POLTICAS DE SEGURIDAD DE TI

BORRADO R

Managua, febrero de 2014.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 2 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

CONTENIDO
I.

INTRODUCCIN ................................................................................................................................ 3

II.

OBJETIVOS ........................................................................................................................................ 3

III. ALCANCE ........................................................................................................................................... 3

IV. BASE LEGAL....................................................................................................................................... 3
V.

DEFINICIONES ................................................................................................................................... 4

VI. RESPONSABILIDADES ........................................................................................................................ 5

1.

Junta Directiva y Gerencia General................................................................................................ 5

2.

Gerencia de Operaciones y Sistemas. ............................................................................................ 5

3.

Usuarios y colaboradores. ............................................................................................................. 5

4.

Auditora Interna. .......................................................................................................................... 6

VII. POLTICAS ......................................................................................................................................... 6

1.

Organizacin para gestionar la seguridad de la informacin ........................................................... 6

2.

Clasificacin y proteccin de activos de informacin. ..................................................................... 6

3.

Acceso a la informacin por parte de terceros ................................................................................ 7

4.

Seguridad respecto al personal. ....................................................................................................... 9

5.

Seguridad fsica y del entorno. ....................................................................................................... 10

6.

Seguridad de los equipos informticos. ......................................................................................... 12

7.

Seguridad de dispositivos mviles. ................................................................................................ 13

8.

Seguridad en los procesos operativos de tecnologa. .................................................................... 14

9.

Seguridad del el servicio de internet. ............................................................................................. 17

10. Seguridad del servicio de correo electrnico. ................................................................................ 18

11. Control de acceso. .......................................................................................................................... 19
12. Polticas de uso de contraseas. .................................................................................................... 22
13. Seguridad en los sistemas de informacin ..................................................................................... 23
14. Seguridad en los servidores y otros componentes de infraestructura tecnolgica ....................... 26
15. Seguridad ante virus y otros cdigos maliciosos. ........................................................................... 27
16. Seguridad de redes inalmbricas. .................................................................................................. 27
17. Gestion de controles criptogrficos. .............................................................................................. 27

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

I.

PGINA 3 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

INTRODUCCIN
La Junta Directiva y Gerencia General de FDL reconocen la importancia de proteger sus
sistemas informticos y la informacin que en ellos reside, proporcionando los recursos
necesarios para la definicin e implementacin de las polticas descritas en este documento.
La automatizacin de los procesos de negocio del sector financiero y en particular de la
financiera ha propiciado una alta dependencia a sus sistemas aplicativos para la administracin
de informacin, esta informacin debe ser protegida ante cualquier amenaza sobre su
confidencialidad, integridad y disponibilidad.
Este documento describe los lineamientos de seguridad que deben ser implementados para
garantizar la confidencialidad, disponibilidad e integridad de los activos de informacin. Esta
poltica pretende ser el marco de control que debe seguirse para garantizar los adecuados
niveles de seguridad en el uso de la informacin y se ha elaborado tomando en cuenta las
mejores prcticas de la industria.

II. OBJETIVOS
1. Definir una lnea base de controles para proteger los recursos de informacin.
2. Brindar lineamientos para tomar decisiones acertadas para asegurar la seguridad de la
informacin.

III. ALCANCE
Los lineamientos contenidos en este documento deben ser implementados a toda la
institucin sin excepciones.

IV. BASE LEGAL

Este documento se encuentra establecido como parte del gobierno corporativo institucional
FDL y en cumplimiento con lo establecido en la resolucin CD-SIBOIF-500-1-SEP19-2007
Norma de Riesgo tecnolgico.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 4 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

V. DEFINICIONES
1. Seguridad de la Informacin: La seguridad de la informacin se define como la
preservacin de la confidencialidad, integridad y disponibilidad de la informacin y los
sistemas computacionales.
2. Confidencialidad: Se refiere a que la informacin sea accesible slo por aquellos usuarios
autorizados a tener acceso.
3. Integridad: Se refiere a que la informacin y los mtodos de procesamiento sean exactos y
completos.
4. Disponibilidad: Se refiere a que los usuarios autorizados tengan acceso a la informacin y
a los recursos asociados cuando lo requieran.
5. Incidente de Seguridad: Cualquier evento que atente contra los principios de
confidencialidad, integridad y disponibilidad.
6. Activos de informacin: Archivos y bases de datos, documentacin del sistema, manuales
de los usuarios, material de formacin, procedimientos operativos o de soporte, planes de
continuidad, documentos de configuracin, etc.
7. reas de seguridad: Localizaciones donde se encuentren equipos informticos requeridos
para el buen funcionamiento de los sistemas de la institucin, por ejemplo; centro de
datos o cuartos de comunicaciones.
8. Elementos de configuracin: Componentes de los servicios TI tales como dispositivos de
hardware, Software o Documentacin. En resumen, todos los componentes que han de
ser gestionados por la organizacin de TI.
9. Sistemas aplicativos: Software adquirido o desarrollado por la institucin para facilitar a
los usuarios un trabajo determinado.
10.Cambio de emergencia: Cambios de urgencia que son realizados en ambientes
productivos para solucionar incidencias que afectan la operacin del banco, estos cambios
no proceden segn el proceso estndar de control de cambios.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 5 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

VI. RESPONSABILIDADES
1. Junta Directiva y Gerencia General
1.1. Aprobar los lineamientos, normas, polticas y procedimientos para administrar de
manera adecuada y prudente la seguridad y los riesgos de tecnologa de la
informacin.
1.2. Revisar y actualizar los documentos antes referidos al menos con una frecuencia
anual.
1.3. Establecer mecanismos que aseguren la implementacin de sistemas de informacin
que cumplan criterios de confidencialidad, integridad y disponibilidad de la
informacin.
1.4. Estar informado acerca de los resultados del proceso de gestin de seguridad de la
informacin.
2. Gerencia de Operaciones y Sistemas
2.1. Implementar y proponer actualizacin de la poltica de Seguridad de la Informacin
para garantizar adecuados niveles de seguridad.
2.2. Evaluar, adquirir e implementar soluciones de seguridad informtica.
2.3. Realizar actividades e implementar procedimientos necesarios para garantizar un
ambiente informtico seguro.
2.4. Llevar a cabo el trabajo requerido para asegurar el cumplimiento de los lineamientos
dictados en esta poltica.
2.5. Identificar, analizar y reportar incidentes relevantes de seguridad de la informacin.
2.6. Monitorear el cumplimiento de marco legal y regulatorio
3. Usuarios y colaboradores.
3.1. Cumplir y hacer cumplir los lineamientos establecidos en esta poltica.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 6 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

4. Auditora Interna.
4.1. Realizar evaluaciones independientes a la implementacin de esta poltica.

VII. POLTICAS
1. Organizacin para gestionar la seguridad de la informacin
1.1. Se establecer un comit ejecutivo para dirigir y administrar las iniciativas de
seguridad.
1.2. El comit ejecutivo ser conformado por cargos de gerencia de diferentes reas, de
tal forma que facilite la implementacin de controles a la seguridad de la
informacin.
1.3. Deber existir un coordinador de seguridad de TI, esta funcin tendr a cargo la
gestin de todas las actividades orientadas a la proteccin de los activos informticos
y de los activos de informacin que estos contengan.
1.4. Las responsabilidades del personal de TI en materia de seguridad debern estar
listadas en sus descriptores de puestos.
1.5. Cuando sea necesario, se facilitar el acceso a la institucin a consultores o asesores
especializados en materia de seguridad de la informacin.
1.6. Las prcticas internas de seguridad debern ser evaluadas por personal externo a la
institucin al menos una vez al ao para identificar exposiciones relevantes de riesgo
que deban ser subsanadas.
2. Clasificacin y proteccin de activos de informacin
2.1. Se establecern las siguientes categoras a los activos de informacin para identificar
su grado de sensibilidad y criticidad:
2.1.1. Pblica: Informacin de carcter pblico cuyo acceso no afecta de forma
significativa a la Institucin.
2.1.2. De uso interno: Informacin cuyo acceso es restringido al pblico, destinado
a grupos de personas particulares identificados por el propietario.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 7 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

2.1.3. Confidencial: Toda aquella informacin sujeta legalmente al sigilo y que no

puede ser divulgada sin autorizacin expresa de su propietario.
2.2. El esfuerzo para proteger los recursos de informacin deber estar en funcin de la
categora asignada.
2.3. Los controles de seguridad sern implementados cuando la informacin sea copiada,
almacenada, transmitida por cualquier medio.
2.4. Se debern establecer mecanismos de seguridad para proteger el envo de
informacin por medios electrnicos, esto incluye el uso de tcnicas de criptografa
para proteger el acceso de personal no autorizado.
2.5. No se podrn descartar, vender, donar o cualquier otra actividad para dar de baja a
medios de almacenamiento electrnico mientras estos contengan informacin de la
institucin. Los medios de almacenamiento deben ser destruidos o sobre escritos de
forma segura.
2.6. El rea de Sistemas deber contar con mecanismos para monitorear la fuga o robo de
informacin por medios electrnicos.
2.7. Se evitar que los usuarios puedan recibir, enviar, transportar de alguna forma,
instalar, copiar o realizar alguna otra accin que pueda ser sealada como piratera
de software o cualquier otro material en forma digital.
3. Acceso a la informacin por parte de terceros
3.1. Todo acceso por parte de terceros a los recursos informticos de la institucin deber
ser previamente autorizado.
3.2. Los accesos a terceros sern otorgados por tecnologa a solicitud de las reas que
reciben el servicio.
3.3. Se proporcionar acceso a los recursos de la institucin, nicamente en los casos
donde sea necesario y tomando las medidas de seguridad apropiadas en base a una
valoracin del riesgo que representa.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 8 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

3.4. Los contratos con terceros debern reflejar todos los requisitos sobre seguridad y los
controles internos requeridos de acuerdo al tipo de servicio recibido, entre ellos
confidencialidad en la informacin y/o clusulas de no divulgacin.
3.5. La informacin transferida a terceras partes ser limitada en su contenido a los temas
que involucren el proyecto o la relacin de negocios.
3.6. Los contratos establecidos con terceros debern asegurar que no existan malos
entendidos entre las partes con respecto a las responsabilidades de cada uno.
3.7. Segn el caso, los trminos de contrato debern considerar lo siguiente:

La descripcin detallada de los servicios a prestar.

Los niveles de servicios deseados y aceptables.
El detalle de obligaciones de ambas partes.
Las responsabilidades en materia de legislacin, principalmente cuando existan
diferentes sistemas legales si el contrato implica la cooperacin con
organizaciones de otros pases.
Derechos de propiedad intelectual.
Acuerdos sobre control de acceso.
Definicin, seguimiento y comunicacin de criterios verificables de rendimiento.
El derecho de supervisar, y suspender si es necesario, las actividades a realizar.
El derecho de auditar directamente o por terceros el cumplimiento de las
responsabilidades contractuales.
Procedimientos para atender y escalar la solucin de problemas.
Responsabilidades de instalacin y mantenimiento del hardware y el software.
La estructura y formatos de comunicacin de informes.
Procedimientos claros de control de cambios.
La implicacin de terceros con sus subcontratistas.

3.8. Los compromisos asumidos por el personal de la institucin a travs de contratos de

servicio debern ser revisados por el rea de asesora legal.
3.9. En el caso de accesos por medios electrnicos, se otorgarn las credenciales
requeridas para la prestacin de servicios solamente por el tiempo requerido para
finalizar las tareas y brindando acceso nicamente a los activos que sea necesario.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 9 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

3.10.Todo servicio de TI obtenido de terceras partes deber ser supervisado por una
contraparte tcnica designada por la institucin quien ser responsable del buen
resultado del trabajo efectuado.
3.11.Todo cambio en elementos de configuracin deber ser realizado de acuerdo a los
procedimientos internos de control de cambios.
4. Seguridad respecto al personal
4.1. El rea de gestin humana ser la encargada de verificar la idoneidad del personal
contratado.
4.2. Todo el personal deber firmar acuerdos de confidencialidad de la informacin.
4.3. La implementacin de servicios tecnolgicos deber tomar en cuenta los requisitos
para reducir los riesgos por error humano, robos, fraudes o mal uso de las
instalaciones y lo recursos de la institucin.
4.4. Los contratos laborales incluirn dentro de sus trminos las responsabilidades y
obligaciones legales, tales como respeto a las leyes de propiedad intelectual o de
proteccin de datos.
4.5. Durante el proceso de induccin de nuevos colaboradores se darn a conocer las
polticas de seguridad de la informacin y los procedimientos relacionados.
4.6. Se darn charlas de actualizacin al personal sobre el contenido de las polticas de
seguridad as como de buenas prcticas en el uso de los recursos y servicios
tecnolgicos, al menos una (1) vez al ao.
4.7. El rea de gestin humana definir las medidas disciplinarias a tomar con
colaboradores que cometan infracciones a las polticas de seguridad.
4.8. El usuario deber firmar un documento en el cual acepte haber ledo y entendido los
compromisos de seguridad asumidos, no podr alegar desconocimiento de las
mismas para ser eximido de las responsabilidades y sanciones de las cuales se haga
acreedor.
4.9. La seguridad de los sistemas no debe verse comprometida por la ausencia ocasional o
vacaciones del personal del rea de Sistemas.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 10 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

4.10.Se har uso de las normativas laborales para promover la rotacin de personal en
ciertas funciones crticas para el funcionamiento normal de la institucin.
4.11.Al finalizar la relacin laboral con un colaborador se debern remover sus activos
informticos tanto fsicos como lgicos, es decir el empleado deber hacer entrega
formal de sus activos fijos as como de elementos de acceso a sistemas que le hayan
sido otorgados.
4.12.En caso de que la persona con la que se finalice la relacin laboral tenga
conocimiento
importante para la institucin, dicha informacin debe ser
documentada y transferida a la organizacin.
5. Seguridad fsica y del entorno
5.1. Los recursos informticos para gestionar la informacin requerida por los procesos de
la institucin debern ser resguardados en reas seguras internas o de terceros.
5.2. Las reas seguras debern:
Ser discretas y proveer indicaciones mnimas de su propsito.
5.2.2. Contar con las barreras y controles de seguridad fsica apropiados de acuerdo
al nivel de riesgo de cada localizacin.
5.2.3. Estar aisladas del acceso pblico.
5.2.1.

5.3. Las instalaciones con reas seguras contarn con personal de seguridad que ser
utilizado como medida para disuadir el intento de acceso a personal no autorizado.
5.4. Los controles de seguridad fsica implementados debern considerar lo siguiente:

reas de seguridad o de acceso restringido claramente identificadas como tal.

Edificaciones con solidez fsica y construida con material que retarde la
propagacin de incendios.
Medios de acceso fsico protegidos contra accesos no autorizados mediante,
controles de acceso, alarmas, vigilancia, rejas, etc. segn se requiera.
reas de recepcin y entrega de servicios independientes. Por ejemplo, servicios
elctricos, de red o de infraestructura.

5.5. En la medida de lo posible se har uso de controles de autenticacin para autorizar y

validar el acceso a las reas de seguridad.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 11 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

5.6. Las visitas a las reas seguras sern supervisadas, registrando propsito, fechas y
horas de entrada y salida. Los visitantes slo tendrn acceso para propsitos
especficos y autorizados, proporcionndoles instrucciones sobre los requisitos de
seguridad del rea y los procedimientos de emergencia.
5.7. En general las reas de seguridad debern tener controles para minimizar los riesgos
de posibles amenazas como:

Robos.
Incendio.
Explosivos.
Humo.
Agua o excesos de humedad.
Polvo.
Vibraciones.
Agentes qumicos.
Interferencias en el suministro elctrico.
Radiaciones electromagnticas.

5.8. Las reas seguras no debern almacenar materiales peligrosos y combustibles.

5.9. Las reas de seguridad debern tener vigilancia continua mediante cmaras de
vigilancia o CCTV.
5.10.Las reas seguras debern contar con medidas de seguridad ante fallas de servicio
elctrico, esto incluye el uso adecuado de UPS y plantas de generacin elctrica.
Adems debern contar con protecciones ante sobrecargas en la red de electricidad.
5.11.Los equipos crticos de las reas seguras debern estar en condiciones ambientales
aceptables para evitar fallos o mal funcionamiento.
5.12.Se debern vigilar continuamente las condiciones ambientales que puedan afectar
negativamente el funcionamiento de los equipos crticos para la institucin.
5.13.Equipos de cmputo en reas seguras debern estar instalados en Racks o Gabinetes
de seguridad bajo llave y sujetados firmemente al piso o paredes.
5.14.Los equipos y cableados debern estar claramente etiquetados y ordenados, su
instalacin deber cumplir con estndares de cableado estructurado.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 12 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

5.15.Se debern indicar las prohibiciones sobre fumar, comer o beber en reas de
seguridad.
5.16.Se debern implementar medidas de seguridad en relacin a los riesgos adyacentes a
las reas seguras, es decir a su localizacin y entorno.
5.17.Equipos y medios de respaldo debern estar a distancias de seguridad convenientes
para evitar dao en caso de un desastre en reas principales.
6. Seguridad de los equipos informticos
6.1. El rea de Sistemas:
6.1.1. Ser la encargada de proporcionar los equipos requeridos por cada puesto de

trabajo, estos equipos contaran nicamente con los perifricos y el software

estrictamente requeridos para la labor que desempea.
6.1.2. Se asegurar que la instalacin de los equipos informticos se realice

cumpliendo con apropiadas medidas de seguridad fsica.

6.1.3. Deber tomar medidas de control para evitar que los usuarios puedan

modificar configuraciones de los equipos de cmputo sin autorizacin.

6.1.4. Deber hacer las gestiones para garantizar la proteccin elctrica de los

equipos de cmputo crtico, sin embargo la implementacin y mantenimiento

de los equipos de respaldo tales como planes o UPS ser responsabilidad nica
del rea administrativa de la institucin.
6.1.5. Deber remover o inactivar cualquier equipo o dispositivo perifrico que no sea

de utilidad para el colaborador que hace uso del mismo.

6.2. Se llevar un inventario de los equipos asignados a cada usuario.
6.3. No se permitir la salida de equipos de ninguna de las instalaciones de la institucin
sin que exista un registro de traslado de los activos.
6.4. La instalacin y configuracin de equipos ser efectuada nicamente por el personal
autorizado. El usuario solamente podr reemplazar dispositivos perifricos cuya
instalacin carezca de complejidad, por ejemplo teclados o ratones USB.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 13 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

6.5. Los equipos de cmputo no sern ubicados de forma que se encuentren expuestos a
humedad, cadas y otros riesgos de dao.
6.6. Se dar mantenimiento a los equipos con la frecuencia y condiciones definidas por la
Vicegerencia de Tecnologa.
6.7. El mantenimiento de los equipos solamente ser brindado por personal autorizado.
6.8. El traslado lejano de equipos de cmputo de TI independientemente de su razn
deber efectuarse en condiciones de seguridad, se sugiere:

Trasladar los equipos en sus cajas.

Proteger los equipos de golpes y cadas.
No estibar demasiadas cajas verticalmente.
No exponer los equipos al sol o lluvia.
Utilizar vehculos de transporte.
Tomar en consideracin restricciones establecidas en plizas de seguro vigentes.

6.9. Todos los equipos debern tener instalado software antivirus y firewalls.
6.10.Deber existir pista de auditora de todos los fallos ocurridos en los equipos, as como
de los mantenimientos preventivos y correctivos.
7. Seguridad de dispositivos mviles
7.1. Salvo excepciones claramente documentadas, no se permitir el uso de dispositivos
mviles personales para hacer uso de servicios tecnolgicos de la institucin.
7.2. El rea de Sistemas deber gestionar la configuracin de seguridad de los dispositivos
mviles.
7.3. Los dispositivos mviles debern contar con los mecanismos de proteccin
dispuestos a otras terminales de trabajo:

Gestin de vulnerabilidades,
Antivirus,
Estndar de configuracin
Medidas ante robo de informacin, etc.

7.4. Informacin contenida en dispositivos mviles deber ser encriptada.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 14 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

7.5. Los dispositivos mviles debern restringir acceso por medio de contrasea y
cumpliendo con las polticas de control de acceso definidas en este documento.
7.6. No se permitir la instalacin de programas sin autorizacin.
7.7. El rea de Sistemas autorizar la instalacin de programas efectuando un anlisis de
riesgo de la aplicacin.
7.8. Se debern crear un plan de capacitacin usuarios de dispositivos a fin de garantizar
el uso adecuado de estos equipos.
7.9. Una vez que el dispositivo personal de un usuario no requiera hacer uso de los
servicios de tecnologa, se requerir el dispositivo al usuario para restaurar su
configuracin de fbrica o estado al momento de la compra.
7.10.Bajo ninguna circunstancia se permitir a los usuarios copiar o conservar informacin
o software de la institucin una vez finalizada su relacin laboral.
8. Seguridad en los procesos operativos de tecnologa
8.1. Los procesos de administracin de la plataforma tecnolgica debern ser claramente
documentados y estar a disposicin de los usuarios cuando sea requerido.
8.2. Se deber implementar un repositorio de informacin que contenga documentacin
tcnica de los equipos y sistemas gestionados por el rea de Sistemas.
8.3. Los equipos informticos de los cuales depende la seguridad de los sistemas e
informacin de la institucin debern ser propiedad de la institucin y administrados
por su personal, no se delegarn responsabilidades de seguridad a terceros salvo que
existan definidos acuerdos de niveles de servicio previamente formalizados.
8.4. Los recursos para desarrollo, prueba y produccin debern estar separados para
evitar riesgos de acceso no autorizado o de cambios no controlados.
8.5. Se gestionarn vulnerabilidades en toda la plataforma tecnolgica, incluyendo
equipos que no sean productivos.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 15 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

8.6. Todo cambio sobre las aplicaciones, infraestructura o los datos deber ser realizado
bajo autorizacin del rea de Sistemas o el rea propietaria de la informacin cuando
corresponda.
8.7. Los cambios significativos a equipos o sistemas crticos debern programarse
previamente.
8.8. Siempre que sea posible el rea de Sistemas deber implementar los procedimientos
de control de cambio, estos procedimientos debern considerar los siguientes
controles:

Identificar y registrar los cambios.

Evaluar su posible impacto.
Implementar aprobaciones formales de los cambios propuestos.
Comunicar los detalles de los cambios a los interesados que corresponda.
Mecanismos para abortar y recuperar la normalidad de los proceso en caso de
cambios fallidos.

8.9. El rea de Sistemas ser la responsable de mantener actualizada la plataforma

tecnolgica de la institucin, evitando de esta forma cualquier vulnerabilidad que
pueda ser aprovechada para propsitos mal intencionados.
8.10.Se debern controlar la instalacin de software no permitido, no autorizado o cuyas
licencias no hayan sido adquiridas.
8.11.El rea de Sistemas deber notificar a las reas usuarias afectadas cuando realice
cambios de emergencia en las aplicaciones o bases de datos.
8.12.Solamente los administradores de infraestructura de la institucin podrn efectuar
instalaciones de nuevas versiones de sistemas aplicativos en ambientes productivos,
esto incluye los sistemas adquiridos a terceros.
8.13.En los casos en los que se requiera ejecutar soluciones a problemas de informacin a
nivel de bases de datos por el DBA, dichas soluciones debern contar con el aval del
rea de desarrollo y ser probadas previamente en ambientes no productivos.
8.14.Los cambios a ambientes de produccin debern ser informados previamente a las
reas usuarias que se vean afectadas.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 16 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

8.15.Los cambios en la plataforma tecnolgica debern realizarse fuera de horario de

oficina, tomando en consideracin el tiempo requerido para su implementacin y
para su reversin (rollback) en caso donde sea necesario.
8.16.Debern implementarse estndares de configuracin para garantizar que nicamente
se encuentre activas las funcionalidades requeridas y que las opciones de seguridad
se encuentren bien definidas.
8.17.No se permitir a los usuarios la personalizacin de la apariencia de los equipos, se
estandarizarn los fondos de pantalla, colores y otras configuraciones tomando en
consideracin la imagen corporativa de la institucin.
8.18.Se debern evaluar continuamente los riesgos asociados a la obsolescencia o falta de
actualizacin de componentes de la plataforma tecnolgica.
8.19.Todo activo informtico deber tener una persona responsable del mismo, sta
deber hacerse cargo de efectuar las gestiones en relacin a ese activo: monitorear
su desempeo, brindar mantenimiento, actualizacin continua, configuracin de
seguridad, etc.
8.20.Se deber monitorear los acuerdos de niveles de servicio de proveedores, registrando
el grado de cumplimiento y tomando acciones correctivas cuando corresponda,
desde cartas de amonestacin hasta terminacin de contratos o acciones legales en
dependencia el caso.
8.21. El rea de sistemas garantizar la existencia de respaldos de informacin que sea
considerada como esencial para el negocio que se encuentre almacenada en bases de
datos, Intranet y servidores de archivo.
8.22.Los respaldos debern ser resguardadas en sitios seguros y la informacin deber ser
protegida contra acceso no autorizado.
8.23. Se debern segregar a nivel de red los grupos de usuarios, servicios y sistemas de
informacin.
8.24. Los equipos informticos as como herramientas de seguridad esenciales para el
funcionamiento de la institucin en la medida de lo posible no debern representar
puntos nicos de fallo, los tems de configuracin en esta situacin debern contar
con procedimientos de contingencia.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 17 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

9. Seguridad del el servicio de Internet

9.1. Las reglas de comunicacin hacia o desde internet solamente debern permitir
servicios y protocolos necesarios para la operacin de la institucin.
9.2. La seguridad perimetral de redes deber protegerse hacienda uso de muro de fuego
o firewalls.
9.3. El rea de Sistemas deber tener documentado un estndar de configuracin de
seguridad en el cual se listen las comunicaciones permitidas y su propsito.
9.4. Se debern implementar mecanismos para la deteccin y prevencin de intrusos.
9.5. Se debern implementar controles para evaluar y para solventar vulnerabilidades en
equipos de comunicacin y seguridad de cara a Internet.
9.6. Los servicios que sern publicados a Internet debern estar en una zona
desmilitarizada o DMZ.
9.7. El acceso a Internet por parte de los usuarios deber ser autorizado por cada gerente
de rea.
9.8. Los accesos sern otorgados por puesto y en casos excepcionales a personas
particulares.
9.9. Se deber monitorear que el uso de estos servicios sea nicamente para propsitos
laborales.
9.10.En el caso de Internet el servicio ser administrado por grupos de usuarios de
acuerdo a las necesidades de cada grupo y sus sitios de inters.
9.11.Independientemente de los permisos otorgados en los niveles de acceso
mencionados en el artculo anterior, ningn usuario tendr acceso a sitios de
contenido inapropiado tales como pornografa, descargas ilegales, sitios de piratera
entre otras categoras.
9.12. Todo otorgamiento, cambio o remocin de permisos deber ser solicitado por los
jefes inmediatos del personal al rea de Sistemas.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 18 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

9.13.El rea de sistemas deber:

9.13.1. Implementar controles para proteger los equipos de la institucin que hagan

uso de comunicaciones va internet por medio de terceros, se deber

proteger las conexiones realizadas va WiFi y mdems USB.
9.13.2. Tener registro, de al menos 6 meses, del uso de Internet por parte de los

usuarios.
9.14.Se podr otorgar acceso a Internet a personal externo a solicitud de las reas usuarias
de la institucin y con la autorizacin del rea de Sistemas. El rea solicitante deber
indicar el tiempo de vigencia de estos permisos.
9.15.No se permitirn las descargas de cualquier material que pueda estar protegido por
las leyes de derecho de autor.
9.16.Se prohibir el uso de transmisin de video o voz de cualquier tipo va Internet salvo
que el negocio requiera hacer uso de estos medios.
9.17.En caso de requerir comunicaciones va Internet, el rea de Sistemas deber
proporcionar los medios requeridos para lograrlo.
9.18.Salvo excepciones documentadas por el rea de tecnologa, no se permitir el uso de
conexiones a internet no proporcionadas por la institucin.
9.19.En caso de conexiones a internet externas a la institucin, se debern implementar
medidas para que se haga buen uso de este servicio estableciendo restricciones en el
equipo.
9.20.El servicio de Internet no podr ser usado de cualquier forma en que pueda ser
percibida como un impacto negativo en la productividad, reputacin o imagen de la
institucin.
10.Seguridad del servicio de correo electrnico
10.1.El rea de Sistemas deber tomar medidas para evitar la entrada de correo masivo o
SPAM.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 19 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

10.2.El acceso a correo electrnico ser otorgado por puesto con autorizacin de cada
gerente de rea, en casos excepcionales ser otorgado el permiso a colaboradores en
particular.
10.3.No se permitir el acceso a correos personales o web mails.
10.4.El servicio de correo ser proporcionado a los usuarios en dos modalidades de
acuerdo a lo indicado por sus jefes de rea:

Correo Interno: brindando comunicacin por este medio nicamente dentro de la

institucin.
Correo Externo: Brindando comunicaciones dentro y fuera de la institucin.

10.5.El rea de Sistemas har uso de herramientas de seguridad para analizar el correo
entrante y saliente, con el fin de identificar robo de informacin o amenazas
relacionadas con cdigo malicioso.
10.6.Los correos electrnicos entrantes debern ser analizados en bsqueda de amenazas
a la plataforma tecnolgica de la institucin.
10.7.Todo correo electrnico enviado fuera de la institucin deber contener una
declaracin de privacidad de la informacin que contiene.
10.8.No se permitir el envo de correo con:
10.8.1. Archivos binarios y otros ejecutables.
10.8.2. Tamaos mayores a 10 MB.

10.9. El uso del correo electrnico no deber poner en riesgo la seguridad de la

informacin de los clientes, proveedores o de la misma institucin.
11.Control de acceso
11.1.Todo acceso a los recursos tecnolgico de la institucin ser proporcionado con la
aprobacin del rea de Sistemas siguiendo el procedimiento de gestin de accesos.
11.2.La gestin de accesos a los sistemas de informacin se realizar de forma
centralizada.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 20 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

11.3.Los accesos otorgados a cada colaborador debern corresponder con sus funciones y
basados en principios de necesidad de uso.
11.4.Los usuarios tendrn un identificador nico en los sistemas a los que tengan acceso,
de esta forma se vincular al usuario para atribuirle las responsabilidades por las
acciones realizadas.
11.5.El acceso a los sistemas de informacin ser definido conformando perfiles que
correspondan a cada puesto de trabajo.
11.6.Nunca se otorgarn accesos privilegiados a personas ajenas a la institucin.
11.7.Los permisos a cada perfil de acceso debern ser documentados en una Matriz de
Accesos estndar.
11.8.La administracin de permisos se har gestionando identidades de grupos de
colaboradores cuando sea posible.
11.9.Los cambios a permisos en sistemas de informacin debern ser autorizados por los
jefes de rea.
11.10. Los accesos otorgados a cada usuario y los permisos de cada rol debern ser
revisados al menos semestralmente, en el caso de accesos con privilegios especiales
debern ser revisados con una periodicidad trimestral.
11.11. Se considerarn prohibidos todos aquellos permisos que no estn explcitamente
permitidos.
11.12. Debern existir registro y comunicacin oportuna de las altas y bajas de usuarios.
11.13. Las cuentas de usuario tendrn vigencia nicamente mientras exista una relacin
legal de trabajo o de servicio entre la institucin y la persona.
11.14. Siempre que sea posible, la vigencia de las cuentas de usuario tendr una
temporalidad definida, una vez finalizada las cuentas debern inactivarse
automticamente.
11.15. Siempre que el sistema lo permita, las cuentas
automticamente, una vez transcurridos 30 das sin uso.

debern

inactivarse

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 21 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

11.16. No se crearn usuarios genricos o de cuentas annimas, tampoco se re- usarn

cuentas de usuario previamente inhabilitadas.
11.17. nicamente se har uso de cuentas genricas para cuentas de servicio o aquellas
que por su naturaleza no puedan ser creadas de otra forma.
11.18. Los accesos otorgados debern garantizar una adecuada segregacin de funciones
garantizando el cumplimiento de las normas de control interno de la institucin.
11.19. Las cuentas de usuario sern otorgadas formalmente de manera escrita en la que
los usuarios reconocern con su firma que comprenden las condiciones de uso
(derechos y responsabilidades). Esta entrega podr ser efectuada posterior al
proceso de induccin y no necesariamente desde la contratacin de los
colaboradores.
11.20. No se har entrega de permisos de acceso hasta que no se obtenga autorizacin de
las reas relevantes; Gestin Humana o coordinadores de reas usuarias.
11.21. Deber existir en todo momento un registro de los permisos otorgados y las
autorizaciones recibidas para su concesin.
11.22. Sern removidas todas las cuentas creadas por defecto por cualquier sistema
operativo a menos que sean realmente necesarias.
11.23. Se otorgarn permisos de acceso a personal externo a la institucin nicamente
cuando sea estrictamente necesario, contando con la debida autorizacin y por el
tiempo estrictamente necesario.
11.24. Los permisos otorgados a nivel de las aplicaciones, no debern significar permisos
equivalentes o semejantes a nivel de bases de datos.
11.25. Los Gerentes o jefes de rea debern notificar de forma oportuna la terminacin de
relaciones laborales con colaboradores para proceder con la eliminacin de sus
permisos.
11.26. Deber existir pistas de auditora sobre la creacin, modificacin, desactivacin de
cuentas de usuario.
11.27. Se considerar falta grave el acceso a los sistemas mediante suplantacin o engao.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 22 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

11.28. Deber existir registro de los intentos de autenticacin exitosos y fallidos.

11.29. Se deber restringir el horario de uso de los sistemas de informacin de acuerdo a lo
requerido en cada puesto de trabajo.
11.30. Previo a toda accin de identificacin o Logon, se deber mostrar a las personas un
breve mensaje sobre el uso autorizado del recurso al que se est teniendo acceso.
11.31. Siempre que el sistema lo permita, cada vez que se realice una accin de
identificacin o Logon se deber mostrar a los usuarios la fecha y hora de ltimo
ingreso exitoso.
12.Uso de contraseas
12.1.Todos los usuarios debern firmar compromisos de no divulgacin de sus contrasea.
12.2.Ser prohibido el uso de contraseas compartidas para facilitar labores de cualquier
ndole.
12.3.En su primer acceso todo usuario deber recibir una contrasea temporal la cual
deber ser cambiada forzosamente inmediatamente despus de lograr el ingreso.
Funcionar de la misma forma en caso de reposicin de contraseas olvidadas.
12.4.Las contraseas iniciales o temporales debern ser comunicadas de forma segura
mediante telfono o correo electrnico.
12.5.Las polticas de contraseas de acceso a los sistemas, siempre que sea posible
debern configurarse para que se requiera lo siguiente:
Longitud mnima de 8 caracteres.
Requerir al menos una Letra, un smbolo y un nmero.
No debe permitir letras o caracteres en orden consecutivos.
No usar como contraseas palabras que puedan encontrarse en un diccionario o
en el nombre de usuario.
Se deben cambiar contraseas de forma regular.
No se permitirn las ltimas 5 contraseas anteriores.

12.6.Toda contrasea por defecto en los equipos adquiridos deber ser cambiada al iniciar
su funcionamiento.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 23 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

12.7.Las contraseas de administracin sern usadas nicamente cuando sea

estrictamente necesario.
12.8.Las contraseas con privilegios avanzados se resguardarn en sobre sellado y
resguardado bajo apropiadas medidas de seguridad en la Gerencia de Operaciones y
Sistemas.
12.9.Para garantizar la seguridad de estas contraseas deber ser definida en partes que
se ingresarn a los sistemas de forma independiente.
12.10. Todas las contraseas debern permanecen encriptadas, en archivos ocultos y
protegidos.
12.11. Las contraseas no debern ser visibles al ser ingresadas.
12.12. Ningn sistema permitir el ingreso de contraseas en blanco o nulas.
12.13. El usuario podr cambiar su contrasea cada vez que lo requiera.
12.14. En la medida de lo posible los sistemas debern usar autenticacin del directorio
activo.
13.Seguridad en los sistemas de informacin
13.1.La instalacin de sistemas deber ser restringida, utilidades y componentes
adicionales de sistemas debern ser removidos cuando no sean requeridos, esto
incluye aquellos que permiten obtener datos directamente de bases de datos.
13.2.Todos los sistemas de informacin debern guardar registro de actividades o pistas
de auditora de las operaciones ms crticas efectuadas.
13.3.Debern implementarse controles para validar la informacin ingresada en los
sistemas, validar su funcionamiento o cmo la informacin es procesada y la validez
de los datos de salida presentados.
13.4.Se validar que los datos de entrada a los sistemas sea correcta y apropiada, los
sistemas de informacin deben comprobar la validez de la informacin que es
ingresada de acuerdo a condiciones previamente definidas o respecto a tablas de
parmetros existentes.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 24 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

13.5.Dentro de los controles que deber tener la aplicacin se debern encontrar:

Ingreso de datos duplicados.

Valores fuera de rango.
Caracteres invlidos.
Datos incompletos o no existentes.
Datos que exceden los lmites.
Datos de control no autorizado o inconsistente.

13.6.Se debern establecer los mecanismos para verificar que el procesamiento de los
sistemas de informacin funciona correctamente y acorde con lo que el negocio
requiere.
13.7.El diseo de las aplicaciones informticas deber minimizar la probabilidad de
prdida de datos o prdida de integridad de la informacin.
13.8.Se debern evaluar las funciones del sistema de mayor riesgo, por ejemplo aquellas
que realicen actualizaciones, inserciones o eliminacin de registros en bases de
datos.
13.9.Se deber cerciorar la aplicacin de procesos en el orden correcto, estos procesos
debern suspender su ejecucin en caso de error o finalizarla dejando registro de los
casos con inconsistencias.
13.10. Se har uso de recuperacin o correccin de fallas para asegurar el proceso correcto
de los datos.
13.11. Los controles a implementar en cada aplicacin estarn acorde con la naturaleza del
sistema y del posible impacto en caso de fallas. Algunos controles aplicables se
describen a continuacin:
Controles de sesin o procesamientos por lote, para conciliar cuadre de archivos
posterior a actualizacin de transacciones.
Controles para comprobar cuadres de apertura versus cuadres previos a cierres.
Validaciones de los datos generados por el sistema.
Comprobaciones de la integridad de los datos.
Totales de comprobacin de registros y de archivos.
Comprobaciones que aseguren la ejecucin correcta de aplicaciones.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 25 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

13.12. Siempre que sea posible sern implementadas interfaces automticas para hacer
intercambio de informacin entre mdulos o sistemas, se evitar en la medida de lo
posible intervencin humana o procesamiento de informacin de manera manual.
13.13. Se validarn los datos de salida de los sistemas de aplicacin para garantizar que el
proceso de la informacin ha sido correcto y apropiado.
13.14. Las operaciones importantes para la institucin que sean ejecutadas va sistemas de
informacin debern requerir de niveles de autorizacin segn sea el caso. Por
ejemplo:

Apertura de cajas.
Reverso de cargos.
Aplicacin de tarifas especiales o diferenciadas.
Desembolsos de crdito.
Excepciones a polticas de crdito.
Excepciones a polticas de niveles de autorizacin.

13.15. Informacin confidencial y sujeta a sigilo se almacenar encriptada en las bases de

datos de los sistemas.
13.16. El sistema limitar la cantidad de sesiones concurrentes.
13.17. Las sesiones de los sistemas sern inactivas una vez que haya transcurrido 10
minutos de inactividad.
13.18. Todos los elementos de configuracin de un sistema debern ser plenamente
configurables, se deber prohibir la prctica de configurar parmetros o variables a
nivel de cdigo fuente ya que dificulta el mantenimiento y configuracin de la
aplicacin en el futuro.
13.19. Antes de poner en marcha la implementacin de un sistema se debern documentar
los requisitos de capacidad futuros para reducir el riesgo de sobrecarga de los
sistemas o el uso excesivo de recursos.
13.20. Sistemas adquiridos a terceros debern ser recibidos por personal propio calificado,
la adquisicin de sistemas de informacin deber considerar entre otras cosas la
transferencia de conocimiento requerida para dar soporte tcnico a las aplicaciones.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 26 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

13.21. No se permitir el acceso a cdigo fuente de aplicaciones en produccin, las

versiones para ambientes de desarrollo y prueba debern ser gestionados en
libreras independientes.
13.22. Se deber restringir el acceso a los ambientes no productivos, concediendo
permisos nicamente al personal a cargo de tareas de desarrollo o prueba segn
cada caso.
14.Seguridad en los servidores y otros componentes de infraestructura tecnolgica
14.1.El acceso a los servidores deber restringirse nicamente a las estaciones de trabajo
que han sido autorizadas.
14.2.La red de servidores no podr ser compartida con otro tipo de equipos.
14.3.El rea de Sistemas deber monitorear el normal funcionamiento de los equipos
definiendo indicadores clave de desempeo.
14.4.El mantenimiento de los equipos deber ser realizado por personal calificado y de
acuerdo a las recomendaciones de fabricantes o proveedores.
14.5.No se permitirn conexiones directas a consolas de servidores o dispositivos de red,
solamente se podrn efectuar conexiones desde equipos previamente definidos y
haciendo uso de medios de comunicacin seguros cuyo trfico no pueda ser
interceptado.
14.6.Se deber establecer un proceso de gestin de vulnerabilidades sobre la plataforma
tecnolgica.
14.7.Todos los incidentes ocurridos sern registrados, analizados y debidamente
documentados.
14.8.Se deber garantizar que todos los componentes de la plataforma tecnolgicos
tengan sincronizacin de reloj para tener registro adecuado de las pistas de auditora.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 27 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

15.Seguridad ante virus y otros cdigos maliciosos.

15.1.Los equipos de la institucin debern contar con al menos un sistema de proteccin y
revisin de virus y software malicioso el cual deber ser aprobado por el rea de
Sistemas.
15.2.El rea de Sistemas deber asegurar la actualizacin continua de la base de datos de
firmas utilizada para la deteccin de cdigo malicioso.
15.3.Todos los archivos y dispositivos obtenidos de fuentes externas a la institucin
debern ser revisados con el software antivirus al iniciar su uso.
15.4.En caso de infecciones debern actualizarse los orgenes del incidente y tomar las
medidas de accin que amerite cada caso.
15.5.Se deber contar con mecanismos para identificar oportunamente nuevas
vulnerabilidades presentes en la plataforma tecnolgica de la institucin.
16.Seguridad de redes inalmbricas.
16.1.El uso de redes inalmbricas ser permitido nicamente a personal previamente
autorizado.
16.2.El acceso a las redes inalmbricas ser mediante autenticacin y haciendo uso de
protocolos de encriptacin seguros.
16.3.Se debern monitorear los intentos de acceso no autorizado a las redes inalmbricas.
16.4.Las redes inalmbricas no debern estar activas cuando no se requiera su uso.
16.5.La configuracin de acceso a las redes inalmbricas deber estar permitida
nicamente al personal tcnico de tecnologa.
16.6.En la medida de lo posible, las seales inalmbricas propias de la institucin sern
confinadas dentro de sus instalaciones.
17.Gestion de controles criptogrficos.
17.1.Cuando sea aplicable se deber hacer uso de controles criptogrficos para resguardar
la informacin crtica almacenada o en trnsito.

FONDO DE DESARROLLO LOCAL

POLTICAS
SEGURIDAD DE TI

PGINA 28 DE 28
CDIGO: PO01.00-PA-04-06
VERSIN: 00

17.2.Deber asignarse la responsabilidad sobre el resguardo de certificados digitales

obtenidos de terceros.
17.3.Deber existir un repositorio de resguardo para los certificados de seguridad, dicho
repositorio debe contar con apropiadas medidas de seguridad para garantizar su
respaldo y control de acceso.
17.4.La gestin de renovacin de certificados digitales deber efectuarse previo a su
vencimiento para evitar el riesgo de denegaciones de servicio.
17.5.Las claves involucradas en el uso de controles criptogrficos debern ser
resguardadas apropiadamente para evitar accesos no autorizados.