con objeto de poner en marcha un proceso paulatino y constante de implementacin de seguridad de la informacin, tendiente a complementar el objetivo de asegurar que nuestra organizacin se encuentre mejor preparada para tomar la mayor ventaja posible de las oportunidades que se presenten..

2.- Declaracin de la Poltica La informacin y los distintos medios que la soportan (procesos, sistemas y redes), deben estar disponibles para el personal de <ORGANIZACION>, y para terceras partes debidamente autorizadas, para permitirles optimizar su desempeo y el de la propia organizacin. La informacin debe mantenerse bajo adecuados niveles de control para protegerla de la prdida, manipulacin o divulgacin no autorizadas.

3.- Objetivos Los objetivos especficos de la Poltica de Gestin de la Seguridad de la Informacin son: Disponibilidad: Para asegurar que los usuarios autorizados tienen acceso a la informacin y los procesos, sistemas y redes que la soportan, cuando se requiera. Integridad: Para preservar la veracidad y completitud de la informacin y los mtodos de procesamiento. Confidencialidad: Para asegurar que la informacin solo sea accedida por aquellos que cuenten con la autorizacin respectiva.

La presente Poltica nos provee de un esquema de gestin destinado a implementar y mantener un nivel de seguridad de la informacin acorde a los riesgos que se presentan y cuyo propsito es: 2.1. Asegurar el mantenimiento de la confiabilidad entre las unidades de negocio y los socios comerciales con quienes se comparten redes publicas y privadas. 2.2. Garantizar que la informacin est segura. 2.3. Se cumple con las obligaciones regulatorias. 2.4. Poner de manifiesto la postura de <ORGANIZACION> en lo que respecta a la prevencin, atencin y seguimiento de incidentes de seguridad de la informacin. 2.5. Informar que se habilitan y disponen los mecanismos necesarios para el tratamiento adecuado y coordinado de la Seguridad Fsica y Lgica de la informacin de <ORGANIZACION>. 2.6. Provocar la adopcin paulatina de los conceptos de seguridad por parte de la organizacin a travs de un plan de implementacin gradual y acorde con la cultura de <ORGANIZACION>.

4.- Alcance Esta poltica se aplica a: Toda la informacin de <ORGANIZACION>, ya sea que se encuentre impresa fsicamente o contenida en medios informticos, y tanto si es comunicada en forma electrnica o de otro modo. Todo el personal, socios comerciales, prestadores de servicios de <ORGANIZACION>.

Seguridad de la Informacin Poltica organizacional

Pgina 3 de 6

Normas y Procedimientos

Departamento [Seguridad de la Informacion]

5.- Contenido / Disposiciones a. b. c. Todo el personal deber respetar las normas, estndares, guas de mejores prcticas y procedimientos de seguridad de la informacin derivadas de la presente poltica. Toda informacin relacionada con el proceso de negocio deber ser clasificada conforme al estndar correspondiente en cuanto a su grado de sensibilidad para la organizacin. El personal ser responsable de proteger la informacin y recursos bajo su custodia, que sean propiedad de la organizacin, siguiendo las normas, estndares, guas de mejores prcticas y procedimientos definidos para tales efectos por <ORGANIZACION>. Todo incidente de seguridad informtica deber ser tratado con la mayor discrecin posible, buscando en todo momento preservar la reputacin de la organizacin. Las reas correspondientes de la organizacin debern implementar los controles de seguridad de la informacin necesarios para proteger los activos informticos de la organizacin, justificando cualquier inversin con un anlisis costo-beneficio y cumpliendo con las normas, estndares, guas de mejores prcticas y procedimientos derivados de esta poltica.

d. e.

6.- Supervisin y Evaluacin Con objeto de verificar la efectividad de las normas, estndares, guas de mejores prcticas y procedimientos establecidos en materia de seguridad y derivados de esta poltica, se establecen las siguientes directivas: 6.1.- Pautas de control 1. 2. Todas las reas de la organizacin, son responsables de promover, mejorar, difundir y controlar el uso de las normas, estndares, guas de mejores prcticas y procedimientos derivados de esta poltica. Se realizarn auditoras peridicas en todas las actividades de la organizacin que estn relacionadas con la seguridad de la informacin (FISICA Y LOGICA) y que se encuentren contempladas en las normas vigentes derivadas de esta poltica. Dichas auditoras se ajustarn al calendario que establezca la Auditora Interna en conjunto con el rea responsable especializada en seguridad. [ALTERNATIVA: Dichas auditoras se ajustarn al calendario que se establezca oportunamente O no mencionar nada, PERO DEBE EXISTIR CONTROL INTERNO Y AUDITORA. Y LOS USUARIOS DEBEN IDENTIFICAR CLARAMENTE A LOS RESPONSABLES DEL CONTROL DE LA SEGURIDAD]. La <ORGANIZACION> se reserva el derecho a realizar el monitoreo sobre todos los servicios informticos, con objeto de garantizar la disponibilidad de una red altamente confiable. Los informes correspondientes debern ser confeccionados peridicamente por los administradores de los sistemas y presentados a solicitud de la Auditora Interna. [LA IDEA ES QUE LA ORGANIZACIN VAYA ACOSTUMBRANDOSE A LA EXISTENCIA DEL ROL DE AUDITORIA]. Con objeto de respetar el carcter confidencial de la informacin, se recomienda que el personal de <ORGANIZACION> se conduzca conforme al Manual de Induccin (Normas Internas del Personal) y las normas, estndares, guas de mejores prcticas y procedimientos que el mismo haya establecido.

3.

4.

6.2.- Cumplimiento / Sanciones Se aplicarn las sanciones correspondientes al incumplimiento de las normas, estndares, guas de mejores prcticas y procedimientos derivados de la presente poltica. 1. 2. Toda violacin a las polticas de seguridad, ser sancionada conforme al reglamento establecido por la Gerencia de <ORGANIZACION>, evaluando la gravedad e intencionalidad manifiestas. Toda violacin que no haya sido especficamente contemplada en la reglamentacin existente en la organizacin, deber ser resuelta, con las sanciones consideradas pertinentes, por parte de la Gerencia de <ORGANIZACION> y/o el Comit de Seguridad respectivo. En aquellos casos en donde la sancin no haya sido especificada, el responsable del rea correspondiente al infractor (o infractores), deber proponer la sancin que crea conveniente a la Gerencia de <ORGANIZACION>, quien determinar su aplicacin.

3.

Seguridad de la Informacin Poltica organizacional

Pgina 4 de 6

Normas y Procedimientos

Departamento [Seguridad de la Informacion]

7.- Documentacin de Referencia La presente poltica est gobernada por la legislacin externa vigente que aplica a la organizacin, definidas por las instancias legales del pas. Adems, se subordina a las normas laborales y administrativas, internas y externas, que rigen a la organizacin. Sin perjuicio de aplicacin de la legislacin vigente que aqu no se enumera, se menciona la siguiente documentacin de referencia: [Normas y Regulaciones que le apliquen a la <ORGANIZACION> (entidades financieras, seguros de salud, gubernamentales, etc.)]. Norma IRAM ISO-IEC 17799 (IRAM 2002-06-28). Dominio 3 Control 3.1 Norma IRAM 17798 (IRAM 2004). RFC 1244 - Gua de Seguridad en Sitios (1991 - IETF). [Ley de Propiedad Intelectual]. [Habeas Data, etc.]

8.- Anexos N/A

9.- Glosario de Trminos y Definiciones Trmino Accesibilidad Activos Definicin Admisin o permiso para hacer uso de la informacin y sus recursos asociados. Recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Eventos que pueden desencadenar un Incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus Activos. Van desde fallos tcnicos y accidentes no intencionados (pero no menos peligrosos), hasta acciones intencionadas, ms o menos lucrativas, de curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude. Todos los indicadores aseguran que las amenazas a la seguridad de los sistemas de informacin y a la informacin misma evolucionan a formas cada vez ms ambiciosas y sofisticadas. Intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Funcionalidad que tiene la capacidad de determinar qu acciones o procesos se estn llevando a cabo en un sistema, as como quin y cuando las realiza. Funcin de la Auditora que, llevada a cabo por un equipo de profesionales especializados: - Evala (determina), verifica (evidencias) y disea los controles en las actividades y recursos de cmputo de las empresas. - Promueve la automatizacin de las diferentes modalidades de la auditora. Clasificacin la informacin Confidencialidad Disponibilidad Proceso que separa la informacin en categoras, con diferentes niveles de proteccin y sus correspondientes requerimientos. Caracterstica que toma la informacin cuando se garantiza que la misma sea accesible slo a aquellas personas autorizadas a tener acceso a ella. Caracterstica que toma la informacin cuando se garantiza que los usuarios autorizados tengan acceso a la misma y a los recursos relacionados con ella toda vez que se requiera.

Amenazas

Ataque Auditora

Auditora Informtica

Seguridad de la Informacin Poltica organizacional

Pgina 5 de 6

Normas y Procedimientos

Departamento [Seguridad de la Informacion]

Dominio Impacto Incidente

Referencia a un Activo y/o al entorno de un activo. Dao producido a la organizacin por un posible incidente y que es el resultado de la Agresin sobre el Activo. Evento que involucra un conjunto de ataques que pueden ser distinguidos de otro grupo por las caractersticas del mismo (grado, similitud, tcnicas utilizadas, tiempos, etc.). Para su tratamiento, la organizacin establece un procedimiento formal de comunicacin, junto con un procedimiento de respuesta a los mismos. Caracterstica que toma la informacin cuando se protege la exactitud y totalidad de la informacin y los mtodos involucrados en su procesamiento. Especificacin y grado de cumplimiento de los requerimientos de seguridad que involucran las tecnologas de la informacin. Posibilidad de que se produzca un impacto dado en la organizacin. Se puede valorizar como un Indicador resultante de la combinacin de la Vulnerabilidad y el Impacto que procede de la Amenaza actuante sobre el Activo. Aspecto de la Seguridad de la Informacin que consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Aspecto de la Seguridad de la Informacin que consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Ocurrencia real de materializacin de una Amenaza sobre un Activo. Su acepcin ms generalizada habla de la posibilidad de ocurrencia de la Amenaza independiente del Activo amenazado y la Accesibilidad de la Amenaza al Dominio, sea fsica o bien lgica.

Integridad

Nivel de seguridad informtica Riesgo

Seguridad Fsica

Seguridad Lgica

Vulnerabilidad

10.- Revisin y Aprobacin La presente poltica fue revisada y aprobada por las siguientes autoridades:

XXXX Gerente General

XXXX Gerente .....

XXXX Departamento Recursos Humanos

XXXX Departamento Sistemas

XXXX Departamento [Seguridad de la Informacion]

Seguridad de la Informacin Poltica organizacional

Pgina 6 de 6