POLITICA DE SEGURIDAD DE INFORMACION

NOVIEMBRE 2006

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

Cdigo Versin Aprobado por Fecha

: EI-DO-003-06 : 00 : EI : 02-Nov-2006

INDICE

I. II.

DESCRIPCION POLITICA DE SEGURIDAD

1 1 1 1 1 1 1 2 2 2 2 2 2 3 3 3 3 3 3 3 3 4 4 4 4 4 5 5 5 5 5

2.1 GENERALES DE LA ORGANIZACIN DE LA ACTUALIZACIN DE LA DIFUSIN Y CAPACITACIN DEL REPORTE DE INCIDENTES 2.2 DEL EQUIPO DE LA INSTALACIN DEL EQUIPO DEL MANTENIMIENTO DEL EQUIPO DE LA ACTUALIZACIN DEL EQUIPO DE LA REUBICACIN DEL EQUIPO DEL USO DEL EQUIPO 2.3 DEL CONTROL DE ACCESOS DEL ACCESO A REAS DEL CONTROL DE ACCESO AL EQUIPO DE CMPUTO DEL CONTROL DE ACCESO LOCAL A LA RED DEL CONTROL DE ACCESO REMOTO DEL ACCESO AL SISTEMA DE INFORMACIN DEL ACCESO A INTERNET / INTRANET 2.4 DE LA UTILIZACIN DE LOS RECURSOS DE LA RED 2.5 DEL SOFTWARE DE LA INSTALACIN DE SOFTWARE DE LA ACTUALIZACIN DEL SOFTWARE DE LA AUDITORA DEL SOFTWARE INSTALADO DEL SOFTWARE PROPIEDAD DE LA INSTITUCIN 2.6 DEL PERSONAL 2.7 MANEJO DE INCIDENTES 2.8 DE LA CONTINUIDAD DEL NEGOCIO 2.9 DE SUPERVISIN Y EVALUACIN III. SANCIONES

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

Cdigo Versin Aprobado por Fecha Pginas

: EI-DO-003-06 : 00 : EI : 02-Nov-2006 : 1 de 5

I.

DESCRIPCION

Los requerimientos de seguridad que involucra el uso de Tecnologas de Informacin y Comunicacin (TIC), en los ltimos aos han cobrado un gran auge, y ms an con el carcter globalizador de Internet, situacin que ha originado nuevos sistemas para los sistemas computarizados. Esta situacin ha llevado a las organizaciones a desarrollar polticas que normen el uso adecuado de los recursos de TIC y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad de informacin de ELECTRO SUR ESTE S.A.A. emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de fallas y de las debilidades, de tal forma que permiten cumplir con la misin de ELECTRO SUR ESTE S.A.A. El proponer esta poltica de seguridad requiere un alto compromiso en la organizacin, agudeza tcnica para establecer fallas y deficiencias, constancia para renovar y actualizar las polticas en funcin del ambiente dinmico que nos rodea. El presente documento contiene las Polticas de Seguridad de ELECTRO SUR ESTE S.A.A. y tiene por fin normar a la organizacin en los rubros que contiene.

II.

POLITICA DE SEGURIDAD

Tomando como base el estndar internacional ISO/IEC 17799:2000 Gestin de seguridad de la informacin, y los objetivos de control y controles definidos en el Anexo A, a continuacin se definen las polticas de seguridad que normarn el uso de los Recursos y Activos de Tecnologas de Informacin y Comunicaciones en ELECTRO SUR ESTE S.A.A.

2.1

GENERALES

De la Organizacin 1. Se establecer el Comit de Gestin Seguridad de Informacin, presidido por el Gerente General y conformado por los Gerentes de reas y el Jefe de la Divisin de Sistemas de Informacin. Este comit se encargar de todos los temas de Seguridad de Informacin de ELECTRO SUR ESTE S.A.A. De la Actualizacin 1. La Poltica de Seguridad ser actualizada cada vez que sea necesaria. 2. De ser necesario, se contratar a Consultores Externos para supervisar, mejorar e implementar polticas de seguridad en los activos de informacin de ELECTRO SUR ESTE S.A.A. De la Difusin y Capacitacin 1. La Poltica de Seguridad ser difundida a todos los usuarios de los recursos informticos de la red de ELECTRO SUR ESTE S.A.A. (Red-ELSE) a travs de medios fsicos y electrnicos. 2. La Divisin de Sistemas de Informacin es la encargada de promover la capacitacin en Seguridad de Informacin a todos los usuarios de la Red-ELSE. Del Reporte de Incidentes 1. Todos los usuarios de la Red-ELSE estn obligados a reportar a la Divisin de Sistemas de Informacin cualquier incidente que amenaza a algn activo de informacin de ELECTRO SUR ESTE S.A.A.

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

2.2 DEL EQUIPO

Cdigo Versin Aprobado por Fecha Pginas

: EI-DO-003-06 : 00 : EI : 02-Nov-2006 : 2 de 5

De la instalacin del equipo 1. Todo equipo de cmputo (servidores, estaciones de trabajo, computadoras porttiles, dispositivos mviles, impresoras, switchs, routers) que ste o sea conectado a la Red de ELECTRO SUR ESTE S.A.A., o aquel que en forma autnoma se tenga y que sea propiedad de la empresa debe sujetarse a las normas y procedimientos de instalacin que emite la Divisin de Sistemas de Informacin. 2. La Divisin de Sistemas de Informacin en coordinacin con el rea de Control Patrimonial deber tener un registro de todos los equipos de propiedad de ELECTRO SUR ESTE S.A.A. 3. El equipo de cmputo de la empresa que sea de propsito especfico y tenga una misin crtica asignada, requiere estar ubicado en un rea que cumpla con los requerimientos de seguridad fsica, condiciones ambientales y alimentacin elctrica requeridos para garantizar su disponibilidad e integridad. 4. Todos los usuarios de los recursos de TIC de ELECTRO SUR ESTE S.A.A. debern de cumplir con las normas de instalacin, avisos de actualizacin, reubicacin, reasignacin y todo aquello que implique movimientos en la ubicacin de los equipos de cmputo. 5. Todos los usuarios / trabajadores que tengan asignado el equipo de cmputo son responsables de la proteccin fsica del equipo, les corresponde notificar los movimientos en caso de que existan a las reas de Sistemas y Control Patrimonial. Del mantenimiento del equipo 1. La Divisin de Sistemas de Informacin es la responsable del mantenimiento preventivo y correctivo de los equipos de cmputo de ELECTRO SUR ESTE S.A.A. Para tal fin deber emitir los cronogramas, normas y procedimientos respectivos. 2. En el caso de los equipos de cmputo de terceros, la Divisin de Sistemas de Informacin deber normar al respecto. 3. Todos los usuarios / trabajadores que tengan a su cargo equipos de cmputo cumplirn las normas y procedimientos que emita la Divisin de Sistemas de Informacin al respecto. 4. Los responsables de las sucursales podrn realizar el mantenimiento preventivo y correctivo de los equipos, con la autorizacin de la Divisin de Sistemas de Informacin. 5. La Divisin de Sistemas de Informacin dar a conocer la lista de personas que pueden tener acceso a los equipos para realizar los servicios de mantenimiento. De la actualizacin del equipo 1. Todo equipo de cmputo y comunicaciones (servidores, estaciones de trabajo, computadoras porttiles, dispositivos mviles, impresoras, switchs, routers) que sea propiedad de ELECTRO SUR ESTE S.A.A deber ser actualizado en software con las actualizaciones correspondientes, de requerir actualizaciones en hardware se debern implementar de ser rentables, tendiendo a conservar e incrementar la calidad del servicio que presta. De la reubicacin del equipo 1. La reubicacin del equipo de cmputo se realizar satisfaciendo las normas y procedimientos que emita la Divisin de Sistemas de Informacin. 2. El responsable de cada sucursal deber informar los cambios fsicos que se realicen en su lugar de trabajo a la Divisin de Sistemas de Informacin, y en caso se cambiara de responsable al rea de Control Patrimonial y a la Divisin de Sistemas de Informacin. 3. El equipo de cmputo a reubicar sea propiedad de ELECTRO SUR ESTE S.A.A. o de un tercero se har nicamente bajo la autorizacin del responsable, el lugar donde se reubicar deber contar con los medios necesarios para la instalacin del equipo. Del uso del equipo 1. Todos los usuarios / trabajadores que tengan asignado el equipo de cmputo son responsables del uso o acciones que se deriven por el uso de los equipos que tienen a su cargo. 2. Cuando el usuario deje el equipo de cmputo deber de bloquear o apagar el mismo, adems el escritorio de trabajo deber estar despejado.

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

2.3 DEL CONTROL DE ACCESOS

Cdigo Versin Aprobado por Fecha Pginas

: EI-DO-003-06 : 00 : EI : 02-Nov-2006 : 3 de 5

Del acceso a reas 1. La definicin y acceso de personal a reas se realizar de acuerdo a las normas y procedimientos que defina la Divisin de Sistemas de Informacin. Del control de acceso al equipo de cmputo 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia y responsabilidad hacer buen uso de los mismos. 2. El acceso a los equipos de cmputo se sujetarn a las normas y procedimientos que emita la Divisin de Sistemas de Informacin. 3. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Divisin de Sistemas de Informacin tienen la facultad de acceder a cualquier equipo de cmputo que este y no este bajo su supervisin conectado a la Red-ELSE. Del control de acceso local a la red 1. La Divisin de Sistemas de Informacin es la responsable de proporcionar a los usuarios el acceso a los recursos informticos. 2. La Divisin de Sistemas de Informacin es la responsable de difundir el reglamento para el uso de red y de procurar su cumplimiento, as como de verificar el uso responsable de la misma. 3. Todos los equipos de cmputo (propios y externos) que estn conectados a la Red-ELSE se sujetarn a las normas y procedimientos que emita la Divisin de Sistemas de Informacin. Del control de acceso remoto 1. La Divisin de Sistemas de Informacin es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informticos disponibles. 2. El usuario de estos servicios deber sujetarse al Reglamento de uso de la red-ELSE. Del acceso al Sistema de Informacin 1. El responsable de cada rea solicitar la creacin de cuentas de usuario para el Sistema de Informacin (SIELSE), de acuerdo a las normas y procedimientos establecidos por la Divisin de Sistemas de Informacin. 2. El Sistema de Informacin deber contar con un esquema de seguridad que garantice la Confidencialidad de informacin y asignacin de privilegios particularizados. 3. La instalacin y uso de los sistemas de informacin se rigen por el reglamento de uso de la Red ELSE y por las normas y procedimientos establecidos por la Divisin de Sistemas de Informacin. 4. Los equipos servidores son dedicados, por lo que se prohbe el acceso de cualquier usuario, excepto al personal de Sistemas de Informacin. Del acceso a Internet / Intranet 1. La Divisin de Sistemas de Informacin es la responsable de instalar y administrar los servidores de internet (WWW, FTP, Correo Electrnico Externo). 2. En el servidor WWW slo se permiten paginas autorizadas por la Divisin de Sistemas de Informacin. 3. La Divisin de Sistemas de Informacin deber emitir las normas y procedimientos para el uso de la intranet institucional. 4. El acceso a pginas Web a travs de cualquier programa informtico se sujetar al Reglamento de acceso a la Red-ELSE. 5. El material que aparezca en la pgina de internet de ELECTRO SUR ESTE S.A.A. deber ser aprobado por la Divisin de Sistemas de Informacin, respetando la ley de propiedad intelectual. 6. La Divisin de Sistemas de Informacin tiene la facultad de llevar a cabo la revisin de los accesos a internet que realicen los usuarios.

2.4

DE LA UTILIZACIN DE LOS RECURSOS DE LA RED

1. Los recursos disponibles en la Red-ELSE sern de uso exclusivo para asuntos relacionados con las actividades de ELECTRO SUR ESTE S.A.A. 2. Las Cuentas de Usuario de acceso a la Red-ELSE son de uso personal.
SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

3. 4. 5.

Cdigo Versin Aprobado por Fecha Pginas

: EI-DO-003-06 : 00 : EI : 02-Nov-2006 : 4 de 5

La Divisin de Sistemas de Informacin es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. La Divisin de Sistemas de Informacin es la responsable de emitir y dar seguimiento al Reglamento para el uso del Correo Electrnico. Corresponde a la Divisin de Sistemas de Informacin administrar, mantener y actualizar la infraestructura de la Red-ELSE.

2.5
1. 2. 3.

DEL SOFTWARE
La Divisin de Sistemas de Informacin es la encargada de establecer las Metodologas de desarrollo de software en ELECTRO SUR ESTE S.A.A. La Divisin de Sistemas de Informacin es la encargada de definir los requerimientos necesarios para el funcionamiento del software instalado en los equipos de cmputo de ELECTRO SUR ESTE S.A.A. El software que se utiliza en ELECTRO SUR ESTE S.A.A. deber contar con el licenciamiento que corresponda.

De la instalacin de software 1. La Divisin de Sistemas de Informacin es la encargada de establecer las Normas y Procedimientos para la instalacin y uso de Software en ELECTRO SUR ESTE S.A.A. 2. En los equipos de cmputo de la Red-ELSE slo se permitir la instalacin de software con licenciamiento apropiado y acorde a la propiedad intelectual. 3. La Divisin de Sistemas de Informacin es la responsable de brindar asesora y supervisin para la instalacin de software informtico. 4. Los usuarios de la Red-ELSE no podrn instalar ningn software sin la autorizacin del Jefe del Area y de la Divisin de Sistemas de Informacin. 5. Con el fin de proteger la integridad y disponibilidad de los sistemas informticos y de comunicacin, todos los equipos de cmputo debern contar con software de seguridad (antivirus, privilegios de acceso y otros que se apliquen). 6. Los usuarios de la Red-ELSE y responsables de los equipos de cmputo estn obligados a comunicar a la Divisin de Sistemas de Informacin cualquier instalacin que se realice en sus equipos y que no este de acuerdo a las normas establecidas al respecto. De la actualizacin del software 1. La Divisin de Sistemas de Informacin propondr anualmente la adquisicin y actualizacin de software para los equipos de cmputo y comunicacin de ELECTRO SUR ESTE S.A.A. 2. Corresponde a la Divisin de Sistemas de Informacin autorizar cualquier adquisicin y actualizacin de software. 3. Las actualizaciones del software de uso comn se llevar a cabo de acuerdo al Plan de actualizacin de Software desarrollado por la Divisin de Sistemas de Informacin. De la auditora del software instalado 1. La Divisin de Sistemas de Informacin es la encargada de realizar revisiones peridicas para asegurar que slo software con licencia est instalado en los equipos de cmputo de ELECTRO SUR ESTE S.A.A. Del software propiedad de la institucin 1. La Divisin de Sistemas de Informacin en coordinacin con el rea de Control Patrimonial deber contar con el registro de todo el software que sea propiedad de ELECTRO SUR ESTE S.A.A. 2. Todos los sistemas de software (programas, base de datos, intefaces) desarrollados con o a travs de los recursos de ELECTRO SUR ESTE S.A.A. se mantendrn como propiedad de la empresa, respetando la propiedad intelectual del mismo. 3. Es obligacin de todos los usuarios que manejen informacin masiva, mantener el respaldo correspondiente de la misma. 4. Los datos, las bases de datos, la informacin generada por los sistemas y los recursos informticos de la empresa debern estar resguardados. 5. La Divisin de Sistemas de Informacin promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas de software. 6. La Divisin de Sistemas de Informacin tramitar la gestin de patentes y derechos de creacin de software propiedad de la empresa.
SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.

DOCUMENTO

POLITICA DE SEGURIDAD DE INFORMACION

Cdigo Versin Aprobado por Fecha Pginas

: EI-DO-003-06 : 00 : EI : 02-Nov-2006 : 5 de 5

7. la Divisin de Sistemas de Informacin administrar los diferentes tipos de licencias de software y vigilar su vigencia en concordancia con las polticas definidas.

2.6
1. 2.

DEL PERSONAL
Todos los usuarios de la Red-ELSE debern de firmar un Acuerdo de Confidencialidad para el uso de los recursos de informacin. Los usuarios de la Red-ELSE sern capacitados continuamente en aspectos de seguridad de informacin.

2.7
1. 2.

MANEJO DE INCIDENTES
Los incidentes de seguridad debern ser reportados de acuerdo a las normas y procedimientos que emita la Divisin de Sistemas de Informacin. Se realizara la revisin peridica de los incidentes de seguridad registrados.

2.8
1. 2. 3. 4.

DE LA CONTINUIDAD DEL NEGOCIO

Se deber tener un Plan de Continuidad para cada una de las reas de la organizacin, definiendo niveles de aceptacin y priorizando los controles a implementar. Los controles a implementar se realizarn de acuerdo a su nivel de prioridad y los recursos asignados. Los planes de Continuidad sern actualizados cada vez que sean necesarios. Se debern realizar pruebas de los planes de continuidad.

2.9
1.

DE SUPERVISIN Y EVALUACIN
Las auditoras de cada actividad donde se involucre la seguridad lgica o fsica de los activos de informacin de ELECTRO SUR ESTE S.A.A. se sujetarn al calendario que establezca el Comit de Gestin de Seguridad de Informacin y/o la Divisin de Sistemas de Informacin. 2. Los sistemas crticos debern estar bajo un monitoreo permanente.

III. SANCIONES
1. Cualquier violacin a las polticas y normas de seguridad deber ser sancionada de acuerdo al reglamento emitido por el Comit de Gestin de Seguridad de Informacin. 2. Las sanciones pueden ser desde una llamada de atencin o informar al usuario hasta la suspensin del servicio dependiendo de la gravedad e intencionalidad de la falta. 3. Todas las acciones en las que se comprometa la seguridad de la Red-ELSE y que no estn previstas en esta poltica, debern ser revisadas por la Gerencia General y la Gerencia de Planeamiento para dictar una resolucin sujetndose a las normas legales vigentes.

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACIN DE ELECTRO SUR ESTE S.A.A.