Post on 19-Oct-2018
RESOLUCION DE PRESIDENCIA DEL CONSEJO DIRECTIVO
W 38 -2012/CEPLAN/PCD
Lima , 03 OCT. 1011
CONSIDERANDO:
Que, de conformidad con los articulos 4 (numeral 4.8) y 49 del Reglamento de . Organizaci6n y Funciones de la Presidencia del Consejo de Ministros, aprobado por " Supremo N° 063-2007-PCM, la Presidencia del Consejo de Ministros actua
J:!!!'cOlmo ente rector del Sistema Nacional de Informatica, a traves de la Oficina Nacional ~'-'~' Gobierno Electr6nico e Informatica, la cual esta encargada de Implementar la
Politica Nacional de Gobierno Electr6nico e Informatica;
Que, por Resoluci6n de Presidencia de Consejo Directivo N° 043-2010-CEPLAN/PCD, se constituy6 el Comite de Seguridad de la Informaci6n del Centro Nacional de Planeamiento Estrategico;
Que, por Resoluci6n de Presidencia de Consejo Directivo N° 22-2012/CEPLAN/PCD, se modific6 la conformaci6n del arriba aludido Comite de Seguridad de Informaci6n;
Que , conforme al numeral 1 del articulo 2 de la acotada Resoluci6n de Presidencia de Consejo Directivo N° 043-201 O-CEPLAN/PCD, corresponde al Comite de Seguridad de la Informaci6n de CEPLAN evaluar y proponer para su aprobaci6n la politica en materia de seguridad de la informacion de la entidad ; /
Que , el aludido Comite de Seguridad de Informacion ha formulado una propuesta de Politica de Seguridad de Informaci6n para la Entidad , conforme a los alcances de la arriba referida Norma Tecnica Peruana NTP-ISOIIEC 17799.2007 ;
Que , por Informe N° 066-2012-CEPLAN/OGA, el Jefe de la Oficina General de Administraci6n , eleva a la Direcci6n Ejecutiva de CEPLAN, para su consideraci6n y
__ _ _____ _ J _____ _
oaiza Se lim ""''''''''aria Titular
~~~rfforiafiiO jlJt'A'iinlO Eslrategico
aprobacion , el documento que contiene la referida propuesta de Politica de Seguridad de Informacion ;
Que, la propuesta de "Politica de Seguridad de Informacion" esta contenida en un documento de veintinueve (29) paginas, comprendiendo los rubros siguientes: (1 ) Introduccion ; (2) Alcances ; (3) Terminologia; (4) Cumplimiento; (5) Dominios de la Norma; (6) Principios; (7) Politicas y (8) Modificaciones Principales por Version del Presente Documento; debidamente visados por los integrantes de la Comision de Seguridad de la Informacion de CEPLAN;
Que, con el visto bueno de la Direccion Ejecutiva , de la Oficina General de Administracion y de la Oficina de Asesoria Juridica de CEPLAN;
SE RESUELVE:
Articulo 1°._ Aprobar la Politica de Seguridad de la Informacion del Centro de Planeamiento Estrategico - CEPLAN, formulada por el Comite de Seguridad de Informacion; cuyo documento en veintinueve (29) paginas, forma parte integrante de la presente Resolucion , como Anexo.
Articulo 2'.- Encargar a la Oficina General de Admin istracion de CEPLAN la difusion al personal de la institucion de la Politica de Seguridad de Informacion
/<~"~" aprobada por el articulo precedente, con el objeto de su aplicacion ; asi como la ;;;~h--:" ; ,\,;publicacion de la presente Resolucion en el Portal Institucional del CEPLAN:
.~- \' ~ t ,'",r ·ceplan .gob.pe . \\ , '" .) ~. -- ~ ~'~>.J~'-;'i'
egistrese y comuniquese.
RIANO PAZ SOLDAN Pr •• ldonl,
Con'.Jo Dlrecllve> C.n~o Na . onal tit Plan.amlenlo Esiratlglco
£sir documento fue elabarado de acuerdo a 'Politico de Seguridad de 10 IlitaJmendaciones de 10 Politico" elaboradas a.tlnuacion es un protatipo de 10 esltruct.lfa l'8tica de Seguridad de 10 Informacion paltas correspondientes sola deber6n ser pt6tica. Todo cambio queda
"""blr ··" ... ""
~~~ Seguridad de la Informacion
"Politica de Seguridad de la Informa cion"
1. 2. 3. 4. 5. 6.
INTROOUCCI6N AlCANCES TERMINOLOGfA CUMPLIMIENTO DOMINIOS OE LA NORMA PRINCIPIOS 6.1 Proteccion de la Informacion
INOICE
6.2 Proteccion de los Recursos Tecnologicos 6 .3 Autorizacion de los Usuarios 6.4 Responsabilidad 6.5 Disponibilidad 6.6 Integridad 6.7 Confidenclalidad 6 .8 Confianza 6.9 Esfuerzo de Equlpo 6.10 Soporte Primario para la Seguridad de la Informacion 6 .11 Revisiones de Segurldad en Sistemas de Informacion 6.12 Propiedad de la Informacion
pOlfTICAS 7.1 Polftica de Segurldad 7.2 Seguridad Organlzacional
7.2.1 Responsable de Seguridad de la Informacion 7.2.2 Comite de Segurldad 7.2.3 Seguridad con Terceros 7.2.4 Acuerdos de Seguridad 7.2.5 Responsabllldad por la Informacion 7.2.6 Segregaclon de Funclones
7.3 Administracion de Actlvos de Informacion 7.3.1 Inventario de Actlvos 7.3.2 Clasificacion de la Informacion
7.4 Seguridad de Recursos Humanos 7.4.1 Responsabllldades de los Usuarios 7.4.2 Entrenamlento
7.5 Seguridad Ffslca V Amblental 7.5.1 Controles de Acceso Perimetral 7.5.2 Controles Ambientales 7.5.3 Mantenlmiento 7.5.4 Centro de Computo 7.5.5 Areas Restrlngldas
PoHtica de Seguridad de la Infomlaci6n Versi6n 1.0 - 31/05/2012 -
OGA
4 5 6 7 7 9 9 9 9 9 9 10 10 10 10 11 11 11
13 13 13 13 13 13 14 14 14 15 15 15 15 15 16 16 16 17 17 18 18
Pagin. 2 de 29
~m~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion "
8.
7.6 Administracion de Comunicaciones y Operaciones 7.6.1 Documentacion Operativa 7.6.2 Control de Cambios 7.6.3 Uso de la Tecnologia 7.6.4 Acceso Remoto 7.6.5 Separacion de Ambientes 7.6.6 Capacidad y Desempeiio 7.6.7 Servicios de Red 7.6.8 Servlcios Web
19 19 19 19 20 20 20 20 21
7.6.9 Software 21 7.6.10 Computacion Movil 21 7.6.11 Backups 23 7.6.12 Control de Codigo Malicioso 24 7.6.13 Revision y Monitoreo de Logs 24 7.6.14 Responsabilidad Operativa 25 7.6.15 Telefonfa 25
7.7 Control de Accesos 25 7.7.1 Administracion de Usuarios 25 7.7.2 Contraseiias 26 7.7.3 Controles de Acceso de Red 26 7.7.4 Control de Acceso a Aplicaciones 27
7.8 Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion 28 7.8.1 Requerimientos de Seguridad 28 7.8.2 Datos para Pruebas 28 7.8.3 Analisis de Vulnerabilidades 28 7.8.4 Administracion de Sistemas de Informacion 28 7.8.5 Cifrado 29
7.9 Administracion de Incidentes de Seguridad 29 7.9.1 Reporte de Incidentes y Eventos de Seguridad 29 7.9.2 Administracion de Incidentes de Seguridad 29
7.10 Administracion de la Continuidad del Negocio 30 7.10.1 Elaboracion del Plan de Continuidad del Negocio (BCP) 30 7.10.2 Mantenimiento del Plan de Continuidad del Negocio (BCP) 30
7.11 Cumplimiento 30 7.11.1 Proteccion Legal 30 7.11.2 Normatividad 30
Modificaciones Principales por Version del Presente Documento 31
Politica de Seguridad de Ia Informaci6 Pagina 3 de 29 Versi6n 1.0 - 31/05/2012
gpJ~ Seguddad de la Informacion
"PoHtica de Seguridad de la OGA
Informacion"
1. INTRODUCCION
La Polftica de Seguridad de la Informacion esta conform ada por un conjunro de
principios y/o lineamientos basados en la norma NTP-ISOjl£C 17799:2007, las ,cuales
identifican responsabilidacles y establecen objetivos para una proteccion adeouada y
consistente de los activos de informacion de la institucion, La implementacion de -e~ta
polftica busca reducir riesgos que accidental 0 intencionalmente divulguen, modifil1luen,
destruyan 0 utilicen los activos de informacion (en base a 10 que se defina en el alcance)
en contra de la institucion, AI mismo tiempo, estas polfticas habilitan a las aceas
responsables de la adminis!racion de la seguridad de la informacion a orientar y mejorar
la administ racion de seguridad de los activos de la informacion y proveer las bases ~ara
su monitoreo respectivQ en t oda la institucion,
EI Centro Nacional de Planeamiento Estrategico pretende mantener un esquema de
seguridad que permita garantizar la confidencialidad, integridad y disponibi lidad Cile S"5
activos de informacion.
Por tal motivo, es importante que todo el personal que forma parte del Centro N,aoional
de Planeamiento Estrategico conozea, colabore, participe en el cumplimiento de los
lineamientos, procedimientos yjo directivas estipuladas en la norma para ,Ia
implementacion y establecimiento de esta polftica.
2. ALCANCE:
Estas politicas estan orientadas a garantizar el uso apropiado de los dis-positi\!()s
tecnologicos, y de servidos como el Internet y Correo Electronico, brindanclG> a los
contratados pautas para la utilizacion apropiada de dichos recursos, permitiendo asf
minimizar los riesgos de una eventual perdida de activos de informacion sensiti""s par,a
el Centro Nacional de Planeamiento Estrategico,
La politica de seguridad de la informacion del Centro Nacional de Planeamiento
Estrategico es aplicada a todos los activos de informacion durante su cicio de vida,
PoHtica de Seguridad de la Informaci6n Versi6n LO - 31/05/2012
CEPI Ai? Seguridad de la Informacion OGA
Con", ",,'or.' ", rA,,,,, I'''~,~," "Politica de Seguridad de la Informacion"
Estas politicas estan orientadas a proteger los activos de informacion en todos los
ambientes en los cuales esta reside, y para asegurar los activos de informacion que se
encuentran en lugares externos (Ejemplo: sucursa les, proveedores de servicios, etc.),
estos son sometidos a controles equivalent'" para su proteccion.
Estas politicas son aplicadas a todos los contra tad os, consultores, contratistas,
temporales 0 terceras partes que acceden a los activos de informacion del Centro
Nacional de Planeamiento Estrategico, quienes estan sujetos a los mismos
requerimientos de seguridad, y tienen las mismas responsabilidades de seguridad de
informacion que todos los trabajadores de la institucion.
Todas estas personas estan obligadas a eontinuar protegiendo la informacion del Centro
Nacional de Planeamiento Estrategico, eumpliendo las politicas de seguridad despues de
terminar su re lacion con la entidad.
3. TERMINOLOGfA:
./ Activos de informaci6n: son los bienes intelectuales constituidos de la siguiente
manera:
• De informaci6n: Bases de datos, archivos, contratos y acuerdos, documentaei6n de sistema, informacion de investigacion, manuales de usuario, material de entrenamiento, procedimientos operaciona les 0 de soporte, planes de continuidad del negocio, registros de auditoria, e informacion de arch ivo.
• De Software: aplicaciones, de sistema, herramientas de desarrollo y utilidades. • Flsicos: equ ipos de computo, equipos de comunicaciones, medios removibles y
otros.
• Servicios: servicios computaciona les y de comunicacion, uti lidades generales, iluminacion especial, energ!a y aire acondicionado.
• Personas: incluyendo sus ca lificaciones, competencias y experiencia. • Intangibles: como reputacion e imagen de la institucion .
./ Seguridad de la Informacion: es la proteccion de la informacion de una amplia gama de
amenazas para asegurar la continuidad del negocio, minimizar el riesgo d el mismo y
maxi mizar el retorno de inversion y de oportunidades de negoeio .
./ Batch: Archivo magnetico que tiene almacenado una secuencia de comandos que al
ejecutarse reemp laza la opera cion de digitar los comandos en secueneia cada vez que se
requiere efectuar una operacion. Se utiliza para almacenar operaciones repetitivas.
Polftica de Seguridad de la Infom'laci6 Versi6n 1.0 - 31/05/2012
ragin. 5 de 29
CEPI (/> Seguridad de la Informacion
C'"" ''''iOMI ",P~ "Politica de Seguridad de la OGA
Informacion"
./ Cable-modem: Dispositivo de comun icacion que permite establecer una conexion a un
servicio de banda ancha que brinda un proveedor de servicios de Internet .
./ Firewall: Dispositivo tecnologico que tiene como funcion proteger la red interna de una
compafila de accesos no autorizados del exterior via Internet .
./ Modem: Dispositivo de comunicacion que permite establecer una conexion a traves de
la linea telefon ica .
./ Red privada virtual - VPN: Metodologia de conexion a traves de Internet que permite a
los usuarios conectarse a la red corporativa utilizando conexiones publicas, a traves de
canales seguros de comunicacion .
./ Script: Es un archivo que contiene una secuencia de comandos que se utiliza para
comunicarse en forma automatica entre dos aplicaciones .
./ Usuario: Persona que utiliza un dispositivo 0 un ordenador y realiza multiples
operaciones con distintos propositos.
4. CUMPLIMIENTO:
EI cumplimiento de est a politica es de caracter obligatorio. Ningun contratado
(contratista, proveedor, outsourcing) o practicante se encuentra exento del
cumplimiento de estas politicas. Si un individuo u organizacion viola las disposiciones
establecidos en el documento de Politicas de Seguridad de la Informacion, por
negligencia 0 intencionalmente, el Centro Nacional de Planeamiento Estrategico tomara
las medidas correspondientes, ta les como acciones disciplinarias, despido, acciones
legales, reclamo de compensacion por danos, u otras; segun 10 establecido en la Norma
Vigente.
DOMINIOS DE LA NORMA:
En base a 10 establecido en la norma NTP ISO/IEC 17799:2007, los dominies
pertenecientes a la norma, son los siguientes:
Politica de Seguridad: Constituye el presente documento, donde se estipulan las
politicas con respecto a la Seguridad de la Informacion para el Centro Nacional de
Planeamiento Estrategico.
Politica de Seguridad de la lruonl1aci6n Pe:\gina 6 de 29 Versi6n 1.0 - 31/05/2012
gpJ6! Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
.r Seguridad Organizacional : Agrupa los temas de la administracion de la seguridad dentro
de la institucion. (Roles, compromisos, autori zaciones, acuerdos, manejo con terceros)
.r Administracion de Activos de Informacion: Se refiere al mantenimiento y proteccion
apropiados de tad as los activos de informacion .
.r Seguridad de Recursos Humanos: Se refiere a temas para asegurar que los contratados,
contratistas y t erceros entiendan sus responsabilidades y sean adecuados para los roles
que deberan desempenar para minimizar los riesgos que pueden ser ca usados par .estos
en algun momenta .
.r Seguridad Fisica y Ambiental: Se refiere a la prevencion de accesos fisicos no
autorizados (perimetros de seguridad), danos 0 interferencias en las insta laciones de la
institucion y a su informacion.
Administracion de comunicaciones y operaciones: Se refiere a asegurar correctamente
la operacion de las areas de procesamiento de informacion (actividades operativas y
concernientes a la plataforma tecnologica)
Control de Acceso: Control ffsico 0 logico de los accesos, areas de procesamiento y
procesos de negocio.
Adquisicion mantenimiento y desarrollo de sistemas de informacion: Se refiere al
aseguramiento de la inclusion de todos los controles de seguridad en los sistemas de
informacion (infraestructura, aplicaciones, servicios, etc.)
Administracion de Incidentes de Seguridad: Este punto permite que los eventos de
seguridad de la informacion y las debilidades asociadas con los sistemas de informacion,
sean comunicadas de tal manera que se tome una accion correctiva adecuada en el
momento indicado .
.r Administracion de la continuidad del negocio: Esta enfocado en reaccionar en contra
de interrupciones a las actividades del negocio y en proteger los servicios crit icos de
incidentes mayores 0 desastres .
.r Cumplimiento: Este punto se refiere a prevenir el incumplimiento total 0 parcial de
cualquier ley, estatuto, regu lacion u obligacion contractual de los requerimientoS de
seguridad.
Politica de Seguridad de la Informaci6n C Pagin. 7 de 29 Versi6n 1.0 - 31/05/2012
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
OGA
6. PRINCIPIOS:
Los siguientes principios basicos fundamentan el establecimiento e implantacion de las
Politicas de Seguridad de la Informacion elaboradas para el Centro Nacional de
Planeamiento Estrategico:
6.1 Proteccion de la Informacion:
6.2
Los activos de informacion seran protegidos con el nivel necesario en proporcion
a su valor y riesgo de perdida del negocio. La protecci6n debe acentuar la
confidencial idad, integridad y disponibilidad de los activos de informacion.
Proteccion de los Recursos Tecnologicos:
los recursos tecnologicos seran protegidos con el nivel necesario en proporcion a
su va lor y el riesgo de perdida del negocio. Dichos recursos deberan ser utilizados
exclusivamente para desarrollar las actividades laborales establecidas para los
contratados, contratistas y para los contratos de Outsourcing, y asi mismo su
utilizacion se han, en forma adecuada, con el maximo de eficiencia y con ejemplar
racionalidad.
6.3 Autorizacion de los Usuarios:
Todos los usuarios deberan ser identificados independientemente con permisos
de acceso espedficos de acuerdo a la informacion que manejen.
Los metodos de acceso de usuarios deben exigir un proceso robusto de
autenticacion, autorizacion apropiada y aud itoda confiable.
6.4 Responsabilidad:
Los usuarios y custodios de los activos de informacion del Centro Nacional de
Planeamiento Estrategico son responsables del uso apropiado, proteccion y
privacidad de estos activos.
Los sistemas informaticos del Centro Nacional de Planeamiento Estrategico
generaran y mantendran unas apropiadas pistas de auditoria para identificar
usuarios, y documentar los eventos relacionados con event os de seguridad.
Informaci6n Pagina 8 de
CEPI »r Seguridad de la Informacion
"Politica de Seguridad de la OGA Ce""" '""OM" P~1Ii,"!' Weg",
Informacion"
6.5 Disponibilidad:
Los activos de informaci6n deber,;n estar siempre dispon ibles para cumplir con 10
establecido en los objetivos de negocios del Centro Nacional de Planeamiento
Estrategico. Ademas, deberan tomarse las medidas adecuadas para asegurar el
respectivo tiempo de recuperaci6n de toda la informacion V el acceso por
personas autorizadas.
6.6 Integridad:
Los activos de informaci6n deberan estar adecuadamente protegidos para
asegurar su integridad V precision. Las medidas de validaci6n definidas permitiran
detectar la modificaci6n inapropiada, eliminaci6n 0 adulteraci6n de los activos de
informacion que se rea licen.
6.7 Confidencialidad:
Los activos de informacion deberan mantenerse protegidos para asegurar su
confidencialidad entre los usuarios autorizados para acceder a los mismos. En
todo momento deben mantenerse los esquemas de seguridad que prevengan la
divulgaci6n no autoriza da de informaci6n.
6.8 Confianza:
Los contratados V t erceros (Ejemplo: contratistas, outsourcing, proveedores de
servicios) deberan demostrar ca pacidad para reunir 0 exceder los requerimientos
de seguridad del Centro Naciona l de Planeamiento Estrah\gico, V justificar la
confianza en sus capacidades para asegurar los activos de informaci6n de la
institucion .
6.9 Esfuerzo de Equipo:
Para que este principio logre ser efectivo, la seguridad de la informaci6n debe ser
un esfuerzo de equipo don de deberan participa r de forma activa todos los
contratados que tengan interacci6n con la informaci6n v/o sistemas de
informaci6n que comprenda la instituci6n. Todos los contratados de la instituci6n
deberan cumplir con las poifticas de seguridad de la informaci6n V mas que eso,
desempefiar un pape l proactivo para su protecci6n V divulgaci6n de est as
poifticas.
Polftica de Seguridad de la Informaci6n VersiOn 1.0 - 31/05/2012
Pagin. 9 de 29
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
6.10 Soporte Prima rio para la Seguridad de la Informacion:
OGA
EI responsable de Seguridad de la Informacion debera facil itar la administracion y
desarrollo de iniciativas sobre aspectos de seguridad de la informacion.
Este responsable debera proveer direccion y experiencia tecnica para asegurar
que la informacion del Centro Nacional de Planeamiento Estrategico se encuentre
protegida apropiadamente. Esto debera incluir considerar la confidencialidad, la
integridad y la disponibilidad de la informacion y de los recursos informaticos que
la soportan.
6.11 Revisiones de Seguridad en Sistemas de Informacion:
Estas revisiones deberan ser efectuadas de manera peri6dica por el Centro
Nacional de Planeamiento Estrategico en base a un cronograma elaborado. Las
revisiones consistiran en realizar las pruebas necesarias para eva luar el
cumplimiento de los estandares de configu racion en las diferentes plataformas
tecnicas y/o insta laciones tecnologicas de informacion que esta institucion
disponga.
Esta labor debera ser realizada por el Responsable de Seguridad de la Informaci6n
o el responsable del Area de Tecnologias de la Informacion, segun el caso.
6.12 Propiedad de la Informacion:
La informacion que es soportada por la infraestructura de tecnologia informatica
del Centro Nacional de Planeamiento Estrategico pertenece a la entidad, a menos
que en una relaci6n contractual se establezca 10 contra rio. Sin embargo, la
facultad de otorgar acceso a la informacion es perteneciente al Responsable del
Area que genera dicha informacion.
La informacion propiedad del Centro Nacional de Planeamiento Estrategico sobre
el cua l tiene sus derechos, podra ser suministrada a los entes de control
pertinentes cuando estos 10 requieren, con previa autorizacion aprobada por las
directivas de la institucion para estos fines.
En caso de divulgacion no autorizada de la informacion de propiedad del Centro
Nacional de Planeamiento se realizaran las investigaciones
CEPI OGA Centro /i:',tional de IlEarnleolo
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
pertinentes para establecer sanciones, las mismas que serim eva luadas con el
Responsable 0 Jefe inmediato del usuario involucrado y el Comite de Seguridad
establecido.
7. POLfTICAS:
Las siguientes politicas en base a 10 estipulado en la norma NTP ISO/IEC 17799:2007, se
mencionan a continuaci6n:
7.1
7.2
Politica de Seguridad:
La Politica de Seguridad (expresada en este documento) especifica las pautas que
deben ser cumplidas por parte del Centro Nacional de Planeamiento Estrategico y
sus contratados y terceros, con el fin de asegurar un adecuado nivel de
confidencia lidad, integridad y disponibilidad en su informacion.
Seguridad Organizacional:
7.2.1 Responsable de Seguridad de la Informacion:
a) EI Centro Nacional de Planeamiento Estrategico mantendra dentro de su
institucion un Responsable de Seguridad de la Informacion, cuyas funciones
esta",n ca racterizadas y definidas segun la necesidad de la institucion.
7.2.2 Comite de Seguridad:
a) Se establece el Comite de Seguridad, como el ente dentro de la entidad para
atender los temas en materia de Seguridad de la Informacion que requieran de
una definicion 0 aprobacion. Adem.s este Comite debe conocer y aprobar los
planes de Seguridad de la Informaci6n.
b) EI Centro Nacional de Planeamiento Estrategico deber. cantar con un
Responsable de Seguridad de la Informacion que asuma las tareas y
responsabilidades que con lleva este ro l.
7.2.3 Seguridad con Terceros:
a) Todas las conexiones de terceros hacia la red interna del Centro Nacional
de Planeamienta Estrategico deben ser autorizadas, revisadas y
Polftica de Seguridad de la Informaci6n Pagina 11 de 29 Versi6n 1.0·31/05/2012
~~J~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
monitoreadas por el Area de Informatica de la Oficina General de
Administracion, segun sus f-equerimientos.
b) Los contratos de desarrollo 0 mantenimiento de -Software que se suscriban
con terceros, deberan incluir el acuerdo para cumplir las politicas de
seguridad de la Informacion establecidas por la institucion.
c) Ademas, los contratos para los cuales se transfiere la responsabilidad por la
seguridad de la informacion a un tercero (outsourcing), deben dejar en
forma explicita el compromiso por parte de este, de la aplicaci6n de los
controles de seguridad necesarios en la medida en que Centro Nacional de
Planeamiento Estrategico Ie haya transferido dicha responsabilidad.
7.2.4 Acuerdos de Seguridad:
a) Todos los contratados, practicantes del Centro Nacional de Planeamiento
Estrategico y terceros que deban realizar labores dentro de la institucion,
sea por medios logicos 0 fisicos que involucren el manejo de informacion de
la entidad, deben conocer, entender, firmar y aceptar la correspondiente a
la clausula de confidencia lidad de la informacion que para su caso aplique.
7.2.5 Responsabilidad por la Informacion:
a) Cada conjunto de datos tendra un usuario duefio y responsable de los datos
que esta en produccion. Se entiende por duefio de la informacion, AI usuario
que trabaja con la informacion y al responsable de la informaci6n 0 director
del area donde esta se genera.
b) Es responsabi lidad del Area de Informatica de la Oficina General de
Administracion, mantener segura la informaci6n sistematizada de la
institucion.
7.2.6 Segregaci6n de Funclones:
a) EI Centro Nacional de Planeamiento Estrategico debe asegurar que los
procesos se desarrollen a traves de una correcta segregaci6n de funciones
que permita garantizar que la ejecucion, la revision, la autorizacion y el
Politica de Seguridad de la Informaci6 PAgina 12 de 29 Versi6n 1.0 - 31/05/2012
Seguridad de la Informacion
"Politic a de Seguridad de la Informacion"
7.3 Administraci6n de Activos de Informacion:
7.3.1 Inventario de Activos:
OGA
a) EI Centro Nacional de Planeamiento Estrategico mantendra todos sus
activos de informacion referenciados, inventariados y constant€mente
actual izara esta documentacion.
b) Toda adquisicion de cualquier naturaleza que haga la entidad en mat€ria de
hardware, software, servicios en temas informaticos e informacion debe
tener un control a traves del Area de Informatica de la Oficina Genera l de
Administracion.
c) Se debe realizar un control de todo hardwar€ y software que sea recibido,
en cuanto a su ubicacion y proteccion, desde que se adquieren 0 arriendan,
hasta su retiro de uso.
7.3.2 Clasificacion de la Informacion:
a) Cada activo de informacion propiedad del Centro Nacional de Planeamiento
Estrategico, debe estar asignado a un contratado dela entidad quien se
responsabilizara por los mismos.
b) Toda la informacion utilizada por el Centro Nacional de Planeamiento
Estrategico y sus contratados, debera ser clasificada y administrada de
acuerdo a los niveles establecidos por la entidad.
7.4 Seguridad de Recursos Humanos:
7.4.1 Responsabilidades de los Usuarios:
a) Todos los nuevas contratados del Centro Nacional de Planeamiento
Estrategico, que hayan aprobado los procesos de seleccion, deberan
conocer, entender y asumir sus responsabilidades con respecto a la
seguridad de la informacion, segun el rol a desempefiar. Igualmente es
responsabilidad de todo contratado vinculado a la entidad con anterioridad
a la elaboracion de este documento, conocer, entender y asumir sus
responsabilidades con respecto a la seguridad de la informacion, segun el
rol a desempefiar.
PoHtica de Seguridad de 1a lnforn Versi6n 1.0 - 31/05/2012
Pagin. 13 de 29
~mt.l! Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informaci6n"
b) EI incumplimiento de alguna de las Polft icas 0 regu laciones est ipuladas en la
Gestion de Seguridad de la Informacion que conlleve a un incidente de
seguridad, impli ca ra un proceso disciplinario por parte de la entidad para
establecer la responsabilidad del usuario involucrado.
c) La terminacion del contrato de trabajo con el Centro Naciona l de
Planeamiento Estrategico implica el cumplimiento de los procesos de
entrega de activos de informacion y remoci6n de privilegios sobre la
plataforma tecnologica de la institucion.
d) lodes los usuarios deben conocer y dar cumplimiento a directivas de uso de
tecnologfa (Uso del correo electronico, usa de las impresoras, navegacion
en Internet, etc.) establecido por el Area de Informatica de la Olicina
General de Administracion.
7.4.2 Entrenamiento:
a) EI Centro Nacional de Planeamiento Estrategico entrenara a sus
trabajadores en los t emas de seguridad necesa rios para asegurar que no se
incumpla el esquema de seguridad debido a falta de capacitacion 0
desconocimiento de la norma.
7.5 Seguridad Fisica y Ambiental:
7.5.1 Controles de Acceso Perimetral:
a) lodos los contratados del Centro Nacional de Plan eamiento Estrategico
deberan portar constantemente en un lade visible, su carnet que 10
identifica como contratado de la institucion.
b) lodos los terceros que hagan su ingreso a las insta laciones de la entidad
deberan estar adecuadamente identificados, y anunciar su lIegada a traves
del personal de vigilancia de las insta laciones.
c) Cualquier elemento que entre 0 sa lga de la planta respectiva del edificio de
la institucion, debe ser anunciado al personal de vigilancia para que este
proceda a hacer el registro correspondiente.
Poiftica de Seguridad de la Informaci6n Versi6n 1.0 - 31/05/2012
Pagina 14 cte 29
OGA CEPI Cenll(} IMona! de P Ie~mlen!o J.L~1co
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
d) Las puertas de acceso a las areas de manipulacion 0 administracion de
informacion confidencia l 0 privada, deberan permanecer cerradas en todo
momento.
e) Para el ingreso 0 sa lida de cua lquier elemento, debera tramitarse el
formato de autorizacion que tiene establecida la institucion con el registro
completo de la informacion que all f se solicita.
f) Todas las personas que ingresen a las areas restringidas de la entidad,
deberan cumplir los controles establecidos para el acceso espedfico a
dichas areas.
7.5.2 Controles Ambientales:
a) EI Centro Nacional de Planeamiento Estrategico proporcionara el ambiente
adecuado para la conservacion de medios magneticos y equipos.
b) EI Centro Naciona l de Planeamiento Estrategico mantendra en condiciones
optimas la limpieza, la seguridad, el manten imiento y la funciona lidad de
cada uno de los elementos que forman parte del Centro de Computo de la
c)
institucion.
Todos los usuarios del Centro Nacional de Planeamiento Estrategico que
utilicen estaciones de trabajo para la realizacion de su labor, debe ran
acoger como practica permanente el bloqueo de la pantalla al ausentarse
de su puesto, asf como mantener en orden sus papeles de trabajo, siempre
pensando en la confidencialidad de la informacion.
d) Las estaciones de trabajo de los usuarios finales seran desactivadas
automaticamente si superan un tiempo de inactividad determinado en cada
caso, segun el nivel de riesgo que correspond a siendo necesario digitar
nuevamente la clave de acceso en el momento que requiera continuar con
la conexi6n.
7.5.3 Mantenimiento:
PoHtica de Seguridad de la Informae' Versi6n 1.0 - 31/05/2012
Pagina 15 de 29
cEPIiUV? Seguridad de la Informacion
"Politica de Seguridad de la OGA Gen1!o ftltional de rraHea:ni~() fMlJegico
Informacion"
a) EI Centro Nacional de Planeamiento Estrategico establecera esquemas de
mantenimiento para toda su plataforma tecnologica que debera ser cumplido
dentro de las fechas programadas.
b) Cuando un medio magnetico, propiedad del Centro Nacional de Planeamiento
Estrategico, termine su cicio de vida, debera ser destruido de acuerdo a las
exigencias del Area de Informatica de la Oficina General de Administracion.
c) AI disponer de un disco duro utilizado, ya sea para su entrega, reuti lizacion 0
puesta asignacion, debera pasar por un proceso adecuado de borrado
determinado por el Area de Informatica de la Oficina General de
Administracion.
7.5.4 Centro de Computo:
a) EI Area de Informatica de la Oficina General de Administracion debera
b)
establecer los mecanismos de seguridad necesarios para la correcta proteccion
del Centro de Computo (0 Centro de Datos), de manera que se mantenga la
confidencialidad y seguridad de la informacion que se procesa, as, como la
integridad de los equipos.
EI Centro Nacional de Planeamiento Estrategico mantendra las condiciones
fisicas y ambienta les optimas recomendadas para los Centros de Computo,
as' como controles automaticos para incendio y t emperatura. (Inundacion,
humedad, etc).
7.5.5 Areas Restringidas:
EI Centro Nacional de Planeamiento Estrategico clasificara sitios (areas) que por
su actividad, activ~s, manejo transaccional, etc, se deban manejar en forma
restringida teniendo los controles de acceso adecuados y registro de visitantes.
Se consideran dentro de estas por ejemplo: Centro de Computo y gabinete de
comunicaciones.
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
7.6 Administracion de Comunicaciones y Operaciones:
7.6.1 Documentacion Operativa:
OGA
a) Todos los procedimientos operativos del Centro Nacional de Planeamiento
Estrategico esta",n adecuadamente documentados, mantenidos y a
diSposici6n de los usuarios a quienes compete.
b) £s responsabilidad del Area de Informatica de la Oficina General de
Administracion, mantener debidamente actualizada toda la documentacion
referente a la plataforma tecnol6gica de la entidad.
7.6.2 Control de Cambios:
Cualquier cambio a la plataforma tecnologica del Centro Nacional de
Planeamiento Estrategico (a excepcion de las estaciones de trabajo) debe", ser
completamente documentado y controlado por el Area de Informatica de la
Oficina General de Administracion.
Cualquier cambio en la plataforma de las estaciones .de trabajo debera ser
autorizado por el Area de Informatica de la Oficina General de
Administracion.
Cualquier cambio realizado a las aplicaciones desarroliadas para la operacion
normal del Centro Nacional de Planeamiento Estrategico, debera ser
completamente documentada y sus versiones control ad as segtln los
requerimientos establecidos por el Area de Informatica de la Oficina General de
Administracion.
Todos los cambios en el ambiente de produccion deberan cefiirse a las
regu laciones establecidas para la adecuada puesta en produccion, por el
Area de Informatica de la Oficina General de Administracion.
7.6.3 Uso de la Tecnologfa:
a) EI Area de Informatica de la Oficina General de Administracion definira los
criterios de utilizaci6n de los servicios de tecnologfa y los estandares
adecuados para la optima administracion de los recursos.
PoHtica de Seguridad de la Informaci6 Versi6n 1.0 - 31/05/2012
Pagina 17 de 29
~J~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
b) Los recursos informaticos del Centro Nacional de Planeamiento tstrategico
deben ser utilizados unicamente para propositos propios de la entidad. (Para
mayor referencia consultar directivas internas).
7.6.4 Acceso Remoto:
a) La entidad proporcionara tecnologias de acceso remoto a sus ·contratados,
previa eva luacion y autorizaci6n del area correspondiente. EI Area de
Informatica de la Oficina Genera l de Administracion garantiza ra un adecuado
esquema de seguridad para los mismos.
7.6.5 Separacion de Amblentes:
a) EI Centro Naciona l de Planeamiento Estrategico mantendra identificados,
controlados y aislados sus ambientes de prueba, desa rrol lo y produccion,
aplicando para cada uno los procedimientos espedficamente estipu lados
por la entidad, para su operacion 0 administracion.
7.6.6 Capacidad y Desempeiio:
a) La plataforma t ecnologica del Centro Nacional de Planeamiento Estrategico
sera continua mente monitoreada con el f in de establecer niveles de
capacidad y desempeiio, empleando las herramientas adecuadas y
manten iendo actualizada la debida documentacion.
7.6.7 Servicios de Red:
a) EI Centro Naciona l de Planeamiento Estrategico mantendra un con stante
monitoreo sobre la red interna, implementando las herramientas que Ie
permitan detecta r, prevenir y recuperarse de codigo malicioso encontrado en
su plataforma t ecnologica.
b) EI Centro Nacional de Planeamiento Estrategico se reserva el derecho de
examinar toda la informacion almacenada en, 0 transmitida por sus sistemas
de computo y de comunicaci6n, y debe informar a sus contratados que no
deben esperar privacidad asociada con la informacion que ell os almacenan 0
PoUtica de Seguridad de 1a Informaci Versi6n 1.0 - 31/05/2012
_~~, . Caric;s·CoalziaieiCm FedQtarlo Titular
iona! de Planeamienlo Estrateglco CI'!PI:Ar.J
PAgin. 18 de 29
~JAlI! Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
c) La entidad mantendn\ actualizada y con la debida aprobacion del Area de
Informatica de la Oficina General de Administracion, una Iista de las categorias
de acceso NO permitido .para la navegacion en Internet. En todas las ocasiones
los intereses, el buen nombre y la seguridad de la entidad deben ser
protegidos por los contratados y terceros (ejemplo: contratista, proveedor,
outsourcing) que laboran para la entidad.
7.6.8 Servicios Web:
a) La entidad vigilan' el cumplimiento de los compromisos de seguridad de la
pagina www.ceplan.gob.pe.
7.6.9 Software:
a) La entidad efectuara constantes revisiones al cumplimiento de las normas
en materia de propiedad intelectual. Los contratados 0 terceros tienen
PROHIBIDO insta lar 0 utilizar software 0 productos sin licencias autorizadas
por la entidad. Se excepttlan de esta politica los productos de software con
licencia de libre utilizacion 0 que sean soportados con certificado de
propiedad de Iicencia de terceros. En todo caso, cua lquier instalacion de
software debe ser solicitada y obtenida a traves del Area de Informati ca de
la Oficina General de Administracion.
7.6.10 Computacion Movil:
a) Los equ ipos de computo (sin importar su propietario) utilizados fuera del
Centro Nacional de Planeamiento Estrategico y en funciones propias de la
entidad, deben ser exclusivamente utilizados para brindar apoyo a las
actividades de la entidad y deben ser sujetos a un grado equivalente de
proteccion igua l al de los equ ipos que se encuentran dentro de las
instalaciones del Centro Nacional de Planeamiento Estrategico. Se deben
aplicar las siguientes pautas:
• Los equipos portatiles asignados a los contratados deben atender
todas las recomendaciones de seguridad y adiciona lmente el
contratado' debera seguir las instrucciones dadas por el Area de
PoHtica de Seguridad de la Informaci6 Versi6n 1.0 - 31/05/2012
·~W· tN: ••• ~-.. ---- ----t;. oOlza S ' , .1
cratarlo . \"--~iltO'liiaiCcIQn a! de PIMezmi61i1O rslr.1I§l'1kc
cr:p1.rdtt
Pagina 19 de 29
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
OGA
Informatica de la Oficina General de Administracion para su
utilizacion.
• Las computa doras persona les, para conectarse a la red de la
instituci6n, previamente debe pasar por una verificacion y
autorizacion por parte del Area de Informatica de la Oficina General
de Administracion.
• Durante los viajes, los equipos (y medios) no se deben dejar
desatendidos en lugares ptlblicos.
• Los portati les son vu lnerables al robo, perdida 0 acceso no
autorizado durante los viajes. Se les deben proporcionar una forma
apropiada de proteccion al acceso ·(Ejemplo: Contraseiias de
encendido, encriptacion, etc. ) con el fin de prevenir acceso no
autoriza do.
• Las instrucciones del fabricante concernientes a la protecci6n del
equipo se deben seguir en todo momento (Ejemplo: para protegerse
contra la exposicion de campos electromagneticos muy fuertes).
b) La utilizacion de elementos removibles de almacenamiento (Cintas con copias
de respa ldo, DVD's, memorias USB, CD's re-escribibles, discos duros portati les,
etc.) por parte de los usuarios, debenl cumplir los lineamientos estrictamente
establecidos por el Area de Informatica de la Oficina General de
Administraci6n mediante pautas recomendadas por parte del Responsable de
Seguridad de la Informaci6n. La administracion (custodia, reutili zacion y
destrucci6n) adecuada de estos elementos, tanto para su conservacion como
la dest ruccion cuando fuera necesario, esta ra determinada por los
procedimientos establecidos en el Area de Informatica de la Oficina General de
Administracion.
c) EI ingreso y/o salida de los equipos de computo y elementos removibles de
almacenamiento (Cintas con copias de respa ldo, DVD's, memorias USB, CD's
reescribibles, discos duros portatiles, etc. ), que 51 pertenecen al Centro
Nacional de Planeamiento Estrategico, debera ser previamente autorizado por
el Area de Informatica de la Oficina General de Administraci6n y registrado por
y el Personal de Seguridad.
r
c."c ii, iiiS'· C;;';lza· ~ioj;"ni··· Fed:lt~rlo Titula r
Cenlro Nacion.1 ~. ~1"nanmi,nI9 .,lral!glco .:.r,:p~~N
Pogina 20 de 29
cEPIli? Seguridad de la Informacion
"Politica de Seguridad de la OGA Ge,,", t",;,~t " pAnl'"' B,iIoQ;;, Informacion"
d) En el caso de los equipos m6viles de comunicacion, es de responsabilidad
directa del usuario al cual se Ie ha asignado el equipo. En caso de perdida 0
robo tendra que reponer el equipo.
7.6.11.Backups!
a) Toda la informaci6n del Cent ro Nacional de Planeamiento Estrategica debe
ser respaldada por medio de capias de seguridad siguiendo el
procedimiento adecuado segun el componente fisica que se disponga. Esto
incluye la informacion en las estaciones de trabajo de los usuarios.
b) Es responsabilidad de cada contratado de la entidad ubicar en una unidad
de red la informacion referida unicamente al Centro Nacional de
Pl aneamiento Estrategico que requiera ser respa ldada por el Area de
Informatica de la Oficina General de Administracion.
c)
d)
Ningun tipo de informaci6n referida al Centro Nacional de Pl aneamiento
Estrategico puede ser almacenada en forma exclusiva en los discos duros de
las estaciones de trabajo. Para estos cas os, es responsabilidad de cada
usuario rep licar la informacion en los directorios publicas que residen en los
servidores.
Es responsabi lidad del Centro Nacional de Planeamiento Estrategico, definir
los periodos de retenci6n y la frecuencia de los Backup's que garanticen la
cantinuidad del negocio y la consulta historica de su informacion.
e) Es responsabilidad del Area de Informatica de la Oficina General de
Admin istracion el mantenimiento adecuado de las versiones de las
aplicaciones en el medio de almacenamiento utilizado en su momento que
Ie permita atender requerimientos lega les 0 internos.
f) Toda restauracion de datos en produccion debe ser autorizada por el Area
de Informatica de la Oficina Genera l de Administracion.
g) Es responsabilidad del Area de Informatica de la Oficina General de
Administracion garantizar a la entidad que se estan recagiendo en forma
adecuada los backup's de informacion que garant icen la continuidad de los
servicios de la plataforma tecnologica.
PoHtica de Seguridad de la Informaci6 Pagina 21 de 29 Versi6n 1.0·31/05/2012
~m~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
h) Es responsabilidad de cada departamento y contratados mantener
depurada la informacion de sus archivos publicos y buzones de correo
electronico, como mejor practica para la optimizacion de uso de los
recursos que entrega la entidad a sus contratados.
7.6.12.Control de Codigo MalicJoso:
a) EI Centro Nacional de Planeamiento 8;trategico contara permanentemente
con un sistema efectivo de antivirus que sera administrado bajo la
responsabilidad del Area de Informatica de la OficinaGenerai de
Administracion .
b) Los usuarios deberan cump lir con las mejores pnlcticas establecidas por el
Centro Nacional de Planeamiento Estrategico con respecto al uso del
Ant ivirus.
c)
d)
Es responsabilidad de cada contratado 0 tercero, revisar que todos los
med ios magneti cos extrafbles sean chequeados con un antivirus provisto
por la entidad antes de procesa rlos en los computadores personales 0
servidores de la entidad.
Es responsabilidad del Area de Informatica de la Oficina General de
Administraci6n, mantener en buen funcionamiento los sistemas que Ie
permitan prevenir, detectar y corregir ingresos 0 intentos de ingresos no
autorizados.
7.6.13.Revision y Monltoreo de Logs:
a) EI Centro Nacional de Pl aneamiento Estrategico realizara un monitoreo
permanente de la red a traves de los diferentes logs establecidos y
configurados a conveniencia del negocio. Estos logs seran revisados y
analizados de acuerdo a las tareas programadas dentro del Area de
Informatica de la Oficina Genera l de Administracion.
7.6.14.Responsabilidad Operatlva:
a) Dentro del personal del Area de Informatica de la Oficina General de
Administraci6n debe existir un responsable de la seguridad de los backup's.
Politica de Seguridad de Ja Versi6n 1.0 - 31/05/2012
Pagina 22 de 29
CEPI J7? Seguridad de la Informacion OGA
een" ,..,,"", de ,An'''rlo bJ~" "Politica de Seguridad de la Informacion"
b) EI Centro Naciona l de Planeamiento Estrategico, a traves del Ar€a de
Informatica de la Oficina General de Admin istracion se responsabilizara de la
s€guridad de la informacion en los equ ipos c€ntrales de computo, quien
adoptara las mejores practicas en materia de control de acceso a la
informacion de acuerdo a la tecnologia usada.
c) EI Centro Nacional de Planeamiento Estrategico, a traves del Area de
Informatica de la Oficina General de Administracion, asegurara la mejor
seleccion (tecn ica) de los proveedores de servicios, para los elementos y
equipos que forman parte del centro de-computo.
7.6.15 Telefonia:
a) La entidad contara con el servicio telefonico nacional, internacional y de
celulares, con 10 cua l autorizara de manera particular a los contratados que 10
requieran.
7.7 Control de Accesos:
7.7.1 Administraci6n de Usuarios:
a) Esta prohibido intentar ingresar a los servicios de computo y comunicaciones
con la cuen!a de otro contratado.
b) EI Area de Informatica de la Oficina Genera l de Administracion del Centro
Nacional de Planeamiento Estrategico definira el esquema de usuarios para la
administracion y uso de cada plataforma tecnologica, util izando los cr iterios de
minimo riesgo e impacto para la entidad.
c) EI nivel de acceso debe ser definido por funciones especificas dentro de cada
ap licaci6n y para cada contratado.
d) Cada contratado tendra un cod igo unico de identificacion ante el sistema y
sera responsable de todo registro a su nombre.
e) La creacion, eliminaci6n y revision de privi legios de los usuarios de la red y las
apl icaciones del Centro Nacional de Planeamiento Estrategico deberan ser
regularmente revisados segun las actividades programadas del Area de
Informatica de la Oficina Genera l de Admin istracion.
PoHtica de Seguridad de la lnforma . n Versi6n 1.0· 31/05/2012
Pagin. 23 de 29
~~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
f) EI Centro Nacional de Planeamiento Estrategico cl asificara las cuentas de
usuario de acuerdo a los niveles de acceso autorizados requeridos para la
operacion 0 administracion de los sistemas de la entidad.
g) EI Area de Recursos Humanos deberan enviar mensual mente al Area de
Informatica de la Oficina General de Administracion, la lista actual izada de
altas, bajas, vacaciones, incapacidades, Ikencias, etc. de todos los contratados
del Centro Nacional de Planeamiento Estrategico, a fin de lIevar un <:ontrol de
las cuentas de usuario correspondientes.
7.7.2 Contrasenas:
a) Cada contratado debe tener asociada una contrasena que <:umpla con las
caracteristicas de contrasenas seguras. No esta permi tido que terceros
accedan a los servicios con la cuenta y password de un contratado de la
entidad.
b) EI Centro Nacional de Planeamiento Estrategico mantendra definido para
todos sus sistemas de informacion un esquema de construccion de
contra sen as fuertes que debe ser cumplida por todos los contratados de ·Ia
entidad.
c)
d)
Las contrasenas deberan permanecer enmascaradas en todos los medios
tecnol6gicos en los cuales son digitadas.
Es responsabilidad di recta de cada contratado el velar por la
confidencialidad y buen uso de su contrasena.
e) No se deben almacenar contrasenas en formato legible en archivos tipo
"batch", scripts de logon automaticos, macros de software, teclas de
funcion de terminales, computadores sin control de acceso, archivos de
t exto 0 en sitios donde personas no autorizadas puedan descubrirlos y
utiliza rlos. Bajo responsabi lidad del usuario.
7.7.3 Controles de Acceso de Red:
a) Ningun contratado del Area de Informatica de la Oficina General de
Administracion tendra acceso a los datos en produccion, en modalidad
diferente a la de consulta, a excepcion del Administrador de la Base de Datos.
Polltica de Seguridad de I. 1m Pagin. 24 de 29 Versi6n 1.0 - 31/05/2012
~m~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
7.8 Adquisici6n, Desarrollo y Mantenimiento de Sistemas de Informaci6n :
7.8.1 Requerimientos de Seguridad:
a) Las nuevas aplicaciones que se pondran en operacion en la entidad deben
cumplir los requerimientos de seguridad minimos establecidos para asegurar
confidencialidad, integridad y disponibilidad en la informaci6n que manejan.
b) EI Area de Informatica de la Oficina Genera l de Administracion es responsable
de mantener a disposicion de la entidad la infraestructura tecnologica mas
conveniente de acuerdo a sus requerimientos y 10 que ofrece el mercado y de
acuerdo a la disponibilidad presupuestal de la Entidad.
7.8.2 Datos para Pruebas:
a) EI Centro Nacional de Planeamiento Estrategico mantendra por separado sus
ambientes de producci6n, desarrollo y pruebas, y en cada uno de ellos
mantendra los elementos que se consideren adecuados con el fin de mitigar los
riesgos. Esto se dara dentro de la coyuntura logistica y presupuestal de la
Entidad.
b) Es responsabilidad del Area de Informatica de la Oficina General de
Administraci6n asegurar que los datos dispuestos para la realizaci6n de pruebas
y desarrollo cuentan con la debida proteccion para minimizar los riesgos con
respecto a la confidencialidad.
7.8.3 Analisis de Vulnerabilidades:
a) Es responsabilidad del Area de Informatica de la Oficina General de Administraci6n
mantener un esquema de pruebas de vulnerabilidad a los componentes de la red
dependiendo del analisis de riesgos.
7.8.4 Administracion de Sistemas de Informacion:
a) EI Centro Nacional de Planeamiento Estrategico debera cumplir el esquema
general de cicio de vida de los proyectos, de acuerdo a la metodologra basad a
en la NTP ISO/IEC 12207 (Norma para los Procesos del Cicio de Vida del
Software), que para efecto el Area de Informatica de la Oficina General de
Polftica de Seguridad de 1a Informa . n Versi6n 1.0 - 31/05/2012
PAgina 26 de 29
~m~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
7.9
Administracion debe", elaborar, esto aplica tanto para mantenimiento de
aplicaciones en produccion, como para desarrollos nuevos.
7.8.5 Cifrado:
a) En los medios y tran~misiones electronicas que el Centro Nacional de Planeamiento
Estrategico determine, se deberan mantener esquemas de cifrado que cumplan los
requerimientos espedficos establecidos para tal fin. Para esto creara una politica
espedfica que regule el uso de dicho esquema.
Administracion de Incidentes de Seguridad:
7.9.1 Reporte de Incidentes y Eventos de Seguridad:
a) Todos los usuarios del Centro Nacional de Planeamiento Estrategico deben
reportar cualquier incidente de seguridad que detecten al Responsable de
Seguridad de la Informacion 10 antes posible.
b) Las fallas que se detectan en las aplicaciones de la entidad se consideran un
incidente de seguridad porque afectan la disponibilidad de la informacion y
deben ser tratados como incidentes de seguridad de la informacion.
7.9.2 Administracion de Incldentes de Seguridad:
a) EI Responsable de Seguridad de la Informacion debe rea lizar el debido
estudio y seguimiento de todos los incidentes de seguridad, valiendose de
la asistencia de todos los usuarios involucrados cuando este 10 requiera.
b) Es responsabilidad del Responsable de Seguridad de la Informacion
mantener actualizadas las estadisticas de mantenimientos de emergenci a,
clasificadas en t ecnicas y de usuario, siendo est as reportadas
mensual mente al responsable del Area de Informatica de la Oficina General
de Administracion.
c) Es responsabilidad del Area de Informatica de la Oficina General de
Admin istracion divulgar las estadisticas de mantenimientos de emergencia,
clasifica dos en t ecn icas y de usuario a las instancias que determine la
entidad.
----cP--.-- arii;S'"Loaiza-i3eiCrii-·· _____ 1.-~....:::-f'edat3rlo Titular
Centro N"lon&1 de Planeaml.nte "@I'II' ol&o ,Q1:o:~"'~'"
Pc\gina 27 de 29
Seguridad de la Informacion
"Politica de Seguridad de la Informacion"
7.10 Administracion de la Continuidad del Negocio:
7.10.1 Elaboracion del Plan de Continuidad del Negocio (BCP):
OGA
a) EI Comite de Seguridad de la Informacion propondra un Plan de
Continuidad del Negocio que atienda los requerimientos de Seguridad de la
Informacion en el negocio segun el analisis de riesgos determinado para ta l
fin, el cual debera estar catalogado por niveles (1,2,3) de acuerdo con el
grado de contingencia que se deba atender, por ejemplo:
• Grado 1: cont ingencias menores que se atienden con el persona l
dentro de las insta laciones.
• Grado 2: que no se permita el ingreso al edificio.
• Grado 3: por desastre.
7.10.2Mantenimiento del Plan de Continuidad del Negocio (BCP):
a) La institucion realizara pruebas periodicas V mantenimiento al Plan de
Continuidad del negocio por 10 menos 1 vez en el ano.
b) La ent idad contara con un contrato de custodia externa de la informacion, como
parte del plan de contingencia.
7.11 Cumplimiento:
7.11.1 Proteccion Legal:
a) EI Centro Nacional de Planeamiento Estrategico conserva el derecho de retirar
de los sistemas de informacion cualquier material que pueda ser
considerado ofensivo 0 potencial mente ilegal.
7.11.2Normatividad:
a) Es responsabilidad del dueno de la informacion, definir los periodos de
retencion V la frecuencia de los Backup's que garanticen el cumplimiento lega l V
los pro pi os.
b) Las politicas de seguridad de informacion del Centro Nacional de Planeamiento
Estrategico fueron disenadas para ajustarse 0 exceder, sin contravenir, las
medidas de proteccion establecidas en las leves V regulaciones; si algun
contratado vlo tercero del Centro Nacional de Planeamiento Estrategico
Polftica de Seguridad de la lnforma '5n Pagina 28 de 29 Versi6n 1.0 - 31/05/2012
Fe aria Titu lar "-_~~~"'. nal de Planeamiento Estrateglco \ CEPLAN
~J~ Seguridad de la Informacion
"Politica de Seguridad de la OGA
Informacion"
considera que alguna politica de seguridad de informacion esta en conflicto con
las leyes y regulaciones existentes, 10 debe reportar en forma inmediata al
Responsable de Seguridad de la Informacion de la entidad.
8. Modificaciones Prlneipales por Version del Presente Documento:
1 ·;~er~iO~ i' I'~)' 'i~' Autor
0.1 OGA
Polftica de Seguridad de la Info Versi6n 1.0 - 31/05/2012
"I ,,~echa ,'" I,· ' ~be~cripeion d~ ~e'(ision
30-05-201 2 Version Inieial
ragin. 29 de 29